By nowa policyjna służba - Centralne Biuro Zwalczania Cyberprzestępczości - mogła legalnie dostać się do telefonów, komputerów czy rozwiązań chmurowych używanych przez przestępców, rząd przygotował serię zmian w prawie. Zdaniem ekspertów, pozwalają one na korzystanie z takich rozwiązań jak system Pegasus. - Rodzi się pytanie, na jakiej podstawie używa tak zwanego Pegasusa Centralne Biuro Antykorupcyjne - komentuje Paweł Wojtunik, który kierował tą formacją przez sześć lat.
Powstanie nowej formacji wewnątrz policji zapowiedzieli na wtorkowej konferencji premier Mateusz Morawiecki wraz z ministrem spraw wewnętrznych i administracji Mariuszem Kamińskim i ministrem cyfryzacji Januszem Cieszyńskim.
Ma liczyć do 1800 doskonale opłacanych funkcjonariuszy - nawet kilkukrotnie więcej niż dzielnicowi lub funkcjonariusze kryminalni czy drogówki - dodatkowo wyposażonych w ogromne uprawnienia.
Jak tłumaczył minister Mariusz Kamiński, cyberbiuro będzie wzorowane na Centralnym Biurze Śledczym. Projekt nowelizacji rzeczywiście jest wzorowany na rozwiązaniach, z których korzysta CBŚ, włącznie z trybem powoływania komendanta CBZC, którego będzie mianował minister na wniosek komendanta głównego policji.
- Będzie to służba dedykowana zwykłym ludziom - zapewniał minister Mariusz Kamiński.
Miał tu na myśli plagę przestępczości internetowej: licznych wyłudzeń i oszustw.
"Włamania" w świetle prawa
O szczegółach mówi przedstawiony już przez MSWiA projekt nowelizacji ustawy o policji, który ma wejść w życie najpóźniej 1 stycznia 2022 roku.
Gros nowych zapisów dotyczy tak zwanej "kontroli operacyjnej", czyli uprawnień funkcjonariuszy Centralnego Biura Zwalczania Cyberprzestępczości do inwigilacji telefonów, komputerów i wszystkich innych urządzeń sieciowych. Kluczowe są dwa punkty w nowym artykule, które resort chce dodać do obowiązującej ustawy.
Pierwszy mówi, że "służba może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe (...) oraz ich używać w celu rozpoznania, zapobiegania i zwalczania przestępstw".
Drugi punkt tego nowego artykułu mówi, że policjanci będą używać tych "urządzeń lub programów komputerowych" na takich samych zasadach, jak dziś podsłuchów.
- To oznacza, że każdorazowo zgodę będzie musiał wyrazić prokurator oraz sąd. Będziemy także każdego roku raportować ilość naszych wniosków, podobnie jak dziś to robimy z kontrolą operacyjną - wyjaśniło nam biuro prasowe Ministerstwa Spraw Wewnętrznych i Administracji.
„Art. 19c. 1. Służba zwalczania cyberprzestępczości może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu rozpoznawania, zapobiegania i zwalczania przestępstw, o których mowa w art. 19 ust. 1, popełnianych przy użyciu nowoczesnych technologii teleinformatycznych oraz wspierania w niezbędnym zakresie pozostałych jednostek Policji w rozpoznawaniu, zapobieganiu i zwalczaniu tych przestępstw. 2. Używając urządzeń lub programów komputerowych, o których mowa w ust. 1, służba zwalczania cyberprzestępczości może uzyskać dostęp, na zasadach o których mowa w art. 19, do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.
Co z Pegasusem?
- Skoro policja potrzebuje nowych podstaw prawnych do użycia takich instrumentów jak Pegasus, to oznacza, że CBA używa go nielegalnie - uważa Paweł Wojtunik, były szef służby antykorupcyjnej.
Przypomnijmy, że zakup przez CBA nowoczesnego i najkosztowniejszego w historii systemu do inwigilacji ujawnili dziennikarze tvn24.pl. W dokumentach z kontroli prowadzonej przez Najwyższą Izbę Kontroli znaleźliśmy prosty kwit kasowy z tytułem "zakup środków techniki specjalnej służących do wykrywania i zapobiegania przestępczości", opiewający na nieco ponad 33 miliony złotych.
Następnie dziennikarze programu "Czarno na białym" ujawnili, że chodzi o produkowany przez izraelską firmę system Pegasus. Pozwala on służbom zdalnie infekować telefony i przejmować ich całą zawartość, w tym korespondencję prowadzoną za pomocą szyfrujących komunikatorów. Może także nagrywać rozmowy czy obraz z kamery.
W ustawie o CBA brak jest rzeczywiście odpowiedników przepisów, o których wprowadzenie zadbały policja oraz Ministerstwo Spraw Wewnętrznych i Administracji.
- Bo tak w policji, jak w resorcie są jeszcze kompetentni ludzie. W służbach błyskawicznie wycięto niemal wszystkich, a w biurze koordynatora służb specjalnych brak jest fachowców, są znajomi - mówi nam doświadczony urzędnik resortu spraw wewnętrznych.
Samo CBA nigdy nie odpowiedziało na pytania o Pegasusa.
Milczenie jest tak konsekwentne, że na pytanie, czy użycie programu szpiegującego wchodzi w jawną liczbę kontroli operacyjnych (służba ma obowiązek co rok raportować liczbę podsłuchów) oficjalna odpowiedź brzmi: "CBA zapewnia ochronę środków, form i metod realizacji zadań, zgromadzonych informacji oraz własnych obiektów i danych identyfikujących funkcjonariuszy Biura". To fragment artykułu 24 ustawy o CBA.
