Home Archive by category Polska

Polska

W najnowszym felietonie dla portalu O służbach Wojciech Brochwicz stawia pytania o przyszłość ABW, które jest dziś traktowane „jak śmietnik, do którego wrzuca się sprawy, z którymi nikt nie wie co robić”. Ekspert podkreśla, że dopóki nie zreformujemy tej instytucji nie ma mowy o partycypacji Polski w projektach takich jak kontrwywiad UE.

„Kukliński: Czołem, Majorze! Jak kontrwywiad ocenia nastrój szefa?
Putek: Kontrwywiad operacyjnie nie rozpracowuje Ministra Obrony Narodowej.
Kukliński: To był żart.
Putek: Żarty kontrwywiadu kończą się na podpułkownikach.”

„Jack Strong”

Z dużym entuzjazmem śledzę dyskusję dotyczącą ewentualnego powołania kontrwywiadu Unii Europejskiej. Też dostrzegam taką potrzebę, zwłaszcza jak popatrzę przez pryzmat mojego rachunku bankowego. Powiem więcej: wizja powstania takiej organizacji, a zwłaszcza wyobrażenie mojego w niej udziału, pobudza we mnie niezwykle pozytywne uczucia. Marzenia o wysokich zarobkach wolnych od podatków. I o prestiżu lepszym niż w kancelarii adwokackiej.

Zaraz potem jednak daje o sobie znać ta cholerna paranoja, którą zaraziłem się w Zarządzie II UOP, nieuleczalna na resztę życia. Wracam na ziemię. No i są pytania…

Na przykład, jak mamy dzielić się wiedzą operacyjną z partnerami z UE skoro nie potrafimy bez bólu oddać podstawowych informacji innej, własnej, krajowej służbie, z którą powinniśmy współdziałać w sposób najbardziej naturalny? Pamiętacie jaki jazgot wywołała próba odtworzenia koordynacji w 1998 roku? Kto nie pamięta, nie ma czego żałować.

Największy problem jest na naszym podwórku. No bo z czym mielibyśmy wmaszerować do tej unijnej służby kontrwywiadu? Z tym molochem pod nazwą ABW, który przez lata upychał w swoich kompetencjach absolutnie wszystko, co tylko się dało, nie bacząc na dublowanie się z innymi służbami, na niewydolność organizacyjną i na braki w merytorycznym przygotowaniu ludzi? I nie wynikało to bynajmniej z ambicji kolejnych szefów tej instytucji, a z przyzwyczajenia polityków. Agencję traktowano jak śmietnik, do którego wrzucano sprawy, z którymi nikt nie wiedział co robić. Dziś kontrwywiad tonie w morzu innych tematów. Jest częścią ogromnej służby odpowiedzialnej i za operacje, i za realizacje. Za narkotyki, za terroryzm, za ekonomię państwa, za mafie i za ekstremizmy polityczne. Za zatrzymania, przesłuchania, podsłuchiwania. Za ochronę informacji niejawnych i za proliferację . I tak dalej…

A powinien odpowiadać wyłącznie za informacje. Za zdobywanie najbardziej wartościowych danych. Tylko wtedy będzie wolny od medialnych i politycznych obciążeń kiedy przestanie istnieć politycznie. Nie do tego powinien służyć kontrwywiad, jeśli chcemy jeszcze marzyć o stawianiu czoła najsilniejszym agencjom wywiadowczym świata. I jeśli chcemy być partnerem w jakichś międzynarodowych strukturach dla profesjonalistów.

No tak, ale tak jak w PRL dążyli do komunizmu, tak my dążymy dzisiaj do profesjonalizmu. Tylko ważne, aby dążeń nie pomylić z rojeniami…

Fot. Materiały własne

Hakerzy powiązani z rosyjskim wywiadem wojskowym dokonali skutecznych ataków na 104 konta pracowników kluczowych europejskich think-tanków zajmujących się polityką zagraniczną i bezpieczeństwem. Na liście znajdują się także podmioty działające w Polsce.

Informacje Microsoft na temat zdarzenia

Firma Microsoft poinformowała w specjalnym komunikacie, że w ramach współpracy z Threat Intelligence Center (MSTIC) i Digital Crimes Unit (DCU) prowadzi codzienne działania zmierzające do ochrony swoich klientów. Według koncernu wykryte ataki hakerskie często obejmują think-tanki i organizacje non-profit zajmujące się tematami związanymi z demokracją, transparentnością wyborczą i polityką publiczną, które mają kontakt z urzędnikami państwowymi.

Microsoft w ramach stosowanej prewencji wykrył niedawno ataki wymierzone w pracowników Niemieckiej Rady ds. Stosunków Zagranicznych, Instytut Aspen i German Marshall Fund. Amerykański koncern za zgodą wspomnianych organizacji poinformował, że zhakowano 104 konta należące do ICH pracowników w Belgii, Francji, Niemczech, Polsce, Rumunii i Serbii.

Nadal badane są źródła tych ataków, ale według Microsoft wiele z nich pochodzi z grupy, którą nazwano Strontium. Ataki miały miejsce w okresie od września do grudnia 2018 r.

Atakujący w większości przypadków tworzyli złośliwe adresy URL i fałszywe adresy e-mail. Tym sposobem próbowano uzyskać dostęp do danych uwierzytelniających pracowników i zaimplementować na ich urządzeniach złośliwe oprogramowanie.

Według Microsoft wspomniane ataki są ostrzeżeniem dla europejskich przywódców w przededniu wyborów odbywających się w Europie.

Komentarz

Grupa Strontium znana jest także jako jednostka APT28, Fancy Bear czy Sofacy. Zdaniem kluczowych spółek związanych z sektorem cyberbezpieczeństwa (Microsoft, Trend Micro) z dużym prawdopodobieństwem są to hakerzy pracujący na rzecz rosyjskiego wywiadu wojskowego, którzy zasłynęli m.in. atakami na parlament Niemiec, Biały Dom, Komisję Europejską, Bank Światowy, NATO, czy amerykańską Partię Demokratyczną. Ostatnia kwestia jest obecnie wnikliwie badana w związku z rosyjską ingerencją w amerykańskie wybory prezydenckie. Prokurator specjalny Robert Mueller ma zaprezentować wyniki swojego śledztwa w najbliższych dniach – co może być wstrząsem dla opinii publicznej w USA.

Atak na kluczowe think-tanki polityczne w Europie ma bardzo istotne znaczenie. To ośrodki, które bardzo często nadają ton polityce zagranicznej kluczowych krajów UE, dysponującą dużą wiedzą ze względu na międzynarodową wymianę informacji (oficjalnych, plotek, a czasem nawet nieoficjalnych), a także związki z kluczowymi instytucjami państwowymi. Takie podmioty stanowią także obszar działania służb. Dlatego wydarzenie nakreślone przez Microsoft należy uznać za bardzo groźne, choć jak poinformował np. German Marshall Fund nie doszło do infiltracji serwera należącego do think-tanku.

