Funkcjonariusz ABW i ekspert z zakresu bezpieczeństwa w użytkowaniu systemów typu Pegasus zeznaje w środę przed sejmową komisją śledczą. Przesłuchanie jest w pełni zanonimizowane. Przekazał między innymi, że według jego wiedzy "w Agencji Bezpieczeństwa Wewnętrznego nigdy nie zostało wydane świadectwo (bezpieczeństwa - red.) dla systemu pod nazwą Pegasus dla CBA".
W środę odbywa się posiedzenie sejmowej komisji śledczej do spraw Pegasusa. Posłowie przesłuchują na nim funkcjonariusza Agencji Bezpieczeństwa Wewnętrznego - eksperta z zakresu bezpieczeństwa w użytkowaniu systemów typu Pegasus.
Jak informowała jeszcze przed posiedzeniem przewodnicząca komisji Magdalena Sroka (PSL-Trzecia Droga), funkcjonariusz najpierw zostanie przesłuchany na posiedzeniu jawnym, a od godziny 15 przesłuchanie ma być kontynuowane na posiedzeniu zamkniętym.
Ze względu na to, że dane identyfikujące funkcjonariusza stanowią informację niejawną, przesłuchanie jest w pełni zanonimizowane. W czasie części jawnej posiedzenia agent ABW znajduje się w innym pomieszczeniu niż komisja, a pokazywany obraz i dźwięk są zmodyfikowane.
Świadek: nigdy nie zostało wydane świadectwo dla systemu pod nazwą Pegasus
Przesłuchanie funkcjonariusza ABW, nazywanego przez komisję świadkiem nr 1, rozpoczęło się od złożenia przez niego przysięgi. Nie skorzystał z możliwości swobodnej wypowiedzi, więc rozpoczęto rundę pytań.
Sroka pytała, czy osoby, które podjęły decyzje o tym, żeby dopuścić system Pegasus, którego elementy znajdowały się poza granicami kraju, miały pełną świadomość, jak wygląda jego architektura oraz czy dane pozyskiwane za pomocą tego systemu były bezpieczne. Sroka pytała również o to, czy ABW wykonała akredytacje bezpieczeństwa tego systemu.
Świadek zaznaczył, że zgodnie z przepisami akredytacja bezpieczeństwa systemów teleinformatycznych polega na kompleksowej ocenie bezpieczeństwa systemów teleinformatycznych. Podkreślił jednocześnie, że "zgodnie z ustawową definicją systemu teleinformatycznego jest to zespół współpracujących ze sobą urządzeń teleinformatycznych i oprogramowania".
- Tutaj należałoby zadać sobie pytanie, czy potoczne rozumienie określania systemu Pegasus jest zbieżne z jego ustawową definicją - mówił. - Dlatego że z doniesień medialnych wynika bardziej, że tutaj posłużono się pewną usługą lub oprogramowaniem zakupionym od strony trzeciej, a nie systemem teleinformatycznym w podstawowym rozumieniu. Czyli nie czymś, co jest przedmiotem akredytacji bezpieczeństwa teleinformatycznego - dodał.
Wyjaśnił, że każda akredytacja prowadzona jest na wniosek podmiotu, czyli jednostki organizacyjnej, która tworzy taki system. - Zgodnie z dokumentacją bezpieczeństwa - analizowaną czy to w ABW, czy SKW i wynikami audytu - wydawane jest ewentualne świadectwo w przypadku pozytywnej oceny dokumentacji, jak i pozytywnych wyników audytu bezpieczeństwa systemu - zaznaczył.
Na pytanie o to, czy dysponent systemu zwrócił się do ABW o przeprowadzenie sprawdzeń, odparł: - Zgodnie z moją wiedzą w Agencji Bezpieczeństwa Wewnętrznego nigdy nie zostało wydane świadectwo (bezpieczeństwa - red.) dla systemu pod nazwą Pegasus dla CBA.
Zeznał ponadto, że zgodnie z art. 48 ust. 1 Ustawy o ochronie informacji niejawnych systemy teleinformatyczne przeznaczone do przetwarzania informacji niejawnych podlegają akredytacji. Jednak w art. 51 wspomnianej ustawy znajdują się pewne wyłączenia z obowiązku akredytacji.
Poinformował również, że to w 2022 roku "wprowadzono drobne, ale bardzo znaczące zmiany", jeżeli chodzi o treść przepisów mówiących o wyłączeniach z obowiązku akredytacji.
