„Puls Biznesu”: Dlaczego nadaje się pan na biegłego komisji ds. inwigilacji Pegasusem?
Krzysztof Dyki, biegły sejmowej komisji śledczej ds. inwigilacji Pegasusem: Od ponad 30 lat zajmuję się inżynierią wsteczną oprogramowania [dekonstrukcja w celu ustalenia m.in. sposobu działania - red.]. Pracowałem m.in. w technice operacyjnej i laboratorium kryminalistycznym. Jestem też biegłym sądowym m.in. w zakresie oprogramowania i kodów źródłowych, inżynierii wstecznej i analizy kryminalnej w informatyce. Mam poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych i sam tworzyłem oprogramowanie dla organów państwa.
Czy to oprogramowanie miało podobne funkcjonalności do Pegasusa?
Nie mogę odpowiedzieć na to pytanie z uwagi na ochronę informacji niejawnych.
Ostatnie lata spędził pan m.in. w Aplikacjach Krytycznych i ZUS, a także doradzając w spółkach państwowych i prywatnym ComCERT. Skąd w takim razie wiedza o Pegasusie?
Kilka lat temu analizowałem kod tego oprogramowania.
A skąd go pan wziął?
Na pewnym poziomie w branży IT, funkcjonując w międzynarodowym środowisku i mając odpowiednie kontakty, można zdobyć fragmenty prawie każdego programu tej klasy.
Jaki był cel tej analizy?
Z jednej strony to była ciekawość - jak wspomniałem, inżynieria wsteczna to moje hobby. Z drugiej strony tworzyłem wówczas technologie, z których jedna zapobiegała technikom infekcji kodu stosowanym przez Pegasusa.
Porozmawiajmy o Pegasusie. Czy prawdą jest, że oprogramowanie to nie może atakować telefonów w niektórych krajach?
Nie może atakować numerów telefonów z prefiksami z USA. Prawdopodobnie też z prefiksami rosyjskimi, ale jednocześnie pojawiły się informacje o inwigilacji Pegasusem białoruskich i rosyjskich opozycjonistów. Tak więc ograniczeń geograficznych nie było – zablokowane były niektóre prefiksy.
A czy narzędzie to umożliwiało wgrywanie treści, np. zdjęć czy wiadomości, na zainfekowany telefon?
W domyślnym modelu sprzedaży Pegasusa takiej funkcjonalności nie było.
Czy Polska zakupiła taką funkcjonalność?
Nic mi o tym nie wiadomo. Natomiast większość państw decydowała się na podstawową konfigurację.
Czy Polska miała pełną kontrolę nad danymi z zainfekowanych telefonów i ich transmisją?
Nie wiem, w jakiej konfiguracji Polska zakupiła Pegasusa, ustalają to obecnie organy państwa. W standardowej dane przechodziły przez serwery pośredniczące NSO Group. Nie jest mi znana ich liczba ani lokalizacja. To mogą być serwery wirtualne.
Biorąc pod uwagę dotychczasowe informacje, polskie służby kupowały to oprogramowanie w dużym pośpiechu. Czy zadbały o tę kwestię?
To jest dobre pytanie, ale nie znam odpowiedzi.
Czy przed zakupem ktokolwiek badał to oprogramowanie i jego kod źródłowy pod kątem bezpieczeństwa?
NSO co do zasady nie umożliwiało zapoznania się z kodem źródłowym. Nie wiem, czy przeprowadzano testy bezpieczeństwa niezależne od kodu.
Czy tego typu oprogramowanie bez testów daje rękojmię integralności pozyskanych danych?
Tej klasy oprogramowanie powinno zostać przetestowane pod kątem bezpieczeństwa. W przypadku ich braku klient opiera się na zaufaniu do producenta.
Czy w takim razie pozyskane za jego pomocą dane operacyjne mogą być wykorzystane jako dowód w sprawie?
To ustalają obecnie organy państwa. Aby materiał dowodowy miał walor procesowy, powinien być wiarygodny, weryfikowalny i legalny.
W przestrzeni publicznej pojawiły się informacje, że w Polsce było ponad 500 infekcji Pegasusem. Ile osób faktycznie zostało zainfekowanych?
Nie znam tej liczby, ale być może doszło do nieporozumienia. Liczba infekcji nie jest tożsama z liczbą osób inwigilowanych. Smartfon jednej osoby mógł być infekowany kilka razy. Czasami po restarcie telefonu konieczna jest kolejna infekcja. Dodatkowo jedna osoba może mieć więcej niż jeden smartfon lub numer telefonu w jednym smartfonie. Stąd mogło dojść do błędów co do liczby osób inwigilowanych.
Da się sprawdzić, czy we wszystkich przypadkach sąd udzielił zgody?
