Zdaniem przedstawicieli NIK zainfekowany miał być m.in. telefon Jakuba Banasia – syna i doradcy społecznego prezesa NIK – oraz urzędnika zajmującego się kontrolą budżetu państwa. Rząd zarzuca Izbie brak konkretów i niepodjęcie działań przewidzianych w ustawie.
Wczoraj Najwyższa Izba Kontroli miała przekazać bardziej szczegółowe informacje dotyczące domniemanych prób inwigilowania jej kontrolerów i pracowników. Jednak na zwołanej w tym celu konferencji nie dowiedzieliśmy się właściwie niczego, o czym media (m.in. TVN24 i RMF) nie rozpisywałyby się już w piątek. Podczas spotkania przedstawiono wykres pokazujący „zdarzenia na urządzeniach mobilnych, których charakterystyka wskazuje na użycie oprogramowania szpiegującego w korelacji z działalnością NIK”. Wynika z niej, że od 23 marca 2020 r. do 23 stycznia 2022 r. przeprowadzono 7300 cyberataków na łącznie 545 urządzeń. Najwięcej prób miało miejsce w czasie kontroli przez NIK prezydenckich wyborów korespondencyjnych w 2020 r., kilka miesięcy temu przy prezentacji wyników kontroli Funduszu Sprawiedliwości, czy pod koniec 2021 r., gdy kolegium NIK miało zdecydować o planie kontroli na bieżący rok.
– Cyberataków, podobnie jak inne instytucje publiczne, doświadczamy na co dzień dużo więcej. I to właśnie dzięki pomocy zewnętrznych ekspertów byliśmy w stanie odsiać tych 7,3 tys. zdarzeń, które z dużą dozą prawdopodobieństwa miały charakter działań inwigilacyjnych. Nie przesądzamy, czy wykorzystano do tego Pegasusa, czy nie. To media skleiły te dwie sprawy ze sobą – twierdzi nasz rozmówca z Izby. – O problemie i jego skali dowiedzieliśmy się w trakcie audytu w NIK, który zaczął się jakieś dwa miesiące temu – dodaje.
Przedstawiciele Izby mówili o bezprecedensowej skali ataków „nieznanych w 103-letniej historii” tej instytucji. Obecny na konferencji ekspert zewnętrzny, którego tożsamość utajniono, nie był w stanie potwierdzić, czy mamy do czynienia z atakami przy wykorzystaniu oprogramowania Pegasus. – Na chwilę obecną nie możemy wykluczyć żadnego scenariusza. Dane do tej pory zebrane wskazują na anomalie, których hipotezą roboczą jest użycie tego typu oprogramowania – stwierdził. Jak wskazał, jednym z podstawowych aspektów jest to, jak działają licencje na oprogramowanie Pegasus. – Wiele osób uważa, że potrzeba ich tyle, ile osób było inwigilowanych. Niestety jest inaczej. Licencja nie ogranicza sumarycznej liczby zaatakowanych urządzeń, ogranicza jedynie równoczesne inwigilowanie określonej liczby urządzeń – powiedział.
– Na dziś mamy podejrzenia, że zainfekowane były trzy urządzenia osób z najbliższego otoczenia prezesa Mariana Banasia. Jednym z tych urządzeń jest telefon doradcy społecznego Jakuba Banasia. Telefon ten zostanie przekazany do laboratorium Citizen Lab do dalszej analizy – poinformował Grzegorz Marczak, kierownik wydziału bezpieczeństwa NIK. Jak nieoficjalnie słyszymy, zainfekowana mogła też być karta SIM w laptopie urzędnika zajmującego się kontrolą budżetu państwa. – A to nie to samo co włamanie na służbowy telefon. Jeśli atakujący mieli dostęp do służbowego komputera i to takiego urzędnika, to właściwie mogli mieć dostęp do wszystkiego – przekonuje nasz rozmówca.
– Kapiszon – krótko wczorajszą konferencję ludzi Mariana Banasia komentuje nasz rozmówca z rządu. – Miało być 500 urządzeń z Pegasusem, a finalnie są trzy z podejrzeniem ingerencji. Media zostały nabrane – przekonuje.
Także rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn nie szczędzi krytyki przedstawicielom NIK. „Konferencja komentuje się sama. Wielkie słowa, szokujące zapowiedzi, zero konkretów. Przedstawiono hipotezy, założenia i scenariusze, których «na tym etapie nie można wykluczyć»” – napisał na Twitterze. Jak dodał, pomimo ustawowego obowiązku Izba nie powiadomiła zespołu CSIRT GOV (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego – red.) o potencjalnie niebezpiecznych zdarzeniach dotyczących bezpieczeństwa teleinformatycznego sieci i systemów NIK. W myśl ustawy o KSC takie zgłoszenie powinno trafić do CSIRT GOV w ciągu 24 godzin od wykrycia incydentu – wskazuje Żaryn.
– Dysponujemy w NIK zasobami kadrowymi i technologiami dającymi poczucie bezpieczeństwa – zapewnił na konferencji Janusz Pawelczyk, radca prezesa Banasia.
Sprawa Pegasusa zatacza coraz szersze kręgi także za granicą. Wczoraj izraelskie media podały, że tamtejsza policja używała tego oprogramowania przeciwko urzędnikom państwowym, dziennikarzom, aktywistom czy świadkom w procesie byłego premiera Benjamina Netanjahu. Rząd Izraela już zapowiedział powołanie państwowej komisji ds. zbadania nielegalnych podsłuchów.