Jak powiedział w rozmowie z PAP dr Adam Behan, pracownik Katedry Prawa Karnego UJ oraz Wydziału Informatyki, Elektroniki i Telekomunikacji AGH w Krakowie, współcześni przestępcy niemal wyłącznie komunikują się za pośrednictwem komunikatorów internetowych, w tym aplikacji wykorzystujących szyfrowanie end-to-end. Ten typ szyfrowania powoduje, że tylko odbiorca i nadawca mają dostęp do wiadomości.

- Przesyłanych w ten sposób wiadomości czy rozmów nie da się skutecznie przechwycić bez uzyskania dostępu do samego urządzenia, np. poprzez zainstalowanie na smartfonie oprogramowania szpiegującego. Problem polega na tym, że w polskim prawie brakuje jednoznacznej podstawy do przełamywania zabezpieczeń systemów informatycznych w celu prowadzenia kontroli operacyjnej, czyli do włamywania się na telefony po to, aby podsłuchiwać komunikację lub pozyskiwać dane z urządzenia - podkreślił dr Behan.

Wyjaśnił, że zgodnie z obowiązującymi przepisami, za zgodą sądu i przy udziale prokuratora, służby w ramach kontroli operacyjnej mogą m.in.: uzyskiwać i utrwalać treści rozmów prowadzonych przy użyciu środków technicznych, w tym za pomocą sieci telekomunikacyjnych (tzw. podsłuch). Mogą też: utrwalać obraz lub dźwięk osób znajdujących się w pomieszczeniach, środkach transportu lub innych miejscach niepublicznych (np. ukrytą kamerą czy mikrofonem); uzyskiwać i utrwalać treści korespondencji, w tym korespondencji elektronicznej, a także uzyskiwać dane zawarte w informatycznych nośnikach danych.

- Nie rozstrzyga to jednak wprost najważniejszego problemu: czy na tej podstawie wolno przełamywać zabezpieczenia urządzenia i instalować na nim oprogramowanie pozwalające na pełne przejęcie kontroli nad telefonem - podkreślił ekspert.

Dodał, że obowiązujące przepisy dotyczące kontroli operacyjnej powstawały przed erą powszechnego korzystania z komunikatorów szyfrowanych end-to-end i przed ujawnieniem możliwości systemów takich jak Pegasus.

- Wobec braku przepisów wprost odnoszących się do przełamywania zabezpieczeń urządzenia, służby próbują wyprowadzać takie uprawnienia z istniejących regulacji dotyczących kontroli operacyjnej. W jaskrawy sposób pokazały to przesłuchania przed sejmową komisją śledczą ds. Pegasusa, podczas których funkcjonariusze służb wprost prezentowali taką wykładnię przepisów. Jest to jednak w istocie wykładnia rozszerzająca, służąca dostosowaniu starych przepisów do nowych technologii. Trafnie w tym kontekście wielu prawników wskazuje, że tak daleko idąca ingerencja w prywatność, tajemnicę komunikowania się i prawa obywatelskie wymaga wyraźnej, precyzyjnej podstawy ustawowej oraz realnej kontroli sądowej - zaznaczył ekspert.

Według prawnika, wiceprezesa Fundacji Panoptykon Wojciecha Klickiego, aby służby mogły korzystać z narzędzi szpiegowskich do walki np. z cyberterroryzmem, rząd będzie musiał najpierw wprowadzić zmiany w prawie. Jego zdaniem na takie plany wskazuje rządowa strategia cyberbezpieczeństwa, a konkretnie zapowiedź „opracowania systemu umożliwiającego skuteczne utrwalanie treści generowanych przez osoby zaangażowane w działalność terrorystyczną, wykorzystujące komunikatory internetowe”.

Zdaniem Klickiego służby mogą potrzebować legalnego oprogramowania szpiegowskiego w wyjątkowych, prawnie określonych sytuacjach, np. do skutecznego ścigania szpiegów. Podkreślił, że obecnie przepisy nie pozwalają na stosowanie takich środków. - Dlatego zebrane w ten sposób dowody mogą zostać podważone przez sądy. Potrzebujemy zmian prawnych, które zapewnią funkcjonariuszom pewność dotyczącą tego, co mogą robić, a jednocześnie zminimalizują zagrożenia nadmiernej inwigilacji – ocenił Klicki.