Jeżeli dostępne są kompletne logi systemu Pegasus, to wystarczy porównać numery infekowanych abonentów z numerami, na które uzyskano zgody sądu.
A co pan sądzi o analizach, np. Citizen Labu, odnośnie do liczby infekcji na świecie?
W większości oparte są na faktach, jednak niektóre specyficzne informacje techniczne, szczególnie z przeszłości, były błędne. Mimo ogólnie poprawnych diagnoz zdarzało się, że Citizen Lab błędnie klasyfikował normalne oprogramowanie jako Pegasus.
Czy NSO preferowała sprzedaż swojego narzędzia przez pośredników czy bezpośrednio?
NSO standardowo sprzedawało bezpośrednio, aby zwiększyć bezpieczeństwo transakcji oraz marżę.
To dlaczego w Polsce był pośrednik?
Nie wiem, może zaistniała taka obiektywna potrzeba.
Czy nie jest przypadkiem tak, że teraz będziemy mieli wysyp narzędzi podobnych do Pegasusa? Z NSO Group odeszło sporo osób, które pomagają w ich tworzeniu w innych firmach, jak np. DarkMatter ze Zjednoczonych Emiratów Arabskich.
W ZAE już powstało pierwsze narzędzie. Natomiast stworzenie takiego oprogramowania jest bardzo trudne, drogie i czasochłonne. Powstające rozwiązania są gorsze jakościowo od Pegasusa, którego czas wytworzenia to kilka lat.
Jest wiele kontrowersji związanych z Pegasusem. Czy demokratyczne państwo, jak Polska, powinno w ogóle posiadać tego typu narzędzie, które umożliwi inwigilację elektroniczną?
Zdecydowanie tak. Demokratyczne państwo powinno posiadać własne, bezpieczne i transparentne narzędzia do inwigilacji, aby móc skutecznie chronić bezpieczeństwo państwa i obywateli. Jednak warunkiem niezbędnym jest poszanowanie praw obywatelskich i unikanie nadużyć.
No właśnie z tym ostatnim często jest problem.
Narzędzia tej klasy powinny podlegać ścisłej kontroli i nadzorowi, mieć precyzyjnie określone ramy prawne użycia oraz gwarantować przejrzystość, weryfikowalność, rozliczalność i ochronę prywatności. W ten sposób buduje się zaufanie obywateli do instytucji państwowych, zapewniając jednocześnie efektywność pracy operacyjnej i bezpieczeństwo danych obywateli oraz państwa.
Tylko jak to zapewnić? Jak kontrolować kontrolujących?
Przykładowe rozwiązanie to umieszczenie automatycznego repozytorium logów systemu inwigilacji elektronicznej w niezależnej instytucji, np. NIK. Jeśli pojawiłyby się wątpliwości, istniałaby procedura umożliwiająca sprawdzenie, kogo inwigilowano i czy robiono to zgodnie z prawem. Poza tym operatorzy systemu czy decydenci mieliby mniejszą pokusę do nadużyć, wiedząc, że ich działania można łatwo zweryfikować.
A teraz, gdy odebrano Polsce licencję na Pegasusa, czy państwo ma możliwość kontroli komunikatorów osób podejrzanych o najcięższe przestępstwa i zapobiegania im?
Nie wiem, czy i jakie narzędzia tej klasy posiada nasze państwo. Jeśli ich nie ma, to jego skuteczność w walce z przestępcami i wrogimi rządami jest istotnie ograniczona.
A jak by pan podszedł to tematu zakupu takiego narzędzia szpiegującego?
Fundamentem są testy bezpieczeństwa i kontrola państwa nad danymi. Cała infrastruktura tej klasy systemu powinna być pod wyłączną kontrolą państwa.
Dostawcy raczej się nie godzą, żeby ktoś tak głęboko badał ich kod.
Nie trzeba badać kodów, aby kontrolować infrastrukturę lub bezpieczeństwo. Natomiast drugie rozwiązanie to zbudowanie własnego systemu. Mamy w kraju specjalistów i odpowiedni potencjał, żeby to zrobić. Brakuje decyzji, czy kupujemy z zagranicy, czy sami tworzymy. Przykładowo w marcu 2023 r. prezydent Joe Biden wydał dekret zakazujący wykorzystania zagranicznego oprogramowania inwigilacyjnego mogącego zagrozić bezpieczeństwu USA. Czyli praktycznie wykluczono kupno z zagranicy, ale dopuszczono tworzenie własnych systemów.
Z publicznych informacji wynika, że przed Pegasusem polskie służby korzystały z systemu RCS. Czy to było narzędzie lepsze, jeśli chodzi o standardy demokratycznego państwa prawa?
Proszę o kolejne pytanie.
A jak pan postrzega znaczenie tego, co robi komisja ds. inwigilacji Pegasusem?
