Nigdy nie zostało wydane świadectwo dla systemu pod nazwa Pegasus dla CBA

Na przesłuchaniu funkcjonariusza Agencji Bezpieczeństwa Wewnętrznego, nazywanego przez komisję świadkiem nr 1, szefowa komisji Magdalena Sroka (PSL-TD) pytała, czy osoby, które podjęły decyzję o tym, żeby dopuścić system Pegasus, którego elementy znajdowały się poza granicami kraju, miały pełną świadomość, jak wygląda jego architektura oraz czy dane pozyskiwane za pomocą tego systemu były bezpieczne. Sroka pytała również o to, czy ABW wykonała akredytację bezpieczeństwa tego systemu.

Świadek zaznaczył, że zgodnie z przepisami, akredytacja bezpieczeństwa systemów teleinformatycznych polega na kompleksowej ocenie ich bezpieczeństwa. Podkreślił jednocześnie, że w rozumieniu ustawy systemem teleinformatycznym jest zespół współpracujących ze sobą różnych urządzeń informatycznych i oprogramowania. "Tutaj należałoby zadać sobie pytanie, czy potoczne rozumienie określania systemu Pegasus jest zbieżne z jego ustawową definicją" - mówił.

Dodał, że każda akredytacja prowadzona jest na wniosek jednostki organizacyjnej, która tworzy taki system. "Zgodnie z dokumentacją bezpieczeństwa analizowaną czy to w ABW, czy SKW i wynikami audytu, wydawane jest ewentualne świadectwo w przypadku pozytywnej oceny dokumentacji, jak i pozytywnych wyników audytu bezpieczeństwa systemu" - zaznaczył.

Na pytanie o to, czy dysponent systemu zwrócił się do ABW o przeprowadzenie sprawdzeń, odparł, że zgodnie z jego wiedzą w ABW nigdy nie zostało wydane świadectwo dla systemu pod nazwą Pegasus dla CBA.

Świadek zeznał ponadto, że zgodnie z art. 48 ust. 1 Ustawy o ochronie informacji niejawnych systemy teleinformatyczne przeznaczone do przetwarzania informacji niejawnych podlegają akredytacji. Jednak w art. 51 wspomnianej ustawy znajdują się pewne wyłączenia z obowiązku akredytacji. Dodał, że w 2022 roku "wprowadzono drobne, ale bardzo znaczące zmiany", jeżeli chodzi o treść przepisów mówiących o włączeniach z obowiązku akredytacji.

Pytany o to, czy system Pegasus powinien zostać akredytowany odpowiedział, że "jeżeli jakikolwiek element systemu znajdował się w strefach ochronnych i w takim systemie były przetwarzane informacje niejawne, a całość spełnia wymogi systemu teleinformatycznego, to obowiązkiem kierownika jednostki organizacyjnej było przedłożenie dokumentacji i rozpoczęcie procesu akredytacji takiego systemu".

Jednocześnie wyjaśnił, że kwestia tego, czy system Pegasus powinien podlegać akredytacji, zależy od tego, czy przetwarzane dane mogły stanowić informacje niejawne. W ocenie świadka sam fakt odbycia przez dwie osoby rozmowy telefonicznej lub poprzez komunikator internetowy, oraz treść tej rozmowy, nie stanowi zgodnie z ustawą informacji niejawnej.

Funkcjonariusz podkreślał, że zgodnie z Ustawą o ochronie informacji niejawnych to kierownik jednostki organizacyjnej ma obowiązek zapewnienia ochrony informacji niejawnych, w szczególności zorganizowania i zapewnienia funkcjonowania takiej ochrony. W przypadku CBA jest to szef Biura.

Świadek pytany, ile czasu zajmuje akredytacja systemów teleinformatycznych, powiedział, że według ustawodawcy proces ten trwa maksymalnie rok od złożenia kompletnej dokumentacji. Przyznał także, że nie przypomina sobie przypadków odmowy udzielenia akredytacji.

"My, jako służba, staramy się doprowadzić do tego, żeby system, który jest wdrażany w jakiejś jednostce organizacyjnej, uzyskał tą akredytację. Staramy się prowadzić ten proces, aby poinstruować organizatora tak, aby można było spełnić wymagania funkcjonalne jednostek, które użytkują systemy pozyskujące informacje niejawne w sposób bezpieczny" - tłumaczył.

