Sprawa skrzynki Dworczyka. Wyciek mógł nastąpić znacznie wcześniej, władza mogła zlekceważyć ostrzeżenia

Profil, o ile daty publikacji nie zostały w nim zmienione, zaczął działać 5 lutego. Wówczas opublikował pierwsze polskie dokumenty. Działa na popularnej wśród m.in. białoruskich i rosyjskich opozycjonistów platformie Telegram, gwarantującej dużą dozę prywatności.

Celowo nie podajemy nazwy tego profilu, który nie był dotąd znany opinii publicznej. Zasadne jest jednak pytanie, czy o jego istnieniu wiedziały polskie służby.

OGLĄDAJ TVN24 NA ŻYWO W INTERNECIE NA TVN24 GO >>>

- Kończy to spekulacje, kto stoi za atakami. To po prostu wygląda na pracę rosyjskich służb specjalnych - uważa poseł Marek Biernacki, członek sejmowej komisji do spraw służb specjalnych i ich były koordynator.

Również pozostali eksperci, z którymi dziennikarze tvn24.pl konsultowali treści zawarte na tym profilu, nie mają wątpliwości.

- To profil, który publikowane przez siebie dokumenty omawia w języku rosyjskim. Każdy z kolejnych dokumentów omówiony jest z dość głęboką znajomością polskiej rzeczywistości. Dla mnie to oczywiste, że takiej pracy nie może wykonać jeden czy dwóch aktywistów albo hakerów. Za tym musi stać cała organizacja - mówi nam były oficer służb specjalnych.

Jako pierwszy został opublikowany dokument o tytule "Materiał informacyjny nt. finansowania mediów polonijnych przez Ministerstwo Spraw Zagranicznych", noszący datę 4 grudnia 2020 roku.

Kolejny, noszący wszelkie znamiona rządowego dokumentu, pojawił się już trzy dni później i dotyczył tajnej rządowej łączności. Wiemy, że projekt takiej rządowej łączności rzeczywiście jest w realizacji.

Później na profilu publikowano jeszcze m.in. dokumenty przedstawione jako pisma najważniejszych menedżerów amerykańskiego koncernu Raytheon, która ma zbudować w Polsce system obrony powietrznej oparty na wyrzutniach rakiet Patriot. Wszystkie opublikowane dokumenty dotyczą rzekomych problemów pojawiających się w dyskusji z Polską Grupą Zbrojeniową na temat programu offsetowego, który towarzyszy wielomiliardowemu zamówieniu.

Nieznany dotąd profil, nazwiemy go "profil pierwszy", działa nieco inaczej niż ten (nazwiemy go "profil drugi"), gdzie do tej pory publikowano informacje wykradzione z konta ministra Michała Dworczyka. "Pierwszy" nie publikuje źródeł dokumentów, nie prezentuje maili, a jedynie same dokumenty. Autorzy profilu tłumaczą je na język rosyjski, a czasem omawiają krótko ich kontekst.

Nie ma pewności, czy dokumenty publikowane na obu profilach są prawdziwe ani czy nie zostały zmodyfikowane, a jeśli tak, to w jaki sposób.

CZYTAJ WIĘCEJ O ATAKACH HAKERSKICH NA KONTA POLITYKÓW. "PRIWIET, ZOSTAŁEŚ ZHAKOWANY!" >>>

Z kilku niezależnych od siebie źródeł tvn24.pl dowiedział się, że pierwsze ostrzeżenie o skutecznym ataku na konta mailowe polskich polityków przyszło ze służb specjalnych Izraela. Według tej wersji alert trafił do Agencji Bezpieczeństwa Wewnętrznego jeszcze w styczniu tego roku, czyli na miesiąc przed rozpoczęciem działalności "Profilu pierwszego".

- Powstał raport, który szacował możliwe przyczyny, a także straty. Na długo ugrzązł między różnymi piętrami decydentów. Myślę, że późno trafił do ministra koordynatora [służb specjalnych - red.], a w każdym razie nie było widać, by skutkował podjęciem jakichś konkretnych działań - mówi nam funkcjonariusz służb.

W piątek, trzy dni po naszej publikacji służby wydały oświadczenie, w którym zaprzeczyły, że otrzymały ostrzeżenie z Izraela. "Sugestie mówiące, że w sprawie ostatnich cyberataków doszło do zaniedbań ze strony służb, są nieuprawnione" - napisał Stanisław Żaryn, rzecznik ministra-koordynatora służb specjalnych.

Z przeglądu dokumentów opublikowanych na obydwu profilach wynika, że najbardziej aktualne z nich noszą daty z 19 kwietnia. Jak usłyszeliśmy, służbom udało się wstępnie odtworzyć, jak doszło do skutecznego ataku. Nie był to żaden skomplikowany atak na zabezpieczenia skrzynki mailowej Michała Dworczyka. Jako najbardziej prawdopodobny scenariusz wskazywany jest prosty atak phishingowy, czyli wyłudzenie haseł do konta na portalu społecznościowym i do maila, poprzez stworzoną w tym celu stronę internetową i nakłonienie użytkownika, by zrobił to dobrowolnie.

