Bez względu na wyrok Trybunału Konstytucyjnego komisja ds. Pegasusa będzie pracować
We wtorek Trybunał Konstytucyjny ma orzec, czy uchwała o powołaniu komisji do spraw Pegasusa jest zgodna z Konstytucją. Można się spodziewać, że wyda wyrok mówiący, że nie, ale czy komisja zaplanowała dalsze prace i bez względu na wyrok Trybunału będzie pracować nadal?
- Oczywiściej. Należy pamiętać, że Trybunał w składzie, który orzekać będzie we wtorek, jest niewłaściwie obsadzony. W związku z tym jakiekolwiek orzeczenie zapadnie, nie będzie miało charakteru wiążącego. W składzie tegoż Trybunału jest sędzia dubler, quasi sędzia Wyrembak, a co śmieszniejsze - jest także były poseł Piotrowicz, który był przewodniczącym komisji uchwalającej zmiany Kodeksu Karnego Wykonawczego (umożliwiła CBA otrzymanie środków z Ministerstwa Sprawiedliwości, z Funduszu Sprawiedliwości). Była to więc osoba bardzo, ale to bardzo zaangażowana w stworzenie ram prawnych, które tę aferę umożliwiły.
Czym jest akredytacja bezpieczeństwa teleinformatycznego?
W tym tygodniu przed komisją śledczą zeznawał pracownik ABW, który mówił m.in. że system Pegasus nie miał akredytacji. Czy zatem można jednoznacznie dzisiaj powiedzieć, że nie był bezpieczny?
- Tak. Ale wyjaśnijmy, czym est akredytacja bezpieczeństwa teleinformatycznego - w bardzo dużym uproszczeniu jest to cała procedura nadzorowana przez ABW albo SKW sprawdzająca przed rozpoczęciem pracy systemów teleinformatycznych - to one będą przetwarzały informacje niejawne - czy taki system jest bezpieczny. Zanim służby - czy mówimy o CBA, czy o ABW, policji lub jakiejkolwiek innej służbie - będą przetwarzały materiały niejawne (o klauzuli „tajne”, „ściśle tajne”, „poufne”). Czy na przykład producent nie dorzucił jakiegoś złośliwego oprogramowania, czy nie ma "backdoorów", a więc tylnych drzwi, które umożliwiłyby producentowi tegoż oprogramowania zapoznawać się ze wszystkimi materiałami czy informacjami zawartymi w tym systemie.
Akredytacja bezpieczeństwa teleinformatycznego służy dokładnej weryfikacji przez ABW albo SKW całości oprogramowania; czy na pewno właściwie chroni dane. To są dane pozyskiwane nie tylko w ramach kontroli operacyjnych, ale choćby wskazujące, jakimi osobami interesują się służby. Wszyscy się domyślali i byli niemal pewni, ale od kilku dni mamy potwierdzenie, że nie było tej akredytacji. CBA kupiła sobie system, uruchomiła go nie analizując, czy na pewno dane osób podsłuchiwanych, nie są automatycznie przekazywane wywiadowi obcego państwa.
Ale nie mamy pewności, to nie jest przesądzone, że elementy tego systemu, bo o tym jest mowa, znajdowały się poza Polską.
- Znajdowały się poza Polską.
Jest pewność?
- Tak. Dlatego, że instalacja krajowa nie posiadała pełni kodów źródłowych, czy też wszystkich eksploitów wykorzystywanych do infekcji urządzeń. Ale nawet gdyby w stu procentach ten system znajdował się w Polsce - przyjmijmy sytuację, że żadna część tego systemu nie była w Izraelu (mówimy o firmie oczywiście NSO Group, blisko współpracującej z wywiadem państwa Izrael) - to w żaden sposób nie zabezpieczało przed złośliwym oprogramowaniem. Co więcej, wiemy z materiałów reklamowych, które NSO Group przygotowywała, że cała transmisja czy komunikacja, która szła od zainfekowanego telefonu, szła przez serwery pośredniczące, którymi zarządzał producent. Innymi słowy - jeżeli mamy centralę CBA w Warszawie, a podsłuchujemy telefon pana redaktora, to dane pozyskane z pana telefonu nie będą szły z Krakowa do Warszawy, one pójdą z Krakowa do Londynu, z Londynu do Sztokholmu, ze Sztokholmu do San Francisco, z San Francisco dopiero do Warszawy. Wszystkie elementy znajdujące się w różnych krajach są częścią sieci, która zarządzana była przez producenta, czyli przez NSO. Na każdym z tych etapów jest bardzo duże prawdopodobieństwo, że dane mogły być podglądane, modyfikowane. Można było z nimi zrobić wszystko. Nie mieliśmy żadnej rzeczywistej kontroli nad tym, czy to, co dostajemy, jest modyfikowane przez służby innego państwa. Właśnie temu ma służyć akredytacja, żeby uniknąć takich sytuacji, żeby ABW powiedziało: „Tak, ten system jest bezpieczny. Można przesyłać za jego pomocą dane”.
