"W ABW nigdy nie zostało wydane świadectwo dla systemu pod nazwą Pegasus dla CBA" - powiedział w środę na posiedzeniu sejmowej komisji śledczej ds. Pegasusa funkcjonariusz ABW, ekspert z zakresu bezpieczeństwa w użytkowaniu systemów typu Pegasus.
Od godz. 10 funkcjonariusz Agencji Bezpieczeństwa Wewnętrznego, którego personalia utajniono, zeznawał przed sejmową komisją śledczą ds. Pegasusa. Jego twarz była zakryta, a głos zmodyfikowany.
Przesłuchanie funkcjonariusza ABW, nazywanego przez komisję "świadkiem nr 1", rozpoczęło się od złożenia przez niego przysięgi. Świadek nie skorzystał z możliwości swobodnej wypowiedzi przed komisją i odpowiadał na pytania członków komisji.
#Pegasus zaczynamy przesuchanie agenta ABW na okoliczno braku akredytacji tego inwigilacyjnego systemu teleinformatycznego bezprawnie uywanego przez #PiS. pic.twitter.com/mVh25KdNLL
WZembaczynskiSeptember 4, 2024
Szefowa komisji Magdalena Sroka (PSL-TD) pytała świadka, czy osoby, które podjęły decyzje o tym, żeby dopuścić system Pegasus, którego elementy znajdowały się poza granicami kraju, miały pełną świadomość, jak wygląda jego architektura oraz czy dane pozyskiwane za pomocą tego systemu były bezpieczne. Sroka pytała również o to, czy ABW wykonała akredytacje bezpieczeństwa tego systemu.
Świadek zaznaczył, że zgodnie z przepisami, akredytacja bezpieczeństwa systemów teleinformatycznych polega na kompleksowej ocenie bezpieczeństwa systemów teleinformatycznych. Podkreślił jednocześnie, że w rozumieniu ustawy "systemem teleinformatycznym jest zespół współpracujących ze sobą różnych urządzeń informatycznych i oprogramowania. Tutaj należałoby zadać sobie pytanie, czy potoczne rozumienie określania systemu Pegasus jest zbieżne z jego ustawową definicją - mówił.
Dodał, że każda akredytacja prowadzona jest na wniosek jednostki organizacyjnej, która tworzy taki system. Zgodnie z dokumentacją bezpieczeństwa analizowaną czy to w ABW, czy SKW i wynikami audytu, wydawane jest ewentualne świadectwo w przypadku pozytywnej oceny dokumentacji, jak i pozytywnych wyników audytu bezpieczeństwa systemu - zaznaczył.
Na pytanie o to, "czy dysponent systemu zwrócił się do ABW o przeprowadzenie sprawdzeń", odparł, że zgodnie z jego wiedzą w ABW nigdy nie zostało wydane świadectwo dla systemu pod nazwą Pegasus dla CBA. Świadek zeznał ponadto, że zgodnie z art. 48 ust. 1 Ustawy o ochronie informacji niejawnych systemy teleinformatyczne przeznaczone do przetwarzania informacji niejawnych podlegają akredytacji. Jednak w art. 51 wspomnianej ustawy znajdują się pewne wyłączenia z obowiązku akredytacji.
Poinformował również, że to w 2022 roku "wprowadzono drobne, ale bardzo znaczące zmiany", jeżeli chodzi o treść przepisów mówiących o włączeniach z obowiązku akredytacji.
Pytany o to, czy system Pegasus powinien zostać akredytowany odpowiedział: Nie mam wiedzy, czy wszystkie elementy systemu Pegasus między rozpoczęciem jego użytkowania przez CBA a 2022 r. znajdowały się w strefach (ochronnych), czy poza nimi. Natomiast jeżeli jakikolwiek element systemu znajdował się w strefach ochronnych i w takim systemie były przetwarzane informacje niejawne, a całość spełnia wymogi systemu teleinformatycznego, to obowiązkiem kierownika jednostki organizacyjnej było przedłożenie dokumentacji i rozpoczęcie procesu akredytacji takiego systemu - ocenił.