Ministerstwo Cyfryzacji, pytane, czy rząd będzie pracował nad wprowadzeniem ram prawnych, które umożliwią służbom legalne stosowanie narzędzi szpiegowskich w działaniach operacyjnych, przekazało, że Polska potrzebuje rozwiązań, które umożliwią skuteczne ściganie terrorystów, szpiegów, oszustów czy pedofilów, i takie rozwiązania zostały ujęte w strategii cyberbezpieczeństwa. „Jednocześnie należy podkreślić, że działania te będą realizowane w sposób proporcjonalny, z pełnym poszanowaniem praw i wolności człowieka i obywatela. W takich przypadkach równolegle niezbędne jest wzmocnienie systemu efektywnej kontroli nad odpowiednimi środkami techniczno-organizacyjnymi” - podał resort.

Dodał, że minister cyfryzacji „będzie zawsze wspierał” rozwiązania adekwatne i efektywne co do ścigania i karania przestępców, z poszanowaniem zasady proporcjonalności i wszystkich wartości chronionych konstytucyjnie, w tym prawa do prywatności.

Jednocześnie MC poinformowało, że „strategia cyfryzacji oraz plany zapewnienia skuteczniejszego ścigania sprawców przestępstw w cyberprzestrzeni nie przewidują w żadnym zakresie wykorzystania narzędzi typu Pegasus”. - W Polsce nie dochodzi do żadnej inwigilacji obywateli i nie będzie dochodzić - zadeklarował wicepremier i szef MC Krzysztof Gawkowski w rozmowie z PAP.

Zaznaczył, że cyberbezpieczeństwo to wspólna odpowiedzialność za państwo, za obywatela, za instytucje publiczne, ale również za firmy. - Przygotowując nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa i towarzyszącą jej strategię cyberbezpieczeństwa, wielokrotnie konsultowaliśmy te dokumenty, pokazując jakie państwo musi wdrożyć środki, żeby obywatele byli bezpieczni i jak powinna wyglądać nowoczesna współpraca państwa i służb w ramach zapewnienia tego bezpieczeństwa. Strategia cyberbezpieczeństwa i Krajowy System Cyberbezpieczeństwa to dwa oddzielne dokumenty, ale wspólna płaszczyzna, która jest kołdrą cyberodporności dla każdego obywatela – powiedział szef MC.

Wskazał też, że cyberterroryzm, o którym w strategii jest mowa wielokrotnie, to „działania grup, zwłaszcza powiązanych z innymi państwami czy obcymi służbami, polegające na różnego rodzaju aktach sabotażu, które mają zachwiać stabilnością systemu państwa”.

- Rosyjskie służby, w tym GRU, wprost deklarują, że chcą w Polsce realizować akty sabotażu, które mają prowadzić na przykład do przerwania dostaw w infrastrukturze krytycznej. Przypominam atak na energetykę, który miał miejsce pod koniec roku i jest wprost powiązany z rosyjskimi służbami. Dla mnie to są akty cyberterroryzmu – mówił wicepremier.

W odpowiedzi na pytania PAP dot. strategii cyberbezpieczeństwa oraz tego, czy potrzebne są zmiany prawne regulujące korzystanie przez służby specjalne z narzędzi szpiegowskich, rzecznik prasowy ministra koordynatora służb specjalnych Jacek Dobrzyński przekazał, że w toku prac nad strategią przedstawiciele ABW zgłaszali postulaty i propozycje, których celem było wzmocnienie kompetencji ABW, co ma umożliwiać skuteczne i efektywne reagowanie na zagrożenia w cyberprzestrzeni.

„Zgodnie z założeniami strategii planowane jest opracowanie kompleksowego ekosystemu regulacji odnoszących się do zwalczania cyberprzestępczości, zabezpieczania elektronicznego materiału dowodowego oraz przeciwdziałania kradzieży tożsamości. Analizie, a w efekcie aktualizacji, poddane zostaną także przepisy dotyczące odpowiedzialności karnej za część cyberprzestępstw” - dodał Dobrzyński.

Podkreślił również, że ABW „podziela potrzebę dbałości o konstytucyjne prawa obywateli przy jednoczesnym skoncentrowaniu się na wprowadzeniu rozwiązań umożliwiających walkę z najpoważniejszymi zagrożeniami w cyberprzestrzeni”.

