Prawie 30 wiadomości i kilkadziesiąt dokumentów mających pochodzić ze skrzynki mailowej szefa KPRM Michała Dworczyka zamieszczono od 4 czerwca w jednym z kanałów w serwisie Telegram. Jak twierdzi minister, publikowane materiały w części są sfabrykowane, a w części - wykradzione w ataku hakerskim. – Tam pojawiły się informacje, które z pewnością powinny być chronione - mówią nasi rozmówcy.
Szef kancelarii premiera Michał Dworczyk w piątek wydał drugie oświadczenie w sprawie uzyskania dostępu przez osoby nieuprawnione do treści jego skrzynki mailowej. "Nadal prowadzone są ataki na konta mojej rodziny w różnych kanałach komunikacji, nawet w odniesieniu do moich dzieci" - napisał. "Od dwóch dni za pośrednictwem rosyjskiej platformy Telegram do opinii publicznej w Polsce przekazywane są wiadomości i informacje, których część została wykradziona w wyniku ataku hakerskiego na skrzynki e-mail i konta w mediach społecznościowych należących do mnie i mojej rodziny" - napisał na Twitterze. Co w tej sprawie wiadomo na pewno? Zebraliśmy wiedzę według stanu na sobotnie popołudnie.
Sprawa domniemanego ataku na skrzynkę mailową szefa kancelarii premiera nabrała rozgłosu we wtorek, czyli 8 czerwca.
Stało się tak za sprawą wpisu na facebookowym profilu żony ministra, Agnieszki Dworczyk. Brzmiał on: "Z przykrością muszę poinformować, że moja skrzynka e-mail została zhakowana przez nieznane osoby. Sprawcami zostały ukradzione dokumenty służbowe, które zawierają informacje niejawne i mogą być wykorzystane do wyrządzenia szkody bezpieczeństwu narodowemu RP, a także mogą być wykorzystane jako dowód rzekomej polskiej ingerencji w sprawy wewnętrzne Białorusi" (zachowaliśmy pisownię oryginalną – red.).
Jak wynika z pierwszego, oficjalnego oświadczenia samego ministra Michała Dworczyka, opublikowanego w środę po południu w mediach społecznościowych, wpis został spreparowany i umieszczony na profilu jego żony – co oznacza, że sprawcy posiedli nieskrępowany dostęp do jej konta.
Sfingowany wpis kończył się linkiem do kolejnego profilu, tym razem na komunikatorze Telegram. W Polsce uchodzi on za niszowy, za to szeroko jest używany w krajach rosyjskojęzycznych oraz w niektórych państwach arabskich.
Pierwsza groza
- Tutaj można się pierwszy raz naprawdę przerazić, gdyż profil na Telegramie pierwsze rzekome maile opublikował już cztery dni wcześniej. Czyli przez cztery dni najprawdopodobniej nikt tego w Polsce nie zauważył – mówi były minister koordynator służb specjalnych, aktualnie poseł pracujący w komisji do spraw służb Marek Biernacki.
Pierwszy materiał zamieszczony na Telegramie to szczegółowa rozpiska szczepień w służbach specjalnych – tak cywilnych, jak wojskowych. Redakcja tvn24.pl potwierdziła, że dokument ten zawiera prawdziwe informacje - choć żadna z nich nie jest niejawna w rozumieniu ustawy o ochronie informacji niejawnych.
Profil na FB żony ministra błyskawicznie został usunięty po opublikowaniu na nim fałszywego wpisu. Za to bez żadnych problemów działa ten na portalu Telegram. Od 4 czerwca do momentu publikacji tego artykułu zamieszczono na nim już prawie 30 wiadomości i kilkadziesiąt dokumentów, które krążą teraz po sieci. Wpisy publikowane są o różnych porach dnia, także w nocy.