Cyberbiuro już istniało
Czy jednak cała nowa formacja w policji jest potrzebna?
- Nasze życie przenosi się do cyberprzestrzeni, a wraz za nami wędrują złodzieje, oszuści - tłumaczy oficer Komendy Głównej Policji.
Nasz rozmówca nie ma wątpliwości, że "zielone światło" od premiera dla powołania CBZC to efekt afery z wypływem maili ministra Michała Dworczyka.
- Dobry klimat, może uda się stworzyć coś dużego i sensownego, co przeżyje aktualnie rządzących - ocenia nasz rozmówca.
Formacja będzie budowana na istniejącym już w centrali policji biurze do walki z cyberprzestępczością. Stworzono je w 2016 roku. Wtedy komendant główny Jarosław Szymczyk misję powierzył młodemu policjantowi, ściągniętemu z Kielc. Najpierw było to 56 etatów.
- Był brud, siedzieliśmy w ciemnych pomieszczeniach, ale pracowało się świetnie, czuliśmy, że robimy coś z sensem. Patrzono na nas z zazdrością na korytarzach głównej (komendy policji - red.), bo po kolejnych konkursach zatrudniano najlepszych fachowców, a nie tych, którzy mieli telefony do ważniejszych posłów PiS - opowiada tvn24.pl jeden z funkcjonariuszy.
Nowy pion odnosił duże sukcesy: zatrzymano informatyka, który ukradł bazę danych korporacji o wartości 100 milionów złotych, wykryto 50-osobową grupę przestępczą hakerów z Tajwanu oraz hakerów z Mołdawii, którzy okradali setki Polaków poprzez złośliwe oprogramowanie rozpowszechniane za pomocą oficjalnych sklepów z aplikacjami.
Biuro do monitoringu internetu
Nasi rozmówcy mówią, że po odejściu dyrektora w połowie 2018 roku (wrócił do służby w Kielcach) oraz kilku kluczowych funkcjonariuszy w wydziale zmieniły się priorytety.
- Najważniejsze jest przeszukiwanie internetu w poszukiwaniu ekstremizmów. Oczywiście chodzi o polityczny ekstremizm, czyli taki przeciwny rządzącej partii - relacjonuje funkcjonariusz.
- Monitorowaliśmy poczynania Strajku Kobiet, bo przecież stanowiło to zagrożenie epidemiologiczne. Później zajęliśmy się tropieniem sal komunijnych, hoteli i restauracji łamiących zasady lockdownu. Efekt jest taki, że zamarła praca operacyjna nad prawdziwymi przestępcami działającymi w sieci. Może teraz coś się zmieni - dodają nasi rozmówcy.
Kasa dla cyberpolicjanta
By ściągnąć fachowców, policja zamierza im płacić znacznie lepiej niż pozostałym swoim funkcjonariuszom: nawet do 15 tysięcy złotych miesięcznie. Co oznacza, że będą oni zarabiać więcej niż komendant główny policji.
Dla "cyberpolicjantów" zmieniono też sposób naboru - nie będą musieli przechodzić egzaminu sprawności fizycznej.
- Pytanie, jak na takie różnice w wynagrodzeniach zareagują związki, w tym tworząca się w policji Solidarność. Dotąd też ministrowi tłumaczono, że informatycy się do nas nie garną, bo słabo płacimy i każemy im rzucać piłką lekarską. Teraz się okaże, czy usunięcie tych przeszkód coś zmieni - mówi tvn24.pl jeden z doświadczonych związkowców.
Niebezpieczne instrumenty
Nasi rozmówcy ze świata służb wskazują, że nowelizacja daje policji możliwości tworzenia "złośliwego oprogramowania". Ich zdaniem to efekt tego, iż Pegaus jest kupionym, gotowym produktem izraelskiej firmy NSO.
Były szef Agencji Bezpieczeństwa Wewnętrznego, a następnie twórca Narodowego Centrum Kryptologii, generał Krzysztof Bondaryk od lat ostrzegał przed takimi gotowymi "instrumentami". - Użytkownik nie może mieć żadnej pewności, iż wszystkie dane nie są przekazywane do twórcy (oprogramowania - red.) - oceniał.
Jednak czy policja będzie w stanie sama opracować takie rozwiązania? Ma w tym pomóc towarzyszące powołaniu do życia CBZC uruchomienie specjalnego rządowego funduszu cyberbezpieczeństwa o wartości 500 milionów złotych. W jaki sposób będzie funkcjonował, tego jeszcze nie wiadomo. W samej ustawie o policji zapisano wyłącznie gwarancję i jednocześnie limit wydatków na lata 2022-2031. W pierwszym roku ma wynieść 117 milionów, by w 2031 sięgnąć 486 milionów złotych.
- Kolejny raz za błędy polityków zapłacą gotówką podatnicy. Czy coś zyskają, nie jest pewne. Bo nawet gdyby ta służba była 10 razy większa, a fundusz był 100 razy większy, to przecież nie uchroni to żadnego ministra, jeśli zarządza państwem i plotkuje o rzeczach ściśle tajnych za pomocą prywatnych skrzynek mailowych - komentuje były minister spraw wewnętrznych Marek Biernacki.
Źródło: tvn24.pl