Hermes - system do prowadzenia "białego wywiadu"
Chciałbym zapytać o system Hermes. Jest bardziej zaawansowany, ale dzięki temu nie włamiemy się do telefonu, nie złamiemy zabezpieczeń, bo dane, które analizuje Hermes, są ogólnodostępne.
- I tak, i nie. Hermes jest tak zwanym systemem osintowym, czyli służącym do "białego wywiadu". Jego rolą jest pozyskiwanie danych z ogólnodostępnych źródeł. My sami zamieszczamy olbrzymią ilość informacji w mediach społecznościowych, ale bardzo duża ich część znajduje się także w tak zwanym dark webie, czyli ukrytej części internetu. To są dane z wycieków, baz danych, czy włamań. Hasła, informacje, które teoretycznie, każdy może znaleźć samodzielnie bez włamywania się do komputera. Hermes jest co do zasady systemem, którego zadaniem jest automatyzacja procesu agregacji danych, katalogowanie i tworzenie gotowca, żeby nie trzeba było robić tego ręcznie. Problem polega na tym, że jest duże ryzyko, że system był podpięty do naszych krajowych systemów sądowych, księgowych, czy podatkowych. Tego jeszcze nie wiemy. Jeżeli by tak było, a okazałoby się, że producentem tego systemu jest ta sama firma NSO, która pracuje de facto dla izraelskiego wywiadu, i ten system też nie był akredytowany, to pojawia nam się dokładnie ten sam problem.
Hermes, jako narzędzie do zbierania danych, jest nieszkodliwy. Ale jeżeli dajemy mu dojście do naszych innych systemów krajowych - zaciągania danych podatkowych, osobistych, wszystkich, jakie możemy sobie wyobrazić, a jednocześnie nie sprawdziliśmy tego systemu (czy na pewno nie ma tam jakiegoś szkodliwego oprogramowania, albo wywiad obcego państwa nie może się zdalnie podłączyć do naszej instalacji krajowej Hermesa i sobie pożyczyć trochę danych), to jest ogromne ryzyko. Nie wiem, czy to jest głupota, krótkowzroczność, bo to nie jest tak, że nikt o tym nie wiedział. To nie jest tak, że to jest jakaś nowość, że nikt nie wiedział, że Pegasus może przesyłać dane do wywiadu obcego państwa, albo, że producent ten proces transmisji nadzoruje. To było w materiałach reklamowych. Oni sami to opublikowali.
W związku z tym każdy, kto ma podstawowe pojęcie o bezpieczeństwie teleinformatycznym, powinien powiedzieć, że jeżeli taki system mamy wykorzystywać, musimy bardzo dokładnie go sprawdzić, żeby nie było takich niespodzianek. A okazuje się, że w dwa tygodnie ten system kupiono, zainstalowano; działamy i nie przejmujemy się danymi. Czemu ktoś wpadł na taki pomysł? To jest moja absolutnie prywatna opinia - trzeba było już na cito mieć jakiś system, żeby podsłuchiwać. Nie przejmujemy się, że jakieś dane wyciekną. Nie przejmujemy się, że będzie to rodziło ogromne ryzyko dla bezpieczeństwa naszego państwa, bo musimy tu i teraz mieć coś, co umożliwi nam podsłuchanie kogoś i wyciągnięcie danych. To jest szalenie niebezpieczne.
Co ustaliła komisja ds. Pegasusa?
Co dla komisji badającej system Pegasus wydaje się dzisiaj najistotniejsze? Jakie materiały - operacyjne, CBA? I co dziś już się wyłania z badań komisji?
- Nie o wszystkim mogę mówić, z oczywistych powodów. Prasa donosiła kilka dni temu, że jest trudno uzyskać materiały operacyjne od CBA. Dostaliśmy niedawno zgodę na przesłuchanie dwóch byłych szefów służb. Miejmy nadzieję, że jest to początek otwarcia szerzej drzwi dla komisji; tak, żeby mogła się zapoznać z częścią materiałów kluczowych dla tej sprawy. Oczywiście, jak skończymy wątek akredytacji, to niezwykle istotna będzie bardzo dogłębna analiza wniosków zastosowania kontroli operacyjnej, na podstawie których sądy wydawały zgodę. Słyszeliśmy wielokrotnie ze strony sędziów informacje, że oni dostawali wniosek, ale nie było tam napisane: „teraz będziemy włamywać się na telefony, ściągać wszystkie dane i tę już osławioną totalną inwigilację stosować”. Służby tego nie wpisywały. Sędziowie, wierząc, że to jest zwykły podsłuch, wyrażali zgodę. Będzie trzeba przeanalizować, na jakiej podstawie w ogóle został złożony wniosek o zastosowanie kontroli operacyjnej. To nie jest tak, że służba może przyjść i wnioskować o podsłuchiwanie Kowalskiego i Nowaka. Musi być szereg przesłanek spełnionych, które warunkują złożenie takiego wniosku.
To będzie naprawdę ogromna praca dla komisji, żeby przeanalizować, czy rzeczywiście, kiedy CBA, czy inne służby występowały o stosowanie kontroli operacyjnej z oprogramowaniem Pegasus, były do tego podstawy faktyczne i prawne.