Milczenie ministra
Sam minister, jak również Kancelaria Premiera nie odpowiedzieli na serię pytań zadanych przez redakcję tvn24.pl. Chcieliśmy wiedzieć m.in. czy dotychczas ujawnione maile są prawdziwe, czy - a jeśli tak, to dlaczego - do służbowych spraw wykorzystywano prywatną skrzynkę mailową. Od wtorku minister ograniczył się wyłącznie do opublikowania dwóch oświadczeń w mediach społecznościowych - z drugiego z nich wynika, iż atak hakerski trwa cały czas.
Podkreślił w nim, że "część z ujawnionych informacji i rzekomych maili została spreparowana".
Mimo oświadczeń Michała Dworczyka, wiele pytań pozostaje więc bez odpowiedzi. Wśród nich te dotyczące wątpliwości:
- czy skrzynka, która była przedmiotem ataku hakerskiego, była prywatną czy służbową pocztą ministra? Czy hakerzy mają dostęp tylko do jednej z nich?
- czy oprócz skrzynki mailowej, hakerzy mogli mieć także dostęp do innych kont, z których korzysta minister (w pierwszym z oświadczeń pisał o doniesieniach dotyczących przejęcia kont jego i żony w mediach społecznościowych, w kolejnym kont jego i jego rodziny)?
- czy publikowana korespondencja i dokumenty są autentyczne? Które z nich - jak sugeruje minister - zostały "spreparowane"?
- czy materiały, które mogły zostać przejęte przez hakerów, są korespondencją służbową?
- czy Michał Dworczyk trzymał dokumenty państwowe na prywatnej skrzynce?
Nie wiadomo także, czy przejęcie facebookowego konta żony ministra Dworczyka oraz jego skrzynki mailowej nastąpiło wskutek włamania czy może hakerzy weszli w posiadanie danych do logowania.
Dokumenty, które są udostępniane w sieci to głównie zrzuty ekranów z korespondencji e-mailowej, pliki tekstowe i pdfy, związane m.in. z procesem legislacyjnym dotyczącym ustawy o rezerwach strategicznych, projektu ustawy o zarządzaniu bezpieczeństwem narodowym czy pismo dotyczące osiedlania się w kraju Białorusinów pochodzenia polskiego, ale również takie związane bezpośrednio z obronnością państwa. Publikowane są także nagrania wideo.
"Pragnę podkreślić, że w skrzynce mailowej będącej przedmiotem ataku hakerskiego nie znajdowały się żadne informacje, które miały charakter niejawny, zastrzeżony, tajny lub ściśle tajny", brzmi fragment oświadczenia, które Michał Dworczyk zamieścił w internecie 9 czerwca.
Tajemnice "Narwi"
Ale minister ma rację wyłącznie z formalnego punktu widzenia. - Jak dotąd na Telegramie nie pojawił się żaden klauzulowany dokument. Ale informacje, które z pewnością powinny być chronione, już się pojawiły – mówi oficer z wojskowych służb specjalnych.
Chodzi o korespondencję – o ile jest ona prawdziwa – którą minister wymieniał ze swoim podwładnym w Kancelarii Premiera Rady Ministrów, Krzysztofem Gajem. Z tym pułkownikiem rezerwy Dworczyk współpracował w Ministerstwie Obrony Narodowej, gdy w 2017 roku pełnił funkcję sekretarza stanu. Krzysztof Gaj od 2016 r. był szefem Zarządu Organizacji i Uzupełnień Sztabu Generalnego Wojska Polskiego, uchodzi za twórcę koncepcji Wojsk Obrony Terytorialnej. Kilka miesięcy później został zdymisjonowany i przeniesiony do rezerwy kadrowej MON. Jak informował w styczniu 2019 r. tygodnik "Wprost", powodem były jego antysemickie i antyukraińskie wypowiedzi, popierające politykę prezydenta Rosji Władimira Putina m.in. wobec aneksji Krymu. "Nie jestem rusofilem (podkreślam to stanowczo), ale w tym miejscu doskonale rozumiem Putina – to są faszyści. I Putin ma w zupełności rację – z nimi trzeba walczyć, bo Europę z ich przyczyny ogarnie pożoga. To jakiś okrutny chichot historii, że ja przyznaję rację Putinowi i Rosjanom – ale w tej sytuacji nie widzę innego wyjścia" - mówił w 2014 r. o Ukrainie w rozmowie z portalem Kresy. Według informacji "Wprost", płk Gaj został urzędnikiem w Kancelarii Premiera, w departamencie analiz obronnych, w 2018 r.