Nie ma zapisu ustawowego, zgodnie z którym, aby można było przetwarzać informacje niejawne, poszczególne elementy systemu czy oprogramowanie muszą podlegać certyfikacji - powiedział na posiedzeniu sejmowej komisji śledczej ds. Pegasusa świadek.Podkreślał, że zgodnie z Ustawą o ochronie informacji niejawnych to kierownik jednostki organizacyjnej ma obowiązek zapewnienia ochrony informacji niejawnych, w szczególności zorganizowania i zapewnienia funkcjonowania takiej ochrony.
Informacjom niejawnym nadaje się klauzulę, jeżeli ich nieuprawnione ujawnienie utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa. Informacja, która została wyciągnięta za pomocą tego typu oprogramowania, nie była w swojej naturze informacją niejawną na początku - powiedział funkcjonariusz.
W ocenie świadka sam fakt odbycia przez dwie osoby rozmowy telefonicznej lub poprzez komunikator internetowy, oraz treść tej rozmowy, nie stanowi zgodnie z ustawą informacji niejawnej. Ktoś może nie chcieć, żeby to wypłynęło, natomiast to, że jedna osoba dzwoniła do drugiej, czy komunikowali się za pomocą komunikatorów jawnych internetowych, w myśl ustawy jest informacja jawną - mówił.
Dopytywany o to, co w przypadku podsłuchiwania posłów, którzy mieli dostęp do informacji niejawnych, odparł, że nieważne, kto był podsłuchiwany i jakie miał poświadczenia, "nie miał prawa na prywatnych urządzeniach przetwarzać informacji niejawnych". Od tego są systemy informatyczne posiadające akredytację - zaznaczył.
Dodał, że nie ma zapisu ustawowego, zgodnie z którym, aby można było przetwarzać informacje niejawne, poszczególne elementy systemu, czy oprogramowanie muszą podlegać certyfikacji. Jako przykład podam system operacyjny Windows. Nigdy nie był przedmiotem certyfikacji w ABW, a jest wykorzystywany do przetwarzania informacji niejawnych. Czy stanowi to zagrożenie dla bezpieczeństwa informacji? - pytał.
Po zakończeniu przesłuchania w trybie jawnym komisja zajęła się wnioskami formalnymi; zdecydowała o skierowaniu dwóch wniosków dowodowych. Pierwszy z nich adresowany jest do Komendanta Głównego Policji insp. Marka Boronia. Komisja prosi w nim o zgodę na przedstawienie odpisów wszystkich dokumentów, zarówno jawnych jak i niejawnych, a także udzielenie pisemnych wyjaśnień w zakresie wskazanym w treści wniosku komisji z 22 lutego br., czyli związanych m.in. z zakupem, akredytacją i użytkowaniem systemu Pegasus.
Przewodnicząca poinformowała, że w związku z kolejnymi informacjami dotyczącymi systemu Hermes i niepełną odpowiedzią otrzymaną z Ministerstwa Sprawiedliwości, komisja złoży wniosek do Prokuratora Regionalnego w Rzeszowie Jaromira Rybczaka o przedstawienie pisemnych wyjaśnień w zakresie zakupu oprogramowania Hermes w 2021 r. za kwotę ok. 15 mln zł.
Jak wyjaśniła, odpowiadając na wniosek komisji do Prokuratury Krajowej, 21 maja poinformowała ona, że w Prokuraturze Regionalnej w Rzeszowie prowadzone jest "śledztwo w sprawie trybu dokonania zakupu przez Prokuraturę Krajową, zasadności nabycia, a także naruszeń zasad użytkowania systemu automatyzacji procesu gromadzenia informacji z otwartych źródeł". W związku z tym, komisja wniesie o przesłanie całości materiału z prowadzonego śledztwa.
System śledzący Hermes, zakupiony przez PK, służy do gromadzenia i analizowania dużych ilości danych z otwartych źródeł, w tym z sieci telekomunikacyjnych, mediów społecznościowych i ruchu w internecie.
Komisja śledcza ds. Pegasusa bada legalność, prawidłowość i celowość czynności podejmowanych z wykorzystaniem tego oprogramowania m.in. przez rząd, służby specjalne i policję od listopada 2015 r. do listopada 2023 r. Komisja ma też ustalić, kto był odpowiedzialny za zakup Pegasusa i podobnych narzędzi dla polskich władz.