Wnioski i rekomendacje będą kluczowe do ustalenia zasad stosowania narzędzi inwigilacji elektronicznej w Polsce. To może mieć wpływ również na UE i inne kraje, które obserwują prace komisji – międzynarodowe media sygnalizują zainteresowanie efektami tych prac. Polska jest jedynym krajem, w którym obecnie te zagadnienia bada komisja parlamentarna.
Pegasus to oprogramowanie szpiegujące stworzone przez izraelską NSO Group, umożliwiające zdalną infekcję telefonu komórkowego i przejęcie nad nim kontroli, śledzenie aktywności w czasie rzeczywistym i dostęp do wszystkich przechowywanych na nim treści. Oprogramowanie zostało po raz pierwszy wykryte w 2016 r. u Ahmeda Mansura – aktywisty działającego na rzecz praw człowieka w Zjednoczonych Emiratach Arabskich. Infekcję Pegasusuem odkryła organizacja Citizen Lab. Dwa lata później, w 2018 r., organizacja opublikowała wyniki śledztwa, z którego wynikało, że obecność tego oprogramowania szpiegującego została wykryta w 45 państwach. Pegasus, który był sprzedawany jako narzędzie do walki z najcięższymi przestępstwami, m.in. terroryzmem, w praktyce był wykorzystywany także do inwigilacji dziennikarzy czy polityków. W Polsce na pierwsze dokumenty związane z zakupem Pegasusa wpadli urzędnicy NIK. Przeprowadzając kontrolę wykonania budżetu za 2017 r., trafili na fakt przekazania przez Fundusz Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej (obecnie Fundusz Sprawiedliwości), czyli fundusz celowy Ministerstwa Sprawiedliwości, 25 mln zł na rzecz CBA. Zdaniem izby pieniądze te nie mogły zostać przekazane, gdyż CBA może być finansowane jedynie z budżetu państwa. Z dokumentów wynika, że zakupu oprogramowania szpiegującego od NSO Group CBA dokonało jesienią 2017 r. W 2019 r. dziennikarze TVN24 ujawnili, że CBA kupiło Pegasusa, a dokonało tego za pośrednictwem jednej z warszawskich firm informatycznych. PB jako pierwszy upublicznił informację, że oprogramowanie zostało zakupione za pośrednictwem spółki Matic, która miała bogatą historię współpracy z sektorem publicznym, w tym służbami mundurowymi, i mogła pochwalić się m.in. koncesją MSW na wytwarzanie oraz obrót wyrobami i technologią o przeznaczeniu wojskowym lub policyjnym.
Powołana w styczniu 2022 r. nadzwyczajna komisja senacka ds. nielegalnej inwigilacji w końcowym raporcie wskazała, że w Polsce Pegasusa używano w „stopniu niezwykle agresywnym”, zaś jego zakup i wykorzystanie były nielegalne. Citizen Lab potwierdziło, że oprogramowania użyto m.in. wobec senatora Krzysztofa Brejzy, prokurator Ewy Wrzosek, Michała Kołodziejczaka i dziennikarza Tomasza Szwejgierta. Użycie Pegasusa przeciw Krzysztofowi Brejzie potwierdziło też Amnesty International. Wskazywano, że jego telefon miał być infekowany przed wyborami parlamentarnymi w 2019 r., kiedy pełnił on funkcję szefa sztabu wyborczego Koalicji Obywatelskiej.
W połowie stycznia Sejm powołał komisję śledczą ds. inwigilacji Pegasusem. Ma ona zbadać legalność, prawidłowość i celowość czynności operacyjno-rozpoznawczych podejmowanych z wykorzystaniem tego oprogramowania m.in. przez rząd, służby specjalne i policję w okresie od 16 listopada 2015 r. do 20 listopada 2023 r. Przewodniczącą komisji została Magdalena Sroka (PSL), a wiceprzewodniczącymi są: Marcin Bosacki (KO), Paweł Śliz (Polska 2050), Tomasz Trela (Lewica) i Przemysław Wipler (Konfederacja). Komisja do tej pory przesłuchała m.in. byłych: wicepremiera Jarosława Kaczyńskiego, wiceministra sprawiedliwości Michała Wosia, minister finansów Teresę Czerwińską i szefa NIK Krzysztofa Kwiatkowskiego. Niezależnie od komisji sejmowej śledztwo w sprawie przekroczenia uprawnień i niedopełnienia obowiązków przez funkcjonariuszy publicznych w związku ze stosowaniem Pegasusa prowadzi prokuratura. W kwietniu został powołany w Prokuraturze Krajowej specjalny zespół śledczy do prowadzenia tej sprawy. W jego skład weszło pięciu prokuratorów, a na szefa wyznaczono Józefa Gacka. W ubiegłym tygodniu prokuratura zabezpieczyła urządzenia wchodzące w skład systemu Pegasus. Obecnie badają je biegli z ABW.