W związku z informacją podaną przez media, że Prokuratura otrzymała Wystąpienie  pokontrolne z kontroli przeprowadzonej przez Agencję Bezpieczeństwa Wewnętrznego w Centralnym Biurze Antykorupcyjnym w zakresie ochrony informacji niejawnych w związku z użytkowaniem tzw. systemu Pegasus, które ma wskazywać na konieczność akredytacji ww. systemu na podstawie art. 48 ust. 1 ustawy o ochronie informacji niejawnych, pozostaje nam wyrazić  nie tylko zadziwienie, ale również zaniepokojenie odkrywczym charakterem tego wniosku po 15 latach obowiązywania ustawy o ochronie informacji niejawnych. A ponieważ nie zgadzamy się z nim, wiedząc, że może wywołać przewrót o „antykopernikańskiej” mocy, przedstawiamy poniżej najważniejsze kwestie, które temu wnioskowi przeczą lub wskazują na jego instrumentalny charakter:

1. Obowiązek akredytacji, o której mowa we art. 48 ust. 1 uoin, dotyczy wyłącznie systemów, w których mają być przetwarzane informacje niejawne i nie ma zastosowania do badanego przypadku. Nie tylko naszym zdaniem, ale można by rzec, że całej ludzkości kontaktującej się za pomocą aparatów komórkowych, może z wyjątkiem Komisji do spraw tzw. Pegasusa i twórców ww. Wystąpienia, informacje w naszych telefonach w formie plików tekstowych, podobnie jak rozmowy prowadzone za ich pośrednictwem, są co do zasady jawne dla komunikujących się, czyli materialna przesłanka niejawności w rozumieniu uoin nie dotyczy treści wiadomości tekstowej, ale odnosi się do sposobu jej pozyskania. Inaczej mówiąc, chronione jest pozyskiwanie i utrwalanie danych zawartych w urządzeniach końcowych, dlatego też organ pozyskujący ochrania wszystko, co może wskazać na jego zainteresowanie operacyjne, m.in. na wniosek o kontrolę operacyjną nakłada klauzulę tajności, chroni fakt pozyskiwania informacji za pośrednictwem konkretnego systemu czyli regulaminom, zarządzeniom czy też technicznym wydrukom z systemu, które co do zasady mogłyby być jawne, gdyby nie okoliczności „operacyjne”, nadaje się klauzulę tajności, ogranicza fizyczny dostęp do bezwzględnego minimum itp. Powyższa uwaga dotyczy również tzw. KKI czyli kontroli korespondencji internetowej, która też dotyczy treści co do zasady jawnych.
2. W przypadku systemów, które nie przetwarzają informacji niejawnych, tylko służą do pozyskania i utrwalenia informacji w sposób niejawny, o czym była mowa powyżej, akredytacji się nie przeprowadza. Wyjątek od wyjątku, wyróżnionego explicite w ustawie stanowią interfejsy u operatorów telekomunikacyjnych, które są akredytowane przez ABW, ponieważ operatorzy pośredniczą w niejawnym sposobie pozyskiwania treści rozmów. I również w tym przypadku nikt nie wykazuje, że w systemach operatorów przetwarzane są informacje niejawne, co najwyżej mówi się o tajemnicy telekomunikacyjnej związanej z szeroko pojętą ochroną, w tym danych osobowych, w trakcie świadczenie usług telekomunikacyjnych. Oczywiście, nie możemy wykluczyć, że istnieją systemy łączące te trzy funkcje tj. pozyskują, utrwalają i jednocześnie przetwarzają informacje, nadając im charakter niejawny w związku z prowadzoną konkretnie sprawą, dla której zostały pozyskane i utrwalone, i wtedy zapewne podlegają akredytacji, na podstawie art. 48 uoin, ale w tym przypadku taka okoliczność nie zachodzi.
3. Wskazany wyżej system przeznaczony jest do pozyskiwania i utrwalania informacji jawnych w sposób niejawny, a więc może mieć do niego zastosowanie wyjątek określony w art. 51 ust. 1 uoin lub procedury stosowane przy KKI. Cechą wspólną obu przypadków jest moment „utrwalenia” informacji w systemie, a następnie wyeksportowanie ich do środowiska akredytowanego, w którym przetwarzane są już jako informacje niejawne, ponieważ stanowią część konkretnej sprawy, która stanowi materialną podstawę ich klasyfikacji. Tu warto wspomnieć, że system akredytowany wymaga strefy ochronnej, a więc pozyskanie i utrwalenie zawsze będzie związane z działaniem w dwóch środowiskach, poza strefą ochronną (np. łańcuchy anonimizujące) i w strefie, w której ostatecznie musi nastąpić końcowe przeniesienie utrwalonej informacji do systemu akredytowanego.