Pytany o to, czy system Pegasus powinien zostać akredytowany odpowiedział: - Nie mam wiedzy, czy wszystkie elementy systemu Pegasus między rozpoczęciem jego użytkowania przez CBA a 2022 rokiem znajdowały się w strefach (ochronnych - red.), czy poza nimi.
- Natomiast jeżeli jakikolwiek element systemu znajdował się w strefach ochronnych i w takim systemie były przetwarzane informacje niejawne, a całość spełnia wymogi systemu teleinformatycznego, to obowiązkiem kierownika jednostki organizacyjnej było przedłożenie dokumentacji i rozpoczęcie procesu akredytacji takiego systemu - ocenił.
Może Jarvis? "Taka nazwa na żadnym świadectwie akredytacji również się nie pojawiła"
Wiceszef komisji Marcin Bosacki (KO) zapytał, czy skoro ABW nie wydała akredytacji na prośbę CBA dla systemu, który nazywałby się Pegasus, to "wydała, bądź odmówiła wydania, czy w ogóle uzyskała prośbę na inny lub inaczej nazywający się system". Jak mówił, mogłaby być to na przykład nazwa Jarvis, bo tak w służbach nazywano Pegasusa.
- Taka nazwa na żadnym świadectwie akredytacji również się nie pojawiła - oświadczył funkcjonariusz.
Agent wyjaśniał, że kwestia tego, czy system Pegasus powinien podlegać akredytacji, zależy od tego, czy przetwarzane dane mogły stanowić informacje niejawne. - Informacjom nadaje się klauzulę, jeżeli ich nieuprawnione ujawnienie utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa. Informacja, która została wyciągnięta za pomocą tego typu oprogramowania, nie była w swojej naturze informacją niejawną na początku - mówił.
W jego ocenie sam fakt odbycia przez dwie osoby rozmowy telefonicznej lub poprzez komunikator internetowy, oraz treść tej rozmowy, nie stanowią informacji niejawnej. - Ktoś może nie chcieć, żeby to wypłynęło, natomiast to, że jedna osoba dzwoniła do drugiej, czy komunikowali się za pomocą komunikatorów jawnych, internetowych, w myśl ustawy jest informacją jawną - mówił.
Dopytywany o to, co w przypadku podsłuchiwania posłów, którzy mieli dostęp do informacji niejawnych, odparł, że nieważne, kto był podsłuchiwany i jakie miał poświadczenia, "nie miał prawa na prywatnych urządzeniach przetwarzać informacji niejawnych".
- Od tego są systemy informatyczne posiadające akredytację - zaznaczył.
Funkcjonariusz ABW wskazywał, że nie ma zapisu ustawowego, zgodnie z którym, aby można było przetwarzać informacje niejawne, poszczególne elementy systemu czy oprogramowanie muszą podlegać certyfikacji. - Jako przykład podam system operacyjny Windows. Nigdy nie był przedmiotem certyfikacji w ABW, a jest wykorzystywany do przetwarzania informacji niejawnych - dodał.
Podkreślał też, że zgodnie z ustawą o ochronie informacji niejawnych to kierownik jednostki organizacyjnej ma obowiązek zapewnienia ochrony informacji niejawnych, w szczególności zorganizowania i zapewnienia funkcjonowania takiej ochrony. W przypadku CBA jest to szef Biura.
Świadek: staramy się, żeby wdrażany system uzyskał akredytację
Świadek pytany, ile czasu zajmuje akredytacja systemów teleinformatycznych, odpowiedział, że według ustawodawcy proces ten trwa maksymalnie rok od złożenia kompletnej dokumentacji. Przyznał także, że nie przypomina sobie przypadków odmowy udzielenia akredytacji.
- My, jako służba, staramy się doprowadzić do tego, żeby system, który jest wdrażany w jakiejś jednostce organizacyjnej, uzyskał tę akredytację. Staramy się prowadzić ten proces, aby poinstruować organizatora tak, aby można było spełnić wymagania funkcjonalne jednostek, które użytkują systemy pozyskujące informacje niejawne w sposób bezpieczny - tłumaczył.
Świadek zeznał ponadto, że nie ma ustawowego obowiązku zwracania się do ABW z pytaniami o akredytację jeszcze przed zebraniem kompletnej dokumentacji. Przyznał jednak, że on sam "budując niestandardowy system, który kosztował wielkie pieniądze, zwróciłby się do podmiotu akredytującego z pytaniem, w jaki sposób przygotować się do akredytacji już wcześniej, na etapie projektowania systemu".
