W środę przed sejmową komisją śledczą ds. Pegasusa zeznaje funkcjonariusz Agencji Bezpieczeñstwa Wewnêtrznego (w materiałach komisji występuje jako świadek nr 1). Na początku posiedzenia przewodnicząca komisji Magdalena Sroka pytała, czy ABW wydała akredytację dla oprogramowania Pegasus.
Zeznania funkcjonariusza ABW na komisji ds. Pegasusa
– Akredytacją bezpieczeństwa jest kompleksowa ocena bezpieczeństwa systemów teleinformatycznych. Należy jednak pamiętać, że zgodnie z ustawową definicją systemem teleinformatycznym jest zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania. Tutaj należałoby zadać sobie pytanie, czy potoczne rozumienie określania systemu Pegasus jest zbieżne z jego ustawową definicją – powiedział świadek. Jak dodał, „z doniesień medialnych wynika bardziej, że tutaj posłużono się pewną usługą lub oprogramowaniem, zakupionym od strony trzeciej, a nie systemem teleinformatycznym w ustawowym rozumieniem, czyli nie czymś, co jest przedmiotem akredytacji bezpieczeństwa systemu teleinformatycznego”.
Jak podkreślił, „zgodnie z dokumentacją bezpieczeństwa analizowaną czy to w ABW, czy SKW i wynikami audytu, wydawane jest ewentualne świadectwo w przypadku pozytywnej oceny dokumentacji, jak i pozytywnych wyników audytu bezpieczeństwa systemu”.
„W ABW nie zostało wydane świadectwo dla systemu pod nazwą Pegasus”
Następnie Sroka zapytała, czy dysponent systemu zwrócił się do ABW o przeprowadzenie sprawdzeń. – Jeżeli chodzi o część jawną, mogę powiedzieć, że zgodnie z moją wiedzą w Agencji Bezpieczeństwa Wewnętrznego nigdy nie zostało wydane świadectwo dla systemu pod nazwą Pegasus dla CBA – ocenił.
Świadek zwrócił uwagę na przepisy Ustawy o ochronie informacji niejawnych, które umożliwiają wyłączenia z obowiązku akredytacji. Dopytywany, czy Pegasus powinien być akredytowany, stwierdził, że „nie ma wiedzy, czy „wszystkie elementy systemu Pegasus między rozpoczęciem jego użytkowania przez CBA a 2022 roku znajdowały się w strefach (ochronnych – red.), czy poza nimi”. – Natomiast jeżeli jakikolwiek element systemu znajdował się w strefach ochronnych i w takim systemie były przetwarzane informacje niejawne, a całość spełnia wymogi systemu teleinformatycznego, to obowiązkiem kierownika jednostki organizacyjnej było przedłożenie dokumentacji i rozpoczęcie procesu akredytacji takiego systemu – powiedział.
Następnie wiceprzewodniczący komisji Marcin Bosacki zapytał, czy ABW wydała lub odmówiła wydania akredytacji na inaczej nazywający się system. Poseł podał nazwę „Jarvis”. Pod nią w Polsce miał, według doniesień medialnych, funkcjonować Pegasus. – Taka nazwa na żadnym świadectwie akredytacji również się nie pojawiła – powiedział świadek.