Nie zmienia to jednak faktu, że już same informacje pojawiające się w korespondencji oficjalnej mogą być bardzo cenne. Nie wiemy również czy grupie Fancy Bear nie udało się zainfekować urządzeń należących do analityków złośliwym oprogramowaniem. Bardzo często służbowa poczta jest pobierana na urządzeniach prywatnych z powodu zwykłego lenistwa – w takim wypadku mogły wyciec także informacje osobowe pracowników zaatakowanych think-tanków. Rzecz bezcenna np. w kontekście werbunkowym.

Głównym celem uderzenia w kluczowe think-tanki europejskie jak wskazuje Microsoft był kontekst wyborczy. Komunikat firmy wprost precyzuje, że należy spodziewać się dalszych działań wymierzonych w transparentność wyborów w Europie. Ponieważ w całej sprawie pojawia/ją się pracownik/pracownicy zhakowanych instytucji pracujący na terenie Polski rodzi to pytania o przygotowanie rodzimych służb do zabezpieczenia procesu wyborczego w naszym kraju.

Jest to istotne pytanie z przynajmniej kilku powodów. Mam tu na myśli z jednej strony duże ryzyko zwiększonej reprezentacji skrajnych partii politycznych finansowanych przez Rosję w Parlamencie Europejskim (np. ugrupowanie Matteo Salviniego, które stara się konsolidować środowiska określane czasem jako „Putintern”). Z drugiej strony w Polsce również zauważalny jest proces konsolidacji takich grup w przededniu wyborów europejskich.

W kontekście działań Fancy Bear należy zadać ważne pytania dotyczące Polski. Wspomniałem już o zabezpieczeniu procesu wyborczego, ale należy odnieść się do jeszcze jednej rzeczy. Tym razem atak hakerski spadł na German Marshall Fund, a właściwie pracownika/pracowników warszawskiego biura tej organizacji (być może również analityków dwóch pozostałych fundacji wymienionych przez Microsoft). Co się wydarzy jeśli następnym razem takimi działaniami zostaną objęte PISM czy OSW? Czy są na to gotowe?

Fot. Pixabay

MSW przedstawiło projekt regulujący zasady ochrony danych obywateli w sektorze bezpieczeństwa. Ochrona prywatności stanie się tam wyjątkiem, a nie regułą.

Reforma ochrony danych osobowych to także dyrektywa policyjna, czyli tzw. brzydsza siostra RODO. Podczas gdy firmy i organizacje gorączkowo przygotowują się do wdrożenia nowego rozporządzenia, te organy państwa, które gromadzą dane o obywatelach w niejawny sposób, nierzadko posługując się kontrowersyjnymi metodami, mogą spać spokojnie. W ich świecie niewiele się zmieni, a jeśli się zmieni – to w kierunku jeszcze większej swobody działania i jeszcze mniejszej przejrzystości. Ministerstwo Spraw Wewnętrznych przedstawiło wreszcie projekt regulujący zasady ochrony naszych danych w sektorze bezpieczeństwa. Niestety, jest on tak dziurawy, że ochrona prywatności stanie się tam wyjątkiem, a nie regułą. Jak do tego doszło i czym to grozi? – zadaje pytanie Panoptykon na swoim portalu.

Wyjęci spod prawa

Na podstawie dyrektywy państwa członkowskie zobowiązane są przyjąć przepisy, zgodnie z którymi policja i inne podmioty zajmujące się przeciwdziałaniem przestępczości mogą pobierać tylko te dane, które są niezbędne do realizacji ich zadań. Żadnych danych na zapas, dla wygody i na wszelki wypadek. Prawo unijne pozostawia jednak furtkę w postaci „bezpieczeństwa narodowego” – ci, którzy się nim zajmują, nie podlegają ograniczeniom wynikającym z dyrektywy. Zgodnie z definicją bezpieczeństwa narodowego jest nim nie tylko praca kontrwywiadowcza prowadzona przez kontrwywiad wojskowy czy zapobieganie terroryzmowi przez Agencję Bezpieczeństwa Wewnętrznego, ale nawet przeciwdziałanie korupcji w sporcie.

Efekt: pięć służb specjalnych jest wyjętych spod zakresu obowiązywania nowych przepisów i w konsekwencji nie będzie miało żadnych ograniczeń związanych z pozyskiwaniem danych osobowych.

Przykład: Agencja Bezpieczeństwa Wewnętrznego może pozyskiwać od Policji nagrania uczestników antyrządowych demonstracji, mimo że nie jest to niezbędne do realizacji jej ustawowych działań. Żadna ustawa tego nie zabroni, a Prezes Urzędu Ochrony Danych Osobowych nie skontroluje.

Dyrektywa minus

Nawet po wyłączeniu spod ustawy służb specjalnych zobowiązane do jej przestrzegania będą m.in. Policja i Straż Graniczna. Mogłoby się więc wydawać, że będziemy mieli – jako osoby, których dane te formacje wykorzystują – pewne uprawnienia. Fundamentalnym z nich jest prawo do uzyskania informacji, czy i jakie dane na nasz temat są przetwarzane i co się z nimi dzieje. Dyrektywa dopuszcza oczywiście wyjątki (np. związane z dobrem prowadzonego śledztwa), jednak autorzy ministerialnego projektu zdecydowanie wykroczyli poza inwencję twórców dyrektywy i dodali nowe ograniczenia. Jednym z nich jest propozycja, by nie można było ujawniać informacji pochodzących z tzw. czynności operacyjno-rozpoznawczych. Problem w tym, że takie czynności to worek bez dna obejmujący lwią część działań podejmowanych przez służby mundurowe: od podsłuchów, przez pobieranie danych telekomunikacyjnych, po obserwacje. A autorzy nie dodają, że ograniczenie to dotyczy wyłącznie sytuacji, w której cały czas prowadzone są działania, a ujawnienie informacji wywoła jakąś szkodę. Nawet jeśli śledztwo dawno jest zamknięte, bo np. Policja stwierdzi, że nie doszło do przestępstwa, to dostęp do tego, czy pobierano nasze informacje, będzie zamknięty raz na zawsze. Innym przykładem inwencji twórców projektu jest konieczność wykazania „żywotnego interesu”.

Przykład: Chcesz się dowiedzieć, czy przy okazji kradzieży roweru, którą zgłosiłeś na Policji wiele lat temu, funkcjonariusze nie pobierali twoich billingów – tak się bowiem składa, że jesteś adwokatem i nie życzysz sobie, by Policja miała informacje na temat tego, z kim rozmawiasz. Nie wiesz, czy Policja ma te dane, ale pytając o to, musisz wykazać, że uzyskanie tej informacji jest niezbędne do ochrony Twoich żywotnych interesów. Trudne? Właśnie takie ma być!

Artykuł ukazał się pierwotnie na panoptykon.org.

Fot. Pixabay

Jak poinformował podczas konferencji wynikowej PGNiG wiceprezes Maciej Woźniak: w tym roku zostanie ogłoszona decyzja ws. przyszłości kontraktu jamalskiego.

Kontrakt jamalski to największa umowa dotycząca importu gazu ziemnego jaką posiada w swoim portfelu PGNiG. Umowa przez lata umacniała monopol rosyjskiego Gazpromu na polskim rynku. Wielokrotnie krytykowano ją za niekorzystne dla Polski zapisy: począwszy od bardzo wysokiej ceny gazu po czas jej obowiązywania.