Świadek zeznał ponadto, że nie ma ustawowego obowiązku zwracania się do ABW z pytaniami o akredytację, jeszcze przed zebraniem kompletnej dokumentacji. Przyznał jednak, że on sam "budując niestandardowy system, który kosztował wielkie pieniądze", zwróciłby się do podmiotu akredytującego z pytaniem, w jaki sposób przygotować się do akredytacji już wcześniej, na etapie projektowania systemu.

Wiceszef komisji Witold Zembaczyński (KO) pytał świadka, czy CBA lub inne służby przedstawiały lub konsultowały z ABW procedury bezpiecznej eksploatacji Pegasusa już w trakcie użytkowania. "Nic mi na ten temat nie wiadomo, żeby taka sytuacja miała miejsce" - odpowiedział funkcjonariusz.

Świadek wielokrotnie podkreślał, że nie ma pełnej wiedzy "odnośnie konstrukcji i zasad wykorzystywania systemu teleinformatycznego, którego częścią składową miałby być Pegasus lub samego systemu pod tą nazwą". Jednocześnie zaznaczał, że "jakikolwiek opis systemów teleinformatycznych, przetwarzających informacje niejawne w zakresie funkcjonalności i wdrożonych zabezpieczeń sam w sobie stanowi informację niejawną". Zapewnił jednak, że na pytania dotyczące informacji niejawnych odpowie na posiedzeniu zamkniętym, które zaplanowano na godz. 15 w środę.

"Po dzisiejszym posiedzeniu komisji możemy stwierdzić, że system Pegasus powinien posiadać akredytację" - oceniła Sroka. Dodała, że Pegasus był systemem teleinformatycznym, który w 2017 r. znajdował się w strefie ochronnej i który przetwarzał informacje niejawne. "Moim zdaniem w 2022 r. próbowano zatuszować błąd, który popełniono w 2017 r. i tutaj niewątpliwie można wysunąć wnioski, że mogło dojść do popełnienia przestępstwa przez ówczesnego szefa CBA" - podsumowała.

Po zakończeniu przesłuchania w trybie jawnym komisja zajęła się wnioskami formalnymi; zdecydowała o skierowaniu dwóch wniosków dowodowych. Pierwszy z nich adresowany jest do Komendanta Głównego Policji insp. Marka Boronia. Komisja prosi w nim o zgodę na przedstawienie odpisów wszystkich dokumentów, zarówno jawnych jak i niejawnych, a także udzielenie pisemnych wyjaśnień w zakresie wskazanym w treści wniosku komisji z 22 lutego br., czyli związanych m.in. z zakupem, akredytacją i użytkowaniem systemu Pegasus.

Przewodnicząca poinformowała, że w związku z kolejnymi informacjami dotyczącymi systemu Hermes i niepełną odpowiedzią otrzymaną z Ministerstwa Sprawiedliwości, komisja złoży wniosek do Prokuratora Regionalnego w Rzeszowie Jaromira Rybczaka o przedstawienie pisemnych wyjaśnień w zakresie zakupu oprogramowania Hermes w 2021 r. za kwotę ok. 15 mln zł.

Jak wyjaśniła, odpowiadając na wniosek komisji do Prokuratury Krajowej, 21 maja poinformowała ona, że w Prokuraturze Regionalnej w Rzeszowie prowadzone jest "śledztwo w sprawie trybu dokonania zakupu przez Prokuraturę Krajową, zasadności nabycia, a także naruszeń zasad użytkowania systemu automatyzacji procesu gromadzenia informacji z otwartych źródeł". W związku z tym, komisja wniesie o przesłanie całości materiału z prowadzonego śledztwa.

System śledzący Hermes, zakupiony przez PK, służy do gromadzenia i analizowania dużych ilości danych z otwartych źródeł, w tym z sieci telekomunikacyjnych, mediów społecznościowych i ruchu w internecie.

Komisja śledcza ds. Pegasusa bada legalność, prawidłowość i celowość czynności podejmowanych z wykorzystaniem tego oprogramowania m.in. przez rząd, służby specjalne i policję od listopada 2015 r. do listopada 2023 r. Komisja ma też ustalić, kto był odpowiedzialny za zakup Pegasusa i podobnych narzędzi dla polskich władz. (PAP)

del/ mchom/ itm/