W tym przypadku ujawniona korespondencja wskazuje, że pułkownik Gaj dzieli się z ministrem przemyśleniami i zakulisowymi informacjami dotyczącymi systemu obrony przeciwlotniczej "Narew". Ze zrzutów ekranu wynika (jeśli są one autentyczne), że maila wysłał z prywatnej skrzynki na prywatny adres mailowy ministra.
Następnie pojawiły się filmiki z prób poligonowych broni, która unieszkodliwia drony. Tej publikacji towarzyszył szczegółowy raport wskazujący na m.in. zasięg tej nowoczesnej broni opracowywanej przez konsorcjum Wojskowej Akademii Technicznej i prywatną firmę, a finansowanej z publicznych funduszy NCBiR.
Zadaliśmy serię pytań płk. Gajowi, czyli domniemanemu autorowi tych filmików i raportów, m.in. o to czy i dlaczego używał prywatnej skrzynki do wymiany takiej korespondencji. Nie otrzymaliśmy odpowiedzi do momentu publikacji tekstu.
Maile z premierem
W piątek na Telegramie pojawił się również zrzut ekranu z mailowego wątku między adresami opisanymi jako należące do Michała Dworczyka i Mateusza Morawieckiego. Urzędników bawi sytuacja, że posłanka opozycji zwróciła się o pomoc do ich znajomego w organizacji konferencji. O tym znajomym minister Dworczyk pisze "były dyplomata służący ojczyźnie na drugim etacie".
Już w kilka godzin po ujawnieniu tej korespondencji, podczas dyskusji na Twitterze, pojawiło się nazwisko tego "dyplomaty służącego ojczyźnie na drugim etacie".
W języku służb oznacza to funkcjonariusza działającego pod przykryciem, czyli szczególnie chronionego.
- Jeśli w przyszłości potwierdzi się, że to prawdziwe maile, to wchodzi w rachubę tylko dymisja ministra Michała Dworczyka. Wiedząc takie rzeczy nie można trajkotać jak przekupa na bazarze – uważa Marek Biernacki.
Redakcja tvn24.pl potwierdziła – wśród urzędników kilku resortów – że zarówno Michał Dworczyk, jak i premier używali prywatnych maili, założonych w publicznych serwisach.
- Gdy pracowałem z premierem, dostawałem wyłącznie maile z prywatnego konta. Był to ten adres, który widzę na Telegramie – mówi nam urzędnik ministerstwa finansów.
Kancelaria Premiera nie odniosła się do domniemanej korespondencji Mateusza Morawieckiego i Michała Dworczyka. Na koncie KPRM opublikowano jedynie piątkowe oświadczenie ministra Dworczyka.
Ostrzeżenie od sojuszników
W dwóch – niezwiązanych ze sobą – źródłach redakcja tvn24.pl ustaliła, że sojusznicze agencje wywiadowcze przekazały na początku tego roku ostrzeżenie polskim służbom. Alarmowały, że skrzynki polskich polityków padły łupem hakerów.
- Według mojej najlepszej wiedzy, alertem nie przejęto się specjalnie na piętrach zajmowanych przez szefów. W każdym bądź razie nikt w Departamencie Bezpieczeństwa Teleinformatycznego ABW nie otrzymał nowych zadań, związanych z tym zagrożeniem – mówi tvn24.pl funkcjonariusz cywilnego kontrwywiadu.
Wschodni trop i czynnik wewnętrzny
Według naszych źródeł, w krajowych służbach rozważane są dwie, sprzeczne, hipotezy o sprawcach. Pierwsza zakłada, że atak to dzieło koordynowane przez białoruskie i rosyjskie służby.