KUP STAWKĘ WIĘKSZĄ NIŻ GAZ

W 2019 r. Polska zgodnie z zapisami kontraktu jamalskiego musi podjąć decyzję odnośnie jego przyszłości mimo, że umowa PGNiG z Gazpromem wygasa w 2022 r. To trudne zadanie ze względu na odpowiednie zabezpieczenie przemysłowych odbiorców krajowych. Gra toczy się o ważny obszar polskiej gospodarki.

W momencie wstrzymania dostaw rosyjskiego gazu musi już funkcjonować gazociąg Baltic Pipe, a terminal LNG w Świnoujściu winien być rozbudowany. Kluczowe jest tu więc zgranie harmonogramów kluczowych inwestycji z decyzją dotyczącą przyszłości kontraktu jamalskiego. W tym kontekście decyzja PGNiG o kontynuacji bądź braku kontynuacji współpracy z Gazpromem może być ważnym papierkiem lakmusowym tego jak przebiega plan uniezależnienia Polski od rosyjskiego gazu.

W całej sprawie ważny jest także kontekst polityczny. Sprawa przyszłości kontraktu jamalskiego to klasyczny „gorący ziemniak”. Budzi ona olbrzymie emocje społeczne dlatego prawdopodobnie zostanie przesunięta na okres powyborczy. Osobiście nie zdziwiłbym się gdyby w przypadku zwycięstwa Zjednoczonej Prawicy mimo dotychczasowych, buńczucznych zapowiedzi, zdecydowano się na przedłużenie współpracy z Gazpromem – tyle, że na lepszych warunkach. Gdyby wygrała jednak Koalicja Obywatelska to wykonując taki sam ruch będzie aktywnie krytykowana przez PiS i koalicjantów tej partii.

Póki co wiceprezes Maciej Woźniak twierdzi, że decyzja o przyszłości kontraktu jamalskiego zostanie podjęta ze wskazaniem na jego nieprzedłużenie. Menadżer coraz częściej komunikuje także możliwość szybkiego kupna pływającego terminala LNG (jednostki typu FSRU), który stacjonowałby w Zatoce Gdańskiej. Być może jest to klucz do zrozumienia tego co wydarzy się na krajowym rynku gazu w najbliższej przyszłości.

Fot. Gazprom.ru

Ministerstwo Cyfryzacji udostępniło Fundacji Panoptykon statystyki, które pokazują, ile razy w latach 2016–2017 ABW pobierała zdjęcia paszportowe z bazy prowadzonej przez resort.

To efekt naszej grudniowej wygranej przed Wojewódzkim Sądem Administracyjnym w Warszawie. Okazuje się, że nie wszystko, co dotyczy służb, musi być tajne!

Perypetie sukcesu

Początek sprawy sięga sierpnia 2017 r. – to wtedy wysłaliśmy do Ministerstwa Cyfryzacji wniosek o udostępnienie informacji publicznej dotyczącej tego, ile razy w latach 2016–2017 ABW pobierała zdjęcia paszportowe zgromadzone w prowadzonej przez MC centralnej ewidencji dokumentów paszportowych. Nasze pytanie zainspirował opublikowany w lipcu 2017 r. materiał Gazety Wyborczej, która twierdziła, że ABW tworzyła listy uczestników protestów w obronie niezawisłości sądów poprzez porównywanie policyjnych nagrań z manifestacji ze zdjęciami zgromadzonymi w centralnej ewidencji.

Przypomnijmy: ABW może uzyskiwać dostęp do wszystkich państwowych rejestrów, w tym do centralnej ewidencji dokumentów paszportowych, w drodze tzw. teletransmisji, czyli bez konieczności każdorazowego występowania z wnioskiem o dostęp do danych konkretnej osoby. Nad tym, jak ABW wykorzystuje stałe łącze, nie ma żadnej kontroli, a sama Agencja wielokrotnie odmawiała nam dostępu do informacji o tym, jak często korzysta ze swoich uprawnień. To dlatego tym razem zwróciliśmy się do resortu cyfryzacji, którego system rejestruje zapytania Agencji.

Zapytania przechowywane w logach systemu dotyczą realizacji ustawowych zadać ABW.

Ministerstwo Cyfryzacji stwierdziło jednak, że logi, w których przechowywane są zapytania ABW, mają charakter techniczny i nie są informacją publiczną. Po bezowocnej próbie przekonania Ministerstwa do naszej interpretacji w marcu 2018 r. złożyliśmy skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W grudniowym wyroku sąd przyznał nam rację i nakazał Ministerstwu ponownie rozpatrzyć nasz wniosek. W uzasadnieniu sąd podkreślił, że nasza prośba dotyczy nie czysto technicznego wykazu logowań do systemu, ale zbiorczej liczby zapytań, poprzez które ABW realizuje swoje ustawowe zadania, a więc informacji publicznej. Przez ponad miesiąc w napięciu czekaliśmy na uprawomocnienie się wyroku – gdyby MC złożyło skargę kasacyjną do Naczelnego Sądu Administracyjnego, na ewentualne statystyki poczekalibyśmy kolejne kilka lat. Na szczęście MC nie poszło tą drogą, tylko udostępniło nam dane, o które wnioskowaliśmy. Co dostaliśmy i dlaczego to ważne?

Wiedza kontra bezpieczeństwo

Zbiorcze dane, które udostępniło nam Ministerstwo Cyfryzacji, pokazują duże wahania częstotliwości zapytań: od zera w grudniu 2016 r. do 557 zapytań w październiku 2017 r., bez wyraźnego trendu malejącego lub rosnącego. Na przestrzeni dwóch lat (2016–2017) ABW skierowała do centralnej ewidencji dokumentów paszportowych łącznie 3732 zapytania, co daje średnio 155,5 zapytań na miesiąc. Trudno jednak wyciągnąć z tego daleko idące wnioski, ponieważ „zapytanie” nie jest zdefiniowane – nie wiadomo nawet, ilu osób jednorazowo dotyczy.

Zestawienie liczby zapytań, które w latach 2016–2017 ABW skierowała do centralnej ewidencji dokumentów paszportowych

Mimo trudności z wyciąganiem kategorycznych wniosków dostęp do statystyk jest przydatny i stanowi choć szczątkową kontrolę nad służbami. Statystyki pokazują tendencje i umożliwiają zadawanie pytań, np. co oznacza gwałtowny wzrost liczby zapytań w październiku i listopadzie 2017 r.?

Służby, w tym ABW, wielokrotnie odmawiały nam dostępu do statystyk, nawet tych archiwalnych, twierdząc, że ich ujawnienie spowoduje zagrożenie dla bezpieczeństwa narodowego. Coraz częściej wtórują im w tym niestety sądy. Teraz, ze świeżymi statystykami przed oczami, możemy zadać sobie pytanie: czy naprawdę ujawnienie tych danych tak bardzo zagroziło bezpieczeństwu naszego kraju?

Teraz, ze świeżymi statystykami przed oczami, możemy zadać sobie pytanie: czy naprawdę ujawnienie tych danych tak bardzo zagroziło bezpieczeństwu naszego kraju?

