Na konferencji prasowej przed rozpoczęciem środowego posiedzenia komisji śledczej ds. Pegasusa szefowa komisji poinformowała, że nastąpiła zmiana decyzji szefowej CBA Agnieszki Kwiatkowskiej-Gurdak, "która do tej pory odmawiała nam przesłuchania byłych funkcjonariuszy, w tym wiceszefów CBA".
"Dzisiaj rano wpłynęła do nas informacja, że taka zgoda jest. Natomiast w dalszym ciągu nie ma zgody na dostęp komisji do materiałów operacyjnych dotyczących osób, wobec których stosowany był system Pegasus. Pracujemy nad tym, żeby te materiały otrzymać" - przekazała Magdalena Sroka (PSL-TD).
Wiceszef komisji Marcin Bosacki (KO) ocenił pismo szefowej CBA "jako krok w dobrą stronę". Zaznaczył jednak, że komisja nie może zgodzić się na to, że - jak poinformowała szefowa CBA - nie udzieli ona zgody na "pytania o legalność, prawidłowość oraz celowość czynności operacyjno-rozpoznawczych m.in. z wykorzystaniem oprogramowania Pegasus".
Sroka dodała, że komisja rozpoczyna nowy wątek swojego śledztwa, jakim jest akredytacja systemu Pegasus. W związku z tym pierwszym świadkiem po wakacyjnej przerwie jest w środę funkcjonariusz Agencji Bezpieczeństwa Wewnętrznego - ekspert z zakresu bezpieczeństwa w użytkowaniu systemów typu Pegasus, którego przesłuchanie rozpoczęło się o godz. 10.
Funkcjonariusz ABW: nigdy nie zostało wydane świadectwo dla systemu pod nazwą Pegasus dla CBA
Przesłuchanie funkcjonariusza Agencji Bezpieczeństwa Wewnętrznego, nazywanego przez komisję świadkiem nr 1, rozpoczęło się od złożeniaprzez niego przysięgi. Świadek nie skorzystał z możliwości swobodnej wypowiedzi przed komisją i odpowiadał na pytania członków komisji.
Szefowa komisji Magdalena Sroka (PSL-TD) pytała świadka, czy osoby, które podjęły decyzje o tym, żeby dopuścić system Pegasus, którego elementy znajdowały się poza granicami kraju, miały pełną świadomość, jak wygląda jego architektura oraz czy dane pozyskiwane za pomocą tego systemu były bezpieczne. Sroka pytała również o to, czy ABW wykonała akredytacje bezpieczeństwa tego systemu.
Świadek zaznaczył, że zgodnie z przepisami, akredytacja bezpieczeństwa systemów teleinformatycznych polega na kompleksowej ocenie bezpieczeństwa systemów teleinformatycznych. Podkreślił jednocześnie, że w rozumieniu ustawy "systemem teleinformatycznym jest zespół współpracujących ze sobą różnych urządzeń informatycznych i oprogramowania. "Tutaj należałoby zadać sobie pytanie, czy potoczne rozumienie określania systemu Pegasus jest zbieżne z jego ustawową definicją" - mówił.
Dodał, że każda akredytacja prowadzona jest na wniosek jednostki organizacyjnej, która tworzy taki system. "Zgodnie z dokumentacją bezpieczeństwa analizowaną czy to w ABW, czy SKW i wynikami audytu, wydawane jest ewentualne świadectwo w przypadku pozytywnej oceny dokumentacji, jak i pozytywnych wyników audytu bezpieczeństwa systemu" - zaznaczył.
Na pytanie o to, czy dysponent systemu zwrócił się do ABW o przeprowadzenie sprawdzeń, odparł, że zgodnie z jego wiedzą w ABW nigdy nie zostało wydane świadectwo dla systemu pod nazwą Pegasus dla CBA.
Świadek zeznał ponadto, że zgodnie z art. 48 ust. 1 Ustawy o ochronie informacji niejawnych systemy teleinformatyczne przeznaczone do przetwarzania informacji niejawnych podlegają akredytacji. Jednak w art. 51 wspomnianej ustawy znajdują się pewne wyłączenia z obowiązku akredytacji.
Poinformował również, że to w 2022 roku "wprowadzono drobne, ale bardzo znaczące zmiany", jeżeli chodzi o treść przepisów mówiących o włączeniach z obowiązku akredytacji.