W oświadczeniu wydanym przez Wirtualną Polskę (w tej domenie ma prywatne konto minister Dworczyk, co zresztą przyznał sam premier Mateusz Morawiecki) podkreślono, że "wejście na konto ministra Michała Dworczyka i co za tym idzie uzyskanie dostępu do jego maili nastąpiło na skutek podania poprawnego loginu i hasła". "Naszym zdaniem przestępcy albo wyłudzili hasło od żony ministra, albo używała ona takiego samego hasła u innych usługodawców i tam był wyciek. Przed jednym i drugim można się w prosty sposób zabezpieczyć poprzez uwierzytelnianie dwuskładnikowe albo dbając o higienę własnego hasła" - pisze firma.

Według naszych rozmówców jednym z problemów, jaki pojawił się w związku z włamaniem na konto Michała Dworczyka, jest, kto dziś ma sytuację uporządkować, czyli "posprzątać", jak mówi się w slangu służb specjalnych.

- ABW? SKW? Sam minister koordynator? Pełnomocnik rządu do spraw cyberbezpieczeństwa? A może Kolegium do Spraw Cyberbezpieczeństwa? - zastanawia się nasz rozmówca.

Funkcja pełnomocnika rządu do spraw cyberbezpieczeństwa związana jest z ministrem cyfryzacji. Tyle że w październiku ubiegłego roku ten resort został zlikwidowany. Jego elementy zostały przeniesione do kancelarii premiera. Mimo tej reformy swoją funkcję zachował Marek Zagórski, który kierował sprawami cyfryzacji od wczesnej wiosny 2018 roku.

Zagórski został odwołany nagle - 7 czerwca tego roku. Kierowanie sprawami cyfryzacji, w tym funkcję pełnomocnika rządu do spraw cyberbezpieczeństwa przejął Janusz Cieszyński. Jest to dla niego powrót do rządu, z którego odszedł latem ubiegłego roku w związku z kontrowersyjnymi zakupami m.in. respiratorów, za które odpowiadał jako wiceminister zdrowia.

Dzień po tej zmianie opinia publiczna dowiedziała się, że doszło do skutecznego ataku na prywatną skrzynkę mailową szefa kancelarii premiera Michała Dworczyka. Przypomnijmy, że stało się to za pośrednictwem wpisu - jak się później okazało również sfingowanego - na profilu facebookowym jego żony. Ci, którzy przejęli dostęp do tego konta, poinformowali o samym włamaniu i w swoim wpisie odesłali do profilu na komunikatorze Telegram, który na potrzeby tego artykułu nazywamy "Profilem drugim".

Ten profil zaczął publikować dokumenty rzekomo pochodzące ze skrzynki mailowej ministra Dworczyka już 4 czerwca. Przez kolejne dni nikt jednak nie zwrócił na to specjalnej uwagi. Tymczasem, jak już napisaliśmy wcześniej, na "Profilu pierwszym" zaczęto publikować dokumenty już 5 lutego.

Sam minister Michał Dworczyk opublikował już dwa oświadczenia dotyczące ataku. Potwierdził w nich, że padł jego ofiarą. Wskazał, że celem tego ataku jest "podważenie zaufania do niego oraz do wielu innych osób pełniących funkcje publiczne". Podkreślił także, że "wspólnym celem [ataków - red.] jest szerzenie dezinformacji m.in. poprzez zestawianie informacji prawdziwych z fałszywymi, wręcz celowo preparowanymi na potrzeby tego typu działań".

Minister nie wskazał jednak, które dokładnie maile i dokumenty mogły zostać w ten sposób zmanipulowane.

Nasi rozmówcy zgodnie wskazują, że sam premier, jak i jego najbliższe otoczenie, używało prywatnych skrzynek pocztowych do kierowania sprawami państwowymi.

- To więcej niż błąd. Myślę też, że świadczy o braku zaufania do ministra koordynatora Mariusza Kamińskiego. Rządzący bardziej obawiają się, że polskie służby będą ewentualnie czytać ich maile, niż że zrobią to obce służby - komentuje Marek Biernacki.

Przykładem takiej korespondencji jest mail, który - o ile opublikowany zrzut ekranu jest autentyczny - premier Mateusz Morawiecki wysłał 10 stycznia tego roku. Prosi on swoich bliskich współpracowników o burzę mózgów dotyczącą relacji Polski z Ukrainą.

Kancelaria premiera nie udzieliła nam odpowiedzi na pytania dotyczące używania prywatnych maili do służbowych spraw.