W wyroku z 2012 r. NSA pisał, że w demokratycznym państwie prawnym niezwykle istotne jest to, by działalność służb specjalnych „podlegała społecznej kontroli w obszarach, które nie ograniczają możliwości ich skutecznego działania i nie dotyczą konkretnych prowadzonych postępowań czy też stosowanych metod operacyjnych”. Dane, jakie uzyskaliśmy od MC, w naszej opinii w żaden sposób nie wykraczają poza zakreślone przez NSA granice społecznej kontroli.

Od statystyk do realnej kontroli nad służbami jeszcze kawałek drogi. Docelowo każda osoba powinna móc dowiedzieć się, czy służby miały dostęp do jej danych, i poprzez Urząd Ochrony Danych Osobowych zweryfikować, czy było to zasadne.Taką możliwość przewidywała unijna dyrektywa policyjna, jednak w Polsce nie będzie to miało miejsca – nasz ustawodawca w implementującej dyrektywę ustawie (tzw. DODO) wyłączył z zakresu jej obowiązywania wszystkie służby specjalne.

Nie wszystko musi być tajne

Od jakiegoś czasu obserwujemy tendencję, którą ochrzciliśmy mianem „kultury najwyższej tajności”. Dotychczas sądy w sprawach dotyczących statystyk wykorzystywania uprawnień służb stawały po stronie jawności, teraz coraz powszechniejsza staje się retoryka strachu przed „wojną terroryzmu z całym światem demokratycznym”, niepoparta merytorycznymi argumentami. Nawet dane, które kiedyś były w oczywisty sposób jawne (chociażby statystyki dostępu do billingów), są dziś zasnute mgłą tajemnicy. Dużym problemem jest też brak realnej weryfikacji nakładania klauzul tajności przez służby. A konsekwencje nie są błahe – w praktyce wszystkie dane osobowe uznane przez służby za informacje niejawne będą wyłączone spod reżimu przepisów o ochronie danych osobowych i objęte pozbawioną realnych gwarancji i niezgodną z prawem unijnym ustawą DODO.

W tym kontekście udostępnienie statystyk przez Ministerstwo Cyfryzacji, niewpisujące się w ten negatywny trend, szczególnie nas cieszy. Pokazuje, że nie wszystko, co dotyczy służb, musi być z automatu „tajne, bo tak”. Zmotywowani tym sukcesem będziemy dalej walczyć o kontrolę nad działaniami służb.

Karolina Iwańska

Współpraca: Wojciech Klicki

Tekst ukazał się pierwotnie na stronie Fundacji Panoptykon.

Fot. Pixabay

Polskie służby nie dostrzegają dziś pozytywnego wpływu jaki daje prowadzenie przemyślanej polityki komunikacyjnej. To wbrew światowym trendom.

Estoński wywiad opublikował kolejny doroczny raport ze swojej działalności. Nie zdradza on wielu szczegółów z działalności służby, ale pokazuje główne kierunki zagrożeń dla interesów państwa.

Dokument skupia się na wskazaniu:

  • przeciwników (Rosja, Chiny),
  • ich strategii (polityka zagraniczna, doktryny wojskowe),
  • głównych obszarów działalności międzynarodowej przy szczególnym uwzględnieniu ich wpływu na Estonię (Białoruś),
  • zagrożeń wewnętrznych dla kraju (cyberbezpieczeństwo, rosyjskie grupy hakerskie, stacje nasłuchowe).

Dzięki materiałom tego typu rośnie więc zaufanie do służb specjalnych wśród obywateli, a tym samym poparcie dla tego typu instytucji, co jest niezwykle istotne dla skuteczności ich działania.

Taki jest zresztą obecnie trend światowy. Czołowe agencje zdają sobie sprawę z tego, że większa otwartość nie zagraża w żaden sposób tajemnicom, a znacznie ułatwia zdobywanie lepszego finansowania (nacisk społeczny na polityków) czy rekrutację. To rzecz bardzo istotna np. w kontekście konieczności pozyskiwania informatyków do służby w dobie cyfryzacji wszystkich dziedzin życia, mimo, że nie można zapewnić im poziomu uposażenia z firm prywatnych.

Drugim elementem poza budowaniem transparentności i zaufania do agencji jest edukacyjny charakter materiałów takich jak raport estońskiego kontrwywiadu. Dokumenty tego typu są fragmentarycznie kolportowane przez media i docierają szeroko do społeczeństwa np. poprzez portale horyzontalne. Można dzięki temu zwiększyć świadomość społeczną przed zagrożeniami, od których roi się współczesny świat.

Cyberhigiena związana z koniecznością budowania skomplikowanych haseł do usług cyfrowych oraz ich regularnej zmiany, „furtki” jakie w produkowanych przez siebie sprzętach pozostawiają koncerny  – to tylko niektóre z przykładów. Są i bardziej przyziemne – jak opis ryzykownych zachowań w kontaktach z cudzoziemcami. Dla wielu specjalistów są to błahostki, ale dla zwykłych obywateli bardzo ciekawe informacje, które łącznie składają się na istotne wzmocnienie bezpieczeństwa państwa.

Niestety polskie służby nie dostrzegają dziś pozytywnego wpływu jaki daje większe otwarcie komunikacyjne na świat i prowadzenie przemyślanej polityki wizerunkowej. ABW ostatni jawny raport roczny wydało w 2014 r. Od tego momentu zapanowała cisza. Obecny rzecznik ministra koordynatora ds. służb, Stanisław Żaryn, skupia się raczej na publikowaniu kolejnych felietonów historycznych na łamach gazet i portali, aniżeli nad zmianą jakościową w obszarze komunikacji. Nic nie zapowiada zmiany tego stanu rzeczy. Póki co szczytem działań PR polskich służb specjalnych pozostaje prowadzone przez Agencję Wywiadu konto w serwisie Twitter.

To bardzo smutne. Może w końcu ktoś pójdzie po rozum do głowy?

Fot. Pixabay

W październiku 2017 roku w krajowej ocenie ryzyka prania pieniędzy i finansowania terroryzmu (NRA) Wielkiej Brytanii, Ministerstwo Spraw Wewnętrznych i Ministerstwo Skarbu uznały, że pranie pieniędzy na rynkach kapitałowych (rynki, na których pozyskuje się kapitał i obraca papierami, a także instrumentami finansowymi, walutami oraz towarami) było nowym znaczącym ryzykiem.

Financial Conduct Authority (FCA), jako organ regulujący rynki kapitałowe w Wielkiej Brytanii potwierdziło tę tezę. Pogląd sformułowany jest w oparciu o głośny przypadek Deutsche Banku, który w styczniu 2017 roku otrzymał największą karę, jaka kiedykolwiek została nałożona w Wielkiej Brytanii za naruszenia w obszarze przeciwdziałaniu praniu pieniędzy (AML). W ostatecznej decyzji FCA opisuje, w jaki sposób bank pozwolił klientowi z Moskwy na konwersję rubli o wartości co najmniej 6 miliardów dolarów na dolary amerykańskie przy użyciu “transakcji lustrzanych” (ang. mirror trades). Środki te zostały następnie przekazane na konta zagraniczne w krajach takich jak Cypr, Estonia i Łotwa.

