Zdjęcie ilustracyjne: Pixabay

Oprogramowanie szpiegowskie Hermes zostało kupione przez Prokuraturę Krajową bez przetargu, mimo że na rynku były konkurencyjne oprogramowania nawet czterokrotnie tańsze – poinformowała w środę rzeczniczka Prokuratury Regionalnej w Rzeszowie prok. Dorota Sokołowska-Mach.

Śledztwo dotyczące nabycia i wykorzystania przez Prokuraturę Krajową oprogramowania szpiegowskiego Hermes, oferowanego przez izraelską firmę NSO Group Technologies Ltd prowadzi Prokuratura Regionalna w Rzeszowie.

Były tańsze oprogramowania

Rzeczniczka tej prokuratury prok. Dorota Sokołowska-Mach poinformowała w środę, że zakupu oprogramowania Hermes od firmy Q Cyber Technologies Sarl z siedzibą w Luksemburgu (podmiotu powiązanego z NSO Group Technologies Ltd) bez przeprowadzenia przetargu dokonano, mimo że pracownicy Prokuratury Krajowej ustalili, że na rynku były konkurencyjne oprogramowania, oferowane przez przedstawicieli firm mających siedziby w Polsce, w cenach nawet czterokrotnie niższych niż oprogramowanie NSO Group Technologies Ltd.

– Decyzję o odstąpieniu od procedury przetargowej uzasadniono masowym wykorzystywaniem komunikacji internetowej, a w szczególności mediów społecznościowych, do popełniania w okresie pandemii COVID-19 czynów zabronionych (zwłaszcza oszustw) oraz tezą, że przekazanie publicznie informacji o zamówieniu tego rodzaju systemu, a w szczególności o stawianych mu wymogach, mogłoby utrudnić skuteczne ściganie tych przestępstw – wyjaśniła prokurator.

Wydali 2 mln euro

Jak wynika ze zgromadzonego dotychczas materiału dowodowego, zakupu Hermesa nie poprzedzono weryfikacją zapotrzebowania jednostek organizacyjnych prokuratury, prowadzących lub nadzorujących postępowania przygotowawcze, na dokonywanie tego rodzaju sprawdzeń.

Prokurator przypomniała, że w pierwszym roku użytkowania oprogramowania Hermes, który został kupiony za łączną kwotę 2 mln euro, wykonano sprawdzenia (określone jako analizy) tylko w 52 sprawach, przy czym część z nich została dokonana w Prokuraturze Krajowej bez formalnego zlecenia ze strony prokuratorów prowadzących postępowania, a w niektórych przypadkach wykonane analizy w ogóle nie zostały tym prokuratorom przekazane lub zostały przekazane po zakończeniu postępowań.

Będą przesłuchania

Dodała, że w ramach postępowania prokurator wystąpił z Europejskim Nakazem Dochodzeniowym do Luksemburga o przesłuchanie w charakterze świadków przedstawicieli spółki Q Cyber Technologies SARL w celu ustalenia m.in. wszystkich funkcjonalności oprogramowania Hermes, przebiegu procesu negocjacji cenowych oraz obsługi i serwisowania tego oprogramowania.

Poinformowała też, że od wyników tych czynności będzie zależeć, czy prokurator wystąpi z podobnym wnioskiem w drodze międzynarodowej pomocy prawnej do izraelskich organów ścigania (w związku z siedzibą producenta Hermesa – firmy NSO Group Technologies Ltd).

Nie weryfikowano oprogramowania i algorytmów przetwarzania danych

Prok. Sokołowska-Mach zaznaczyła, że ze zgromadzonych w śledztwie dowodów wynika, że przed wdrożeniem Hermesa do stosowania nie zweryfikowano ani we własnym zakresie, ani nie zlecono takiej niezależnej od producenta i dystrybutora weryfikacji zasad działania oprogramowania, źródła czy sposobu pozyskania danych.

– W tym zwłaszcza dla funkcjonalności określonych jako +dostęp do baz danych podmiotów trzecich+ i +dostęp do baz danych wyciekowych+. Oprogramowanie nie zawierało wskazania dotyczącego identyfikacji źródła pochodzenia danych z baz wyciekowych – zaznaczyła rzeczniczka prokuratury.

Nie zweryfikowano także algorytmów przetwarzania danych i dostępu przez producenta do informacji o sprawdzeniach dokonywanych przez Prokuraturę Krajową.

Nic nie wiadomo o testach i certyfikatach bezpieczeństwa

Prok. Sokołowska-Mach zwróciła uwagę, że wsparcie techniczne systemu realizowane było przez producenta m.in. zdalnie i bez udziału pracowników PK.

– W toku postępowania nie ustalono dotychczas, by dostawca lub producent przedstawił informacje o poddaniu oprogramowania jakimkolwiek niezależnym testom lub by uzyskało ono jakiekolwiek niezależne certyfikaty bezpieczeństwa – podkreśliła prokurator.

Ponadto przy zakupie oprogramowania nie przewidziano obniżenia wynagrodzenia należnego dostawcy w przypadku, gdyby nastąpiła awaria i system by nie pracował, niezależnie od czasu jej trwania. Przewidziano jedynie karę umowną o maksymalnej wysokości wielokrotnie niższej od ceny zakupu.

– Stosowne postanowienia wprowadzono dopiero do aneksu w związku z przedłużaniem umowy – zaznaczyła rzeczniczka.

I nie było gwarancji

Śledztwo wykazało też, że firma Q Cyber Technologies Sarl nie udzieliła gwarancji prawidłowego działania produktu.

– Zastrzeżono natomiast, że wszelkie spory dotyczące umowy podlegać będą prawu Anglii i Walii, a wyłączna jurysdykcja przysługuje właściwym sądom w Londynie – poinformowała prokurator.

Dodała, że z zabezpieczonych w toku śledztwa dokumentów wynika, że przed podpisaniem umowy nie przeprowadzono w Prokuraturze Krajowej jakiejkolwiek analizy konsekwencji tych klauzul.

Czeka na kontrolę NIK

W najbliższym czasie prokuratura uzyska cząstkowe opinie biegłych z zakresu informatyki z Biura Badań Kryminalistycznych Agencji Bezpieczeństwa Wewnętrznego w Warszawie. Jak wyjaśniła prokurator, powinny one pozwolić m.in. odtworzyć na podstawie zabezpieczonych logów systemowych, historii wyszukiwania informacji przy wykorzystaniu oprogramowania Hermes oraz na analizę korespondencji elektronicznej z kont pocztowych wytypowanych osób, zgromadzonej na serwerach pocztowych Prokuratury Krajowej.

Prokuratura oczekuje także sprawozdania NIK w Rzeszowie po zakończonej kontroli w Prokuraturze Krajowej, w zakresie legalności, celowości i rzetelności zakupu Hermesa, a zwłaszcza odstąpienia od procedury przetargowej (przewidzianej w ustawie z 29 stycznia 2004 r. Prawo zamówień publicznych).

Rzeczniczka Prokuratury Regionalnej zapewniła, że cały czas w śledztwie prowadzone są również inne czynności dowodowe.

(oprac. red/PAP)

Reklama