Zgodnie z moją wiedzą, w ABW nigdy nie zostało
wydane świadectwo dla systemu pod nazwą Pegasus dla CBA – powiedział
zeznający w środę przed komisją śledczą ds. Pegasusa funkcjonariusz ABW,
ekspert z zakresu bezpieczeństwa w użytkowaniu systemów typu Pegasus.
Na przesłuchaniu funkcjonariusza Agencji Bezpieczeństwa Wewnętrznego,
nazywanego przez komisję świadkiem nr 1, szefowa komisji Magdalena
Sroka (PSL-TD) pytała, czy osoby, które podjęły decyzję o tym, żeby
dopuścić system Pegasus, którego elementy znajdowały się poza granicami
kraju, miały pełną świadomość, jak wygląda jego architektura oraz czy
dane pozyskiwane za pomocą tego systemu były bezpieczne. Sroka pytała
również o to, czy ABW wykonała akredytację bezpieczeństwa tego systemu.
Świadek zaznaczył, że zgodnie z przepisami, akredytacja
bezpieczeństwa systemów teleinformatycznych polega na kompleksowej
ocenie ich bezpieczeństwa. Podkreślił jednocześnie, że w rozumieniu
ustawy systemem teleinformatycznym jest zespół współpracujących ze sobą
różnych urządzeń informatycznych i oprogramowania. “Tutaj należałoby
zadać sobie pytanie, czy potoczne rozumienie określania systemu Pegasus
jest zbieżne z jego ustawową definicją” – mówił.
Dodał, że każda akredytacja prowadzona jest na wniosek jednostki
organizacyjnej, która tworzy taki system. “Zgodnie z dokumentacją
bezpieczeństwa analizowaną czy to w ABW, czy SKW i wynikami audytu,
wydawane jest ewentualne świadectwo w przypadku pozytywnej oceny
dokumentacji, jak i pozytywnych wyników audytu bezpieczeństwa systemu” –
zaznaczył.
Na pytanie o to, czy dysponent systemu zwrócił się do ABW o
przeprowadzenie sprawdzeń, odparł, że zgodnie z jego wiedzą w ABW nigdy
nie zostało wydane świadectwo dla systemu pod nazwą Pegasus dla CBA.
Świadek zeznał ponadto, że zgodnie z art. 48 ust. 1 Ustawy o ochronie
informacji niejawnych systemy teleinformatyczne przeznaczone do
przetwarzania informacji niejawnych podlegają akredytacji. Jednak w art.
51 wspomnianej ustawy znajdują się pewne wyłączenia z obowiązku
akredytacji. Dodał, że w 2022 roku “wprowadzono drobne, ale bardzo
znaczące zmiany”, jeżeli chodzi o treść przepisów mówiących o
włączeniach z obowiązku akredytacji.
Pytany o to, czy system Pegasus powinien zostać akredytowany
odpowiedział, że “jeżeli jakikolwiek element systemu znajdował się w
strefach ochronnych i w takim systemie były przetwarzane informacje
niejawne, a całość spełnia wymogi systemu teleinformatycznego, to
obowiązkiem kierownika jednostki organizacyjnej było przedłożenie
dokumentacji i rozpoczęcie procesu akredytacji takiego systemu”.
Jednocześnie wyjaśnił, że kwestia tego, czy system Pegasus powinien
podlegać akredytacji, zależy od tego, czy przetwarzane dane mogły
stanowić informacje niejawne. W ocenie świadka sam fakt odbycia przez
dwie osoby rozmowy telefonicznej lub poprzez komunikator internetowy,
oraz treść tej rozmowy, nie stanowi zgodnie z ustawą informacji
niejawnej.
Funkcjonariusz podkreślał, że zgodnie z Ustawą o ochronie informacji
niejawnych to kierownik jednostki organizacyjnej ma obowiązek
zapewnienia ochrony informacji niejawnych, w szczególności
zorganizowania i zapewnienia funkcjonowania takiej ochrony. W przypadku
CBA jest to szef Biura.
Świadek pytany, ile czasu zajmuje akredytacja systemów
teleinformatycznych, powiedział, że według ustawodawcy proces ten trwa
maksymalnie rok od złożenia kompletnej dokumentacji. Przyznał także, że
nie przypomina sobie przypadków odmowy udzielenia akredytacji.
“My, jako służba, staramy się doprowadzić do tego, żeby system, który
jest wdrażany w jakiejś jednostce organizacyjnej, uzyskał tą
akredytację. Staramy się prowadzić ten proces, aby poinstruować
organizatora tak, aby można było spełnić wymagania funkcjonalne
jednostek, które użytkują systemy pozyskujące informacje niejawne w
sposób bezpieczny” – tłumaczył.