Takie przypadki w sposób naturalny dotykają Wielką Brytanię. Londyn bowiem jest światowym hubem dla rynku kapitałowego. Pranie pieniędzy na taką skalę naraża na kolejną wielomiliardową dziurę w brytyjskim systemie przeciwdziałania praniu pieniędzy, zagrażając integralności i skuteczności zarówno krajowych, jak i międzynarodowych systemów finansowych. Z tego względu, w latach 2018/19 FCA koncentrowała się na tej kwestii.

Budujące jest postrzeganie tego jako nieodłącznego elementu dążenia rządu Wielkiej Brytanii do zajęcia się skutkami bezpieczeństwa miasta w wielkiej korupcji. System przeciwdziałania praniu pieniędzy i sankcje finansowe, które ograniczały dostęp rosyjskich instytucji państwowych do rynków kapitałowych Unii Europejskiej, pojawiły się obok siebie w informacji FCA w grudniu 2017 roku w sprawie systemów i środków kontroli. W raporcie opublikowanym w maju 2018 roku Komisja Spraw Zagranicznych Izby Gmin opowiedziała się za wykluczeniem z brytyjskich rynków kapitałowych „kleptokratów” z Kremla w ramach skoordynowanej reakcji na rosyjską agresywną politykę.

Jednak jest to zjawisko trudne do zwalczenia. Raporty na ten temat od Międzynarodowej Organizacji Komisji Papierów Wartościowych i Financial Action Task Force (FATF) zauważają między innymi zagrożenia płynące z rynków kapitałowych, jeśli chodzi o maskowanie i legitymizację środków pochodzących z poważnych przestępstw i korupcji (innymi słowy, ukrywanie ich źródeł pochodzenia i powiązania z legalnymi wartościami majątkowymi). Odnotowują również, że oprócz możliwości prania pieniędzy, rynki kapitałowe zapewniają środki (poprzez nadużycia na rynku, wykorzystywanie poufnych informacji i oszustwa związane z papierami wartościowymi) do dalszego generowania nielegalnych środków finansowych. Obecnie, pomimo pracy wykonanej przez te organizacje i niepotwierdzonych informacji o praniu pieniędzy na londyńskiej giełdzie już pod koniec lat 90., rynki kapitałowe nawet nie zasługiwały na wzmiankę w pierwszej brytyjskiej krajowej ocenie ryzyka, opublikowanej w 2015 roku.

Organy nadzoru, analitycy oraz śledczy walczą by poradzić sobie z tego rodzaju przestępczością. Klasyczny paradygmat prania pieniędzy — środków pieniężnych pochodzących z nielegalnej działalności (takiej jak handel narkotykami) wpłacanych do banku i przemieszczanych w systemie finansowym przed ich wypłatą oraz spożytkowaniem na dobra luksusowe, nie dotyczy rynków kapitałowych. Większość brokerów nie akceptuje gotówki, więc nie są zaangażowani we wprowadzanie środków pochodzących z przestępstw do systemu finansowego. Z drugiej strony tego procesu, rezultat prania pieniędzy na rynkach kapitałowych wygląda zupełnie inaczej niż, na przykład zakup posiadłości w Knightsbridge. Wartości tak niematerialne jak egzotyczne instrumenty finansowe z rajów podatkowych, dla organów ścigania są trudne do ustalenia lub zajęcia.

W rzeczywistości środki, które rozpływają się na rynkach kapitałowych, mogą stać się wręcz niemożliwe do wyśledzenia bez pomocy eksperta z branży. Produkty i usługi oferowane na rynkach kapitałowych są różnorodne, liczne i często bardzo złożone. Są również ciągle tworzone od nowa, w odpowiedzi na zapotrzebowanie inwestorów, warunki rynkowe i postęp technologiczny. Rynki kapitałowe oferują przestępcom dodatkową anonimowość przy transakcjach transgranicznych realizowanych natychmiastowo, elektronicznie i/lub o ogromnych wolumenach.

W nawiązaniu do krajowej oceny ryzyka z 2017 roku, rynki kapitałowe mają relatywnie słabe mechanizmy kontrolne oraz niski poziom raportowania o transakcjach podejrzanych. Jednym z powodów tego stanu rzeczy, jak wskazuje FATF, jest brak świadomości AML-owej wśród specjalistów rynku kapitałowego, w połączeniu z ograniczoną liczbą „wskaźników i studiów przypadków dotyczących papierów wartościowych”. Te obiegowe przykłady są zwykle związane z innymi formami przestępstw finansowych, a zatem są mało szczegółowe. Te z kolei mogą być typologiami prania pieniędzy, z którymi konkretna instytucja raczej się nie spotka (na przykład niewłaściwe wykorzystanie niezarejestrowanych papierów wartościowych w Wielkiej Brytanii, gdzie akcje na okaziciela nie są już legalne).

„Luka w percepcji” skali i charakteru prania pieniędzy na rynkach kapitałowych nie pomaga. FCA ma nadzieję uzupełnić tę lukę, bowiem nie jest przypadkiem, że zrozumienie prania pieniędzy na rynkach kapitałowych zostało dodane do priorytetów operacyjnych brytyjskiej wspólnej grupy zadaniowej ds. prania pieniędzy. Jednak pewne cechy rynków kapitałowych utrudniają stosowanie takich procedur jak AML, zwykle wykorzystywanych w bankach, które są przede wszystkim istotne w przypadku wprowadzania środków do systemu finansowego — momentu, w którym przestępcy są najbardziej narażeni na wykrycie. W większości przypadków na rachunkach papierów wartościowych znajdują się środki pochodzące od innych instytucji finansowych. Jako takie, są uzależnione od środków bezpieczeństwa finansowego stosowanego przez daną instytucję finansową.

.

Również nieczęsto zdarza się, żeby uczestnicy rynku kapitałowego mieli wgląd do transakcji dotyczącej papierów wartościowych, niezbędnych do wykrycia sygnałów ostrzegawczych związanych z wprowadzaniem środków pochodzących z przestępstw do systemu finansowego i ich legitymizacją. Takie transakcje zwykle obejmują kilku pośredników, pełniących różne role, w sektorze obejmującym szeroki wachlarz firm, produktów, usług, typów inwestorów, platform transakcyjnych i metod płatności. Ogólnie rzecz biorąc, niezależnie od międzynarodowego charakteru tej branży, nie ma wspólnych definicji, nie mówiąc już o normach regulacyjnych, dotyczących papierów wartościowych lub rynków kapitałowych, co nieuchronnie komplikuje transgraniczną współpracę między organami regulacyjnymi i instytucjami.

Biorąc pod uwagę te kwestie, trudno się dziwić, że FCA chce wspierać brytyjskie firmy działające na rynku kapitałowym, które teraz muszą martwić się praniem pieniędzy, a nie innymi, przeważającymi, przestępstwami finansowymi na rynku kapitałowym. FCA spodziewa się opublikować wyniki swoich inspekcji diagnozujących pranie pieniędzy na rynkach kapitałowych w czerwcu 2019 roku. W międzyczasie zaktualizowany przewodnik FCA dotyczący przestępczości finansowej, rekomenduje technologię jako sposób na usprawnienie ich działalności w obszarach AML i zapewnienia o reasekuracji w związku z wszczęciem śledztw dot. potencjalnych kryminalnych naruszeń pod reżimem nowych przepisów dotyczących prania pieniędzy. W dłuższej perspektywie okaże się, jakie rozwiązania problemu prania pieniędzy na brytyjskich rynkach kapitałowych zostaną zaproponowane. Uznając, że pranie pieniędzy jest znaczącą problemem, Wielka Brytania może nie pozwolić sobie na pozostawienie tej sprawy bez nadzoru.