To, że za atakiem stoją właśnie rosyjskie służby, nie budzi wątpliwości eksperta w sprawach bezpieczeństwa Jarosława Jakimczyka.
- Sfabrykowany wpis żony ministra Dworczyka zawiera rusycyzm. To nie żaden błąd, a demonstracyjne pozostawienie własnego podpisu - uważa i dodaje: - To wszystko dzieje się w nieprzypadkowym czasie. Sytuacja na Białorusi, napięcie na Ukrainie i szczyt NATO z udziałem prezydenta USA. Polska pokazywana jest jako niepoważny partner, z marnej jakości najwyższymi urzędnikami.
Druga hipoteza wiąże się wyciekiem z ataków na profile w mediach społecznościowych polityków Zjednoczonej Prawicy, m.in posła Marka Suskiego. Jego konto na portalu społecznościowym zostało przejęte, pojawiły się na nim zdjęcia roznegliżowanej radnej z Inowrocławia. Jej konta również zostały skutecznie przejęte.
Od jednego z naszych rozmówców słyszymy także, że "są tacy w Ministerstwie Spraw Wewnętrznych i Administracji", którzy pod uwagę biorą także wersję, że atak jest organizowany i prowadzony wewnętrznie w Polsce.
Sytuacja jak z "Sowy i Przyjaciół"
Przesądzać, kto stoi za atakami, nie chce Marek Biernacki. - Zwracam jednak uwagę na podobieństwa do sytuacji z lata 2014 roku, gdy opinia publiczna została zalana nagraniami prywatnych rozmów VIP-ów z restauracji. Wtedy były to rozmowy, dziś maile, i podobnie jak wtedy nie wiemy, co się tak naprawdę dzieje i kto za tym stoi – mówi doświadczony polityk.
Obaj nasi rozmówcy wskazują również na konsekwencję błędu popełnionego, gdy sześć lat temu władzę objęła koalicja Zjednoczonej Prawicy. Chodzi o porzucenie rozwoju systemu bezpiecznej łączności CATEL - tak telefonicznej, jak mailowej - który opracowała Agencja Bezpieczeństwa Wewnętrznego.
Za jego powstaniem stał generał Krzysztof Bondaryk, szef ABW podczas rządów premiera Donalda Tuska. System przestał jednak być rozwijany, stał się więc szybko anachroniczny. Podobny los spotkał Narodowe Centrum Kryptologii, które ten sam generał zaczął budować - minister obrony Antoni Macierewicz postawił na jego czele na tyle kontrowersyjnego szefa, że wkrótce odeszli zgromadzeni tam niemal wszyscy fachowcy.
- Chodziło o to, by odtworzyć polską kryptologię. By Polska nie musiała kupować gotowych rozwiązań od producentów z innych państw, tylko posiadała swoje. By to wszystko roztrwonić wystarczył fakt, że tworzył to nielubiany generał Bondaryk - mówi nam były pracownik NCK.
W Agencji Bezpieczeństwa Wewnętrznego funkcjonuje departament bezpieczeństwa teleinformatycznego. Jego częścią jest komórka cert.gov.pl, której to zadaniem jest wykrywanie m.in. właśnie takich incydentów.
- Agencja (Bezpieczeństwa Wewnętrznego - red.) prowadzi swoje analizy związane z sytuacją opisaną przez pana ministra (Dworczyka - red.) - powiedział na antenie TVN24 Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych. - O szczegółach działań ABW w tej chwili nie mogę powiedzieć - zastrzegł. Zapytany, czy w związku z incydentem podjęto kroki w celu zwiększenia bezpieczeństwa ministra Dworczyka i innych wysokich rangą urzędników, rzecznik poinformował, że "ministrowie są objęci ochroną kontrwywiadowczą". - Takie działania są prowadzone przez ABW. Nie mam więcej informacji o szczegółach tych działań - dodał.
Źródło: tvn24.pl