4. Kolejną kwestią do odmitologizowania jest pogląd, że akredytacja daje stuprocentową pewność, że system jest bezpieczny i że jest jedynym sposobem zagwarantowania bezpieczeństwa systemowi. Jest ona konieczna, bo jest formalnym obowiązkiem wynikającym z ustawy, ale stosowanym wyłącznie do tych systemów, które przetwarzają informacje niejawne, na co wskazywano już powyżej. Ogólnie rzecz ujmując, akredytacja nie służy osiągnięciu stuprocentowej pewności, ponieważ takiej nie uzyskuje się nigdy, mamy co najwyżej stan, w którym istnieje ryzyko szczątkowe możliwe do zaakceptowania, po przejściu pozytywnie określonych sprawdzeń. Jest więc procedurą związaną z pakietem wystandaryzowanych czynności, o charakterze w większości dokumentacyjnym, ale również testowym, dzięki którym w akredytowanym systemie można zacząć przetwarzać informacje niejawne w sposób względnie bezpieczny, ale i tak podlegający ciągłemu monitorowaniu przez gestora w tzw. zarządzaniu ryzykiem. Procedura ta kończy się wydaniem tzw. świadectwa akredytacji bezpieczeństwa dla konkretnego systemu teleinformatycznego, w którym zakłada się, że będą przetwarzane informacje niejawne lub w którym przeprowadza się kolejną procedurę akredytacji w związku z mijającym terminem ważności ww. świadectwa. Piszemy o tym nie bez przyczyny, ponieważ ustawodawca, tworząc wyjątki w obowiązku akredytacji, nie pozbawił ochrony określonych systemów, tylko ukształtował tę ochronę w inny sposób, uwzględniając szereg czynników, z których jeden jest kluczowy – ochrona czynności operacyjno-rozpoznawczych. Zobligował do niej gestora innymi przepisami odnoszącymi się do ochrony czynności operacyjno-rozpoznawczych, a więc środków, metod i form pracy operacyjnej, funkcjonariuszy pod przykryciem i osób udzielających pomocy, do której gestor dostosował odpowiednie procedury, zbudował odpowiednią infrastrukturę głęboko zakonspirowaną i pozyskał wykwalifikowaną kadrę, która również jest odpowiedzialna za bezpieczeństwo teleinformatyczne, nie tylko na początku przeprowadza testy bezpieczeństwa przy zakupie systemu, ale w ramach zarządzania ryzykiem musi monitorować go permanentnie w imieniu gestora, bo inaczej narazi na szkodę interes prowadzonych czynności operacyjno-rozpoznawczych, do których organ został ustawowo zobowiązany. Należy również podkreślić, że ochrona takiego systemu to absolutny know-how każdej służby, dlatego takich systemów nie naraża się na podwyższone ryzyko dekonspiracji w procedurze akredytacyjnej. I to nie jest kwestia braku zaufania do służb akredytujących systemy, ale zarządzania ryzykiem, w tym przypadku minimalizowaniem podatności przy wysokim poziomie zagrożeń. Zważywszy, że badany system nie przetwarza informacji niejawnych, o czym była mowa powyżej, trudno o inny wniosek, że ABW przeprowadzające taką akredytacje naraziłoby się na przekroczenie uprawnień.
5. Jeśli już ABW przesądziła o akredytacji bez podstawy prawnej, co już brzmi kuriozalnie, ale to właśnie staraliśmy się rzetelnie wykazać, to zwróćmy uwagę na faktyczne uwarunkowania, które brane były pod uwagę przez ABW nie tylko w reżimie obecnej, ale i wcześniej ustawy, a teraz z nieznanych nam względów zostały pominięte. A mianowicie, że system teleinformatyczny, jakim jest tzw. Pegasus, połączony bezpośrednio z siecią internet w celu wymiany informacji z tą siecią, nie może przetwarzać informacji niejawnych, ponieważ nigdy nie uzyska akredytacji bezpieczeństwa teleinformatycznego, według reguł dotychczas obowiązujących w tej procedurze i jak chcemy wierzyć, którym ABW nie zamierza zaprzeczać. W tych okolicznościach trudno nie interpretować wniosku o akredytację systemu jako działanie instrumentalne, w którym post factum próbuje się fałszywie pokazać, że system był niezabezpieczony, wiedząc, że akredytacja w tym zakresie nie ma zastosowania. System zakupiony w celu pozyskiwania i utrwalana dowodów należy bowiem do równolegle funkcjonującego we wszystkich służbach szeregu narzędzi informatycznych i systemów, których bezpieczeństwo wynika z innych procedur niż ta, określona w art. 48 uoin, ponieważ wskazane wyżej uwarunkowania techniczne eliminują jego zastosowanie. ABW, tworząc taki casus, wygeneruje cały szereg systemowych problemów, a co najważniejsze niczego swoim działaniem nie zabezpieczy skutecznie, co najwyżej zuboży polskie służby w instrumenty gwarantujące skuteczną walkę z przestępczością.
6.  Na pewno w psuciu skuteczności w walce z przestępczością szkodliwą rolę odegra naiwne założenie, że akredytacja systemowa w wersji wypracowanej w wieloletniej praktyce przez ABW i SKW, mogłaby objąć produkty oferowane na rynku z przeznaczeniem do prowadzenia kontroli operacyjnej, które należą do wysoko zaawansowanych technologii. Ich producenci w warunkach konkurencji rynkowej i działań z zakresu technologicznego foresightu, nie będą dobrowolnie podporządkowywać się wymogom wyjawiania szczegółów technologicznych i innych, służących celom zbiurokratyzowanej akredytacji, ponieważ kierują się prymatem w zabezpieczeniu dóbr wynikających z tajemnicy przedsiębiorstwa, odnoszącej się do informacji handlowych, organizacyjnych i technicznych, nie mówiąc już o ochronie własności przemysłowej i praw autorskich czy innych tajemnic, które kształtują ich relacje z różnymi klientami, również państwowymi związanymi z bezpieczeństwem narodowym. A wtedy również przechodzą dodatkowe procedury uwierzytelniające ich wiarygodność, umożliwiające sprzedaż swoich produktów podmiotom państwowym, tak jak w przypadku podmiotu pośredniczącego w sprzedaży badanego systemu, który posiadał świadectwo bezpieczeństwa przemysłowego wydane przez ABW. Niestety konsekwencje szumu medialnego z akredytacją mogą być bardzo wymierne, z czego zapewne ABW zdaje sobie sprawę, wiedząc co może oznaczać dla bezpieczeństwa państwa spadek możliwości nabywania takich narzędzi w sytuacji, w której sami podobnych nie produkujemy. Poza tym należy podkreślić, że producenci w zakresie swojej wiarygodności komercyjnej są bardzo otwarci, ponieważ nie tylko znają wymagania runku w zakresie bezpieczeństwa, czyli oczekiwań potencjalnych nabywców, ale właśnie ich celem jest wyprodukowanie takiego produktu, który w tym zakresie będzie najbardziej skuteczny tj. odporny na kompromitację. Na etapie ofert dają możliwość zbadania swoich produktów, w tym umożliwiają dotarcie do istotnych parametrów, które zainteresowany ofertą może zweryfikować podczas testów, żeby móc dokonać odpowiedniego wyboru i ustalić warunki dalszej współpracy związanej z ewentualnym serwisowaniem. Tacy producenci mają bardzo wysokie standardy ochrony, z kolei służby mają odpowiednią infrastrukturę i kadrę do zarządzania ryzykiem, jeśli stają się gestorem takich systemów. Zresztą tak jak pisaliśmy wcześniej, akredytacja nie zwalnia z zarządzania ryzykiem i jest obowiązkiem gestora systemu, bez względu na to, czy jest to system akredytowany.