Komentarz Redakcji

Przy tej okazji dla naszych czytelników podjęliśmy wysiłek intelektualny aby zobaczyć jak mają się sprawy w Polsce. Wnioski dedykujemy również licznym służbom w tym specjalnym i “niespecjalnym”, bowiem naszym zdaniem jest ciekawie. Temat jest złożony i dlatego dla zobrazowania sytuacji posłużyliśmy się konkretnym przykładem.

Polski rynek kapitałowy jest znacznie mniejszy od brytyjskiego – zarówno jeśli chodzi o obrót na warszawskiej GPW, rynek regulowany, czy obrót pozagiełdowy, jak i jego złożoność. W Polsce, działalność instytucji funkcjonujących na rynku kapitałowym (m.in. firm inwestycyjnych, towarzystw funduszy inwestycyjnych i domów maklerskich, a także podmiotów infrastruktury rynku kapitałowego), nadzoruje Komisja Nadzoru Finansowego.

W ramach nadzoru, od lat podmioty takie poddawane są corocznemu procesowi BION, którego celem jest identyfikacja zagrożeń dla stabilności danego podmiotu poprzez określenie poziomu i charakteru ryzyk, na jakie narażony jest dany podmiot, ocenę jakości procesów zarządczych (w tym systemu zarządzania ryzykiem), ocenę adekwatności kapitałowej, oraz ocenę modelu biznesowego. Procesowi BION poddawane są również podmioty z sektora bankowego. KNF publikuje metodyki BION dla poszczególnych sektorów, wskazując, że problem prania pieniędzy jest adresowany—i jako jedyny blok jest adresowany tylko w trybie inspekcji. W całym 2017 roku, KNF przeprowadziła czynności kontrolne tylko w 3 domach (biurach) maklerskich i 3 TFI. Jednocześnie wskazano, że prawie wszystkie kontrole (niezależnie od sektora) ujawniły nieprawidłowości i uchybienia.

Kontrole KNF w podmiotach funkcjonujących na rynku kapitałowym odbywają się często. Rzadko jednak dotyczą problemu prania pieniędzy. Zdarza się, że KNF identyfikuje podejrzaną aktywność na rynku akcji,  stwierdza nieprawidłowości w funkcjonowaniu instytucji bądź identyfikuje podmioty działające bez wymaganych zezwoleń, i w ślad za tym składa zawiadomienie o możliwości popełnienia przestępstwa („czarna lista” KNF jest na bieżąco aktualizowana).

Zdarza się też, że nie pociąga to za sobą refleksję organu nadzoru oraz organów ścigania, że czyny takie mogą przynosić korzyści konkretnemu podmiotowi, a korzyści pochodzące z tego rodzaju przestępstw nie są wolne od problemu prania pieniędzy. Można przypuszczać, że naświetlona przez Brytyjczyków “luka w percepcji zjawiska prania pieniędzy” na rynkach kapitałowych, dotyczy również polskich organów nadzoru.

Kolejną instytucją, która mogłaby zająć się problemem prania pieniędzy na polskim rynku kapitałowym, jest Generalny Inspektor Informacji Finansowej (GIIF). Podmioty takie jak domy maklerskie oraz fundusze inwestycyjne są instytucjami obowiązanymi. Podlegają tym samym przepisom związanym z przeciwdziałaniem praniu pieniędzy, co m.in. banki. Dotyczą ich więc procedury związane z identyfikacją klienta, stosowaniem środków bezpieczeństwa finansowego, monitorowaniem transakcji, raportowaniem transakcji ponadprogowych i podejrzanych. Jednak podmioty takie jak domy maklerskie, stanowią marginalne źródło w transakcjach podejrzanych. Trudno natomiast domniemywać, że polskiego rynku kapitałowego problem prania pieniędzy nie dotyczy. Jednak KNF oraz organy ścigania, myśląc o przestępczości na rynku kapitałowym zauważają przede wszystkim insider trading, piramidy finansowe, podmioty działające bez zezwolenia (głównie na tzw. rynku forex) oraz problemy związane z papierami dłużnymi. Problem prania pieniędzy za pośrednictwem warszawskiej GPW oraz poza rynkiem regulowanym w Polsce, pozostaje niezaadresowany przez kompetentne instytucje.

W marcu 2012 roku, na spółkę T.S.A. z Warszawy, prowadzącą działalność maklerską od 2005 roku, nałożona została kara pieniężna w wysokości 625 tys. zł, co stanowiło niewiele ponad 1,15% dochodu spółki po opodatkowaniu z lat 2009 i 2010, podczas gdy maksymalny wymiar kary wynosił wówczas 750 tys. zł, za niedopełnienie obowiązku rejestracji transakcji. Naruszenia dotyczyły okresu jednego roku (od kwietnia 2010 roku do kwietnia 2011 roku), i miały polegać na braku rejestracji i nieprzekazywaniu do GIIF informacji o transakcjach dokonywanych w imieniu klientów instytucji obowiązanej na rynku nieregulowanym (OTC)—kontraktów opcyjnych bądź na różnicę, w których instytucja była drugą stroną transakcji.

Kontrola KNF wykazała, że instytucja finansowa nie zarejestrowała i nie przekazała informacji na temat 1849 transakcji dotyczących pozycji otwieranych i zamykanych na instrumentach CFD i opcyjnych. Jak wskazano, okoliczność, iż niedopełnienie obowiązku nastąpiło z powodu błędnego przekonania, że tego typu transakcje nie podlegają rejestracji, oraz że nie mogło narazić Skarbu Państwa na jakiekolwiek niebezpieczeństwo lub uszczerbek, pozostaje bez znaczenia. Co więcej, spółka T.S.A. wskazała, że stwierdzone naruszenia nie spowodowały żadnych negatywnych skutków, a żadna wewnętrzna transakcja nie może powodować „wyprania brudnych pieniędzy”. Ponadto, ukarany podmiot w tym samym okresie przekazał do GIIF informacje o 56.838 – z tym, że dotyczyło to każdej wpłaty i wypłaty ponadprogowej, oraz argumentował, że posiadał pełną wiedzę o każdej dokonanej transakcji.

Instytucje takie jak T.S.A., poza rachunkiem, na którym zapisywane są m.in. papiery wartościowe i instrumenty finansowe, powinny prowadzić osobny rachunek – tzw. rachunek pieniężny, na którym rejestrowane są środki pieniężne powierzone przez klienta, który służy do dokonywania rozliczeń w następstwie czynności mających za przedmiot instrumenty finansowe lub związanych z prawami wynikającymi z instrumentów finansowych. Oznacza to w uproszczeniu, że za każdą transakcją zawartą przez klienta (otwarcia lub zamknięcia pozycji), powinien znajdować się zapis również na rachunku pieniężnym klienta. Co więcej, niektóre transakcje, m.in. transakcje zawierane na rynku regulowanym giełdowym, rozliczane są poza domami maklerskimi — w Polsce obsługą tego procesu zajmuje się Krajowy Depozyt Papierów Wartościowych. Ponadto, firmy takie jak T.S.A., jako instytucje zobowiązane z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, od lat mają obowiązek rejestracji przeprowadzenia transakcji — wykonania zlecenia lub dyspozycji klienta, czyli nie tylko wpłat i wypłat w formie gotówkowej lub bezgotówkowej, ale też przeniesienie własności lub posiadania wartości majątkowych, którymi są nie tylko środki płatnicze, ale również papiery wartościowe i instrumenty finansowe, jak w przypadku T.S.A.

