- Zakupu oprogramowania szpiegowskiego Hermes dokonano bez przetargu - oznajmiła w środę rzeczniczka Prokuratury Regionalnej w Rzeszowie Dorota Sokołowska-Mach. Jak dodała, na rynku były konkurencyjne oprogramowania, oferowane przez przedstawicieli firm mających siedziby w Polsce, w cenach nawet czterokrotnie niższych.
Śledztwo dotyczące nabycia i wykorzystania przez Prokuraturę Krajową oprogramowania szpiegowskiego Hermes, oferowanego przez izraelską firmę NSO Group Technologies Ltd prowadzi Prokuratura Regionalna w Rzeszowie.
Rzeczniczka tej prokuratury prokurator Dorota Sokołowska-Mach poinformowała w środę, że zakupu oprogramowania Hermes od firmy Q Cyber Technologies Sarl z siedzibą w Luksemburgu (podmiotu powiązanego z NSO Group Technologies Ltd) dokonano bez przeprowadzenia przetargu, mimo że pracownicy Prokuratury Krajowej ustalili, że na rynku były konkurencyjne oprogramowania, oferowane przez przedstawicieli firm mających siedziby w Polsce, w cenach nawet czterokrotnie niższych niż oprogramowanie NSO Group Technologies Ltd.
CZYTAJ TEŻ: Tajemnice Hermesa. Ujawniamy, kto sprzedał prokuraturze Ziobry system do inwigilacji
- Decyzję o odstąpieniu od procedury przetargowej uzasadniono masowym wykorzystywaniem komunikacji internetowej, a w szczególności mediów społecznościowych, do popełniania w okresie pandemii COVID-19 czynów zabronionych (zwłaszcza oszustw - przyp. PAP) oraz tezą, że przekazanie publicznie informacji o zamówieniu tego rodzaju systemu, a w szczególności o stawianych mu wymogach, mogłoby utrudnić skuteczne ściganie tych przestępstw - wyjaśniła prokurator.
Analizy w 52 sprawach
Jak wynika ze zgromadzonego dotychczas materiału dowodowego, zakupu Hermesa nie poprzedzono weryfikacją zapotrzebowania jednostek organizacyjnych prokuratury, prowadzących lub nadzorujących postępowania przygotowawcze, na dokonywanie tego rodzaju sprawdzeń.
Prokurator przypomniała, że w pierwszym roku użytkowania oprogramowania Hermes, który został kupiony za łączną kwotę dwóch milionów euro, wykonano sprawdzenia (określone jako analizy) tylko w 52 sprawach, przy czym część z nich została dokonana w Prokuraturze Krajowej bez formalnego zlecenia ze strony prokuratorów prowadzących postępowania, a w niektórych przypadkach wykonane analizy w ogóle nie zostały tym prokuratorom przekazane lub zostały przekazane po zakończeniu postępowań.
CZYTAJ także: Jest śledztwo w sprawie Hermesa
Dorota Sokołowska-Mach dodała, że w ramach postępowania prokurator wystąpił z Europejskim Nakazem Dochodzeniowym do Luksemburga o przesłuchanie w charakterze świadków przedstawicieli spółki Q Cyber Technologies SARL w celu ustalenia m.in. wszystkich funkcjonalności oprogramowania Hermes, przebiegu procesu negocjacji cenowych oraz obsługi i serwisowania tego oprogramowania.
Poinformowała też, że od wyników tych czynności będzie zależeć, czy prokurator wystąpi z podobnym wnioskiem w drodze międzynarodowej pomocy prawnej do izraelskich organów ścigania (w związku z siedzibą producenta Hermesa - firmy NSO Group Technologies Ltd).
Przed wdrożeniem Hermesa
Według prokurator, ze zgromadzonych w śledztwie dowodów wynika, że przed wdrożeniem Hermesa do stosowania nie zweryfikowano ani we własnym zakresie, ani nie zlecono takiej niezależnej od producenta i dystrybutora weryfikacji zasad działania oprogramowania, źródła czy sposobu pozyskania danych.
- W tym zwłaszcza dla funkcjonalności określonych jako "dostęp do baz danych podmiotów trzecich" i "dostęp do baz danych wyciekowych". Oprogramowanie nie zawierało wskazania dotyczącego identyfikacji źródła pochodzenia danych z baz wyciekowych - zaznaczyła rzeczniczka prokuratury.
CZYTAJ także: Uwagę zwróciła jedna z faktur. Hermes w Prokuraturze Krajowej
Nie zweryfikowano także algorytmów przetwarzania danych i dostępu przez producenta do informacji o sprawdzeniach dokonywanych przez Prokuraturę Krajową.
Sokołowska-Mach zwróciła uwagę, że wsparcie techniczne systemu realizowane było przez producenta m.in. zdalnie i bez udziału pracowników Prokuratury Krajowej.
- W toku postępowania nie ustalono dotychczas, by dostawca lub producent przedstawił informacje o poddaniu oprogramowania jakimkolwiek niezależnym testom lub by uzyskało ono jakiekolwiek niezależne certyfikaty bezpieczeństwa - podkreśliła prokurator.
Ponadto przy zakupie oprogramowania nie przewidziano obniżenia wynagrodzenia należnego dostawcy w przypadku, gdyby nastąpiła awaria i system by nie pracował, niezależnie od czasu jej trwania. Przewidziano jedynie karę umowną o maksymalnej wysokości wielokrotnie niższej od ceny zakupu.
- Stosowne postanowienia wprowadzono dopiero do aneksu w związku z przedłużaniem umowy - zaznaczyła rzeczniczka.
Bez udzielenia gwarancji
Śledztwo wykazało też, że firma Q Cyber Technologies Sarl nie udzieliła gwarancji prawidłowego działania produktu.
- Zastrzeżono natomiast, że wszelkie spory dotyczące umowy podlegać będą prawu Anglii i Walii, a wyłączna jurysdykcja przysługuje właściwym sądom w Londynie - poinformowała prokurator.
Dodała, że z zabezpieczonych w toku śledztwa dokumentów wynika, iż przed podpisaniem umowy nie przeprowadzono w Prokuraturze Krajowej jakiejkolwiek analizy konsekwencji tych klauzul.
W najbliższym czasie prokuratura uzyska cząstkowe opinie biegłych z zakresu informatyki z Biura Badań Kryminalistycznych Agencji Bezpieczeństwa Wewnętrznego w Warszawie. Jak wyjaśniła prokurator, powinny one pozwolić m.in. odtworzyć na podstawie zabezpieczonych logów systemowych, historii wyszukiwania informacji przy wykorzystaniu oprogramowania Hermes oraz na analizę korespondencji elektronicznej z kont pocztowych wytypowanych osób, zgromadzonej na serwerach pocztowych Prokuratury Krajowej.
Prokuratura czeka także na sprawozdanie NIK w Rzeszowie po zakończonej kontroli w Prokuraturze Krajowej, w zakresie legalności, celowości i rzetelności zakupu Hermesa, a zwłaszcza odstąpienia od procedury przetargowej (przewidzianej w ustawie z 29 stycznia 2004 roku Prawo zamówień publicznych).