Posiedzenie komisji nadzwyczajnej w sprawie inwigilacji Pegasusem

Dziękujemy za uwagę.

Senator Bosacki zakończył posiedzenie komisji. Zapowiedział, że kolejne odbędzie się we wtorek o godzinie 10.30. - Naszym pierwszym gościem będzie były prezes Najwyższej Izby Kontroli senator Krzysztof Kwiatkowski a potem obecny prezes NIK Marian Banaś - powiedział.

Scott-Railton: Wyzwanie związane z Pegasusem, podobnie jak z innym oprogramowaniem szpiegującym jest takie, że musimy wiedzieć więcej, a nie tylko o jednej korzyści technologicznej. Można powiedzieć, że absolutnie zaniedbaniem służb specjalnych jest dokonanie zakupu oraz wykorzystanie Pegasua dla realizacji określonych priorytetów bezpieczeństwa narodowego bez dokonania klarownej oceny dotyczącej tego, jaki materiał może być przekazany grupie NSO i co dalej wynika, jakiemuś innemu krajowi. Bez dokonania takiej oceny nie wydaje mi się, że służby bezpieczeństwa były w stanie zagwarantować prywatność swoich własnych priorytetów, nawet nie mówiąc o prywatności osób, które mogły być celem śledztwa, ale którym na przykład nie postawiono zarzutu albo którym coś ukradziono w wyniku stosowania tego systemu. W obu przypadkach mamy do czynienia z wątpliwościami i powodami do niepokoju.

Wicemarszałek Senatu Michał Kamiński pyta, czy z wiedzy ekspertów wynika, że zastosowanie oprogramowania Pegasus wobec osób, których profesja jest objęta tajemnicą, jak na przykład mecenas, praktycznie uniemożliwia zachowanie tej tajemnicy. John Scott-Railton: Są takie zawody, które są chronione prawnie i objętę tajemnicą zawodową. Pegasus tego nie uwzględnia, dlatego jest tak niebezpiecznym narzędziem. Mamy gwarancje konstytucyjne. Pegasus takie gwarancje usuwa.

Scott-Railton: Jedna z najtrudniejszych części mojej pracy związana jest z kontaktowaniem się z jakąś osobą i potwierdzeniem tej osobie, że stała się celem ataku Pegasusa. Ten moment ujawnienia takiej informacji jest bardzo trudny i związany jest również z faktem, że muszę powiedzieć tym osobom, że wszystkie informacje uwierzytelniające, które były używane z tego telefonu, żeby dojść do różnych funkcji, również do maila, mogły zostać przejęte. Nie powinniśmy zapominać o wpływie osobistym inwigilacji prowadzonej przez program Pegasus. Może obejmować różnego rodzaju konta online oraz informacje uwierzytelniające do tych kont. Pegasus infiltruje w największym możliwym stopniu ten świat i może być wykorzystany przeciwko nam. Jest to coś niezmiernie inwazyjnego.

Scott-Railton: Citizen Lab prowadzi swoje prace od prawie 20 lat. Cała nasza praca jest całkowicie niezależna od wpływów rządowych i firm. Jesteśmy niezależni od wszelkich źródeł finansowania, więc nie będziemy przyjmować finansowania na konkretne zlecenia.

Scott-Railton: Kiedy mamy do czynienia z inwazyjnym hakowaniem urządzenia, nie mamy tak naprawdę gwarancji, że nie doszło do manipulacji czy do modyfikacji. Sprawny sędzia albo adwokat mógłby obalić wiarygodność takich dowodów bez problemu.

Scott-Railton: Wiemy o wielu sprawach nadużycia programów z NSO. Wiemy o przypadkach pozwów przeciwko NSO. Wiemy o przypadkach spraw wnoszonych przeciwko rządom. Wiemy również o wielu przypadkach dużych firm technologicznych, które również skarżą NSO. W 2019 roku Facebook i WhatsApp wniosły takie sprawy.

Senator Gabriela Morawska-Stanecka pyta, czy operator Pegasua, kiedy zainfekuje telefon, ma dostęp do wiadomości, które użytkownik telefonu posiada w chmurze. Scott-Railton: Uważamy, że ma pani rację. Uważamy, że dostęp do chmury może utrzymywać się po zakończeniu infekcji urządzenia. Uważamy, że Pegasus może kraść tokeny dostępu, które używane są przez telefon do tego, żeby uwierzytelnił się w usługach chmurowych, prowadząc w ten sposób kopię kluczy do całego świata w chmurze i wszystkiego, co się w nim znajduje. To jest niesamowicie inwazyjne i może bardzo długo się utrzymywać.

Scott-Railton pytany o praktyki zakupów oprogramowania Pegausus: W wielu przypadkach mamy do czynienia z sytuacjami tworzenia spółek, które zostały stworzone specjalnie po to, żeby zakamuflować tego typu zakupy. Przynajmniej w jednym przypadku, o którym wiemy, tego typu dodatkowe przedsięwzięcie służyło również temu, żeby w dużym stopniu zakamuflować również korupcję oraz po prostu całkowite zdefraudowanie środków. Natomiast w kontekście tajemnicy i służb specjalnych ta sytuacja jest niezmiernie ryzykowna.

Pytanie senatora Bosackiego. Czy eksperci potwierdzają, że NSO wycofało licencję, czyli możliwość używania Pegasusa wobec sporej liczby krajów. Jeśli tak, czy były wśród nich Polska i Węgry? Scott-Railton: Nie możemy potwierdzać działań podejmowanych prze grupę NSO. Staram się wierzyć oświadczeniom NSO dotyczący wycofania licencji dla określonych krajów.