Świadek zeznał ponadto, że nie ma ustawowego obowiązku zwracania się
do ABW z pytaniami o akredytację, jeszcze przed zebraniem kompletnej
dokumentacji. Przyznał jednak, że on sam “budując niestandardowy system,
który kosztował wielkie pieniądze”, zwróciłby się do podmiotu
akredytującego z pytaniem, w jaki sposób przygotować się do akredytacji
już wcześniej, na etapie projektowania systemu.
Wiceszef komisji Witold Zembaczyński (KO) pytał świadka, czy CBA lub
inne służby przedstawiały lub konsultowały z ABW procedury bezpiecznej
eksploatacji Pegasusa już w trakcie użytkowania. “Nic mi na ten temat
nie wiadomo, żeby taka sytuacja miała miejsce” – odpowiedział
funkcjonariusz.
Świadek wielokrotnie podkreślał, że nie ma pełnej wiedzy “odnośnie
konstrukcji i zasad wykorzystywania systemu teleinformatycznego, którego
częścią składową miałby być Pegasus lub samego systemu pod tą nazwą”.
Jednocześnie zaznaczał, że “jakikolwiek opis systemów
teleinformatycznych, przetwarzających informacje niejawne w zakresie
funkcjonalności i wdrożonych zabezpieczeń sam w sobie stanowi informację
niejawną”. Zapewnił jednak, że na pytania dotyczące informacji
niejawnych odpowie na posiedzeniu zamkniętym, które zaplanowano na godz.
15 w środę.
“Po dzisiejszym posiedzeniu komisji możemy stwierdzić, że system
Pegasus powinien posiadać akredytację” – oceniła Sroka. Dodała, że
Pegasus był systemem teleinformatycznym, który w 2017 r. znajdował się w
strefie ochronnej i który przetwarzał informacje niejawne. “Moim
zdaniem w 2022 r. próbowano zatuszować błąd, który popełniono w 2017 r. i
tutaj niewątpliwie można wysunąć wnioski, że mogło dojść do popełnienia
przestępstwa przez ówczesnego szefa CBA” – podsumowała.
Po zakończeniu przesłuchania w trybie jawnym komisja zajęła się
wnioskami formalnymi; zdecydowała o skierowaniu dwóch wniosków
dowodowych. Pierwszy z nich adresowany jest do Komendanta Głównego
Policji insp. Marka Boronia. Komisja prosi w nim o zgodę na
przedstawienie odpisów wszystkich dokumentów, zarówno jawnych jak i
niejawnych, a także udzielenie pisemnych wyjaśnień w zakresie wskazanym w
treści wniosku komisji z 22 lutego br., czyli związanych m.in. z
zakupem, akredytacją i użytkowaniem systemu Pegasus.
Przewodnicząca poinformowała, że w związku z kolejnymi informacjami
dotyczącymi systemu Hermes i niepełną odpowiedzią otrzymaną z
Ministerstwa Sprawiedliwości, komisja złoży wniosek do Prokuratora
Regionalnego w Rzeszowie Jaromira Rybczaka o przedstawienie pisemnych
wyjaśnień w zakresie zakupu oprogramowania Hermes w 2021 r. za kwotę ok.
15 mln zł.
Jak wyjaśniła, odpowiadając na wniosek komisji do Prokuratury
Krajowej, 21 maja poinformowała ona, że w Prokuraturze Regionalnej w
Rzeszowie prowadzone jest “śledztwo w sprawie trybu dokonania zakupu
przez Prokuraturę Krajową, zasadności nabycia, a także naruszeń zasad
użytkowania systemu automatyzacji procesu gromadzenia informacji z
otwartych źródeł”. W związku z tym, komisja wniesie o przesłanie całości
materiału z prowadzonego śledztwa.
System śledzący Hermes, zakupiony przez PK, służy do gromadzenia i
analizowania dużych ilości danych z otwartych źródeł, w tym z sieci
telekomunikacyjnych, mediów społecznościowych i ruchu w internecie.
Komisja śledcza ds. Pegasusa bada legalność, prawidłowość i celowość
czynności podejmowanych z wykorzystaniem tego oprogramowania m.in. przez
rząd, służby specjalne i policję od listopada 2015 r. do listopada 2023
r. Komisja ma też ustalić, kto był odpowiedzialny za zakup Pegasusa i
podobnych narzędzi dla polskich władz. (PAP)
del/ mchom/ itm/
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS