Mimo nakazu sądu prezes NIK Marian Banaś nie wydał śledczym danych informatycznych o rzekomym ataku hakerskim na Izbę – bo go nie było – ujawnia „Rzeczpospolita”.
W lutym 2022 r. Banaś informował, że on sam oraz pracownicy NIK byli podsłuchiwani. Zaznaczono, że – jak informował w lutym ubiegłego roku prezes NIK na specjalnie zwołanej konferencji – atak miał być bezprecedensowy, zmasowany, „na skalę nieznaną od 103 lat”, i rzekomo miał objąć ponad pół tysiąca urządzeń mobilnych używanych w Najwyższej Izbie Kontroli, w tym telefon prezesa Mariana Banasia i jego syna.
Prezes NIK o rzekomym ataku nie zawiadomił służb, a teraz – jak ustaliła „Rzeczpospolita” – prowadzącej śledztwo prokuraturze odmówił przekazania informacji cyfrowych z rzekomo „zainfekowanych” systemów i urządzeń, a także ustaleń kanadyjskiej firmy Citizen Lab, która badała jego telefon.
Sprawa oparła się o sąd, który nakazał Banasiowi wydanie rzeczy. – Prokuratura sporządziła dwa postanowienia o żądaniu wydania rzeczy oraz udzieleniu informacji. Dotychczas nie zostały zrealizowane przez prezesa NIK. Niczego nie otrzymaliśmy – mówi Aleksandra Skrzyniarz, rzecznik Prokuratury Regionalnej w Warszawie, prowadzącej śledztwo.
7 lutego 2022 r. prezes Banaś i jego współpracownicy podali, że od marca 2020 do stycznia 2022 r. miało dojść do 7300 prób ataków i zainfekowania 535 urządzeń w NIK – telefonów, laptopów, serwerów. Trzy urządzenia osób z najbliższego otoczenia Banasia, w tym używane przez jego syna, oddano do zbadania Citizen Lab, która potrafi wykryć system szpiegujący Pegasus używany przez CBA. Prokuratura po zawiadomieniu ABW wszczęła śledztwo o niedopełnienie obowiązków i z artykułu 269 § 1 k.k., który dotyczy „zakłócania lub uniemożliwiania przekazywania danych informatycznych o szczególnym znaczeniu dla funkcjonowania instytucji państwowej”.
Według gazety, Banaś, choć miał obowiązek, nie zgłosił do CSiRT GOV incydentu bezpieczeństwa teleinformatycznego.
„Prokurator zażądał wydania rzeczy – 'treści cyfrowych i informacji elektronicznych’. W zakresie urządzeń mobilnych chodziło m.in. o pełne logi sieciowe z tzw. urządzeń brzegowych NIK, wyników badania uzyskanych od firmy Citizen Lab – 'danych świadczących o atakach, w szczególności wskaźniki kompromitacji, złośliwe adresy IP, domeny’. Chciał również wskazania incydentów bezpieczeństwa w sieci NIK, by wiedzieć, na czym NIK oparła przekonanie o atakach. Prokurator pytał także o metodologię, według której tworzono raporty i wykresy pokazane na konferencji” – czytamy w gazecie.
„Rzeczpospolita” podaje, że NIK odmówiła i złożyła zażalenie, tłumacząc że „treści cyfrowe i informacje elektroniczne nie mogą być uznane za rzecz w rozumieniu art. 217 § 1 k.p.k.”, po czym przegrała, a sąd nakazał wydać wszystko, czego żąda prokuratura.
Według gazety Izba boi się jednak kompromitacji, bo „afera okazała się bowiem 'wielką lipą'”.
Dlaczego NIK nie wydaje danych? – Ze względu na wątpliwości natury prawno-formalnej, które wzbudziło żądanie Prokuratury, Prezes NIK postanowił zasięgnąć opinii Departamentu Prawnego i Orzecznictwa Kontrolnego NIK przed wystosowaniem odpowiedzi – odpowiedział gazecie p.o. rzecznika NIK Marcin Marjański.