Wiceszef komisji Witold Zembaczyński (KO) pytał świadka, czy CBA lub inne służby przedstawiały lub konsultowały z ABW procedury bezpiecznej eksploatacji Pegasusa już w trakcie użytkowania. - Nic mi na ten temat nie wiadomo, żeby taka sytuacja miała miejsce - odpowiedział funkcjonariusz.
Świadek wielokrotnie podkreślał, że nie ma pełnej wiedzy "odnośnie konstrukcji i zasad wykorzystywania systemu teleinformatycznego, którego częścią składową miałby być Pegasus lub samego systemu pod tą nazwą". Jednocześnie zaznaczał, że "jakikolwiek opis systemów teleinformatycznych, przetwarzających informacje niejawne w zakresie funkcjonalności i wdrożonych zabezpieczeń sam w sobie stanowi informację niejawną". Zapewnił jednak, że na pytania dotyczące informacji niejawnych odpowie na posiedzeniu zamkniętym, które zaplanowano na godzinę 15 w środę.
Sroka: możemy stwierdzić, że system Pegasus powinien posiadać akredytację
- Po dzisiejszym posiedzeniu komisji możemy stwierdzić, że system Pegasus powinien posiadać akredytację - oceniła Sroka po serii pytań. Dodała, że Pegasus był systemem teleinformatycznym, który w 2017 roku znajdował się w strefie ochronnej i który przetwarzał informacje niejawne.
Oceniła, że w 2022 roku - kiedy to zmieniono przepisy dotyczące akredytacji - "próbowano zatuszować błąd, który popełniono w 2017 roku i tutaj niewątpliwie można wysunąć wnioski, że mogło dojść do popełnienia przestępstwa przez ówczesnego szefa CBA".
Po zakończeniu przesłuchania w trybie jawnym komisja zajęła się wnioskami formalnymi. Zdecydowała o skierowaniu dwóch wniosków dowodowych. Pierwszy z nich adresowany jest do Komendanta Głównego Policji insp. Marka Boronia. Komisja prosi w nim o zgodę na przedstawienie odpisów wszystkich dokumentów, zarówno jawnych, jak i niejawnych, a także udzielenie pisemnych wyjaśnień w zakresie wskazanym w treści wniosku komisji z 22 lutego br., czyli związanych m.in. z zakupem, akredytacją i użytkowaniem systemu Pegasus.
Przewodnicząca poinformowała, że w związku z kolejnymi informacjami dotyczącymi systemu Hermes i niepełną odpowiedzią otrzymaną z Ministerstwa Sprawiedliwości, komisja złoży wniosek do prokuratora regionalnego w Rzeszowie Jaromira Rybczaka o przedstawienie pisemnych wyjaśnień w zakresie zakupu oprogramowania Hermes w 2021 r. za kwotę ok. 15 mln zł.
CZYTA WIĘCEJ W TEKŚCIE PREMIUM: Tajemnice Hermesa. Ujawniamy, kto sprzedał prokuraturze Ziobry system do inwigilacji
Jak wyjaśniła, PK odpowiadając na wniosek komisji 21 maja poinformowała, że w Prokuraturze Regionalnej w Rzeszowie prowadzone jest "śledztwo w sprawie trybu dokonania zakupu przez Prokuraturę Krajową zasadności nabycia, a także naruszeń zasad użytkowania systemu automatyzacji procesu gromadzenia informacji z otwartych źródeł". W związku z tym komisja wniesie o przesłanie całości materiału z prowadzonego śledztwa.
System śledzący Hermes, zakupiony przez PK, służy do gromadzenia i analizowania dużych ilości danych z otwartych źródeł, w tym z sieci telekomunikacyjnych, mediów społecznościowych i ruchu w internecie.
Komisja śledcza do spraw Pegasusa
Komisja śledcza ds. Pegasusa ma zbadać legalność, prawidłowość i celowość czynności podejmowanych z wykorzystaniem tego oprogramowania m.in. przez rząd, służby specjalne i policję od listopada 2015 r. do listopada 2023 r. Komisja ma też ustalić, kto był odpowiedzialny za zakup Pegasusa i podobnych narzędzi dla polskich władz.
Źródło: PAP, TVN24