Marczak: Pierwsze wskazówki, które żeśmy dostrzegli, to było działanie serwerów i stron w listopadzie 2017 roku. Wtedy je pierwszy raz zarejestrowano. Te serwery i te strony, które były wykorzystywane w operacji inwigilacji. Wtedy te ataki mogły się rozpocząć, albo jakiś czas później. To zresztą jest spójne z tym, co wiemy o wdrażaniu Pegasusa po zakupie licencji.

Scott-Railton: My nie mówimy tutaj o jakimś konkretnym akcie technicznym, ale o pewnego rodzaju procedurze, czyli próbie dyskredytacji jakiegoś człowieka.

Czy dane pozyskiwane za pośrednictwem Pegasusa mogą znaleźć się w posiadaniu obcych państw? Bill Marczak: Informacje te przechodzą przez serwery, które są wynajmowane w chmurze od popularnych operatorów. Serwery te są wynajmowane, według naszej oceny, przez samą grupę NSO. Jednym z punktów, do których trafiają informacje, to agencja rządowa, która operuje tym oprogramowaniem szpiegowskim. Nie jesteśmy pewni, czy te informacje mogą trafić również gdzieś indziej.

Scott-Railton: gdy telefon zostanie raz zhakowany, informacje w nim są podatne na manipulacje

Scott-Railton: Mamy wiedzę o innych przypadkach, gdzie Pegasus jest używany przez różnego rodzaju służby specjalne czy siły bezpieczeństwa w demokratycznych krajach. Jednak w informacjach publicznych nie znaleźliśmy takiej sytuacji, która powoduje niepokój.

Scott-Railton: Polska skala jest unikalna, biorąc pod uwagę polski kontekst, ale przede wszystkim ze względu na intensywności ataków na senatora Brejzę a także dlatego, że wybrano sobie za cel panią prokurator. Jest to unikalne w stosunku do innych spraw, które badaliśmy.

Scott-Railton: Celowanie w Brejzę i Giertycha było bardzo kompleksowe, agresywne. W przypadku senatora Brejzy to były ciągłe, powtarzające się ataki w 2019 roku. Nam to pokazuje, że ten, kto wykorzystywał Pegasusa, chciał wiedzieć regularnie, co robi cel ataków.

Senator Magdalena Kochan (KO): Dzisiaj wiemy, że także senator Brejza i adwokat Roman Giertych byli przedmiotem tych działań. Czy Polska różni się i czym w używaniu broni cybernetycznej wśród innych państw, które tej cybernetycznej broni używają?

Scott-Railton: Pegasus może zdalnie i tajnie włączać kamerę i mikrofon, telefon może stawać się podsłuchową pluskwą w pokoju. Pegasus pozwala operatorowi na wykradzenie danych uwierzytelniających do różnych kont.

Scott-Railton odpowiada na pytanie o działanie systemu Pegasus.

Scott-Railton: posiadamy dowody kryminalistyczne potwierdzające, że dane z urządzenia senatora Brejzy zostały ukradzione

Bosacki pyta o badanie przypadku senatora Krzysztofa Brejzy.

Scott-Railton: naszą uwagę zwrócił przypadek prokurator Ewy Wrzosek

John Scott-Railton: Nasza praca dotycząca Pegasusa ozpoczęła się w 2016 roku. Od tamtego momentu przeprowadziliśmy dziesiątki dochodzeń dotyczących wykorzystania oprogramowania Pegasus na całym świecie.

Bosacki: jak to się stało, że grupa Citizen Lab zajęła się programem Pegasus, a po drugie jego obecnością w Polsce.

Bosacki: pierwszym ekspertem będzie John Scott-Railton, a następnie Bill Marczak z Citizen Lab na Uniwersytecie w Toronto.

Bosacki: Posiedzenie obejmuje w związku z tym jeden punkt, czyli wysłuchanie ekspertów z Citizen Lab.

Bosacki: Dzisiaj mieliśmy też wysłuchać profesora Jerzego Kosińskiego z Akademii Marynarki Wojennej w Gdyni. Chcieliśmy zadać mu pytania o to, jak działa Pegasus, w jaki sposób został do Polski sprowadzony. Profesor się zgodził wziąć udział w posiedzeniu komisji. Dwie godziny temu poinformował mnie, że rezygnuje ze stawienia się na posiedzeniu z powodu, jak to określił, rozmów z przełożonymi, którzy mu to stanowczo odradzali. Chciałbym wyrazić ubolewanie z tego powodu.

Bosacki: komisja w toku działań przygotowawczych zdecydowała, że najpierw zajmiemy się tym, co się stało. W jaki sposób, jak często, wobec kogo stosowano system Pegasus. PIerwszymi osobami wysłuchanymi będą eksperci z Citizen Lab z Toronto w Kanadzie. Później będziemy zapraszać ekspertów od spraw cybernetycznych, byłych funkcjonariuszy służb specjalnych, prawników, samych poszkodowanych, ale też wysokich urzędników państwowych, którzy nadzorowali, nadzorują służby specjalne.

Przewodniczący komisji senator Marcin Bosacki (KO): Senat, powołując komisję, zlecił nam trzy zadania.

Rozpoczyna się posiedzenie senackiej komisji.

Rzeczkowski: Na dziś wynika jedna istotna kwestia, która wcześniej się nie pojawiała. Widzimy, że najprawdopodobniej o wszystkim nie był informowany premier Mateusz Morawiecki. Jeśli tak było, to mamy do czynienia z kolejnym skandalem.

Grzegorz Rzeczkowski z tygodnika "Polityka" powiedział na antenie TVN24, że ma nadzieję, że "chociaż komisja w sposób dobrze uporządkowany, spójny jeszcze raz pokaże opinii publicznej, jak wyglądała sprawa zakupu Pegasusa i jego użycia od początku do końca"