Zdaniem Wojciecha Klickiego „zalegalizowanie” szpiegowskiego oprogramowania byłoby jednak „atomową ingerencją w prawa i wolności jednostki”. Wymagałoby więc wprowadzenia równie „atomowych” gwarancji dla obywateli. Wśród nich Klicki wymienił zreformowanie procedury wydawania przez sądy jednorazowej zgody na użycie oprogramowania. Chodzi o to, by sądy miały możliwość realnej i głębokiej weryfikacji wniosków służb oraz możliwość bieżącego nadzoru nad działaniami funkcjonariuszy - tłumaczył.

Zdaniem eksperta należy również wprowadzić obowiązkowe informowanie o zakończonej inwigilacji. Chodzi o to, by osoba znajdująca się w kręgu zainteresowania służb mogła, po zakończeniu ich działań i o ile nie zagraża to bezpieczeństwu państwa, dowiedzieć się, że była sprawdzana. - Takie rozwiązanie pozwalałoby osobie poddanej kontroli operacyjnej zakwestionować działanie służb przed sądem. W połączeniu z kontrolą sądową może okazać się to najskuteczniejszą metodą zniechęcającą służby do sprawdzania osób „na wszelki wypadek”. Takie rozwiązanie może też dawać służbom odporność na polityczne naciski – ocenił ekspert.

Podkreślił, że wśród gwarancji powinien znaleźć się również bezwzględny zakaz wykorzystywania przez funkcjonariuszy oprogramowania, które umożliwia modyfikację treści, np. wysyłanie SMS-ów z przejętego urządzenia.

Przepisy dotyczące kontroli operacyjnej są zapisane w ustawach kompetencyjnych poszczególnych służb, np. w ustawie o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu - dla ABW i AW; w ustawie o Służbie Kontrwywiadu Wojskowego – dla SKW.

31 marca br. Rada Ministrów przyjęła projekt ustawy o zmianie niektórych ustaw w celu wzmocnienia nadzoru sądowego nad kontrolą operacyjną. Przepisy, które zostały przygotowane przez koordynatora służb specjalnych Tomasza Siemoniaka, zakładają m.in., że sąd miałby uprawnienie, by żądać informacji o przebiegu kontroli operacyjnej, na którą wydał zgodę.

Zdaniem Wojciecha Klickiego w obecnym brzmieniu projekt nie zwiększa w praktyce kontroli nad działaniami służb.

Pegasus to system, który został stworzony przez izraelską firmę NSO Group do walki z terroryzmem i zorganizowaną przestępczością. Umożliwia odsłuchiwanie rozmów z zainfekowanego smartfonu oraz uzyskanie dostępu do przechowywanych w nim innych danych, np. e-maili, zdjęć, nagrań wideo, oraz dostęp do kamer i mikrofonów.

Z informacji Prokuratora Generalnego przesłanej w kwietniu 2024 r. do Sejmu i Senatu wynika, że w latach 2017-2022 kontrola operacyjna przy użyciu Pegasusa objęła 578 osób, a stosowały ją trzy służby - CBA, ABW i SKW. Prokuratura Krajowa prowadzi śledztwo, które dotyczy przekroczenia uprawnień i niedopełnienia obowiązków przez funkcjonariuszy publicznych w związku ze stosowaniem Pegasusa.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) przygotowana przez Ministerstwo Cyfryzacji weszła w życie na początku kwietnia. Towarzysząca jej strategia cyberbezpieczeństwa została przyjęta przez rząd 10 marca.

Strategia zakłada m.in., że służby mają zyskać nowe, „stosowne i niebudzące wątpliwości” uprawnienia do rozpoznawania i przeciwdziałania zagrożeniom terrorystycznym oraz zwalczania działalności obcych służb specjalnych w polskiej cyberprzestrzeni. W dokumencie zapowiedziano też wprowadzenie do polskiego porządku prawnego nowego kontratypu dla służb. Chodzi o ustawowe wyłączenie bezprawności czynu funkcjonariusza w sytuacjach, gdy dane działanie odbywa się w ramach jego ustawowych zadań, służy ochronie interesu publicznego oraz podlega określonym warunkom legalności i nadzoru.

Monika Blandyna Lewkowicz (PAP)

mbl/ mmu/ akar/