7. Nie mamy wątpliwości, że powyższe argumenty podzielają funkcjonariusze wszystkich uprawnionych podmiotów do prowadzenia czynności operacyjno-rozpoznawczych z wykorzystaniem różnych form kontroli operacyjnej, ponieważ jest to ich codzienność. Niestety sposób prowadzenia przesłuchań w Komisji do spraw tzw. Pegasusa i towarzyszący jej już kilka lat medialnie sterowany spektakl, wprowadzają zamęt po to, żeby nawet funkcjonariuszy pozbawić pewności, że działania ich były zgodne z prawem i w celach, jak najbardziej szlachetnych, czyli służących obywatelom. Na pewno na takie nieodpowiedzialne działania czekają przestępcy, którzy wraz z tymi politykami uznającymi się za pokrzywdzonych, będą mogli podważać materiał dowodowy zgromadzony w śledztwie, tylko dlatego, że po medialnym suflowaniu akredytacji wreszcie ABW potwierdziła, że system powinien być akredytowany, a więc dlaczego nie skorzystać z możliwości podważenia dowodów pozyskanych na jego podstawie. Biorąc pod uwagę, że w zakresie bezpieczeństwa nie wykazano żadnych poszlak, które potwierdzałyby ingerencję w system, to koncentrowanie uwagi na akredytacji, która właśnie tego systemu nie dotyczy, jest działaniem pozbawionym profesjonalizmu i odpowiedzialności za państwo.
8. Ponadto Komisja do spraw tzw. Pegasusa od początku prowadzi tendencyjne narracje, jakby nie brano pod uwagę, że medialne wałkowanie kilku opinii prawnych, w których sformułowano pewne wątpliwości przed nabyciem badanego systemu, nie mają wartości dowodowej, jaką im się przypisuje. Przede wszystkim wskazują one na rzetelnie prowadzoną procedurę, w której nie musi być jednomyślności, bo na etapie przed zakupem systemu jest to dodatkowa gwarancja, że podjęcie decyzji nie jest nieprzemyślane i niedostosowane do istniejących warunków technicznych, prawnych i organizacyjnych, które końcowo ocenia się bez stronniczości, z poszanowaniem obowiązujących przepisów i zgodnie z zasadą proporcjonalności w zakresie ujawnionych wątpliwości. Ponadto widać, że sposób wypowiadania się członków Komisji służy z góry określonemu celowi i wyznacza kierunek prowadzonych śledztw, z których Prokuratura komunikuje tylko te informacje, które mają potwierdzać suflowane przez Komisje twierdzenia, a termin „akredytacja” wraz ze zdaniem, że „system przetwarza informacje niejawne”, to już niemalże aksjomat. Obecnie wygląda na to, że już nie tylko sędziowie byli okłamywani, ale teraz prokuratorzy, sami funkcjonariusze i ich zwierzchnicy, ponieważ w tym kierunku płynie strumień nonsensu produkowanego przez członków Komisji. Pomija się lub nadaje pewnym okolicznościom inne znaczenia, szczególnie w odniesieniu do faktu, że z badanego systemu nie korzystało tylko CBA, ale również Policja i co najważniejsze Krajowa Władza Bezpieczeństwa czyli właśnie ABW, wspomagane w sferze wojskowej przez SKW. Podjęcie takiej współpracy jest jednoznacznym dowodem, że analizy ryzyka były na pewno podejmowane, w tym w formie pisemnej. Dlaczego nie cytuje się tych opinii, które uzasadniają przystąpienie do korzystania z tego systemu i stanowią dowód na prowadzenie działań zgodnie z obowiązującymi przepisami. Łatwiej teraz stwarzać wrażenie, że w takich sprawach najważniejsza jest wątpliwość, a nie to, że podjęto decyzję mającą oparcie w przepisach po uprzedniej analizie zgłoszonej wątpliwości. Łatwiej suflować, że dziesiątki funkcjonariuszy, sędziów, urzędników, prokuratorów brało udział w jakiejś grupie przestępczej, ponieważ dzięki stwarzaniu takiej narracji nikt nie chce się merytorycznie wychylać, a tym bardziej głośno protestować.
