Rząd chce zacierać ślady po Pegasusie? "Chodzi o coś zupełnie innego"
Czy rząd w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa zaszył przepisy, które mogą pozwolić na "zacieranie śladów po wykorzystywaniu Pegasusa"? Tak twierdzą członkowie senackiej komisji ds. wyjaśnienia przypadków nielegalnej inwigilacji. Zdaniem eksperta gra toczy się o coś zupełnie innego.
24.05.2023 12:54
Obawy o to, że rząd będzie chciał zacierać ślady wykorzystywania Pegasusa, jako pierwsza publicznie sformułowała senatorka Koalicji Obywatelskiej Magdalena Kochan. Swoje wątpliwości zaprezentowała 12 maja podczas posiedzenia komisji ds. wyjaśnienia przypadków nielegalnej inwigilacji, której jest członkinią. Apelowała, by senatorowie oficjalnie zwrócili się w tej sprawie do premiera. Kilka dni później szef komisji Marcin Bosacki wysłał do Mateusza Morawieckiego pismo, którego treść prezentujemy poniżej.
Według senatorów niepokój budzą fragmenty nowelizacji ustawy o krajowym systemie bezpieczeństwa, która pod koniec kwietnia została przyjęta przez Komitet Stały Rady Ministrów. Zmiana jest przygotowywana od trzech lat. W zamyśle chodzi o stworzenie systemu bezpieczeństwa teleinformatycznego na poziomie krajowym.
Politycy PO uważają, że kontrowersyjny może być przepis, który miałby pozwolić ministrowi cyfryzacji wszczynać postępowanie w celu ustalenia, czy dany podmiot jest dostawcą wysokiego ryzyka. Jeśli zdecyduje, że tak, wskazane rozwiązania danej firmy będzie musiało zostać wycofane z infrastruktury w kraju. Mowa o dostawcach sprzętu, oprogramowania lub procesów teleinformatycznych.
Dalsza część artykułu pod materiałem wideo
"Podmioty spoza UE i NATO"
W piśmie senatorowie zwracają uwagę, że "jako jedno z istotnych kryteriów uznania dostawcy za dostawcę wysokiego ryzyka, projekt wskazuje pochodzenie z kraju spoza Unii Europejskiej czy Sojuszu Północnoatlantyckiego". Politycy podkreślają, że takie przesłanki spełnia np. NSO Group, czyli izraelski producent Pegasusa. Właśnie dlatego sformułowali siedem pytań do szefa rządu, które mają wykazać, czy istnieje związek między przygotowywanymi zmianami a używaniem systemu Pegasus.
Członkowie senackiej komisji ds. wyjaśnienia przypadków nielegalnej inwigilacji w rozmowie z Wirtualną Polską nie tylko powtarzają zastrzeżenia wyrażone w piśmie, ale stwierdzają, że nowelizacja zagraża wyjaśnieniu przypadków wykorzystania Pegasusa. - Rząd w przygotowywanej nowelizacji chce przemycić przepisy gwarantujące służbom bezkarność. To może być sposób na zacieranie śladów przy stosowaniu broni cybernetycznej przeciw polskim obywatelom - uważa Magdalena Kochan.
Senatorka podkreśla, że na wyjaśnienie czekają sprawy użycia Pegasusa m.in. wobec obecnego senatora PO Krzysztofa Brejzy, jego ojca - prezydenta Inowrocławia - Ryszarda Brejzy, prokurator Ewy Wrzosek czy mecenasa Romana Giertycha. Zwraca również uwagę, że Krzysztof Brejza podczas ostatniego posiedzenia senackiej komisji stwierdził, że "w postępowaniu, w którym przeciwko niemu użyto Pegasusa, w trakcie kampanii wyborczych w 2019 r., niszczone są dowody".
Inwigilacja Brejzy i "zniszczona płyta"
Krzysztof Brejza 12 maja rzeczywiście przekazał komisji, że "zniszczono płytę", na której był materiał pozyskany podczas pierwszego włamania na jego telefon. Dodał, że dane były unikalne i nie można ich odtworzyć. Według niego nie będzie można teraz ustalić, co było wgrywane do jego telefonu, bo z Citizen Lab – kanadyjskiej firmy badającej szpiegowanie Pegasusem - ma informację, że służby wgrały do jego telefonu ok. 1 GB danych.
Senator zastrzegł, że ze względu na toczące się postępowanie karne, w którym jest pokrzywdzonym, nie może ujawniać więcej informacji.