Monitorowaniem przepływów pieniężnych innych niż “zwykłe” przelewy, nie przejmowały się również banki brytyjskie. W 2010 roku brytyjski regulator ukarał grupę bankową Royal Bank of Scotland rekordową wtedy karą ponad 5 milionów funtów brytyjskich za naruszanie sankcji. Wskazano, że RBS jako podmiot przetwarzający największy wolumen transakcji zagranicznych w Wielkiej Brytanii, nie monitorował transakcji zarówno przychodzących do klientów RBS, jak i wychodzących od klientów banków z grupy RBS. Wyjaśniono szczegółowo, że w przypadku transakcji transgranicznych, nie monitorowano żadnych transakcji przychodzących, transakcji wychodzących w funtach (za wyjątkiem tych wychodzących do instytucji w Stanach Zjednoczonych) ani żadnych transakcji w euro. Poza problemami związanymi z dopasowywaniem nazw (tzw. fuzzy matching), brytyjski organ nadzoru ustalił, że RBS sprawdzał pod kontem list sankcyjnym niewiele ponad 20% transakcji, które dotyczyły handlu międzynarodowego, w tym akredytyw. Według regulatora brytyjskiego, RBS nie monitorował pod kątem list sankcyjnych około 75% transakcji przychodzących i wychodzących, co spowodowało nieakceptowalne ryzyko możliwości procesowania transakcji dla osób i podmiotów objętych sankcjami, włączając w to podmioty podejrzewane o finansowanie terroryzmu.

Wracając do T.S.A.— podmiot zapewniał również, że wcześniejsza kontrola GIIF z 2007 roku, nie wykazała nieprawidłowości w tym zakresie, pomimo że sposób rejestracji transakcji był identyczny co w kwestionowanym okresie. Okazało się jednak, że kontrolerzy nie sprawdzają tego, jakie transakcje przeprowadzane są przez dany podmiot i czy powinny być rejestrowane, tylko odnoszą się do sposobu wypełniania poszczególnych pól rejestru transakcji.

Przypadek T.S.A. nie jest odosobniony. Inspekcje w zakresie przeciwdziałania prania pieniędzy w Polsce od lat wyglądają podobnie—kontrolowane są te obszary, które łatwo sprawdzić, czyli na przykład sposób uzupełniania pól w rejestrze transakcji, zamiast skupiać się na kwestiach merytorycznych. Kontrolerzy rzadko zastanawiają się, jakie transakcje nie są wprowadzane do rejestru oraz jakie informacje nie są przekazywane do GIIF. Jednak nawet w przypadku stwierdzenia nieprawidłowości w tym zakresie, trudno było poprawić jakość danych wprowadzanych do rejestru i przekazywanych do GIIF, ponieważ KNF przez lata stała na stanowisku—na przykład w kwestii transakcji przychodzących z zagranicy—że instytucje obowiązane nie miały obowiązku rejestracji transakcji przychodzących z zagranicy, a nawet jeśli je rejestrowały, nie musiały wykazywać rachunków bankowych biorących udział w transakcji. Co więcej, również problem dostosowania polskich instytucji procesujących transakcje międzynarodowe do polityki sankcyjnej Unii Europejskiej oraz ONZ, nadal pozostaje niezaadresowany.

Przekazywanie do GIIF istotnych danych o transakcjach, które były niepełne, wprowadzające w błąd lub po prostu nieprawdziwe, nie było sankcjonowane przez lata. Inne, poważne naruszenia w obszarach rejestracji transakcji i ich monitorowania, dotyczące największych banków w Polsce, sankcjonowane były rzadko. Być może właśnie dzięki temu z taką łatwością w Polsce można było prać pieniądze pochodzące z przestępstw i transferować je do Chin, nie narażając się przez lata na żadne negatywne konsekwencje prawne.

W kolejnym artykule opiszemy ten proceder i jego skutki, na przykładzie prania pieniędzy pochodzących z przestępstw popełnianych w Polsce oraz poza jej granicami, gdzie korzyści pochodzące z przestępstw transferowane były między innymi do Chin za pośrednictwem dużych i bardzo dużych banków w Polsce—to jest sytuacji, na którą administracja amerykańska otwarcie wskazywała już wiele lat temu, a który w Polsce nadal pozostaje nie do końca rozwiązany.

Źródło: RUSI/własne

Fot. Pixabay

Wojciech Brochwicz w swoim felietonie dla portalu O służbach pisze o obecnej kondycji SOP. Zdaniem eksperta dalece odbiega ona od poziomu prezentowanego niegdyś przez BOR.

„Po >Bodyguardzie< zaczęłam brać narkotyki”

Whitney Huston

Dawno, dawno temu, za czasów premiera Jerzego Buzka, miałem zaszczyt nadzorować pewną formację. Była ona znakomicie dowodzona. Jej Szef , choć generał (wiem, trudno w to dzisiaj uwierzyć), znał się na tym, co robił, bo całą swoją karierę zawodową, wieloletnią, przebył w tej służbie.

Oficerowie należeli do światowej elity i wzbudzali podziw wszędzie, gdzie się pojawiali.

Operacje przygotowywano z pedanterią, czasami przez wiele miesięcy. Najtrudniejsze z trudnych: pielgrzymki papieskie, wizyty prezydentów i monarchów, opieka nad szczególnie zagrożonymi przez obce mocarstwa lub wrogie organizacje osobami. I nigdy nie rozbijano samochodów!

Znałem Biuro Ochrony Rządu i z podziwem obserwowałem jego pracę. Świetni ludzie. Ogromny, latami gromadzony dorobek. Przekazywany z pokolenia na pokolenie. Służba w tej formacji, to było ogromne wyróżnienie, tylko dla najlepszych. No ale jak to mówią, zły pieniądz wypiera dobry pieniądz.

Nie ma Biura Ochrony Rządu. Jest SOP i nie muszę już nic więcej pisać. Nie śmieszą mnie już kolejne rozbijane, rządowe limuzyny. Raczej chce mi się płakać. Po wspaniale działającej, przynoszącej Polsce splendor, instytucji. Generalnie z wiekiem robię się coraz bardziej płaczliwy. Płaczę i płaczę. Po (…..), i po (….), jeszcze po(….) oraz po(…).

No i po koniach arabskich.