Rzecznik rządu Piotr Mueller nie udzielił wprost odpowiedzi na to pytanie podczas wtorkowej konferencji prasowej. Zapewnił jedynie, że żadne dokumenty z klauzulami niejawności nie są przekazywane za pośrednictwem prywatnych skrzynek.

Także we wtorek premier Mateusz Morawiecki pytany, czy korzysta z prywatnej skrzynki w sprawach służbowych, również nie odpowiedział, choć "bardzo podziękował za to pytanie".

Jeśli jednak zrzut ekranu z rzekomym mailem z 10 stycznia jest prawdziwy, to premier wysłał go ze swojej prywatnej skrzynki. Odbiorcami wiadomości byli m.in.: Krzysztof Kubów, poseł i szef gabinetu politycznego premiera, Tomasz Fill, członek zarządu Polskiego Funduszu Rozwoju, a wcześniej m.in. dyrektor w kancelarii premiera.

Adresatami maili od premiera mieli być również Mariusz Chłopik, dyrektor ds. marketingu sportowego PKO BP, który był wcześniej wiceszefem Centrum Informacyjnego Rządu, Krzysztof Michalski, wiceszef biura Kancelarii Prezesa Rady Ministrów i Anna Wójcik, która do kancelarii premiera trafiła z resortu rozwoju, gdzie prowadziła biuro ministra. Wszyscy adresaci mieli używać w tej dyskusji wyłącznie prywatnych skrzynek mailowych.

Innym przykładem jest wymiana maili między premierem a ministrem Dworczykiem, w którym ten ostatni wskazuje konkretną osobę jako "pracującą na drugim etacie", czyli będącą oficerem służb specjalnych.

- Te dwa przykłady pokazują, że choć nie ma wypływu, jak dotąd, dokumentów z klauzulami, to są jednak przekazywane informacje niezwykle wrażliwe - zwracają uwagę nasi rozmówcy.

W poniedziałek wieczorem na "Profilu drugim" pojawiły się trzy maile, które miały być wysłane 9 stycznia przez premiera Morawieckiego, wicepremiera Jarosława Gowina i ministra Dworczyka.

Z zamieszczonego na Telegramie zrzutu ekranu, o ile jest on prawdziwy, wynika, że maile trafiły też na prywatne adresy ministra zdrowia Adama Niedzielskiego, ministra finansów Tadeusza Kościńskiego i rzecznika rządu Piotra Muellera.

Morawiecki miał w tej wiadomości, mailu, poruszyć temat sytuacji epidemicznej, Gowin wyrażał zaś swoje wątpliwości.

Z kolei we wtorek wieczorem pojawiła się treść domniemanej wiadomości wysłanej 27 października 2020 roku z prywatnej skrzynki mailowej Michała Dworczyka - adresatami byli między innymi premier Mateusz Morawiecki, Krzysztof Kubów i Piotr Mueller.

Tematem korespondencji - wedle publikacji na Telegramie - było potencjalne użycie wojska do akcji zabezpieczającej manifestacje i do czego może to doprowadzić. Dworczyk, przedstawiając kilka argumentów, odradzał taki ruch. Nie wiadomo, kto jest autorem pomysłu użycia wojska. Opozycja żąda wyjaśnień, premier i jego kancelaria nie komentują sprawy.

Poproszona o komentarz była minister cyfryzacji Anna Streżyńska podkreśliła w rozmowie z tvn24.pl, że w administracji państwowej nie ma żadnych procedur regulujących korzystanie z prywatnych skrzynek mailowych w okresie sprawowania funkcji publicznej, choć "w domyśle powinno się używać służbowej skrzynki".

- Często są użytkowane na tym samym urządzeniu. Każdy minister powinien mieć szkolenie z podstaw cyberbezpieczeństwa przed objęciem funkcji. Żadne tematy związane z funkcjami publicznymi nie powinny być w korespondencji na prywatnych adresach, powinny być używane w domenie kontrolowanej przez służby - zaznaczyła Streżyńska.

Według niej minister cyfryzacji nie ma jednak narzędzi do reagowania na konkretne zagrożenia, dlatego nie mógł nic z tym zrobić.

- To zadanie Agencji Bezpieczeństwa Wewnętrznego. Nie znam okoliczności tej sprawy, ale wcześniej nie spotkałam się z sytuacją, by działania w podobnym wypadku nie zostały podjęte - dodała była minister cyfryzacji.

Nasi rozmówcy ze służb zwracają uwagę na inny wymiar tego problemu. - Możemy wydać miliony, dziesiątki i setki milionów na bezpieczne systemy łączności. I będą to stracone pieniądze, jeśli politycy nie rozumieją, że to wszystko na nic, jeśli będą używać do służbowych spraw prywatnych maili czy rzekomo poufnych komunikatorów, za którymi nie wiadomo, kto stoi - mówią.

Śledztwo w sprawie włamania na konto ministra Dworczyka prowadzą już ABW i prokuratura.