Ostrożny Paweł Wojtunik. Przed senacką komisją ds. Pegasusa

Paweł Wojtunik solidnie mnie rozczarował występując 15 lutego przed senacką komisją ds. Pegasusa (komisja faktycznie nazywa się inaczej, ale jej oficjalna nazwa jest dość długa i skomplikowana). Po pierwsze zasłaniał się tajemnicą w sprawach, które zostały już opisane przez media i dość dobrze znane

Po drugie nie chciał odpowiedzieć na pytanie dotyczące systemu Galileo, który (jak wiadomo z WikiLeaks i różnych serwisów branżowych) CBA kupiło przed 2015 rokiem. Tymczasem to doświadczenie wymagało solidnego komentarza, ponieważ dowodzi, że informatycy CBA wiedzieli kupując Pegasusa, że tego rodzaju systemy są w efekcie niezabezpieczone przed ingerencjami osób trzecich, nie dają gwarancji niewykrywalności, a przede wszystkim rodzą pokusy nielegalnego wykorzystania, co miało miejsce właśnie w przypadku Galileo (też rzekomo niewykrywalnego programu szpiegującego).

PRZECZYTAJ TAKŻE: Do tanga trzeba nie tylko dwojga – ktoś musi je najpierw zagrać

Zastosowanie Galileo wywołało szereg skandali (na szczęście nie w Polsce), a najgłośniejszy był na Cyprze, gdzie szef wywiadu musiał podać się do dymisji w skutek ujawnienia przypadków nielegalnej inwigilacji. Niemniejszym skandalem zakończyła się misja Galileo w Meksyku, w którym okazało się, że przez skorumpowanych policjantów system penetracji smartfonów i komputerów trafił w ręce karteli narkotykowych.

Koszt zakupu Glileo to około 250 tys. USD, co wydaje się rozsądną sumą za zakup takiego systemu, w przeciwieństwie do co najmniej 30 mln zł w przypadku Pegasusa. Tymczasem oba te systemy mają podobną charakterystykę. Ujawnione kody źródłowe programów, ich instrukcje obsługi i inne ujawnione dane pokazują, że i Galileo i Pegasus robią praktycznie to samo: nagrywają, podsłuchują, lokalizują, sprawdzają połączenia, czytają maile i sms-y, pobierają dokumenty, zdjęcia, napisane na klawiaturze teksty i dużo, dużo więcej.

Czyli kupując Pegausa CBA dobrze wiedziało, że za ogromne pieniądze kupuje program, który jest tylko pozornie skuteczny, a jego wykorzystanie prędzej skończy się skandalem niż sukcesem. Mimo to zdecydowali się na jego kupno, jednocześnie łamiąc przepisy i dyscyplinę finansów publicznych, kupując – kilkakrotnie powyżej realnej wartości – narzędzie grożące kompromitacją. Najprawdopodobniej „na kolanie” pod naciskiem zwierzchników/polityków i w sposób niezaplanowany, bo ze sposobu kupna widać, że środki na zakup tego rodzaju urządzeń i programów nie były przewidziane w budżecie Biura. Szkoda, że Paweł Wojtunik nie chciał tego skomentować.

PRZECZYTAJ TAKŻE: Co naprawdę wynika z sondaży

Były szef CBA przeszedł też do porządku dziennego nad brakiem certyfikacji systemu z punktu widzenia ochrony informacji ściśle tajnych i danych osobowych. To prawda, że – jak wyjaśniał – metody i środki do pracy operacyjnej nie podlegają certyfikacji kiedy służą wyłącznie do pozyskiwania informacji (i słusznie). Tylko, że Pegasus nie tylko zdobywa dane, ale je również przetwarza i najprawdopodobniej przechowuje. Przetwarzanie i przechowywanie informacji ściśle tajnych to już zupełnie inna sprawa niż pozyskiwanie. I jako taki system powinien być certyfikowany przez ABW. Wtedy okazałoby się w jakim stopniu Pegasus może być spenetrowany przez obce służby. Na przykład Izraela, ale i inne. ABW nie miałoby prawa dopuścić nieszczelnego systemu do przetwarzania ściśle tajnych danych. Czyli albo Pegasusa nie dałoby się legalnie kupić, albo CBA musiałoby na dostawcy wymusić zmiany gwarantujące rzeczywistą tajność działania (także przed innymi niż CBA służbami).

Trochę głupio wyglądało, kiedy Paweł Wojtunik mówił „nie wiemy, jakie Pegasus ma możliwości”. To nie całkiem prawda, skoro Citizens Lab, a za nim wiele serwisów branżowych zajmujących się cyberbezpieczeństwem, opublikowało kod źródłowy Pegasusa (i to w różnych wersjach, zależnie od konfiguracji) i informatycy-programiści wyjaśniali i komentowali funkcje Pegasusa, i to do czego służą. Trochę nie wypada, żeby niewątpliwy ekspert, jakim jest Paweł Wojtunik, nic na ten temat nie wiedział i unikał komentarza. Na przykład na temat tego, które z możliwości Pegasusa są dopuszczalne przez polskie prawo, a które nie.

PRZECZYTAJ TAKŻE: Do wyborców PL 2050 i do wyborców lewicy

Trochę się pomylił komentując zachowanie FBI, które zrezygnowało z kupna produktu NSO Group, bojąc się ewentualnych przecieków z nieszczelnego systemu. Było trochę inaczej. Wiele amerykańskich służb zdecydowało się na zakup Pegasusa (można to sprawdzić na ujawnionej liście klientów NSO), także amerykański kontrwywiad. Natomiast FBI po testach zrezygnowało z niego widząc, że system nie daje gwarancji zabezpieczenia przed dostępem osób niepożądanych (w skrócie: obcych służb). FBI wydało w tej sprawie specjalny komunikat.

Nie wiem dlaczego Paweł Wojtunik był tak ostrożny, że nie chciał omawiać faktów publicznie znanych. Mam nadzieję, że skomentuje te pytania na niejawnym posiedzeniu Nadzwyczajnej Komisji Senackiej. Szkoda tylko, że szczegóły jego wypowiedzi i opinii nie będą publicznie znane. 

A przydałoby się, żeby opinia publiczna dowiedziała się, jak CBA zdecydowało się, przepłacając wielokrotnie, na zakup niepotrzebnego i niebezpiecznego systemu, który w rzeczywistości mógłby się przydać co najwyżej policji politycznej, ale nie profesjonalnym służbom specjalnym.

O autorze