9. Mając na względzie cały szereg wykazanych argumentów, ostatecznie trudno nam uwierzyć, że w przeprowadzonej kontroli ABW mogło dojść do tak kuriozalnego wniosku, że system nieprzetwarzający informacji niejawnych podlega akredytacji. Jeszcze kilka miesięcy temu przesłuchiwany na Komisji Szef CBA – Pani Kwiatkowska-Gurdak, jednoznacznie i z zadowoleniem akcentowała, że czytała już Protokół z kontroli przeprowadzonej przez ABW i nie wniosła żadnych zastrzeżeń, ponieważ przyjęła go z zadowoleniem i czeka na Raport pokontrolny. Czyżby nie zgłaszała zastrzeżeń w sytuacji, w której ustalenia świadczyłyby o nieprawidłowościach, szczególnie dotyczących tzw. Systemu Pegasus, skoro jemu głównie dedykowana była ta kontrola? Co się takiego wydarzyło, że zgromadzony materiał dowodowy pierwotnie nie dawał podstaw do sformułowania nieprawidłowości, a po kilku miesiącach obowiązek akredytacji expressis verbis wpisany został do Wystąpienie pokontrolnego, które trafiło do Prokuratury, prowadzącej śledztwo w wątku obejmującym bezpieczeństwo tego systemu? Swoje wątpliwości nie opieramy wyłącznie na wrażeniu, ale na pragmatyce kontrolnej, która dotyczy nie tylko sposobu przeprowadzenia czynności kontrolnych, ale również ich udokumentowania, które musi być zgodne z przepisami prawa, jak również przedstawiać faktycznie przeprowadzone czynności i ustalenia. Powołując się na § 16 ust. 2 pkt. 5  Rozporządzenia Rady Ministrów z dnia 27 kwietnia 2011 r. w sprawie przygotowania i przeprowadzania kontroli stanu zabezpieczenia informacji niejawnych, wskazujący, że: Protokół kontroli powinien zawierać (…) opis stwierdzonego w wyniku kontroli stanu faktycznego, w tym ustalonych nieprawidłowości, z uwzględnieniem przyczyn ich powstania i zakresu, nie mamy wątpliwości, żewykazany przez Panią Agnieszkę Kwiatkowską-Gurdak optymizm, że kontrola dla CBA okazała się pomyślna, nie był bezzasadny. Jeśli w protokole tym nie pojawiły się ustalenia świadczące o nieprawidłowościach dotyczących braku akredytacji, do ujęcia których ABW była zobligowana przepisem prawa, to słusznie wywnioskowano, że takich nieprawidłowości w jednostce kontrolowanej nie stwierdzono. Skąd więc ta nagła zmiana? Wprowadzenie tej nieprawidłowości do Wystąpienia pokontrolnego i ogłoszenie jej w mediach przez Prokuraturę, która zakładamy przez kilka miesięcy prowadzenia śledztwa zebrała na pewno wiele innych wyjaśnień w tej sprawie, jest kolejną poszlaką wskazującą na instrumentalne prowadzenia medialnej narracji i chęć postawienia zarzutów, wpisujących się w polityczne oczekiwania.

Na koniec nie pozostaje nic innego, jak wyrazić nadzieję, że Prokuratorzy zachowają niezależność w prowadzonym postępowaniu i wykorzystają opisaną wyżej okoliczność do zweryfikowania, czy wniosek dotyczący obowiązku akredytacji tzw. systemu Pegasus nie został sfabrykowany na polityczne zamówienie. Na pewno nieodzowne w tym zakresie będzie porównanie Wystąpienia pokontrolnego z treścią Protokołu z kontroli, ponieważ powinny być one tożsame w zakresie ustaleń faktycznych i stwierdzonych na ich podstawie nieprawidłowości. Ponadto wyrażamy przekonanie, że sprawą tą powinna zająć się Komisja do Spraw Służb Specjalnych, ponieważ jest organem kontroli monitorującym prawidłowość działań służb specjalnych, w kompetencjach której na pewno pozostaje możliwość weryfikacji, czy w opisanej sprawie doszło do nieprawidłowości. Chcielibyśmy wierzyć, że to tylko zbieg nieszczęśliwych okoliczności, które doprowadziły do niefortunnego sformułowania nieprawidłowości w Wystąpieniu pokontrolnym. Niestety realny ogląd sytuacji nie pozwala na zbagatelizowanie doniesień medialnych, czujemy bowiem, że w kontekście prawnym i faktycznym wskazana w Wystąpieniu nieprawidłowość ma nie tylko wszelkie cechy mistyfikacji, ale jeszcze siłę realną do zdemolowania fundamentów funkcjonującego w Polsce od lat systemu ochrony informacji niejawnych, który z pewnością nie powinien podlegać nowej procedurze pod nazwą „akredytacja politycznej kalkulacji”.