Pytany o to, czy system Pegasus powinien zostać akredytowany odpowiedział: "Nie mam wiedzy, czy wszystkie elementy systemu Pegasus między rozpoczęciem jego użytkowania przez CBA a 2022 r. znajdowały się w strefach (ochronnych), czy poza nimi. Natomiast jeżeli jakikolwiek element systemu znajdował się w strefach ochronnych i w takim systemie były przetwarzane informacje niejawne, a całość spełnia wymogi systemu teleinformatycznego, to obowiązkiem kierownika jednostki organizacyjnej było przedłożenie dokumentacji i rozpoczęcie procesu akredytacji takiego systemu" - ocenił.
"Nie ma ustawowego wymogu, że aby przetwarzać informacje niejawne, oprogramowanie musi podlegać certyfikacji"
Podczas środowego przesłuchania funkcjonariusz ABW podkreślał, że zgodnie z Ustawą o ochronie informacji niejawnych to kierownik jednostki organizacyjnej ma obowiązek zapewnienia ochrony informacji niejawnych, w szczególności zorganizowania i zapewnienia funkcjonowania takiej ochrony.
Wcześniej mówił on, że w ABW nigdy nie zostało wydane świadectwo dla systemu pod nazwa Pegasus dla CBA. Wyjaśnił, że kwestia tego, czy system Pegasus powinien podlegać akredytacji, zależy od tego, czy przetwarzane dane mogły stanowić informacje niejawne.
"Informacjom niejawnym nadaje się klauzulę, jeżeli ich nieuprawnione ujawnienie utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa. Informacja, która została wyciągnięta za pomocą tego typu oprogramowania, nie była w swojej naturze informacją niejawną na początku" - mówił funkcjonariusz.
W ocenie świadka sam fakt odbycia przez dwie osoby rozmowy telefonicznej lub poprzez komunikator internetowy, oraz treść tej rozmowy, nie stanowi zgodnie z ustawą informacji niejawnej. "Ktoś może nie chcieć, żeby to wypłynęło, natomiast to, że jedna osoba dzwoniła do drugiej, czy komunikowali się za pomocą komunikatorów jawnych internetowych, w myśl ustawy jest informacja jawną" - mówił.
Dopytywany o to, co w przypadku podsłuchiwania posłów, którzy mieli dostęp do informacji niejawnych, odparł, że nieważne, kto był podsłuchiwany i jakie miał poświadczenia, "nie miał prawa na prywatnych urządzeniach przetwarzać informacji niejawnych". "Od tego są systemy informatyczne posiadające akredytację" - zaznaczył.
Funkcjonariusz ABW zaznaczył, że nie ma zapisu ustawowego, zgodnie z którym, aby można było przetwarzać informacje niejawne, poszczególne elementy systemu, czy oprogramowanie muszą podlegać certyfikacji. "Jako przykład podam system operacyjny Windows. Nigdy nie był przedmiotem certyfikacji w ABW, a jest wykorzystywany do przetwarzania informacji niejawnych. Czy stanowi to zagrożenie dla bezpieczeństwa informacji?" - pytał
Przewodnicząca komisji przypomniała, że komisja rozpoczęła pracę 26 stycznia br. "Do tej pory odbyły się 22 posiedzenia jawne, 4 niejawne oraz 8 posiedzeń zamkniętych. Powołaliśmy łącznie 33 świadków, do tej pory przesłuchaliśmy 12 osób. Złożyliśmy 31 wniosków dowodowych i 2 zawiadomienia do prokuratury o możliwości popełnienia przestępstwa" - wyliczała.
Dotychczas komisja przesłuchała m.in.: byłego wicepremiera, prezesa PiS Jarosława Kaczyńskiego, byłego wiceszefa MS, polityka Suwerennej Polski Michała Wosia, byłego dyrektora Departamentu Spraw Rodzinnych i Nieletnich w Ministerstwie Sprawiedliwości Mikołaja Pawlaka oraz innych pracowników resortu sprawiedliwości.
Komisja śledcza ds. Pegasusa bada legalność, prawidłowość i celowość czynności podejmowanych z wykorzystaniem tego oprogramowania m.in. przez rząd, służby specjalne i policję od listopada 2015 r. do listopada 2023 r. Komisja ma też ustalić, kto był odpowiedzialny za zakup Pegasusa i podobnych narzędzi dla polskich władz.
del/ itm/ mchom/