O obawach wobec nowelizacji mówi nam też szef senackiej komisji Marcin Bosacki. Polityk zastrzega, że nie chodzi o całą ustawę, tylko niektóre jej fragmenty. - Wszystko wskazuje na to, że izraelski producent Pegasusa spełnia opisane warunki uznania za dostawcę wysokiego ryzyka, więc przepisy teoretycznie mogłyby być użyte do pozbycia się danych w sprawie nielegalnego użycia oprogramowania. Mam nadzieję, że będą to jednak dowody w sprawach, które muszą zostać wyjaśnione – podkreśla.
Ministerstwo cyfryzacji: "Kompletnie bezpodstawne zarzuty"
W odpowiedzi na nasze pytania Ministerstwo Cyfryzacji zaprzecza, że chodzi o możliwość zacierania śladów użycia Pegasusa. "Zarzuty są kompletnie bezpodstawne. Kontestowane przez Platformę Obywatelską zapisy ustawy o krajowym systemie cyberbezpieczeństwa nie mają związku z działalnością służb specjalnych. Warto przy tym zauważyć, że ustawa w przypadku uznania za dostawcę wysokiego ryzyka zakłada pięcio- lub siedmioletni termin usunięcia z sieci sprzętów wskazanych w decyzji dostawców. Insynuacje senatorów Kochan i Bosackiego wpisują się w narrację firm zainteresowanych przerwaniem prac nad ustawą o krajowym systemie cyberbezpieczeństwa" – odpowiada Monika Dębkowska z resortu cyfryzacji.
W odpowiedzi ministerstwa podkreślono, że w świetle proponowanych rozwiązań, dostawca Pegasusa nie spełnia kryteriów, które pozwalałyby uznać go za dostawcę wysokiego ryzyka, a minister nie zamierza wszcząć z urzędu postępowania w sprawie uznania dostawcy Pegasusa za dostawcę wysokiego ryzyka, bo resort "nie dysponuje jakimikolwiek przesłankami wskazującymi na zasadność wszczęcia takiego postępowania".
Ministerstwo zaznacza, że ewentualna decyzja o uznaniu za dostawcę wysokiego ryzyka oznaczałaby konieczność usunięcia oprogramowania w ciągu siedmiu lat, ale jednocześnie "zdobyte wcześniej informacje zawarte byłyby w aktach spraw i mogłyby być wykorzystywane w toku postępowań".
Ekspert: "Nie chodzi o Pegasusa"
O ocenę argumentów przedstawionych przez senacką komisję i ministerstwo cyfryzacji poprosiliśmy eksperta. Maciej Jan Broniarz, architekt bezpieczeństwa i systemów informatycznych, wykładowca w Centrum Nauk Sądowych Uniwersytetu Warszawskiego uważa, że przepisy o wykluczeniu dostawców wysokiego ryzyka mają de facto wykluczyć podmioty m.in. z Chin, a nie NSO Group, Podkreśla, że ostre przepisy, uderzające w te podmioty, wprowadzili dotychczas tylko Brytyjczycy.
- To są przepisy, które mają wykluczyć niezaufane podmioty, które produkują technologię telekomunikacyjną poza granicami Unii Europejskiej. Często w tym kontekście wymienia się Huawei, ale chodzi również o wiele innych podmiotów, które przy wsparciu chińskiego rządu weszły na rynki europejskie. Mowa m.in. o producentach routerów. Nawet jeśli nie ma twardych dowodów, że dzieje się coś niepokojącego, to oddanie kontroli w ręce podmiotów, które nie podlegają lokalnym przepisom, występuje ryzyko, nieważne skąd pochodzi firma.
Nasz rozmówca wyklucza, że przygotowywane przepisy mają dotyczyć zacierania śladów użycia Pegasusa. - Po co administracja publiczna miałaby sobie blokować drogę do kupienia tego oprogramowania? Poza tym, jeśli będzie chciała, to i tak kupi do niego dostęp. Chodzi o coś zupełnie innego. Technologia 5G jest w Europie łakomym kąskiem, bo dopiero na kontynencie się rozkręca. Ktoś, kto wejdzie do poszczególnych krajów, zmonopolizuje rynek na lata.
- Rozumiem, że firmy z różnych krajów o to zabiegają, mają do tego prawo, bo na tym polega wolny rynek, natomiast kraje wspólnoty europejskiej mają prawo wybierać rozwiązania, które są nie tylko sprawne technologicznie, ale też bezpieczne dla użytkowników. W przypadku dostawców spoza UE są co do tego wątpliwości i warto się odpowiednio zabezpieczyć - wyjaśnia Broniarz, który nie podziela obaw wyrażonych w piśmie senackiej komisji.
Patryk Michalski, dziennikarz Wirtualnej Polski