Wojciech Brochwicz: W 1990 współtworzył specjalną jednostkę „Grom”. Był doradcą ministra spraw wewnętrznych, prezesa Rady Ministrów, prezesa Narodowego Banku Polskiego. Pełnił funkcje dyrektora w Urzędzie Ochrony Państwa, zastępcy Komendanta Głównego Straży Granicznej oraz Wiceministra Spraw Wewnętrznych i Administracji w Radzie Ministrów Jerzego Buzka, gdzie odpowiadał za przygotowanie ustawodawstwa antyterrorystycznego. Po 2001 był członkiem komitetu konsultacyjnego przy szefie ABW Andrzeju Barcikowskim. Po odejściu z administracji państwowej został partnerem w firmie prawniczej R. Smoktunowicz & L. Falandysz. Obecnie prowadzi własną kancelarię prawniczą.

Fot. Materiały własne

Fundacja Panoptykon przeanalizowała doniesienia medialne o potencjalnej inwigilacji opozycji przez ABW.

Z wnioskiem o udostępnienie informacji publicznej fundacja Panoptykon zwróciła się do Ministerstwa Cyfryzacji w sierpniu 2017 roku. Celem Panoptykonu było zweryfikowanie doniesień Gazety Wyborczej, która twierdziła, że uczestnicy lipcowych protestów w obronie niezawisłości sądów mogli być inwigilowani przez Agencję Bezpieczeństwa Wewnętrznego.

Miała ona porównywać przekazywane przez Policję nagrania z manifestacji ze zdjęciami zgromadzonymi w centralnej ewidencji dokumentów paszportowych, którą prowadzi Ministerstwo Cyfryzacji. Dzięki wykorzystaniu systemu rozpoznawania twarzy ABW miała tworzyć listy uczestników protestów.

Analiza Panoptykonu wykazała, że prawo nie stoi takim działaniom na drodze.

Uprawnienie to wynika z ogólnych postanowień ustawy o Policji – art. 15 ust. 1 pkt 5a ustawy zezwala funkcjonariuszom na obserwowanie i rejestrowanie przy użyciu środków technicznych obrazu zdarzeń w miejscach publicznych. Według Policji nagrywanie manifestacji to standardowe, zgodne z procedurami działanie, które ma na celu zapewnienie bezpieczeństwa i zgromadzenie potencjalnego materiału dowodowego w razie nieprawidłowości lub naruszenia przepisów porządkowych. Jeśli nie zostaną stwierdzone żadne naruszenia, zgromadzone materiały są archiwizowane, a następnie niszczone zgodnie z przepisami o archiwizacji.

Minister cyfryzacji prowadzi w systemie teleinformatycznym centralną ewidencję wydanych i unieważnionych dokumentów paszportowych, do której poszczególne organy paszportowe – wojewodowie oraz minister spraw wewnętrznych i administracji – przekazują m.in. takie dane, jak imię i nazwisko, PESEL, seria i numer paszportu oraz wizerunek twarzy jego właściciela lub właścicielki. Zgodnie z art. 52 ustawy o dokumentach paszportowych „dane przetwarzane w centralnej ewidencji udostępnia się, w zakresie niezbędnym do wykonywania ustawowych zadań” m.in. Agencji Bezpieczeństwa Wewnętrznego. Ponieważ wymiana informacji między służbami owiana jest gęstniejącą mgłą tajemnicy, Panoptykon przyjrzał się bliżej, jak działa dostęp do rejestru zdjęć paszportowych. Zapytał Minister Cyfryzacji, jak funkcjonuje centralna ewidencja oraz kto ma do niej dostęp – zwłaszcza w jakim trybie może do niej sięgać ABW i ile razy w 2017 roku skorzystała z tego uprawnienia.

Okazało się, że „ABW ma dostęp do bazy dokumentów paszportowych, w tym do zdjęć posiadaczy paszportów, w trybie teletransmisji, który umożliwia skierowanie zapytania online do rejestru i zwrotne uzyskanie odpowiedzi zawierające dane poszukiwanej osoby”. Co więcej, ABW nie wskazuje zasadności dostępu do danych. Panoptykon ustalił, że nagrania z manifestacji i zdjęcia paszportowe mogły trafić do ABW. Zgodnie z doniesieniami medialnymi Centrum Antyterrorystyczne ABW dysponuje informatycznym systemem rozpoznawania twarzy. Tego rodzaju systemy pozwalają na identyfikację osób poprzez porównanie zarejestrowanych wizerunków (np. w postaci zdjęć lub nagrań wykonanych w miejscu publicznym) ze zdjęciami twarzy zawartymi w bazie danych, np. w centralnej ewidencji dokumentów paszportowych. Typowe systemy w pierwszej kolejności dokonują detekcji twarzy na obrazie wejściowym – zdjęciu lub nagraniu. System następnie wyodrębnia cechy charakterystyczne wizerunku danej osoby – najczęściej poprzez wyznaczenie geometrycznych współrzędnych cech twarzy (położenie nosa, ust, oczu), kształtu owalu twarzy oraz geometrycznych zależności między poszczególnymi elementami (np. odległość między centrami oczu, odległość pomiędzy linią oczu a linią nosa, podbródka itd.). Wyodrębnione informacje są w dalszej kolejności automatycznie porównywane z wizerunkami zawartymi w referencyjnej bazie danych.

Panoptykon postanowił dalej drążyć ten temat, zapytał Ministra Cyfryzacji o to, czy przeprowadziła postępowanie sprawdzające spełnienie przez ABW technicznych i prawnych warunków do sięgania po dane online oraz ile razy w ciągu ostatnich dwóch lat w systemie, w którym prowadzona jest centralna ewidencja, zarejestrowano zapytania o dane skierowane przez ABW.

Ministerstwo Cyfryzacji stwierdziło, że logi, w których przechowywane są zapytania ABW, mają charakter techniczny i nie są informacją publiczną. Po bezowocnej próbie przekonania ministerstwa do interpretacji Panoptykonu w marcu 2018 roku. złożył on skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Odpowiedź na temat dostępu ABW do centralnej ewidencji paszportowej utwierdziła niepokój Panoptykonu, że realna kontrola nad działaniami służb specjalnych i ich dostępem do danych o obywatelach i cudzoziemcach to mrzonka. Ustawy inwigilacyjna i antyterrorystyczna przyznały ABW daleko idące uprawnienia w tym dostęp funkcjonariuszy ABW do publicznych rejestrów i ewidencji bez jakiejkolwiek kontroli sądu. Przetwarzania danych osobowych przez Agencję Bezpieczeństwa Wewnętrznego nie kontroluje też Generalny Inspektor Ochrony Danych Osobowych, którego uprawnienia w obszarze służb specjalnych są drastycznie ograniczone.

W grudniowym wyroku sąd przyznał rację Panoptykonowi i nakazał Ministerstwu Cyfryzacji ponownie rozpatrzyć jego wniosek. W uzasadnieniu sąd podkreślił, że prośba Panoptykonu dotyczyła nie czysto technicznego wykazu logowań do systemu, ale zbiorczej liczby zapytań, poprzez które ABW realizuje swoje ustawowe zadania, a więc informacji publicznej. Ministerstwo Cyfryzacji udostępniło dane, o które wnioskował Panoptykon. Fundacja od jakiegoś czasu obserwuje tendencję, którą ochrzciła mianem „kultury najwyższej tajności”. Dotychczas sądy w sprawach dotyczących statystyk wykorzystywania uprawnień służb stawały po stronie jawności, teraz coraz powszechniejsza staje się retoryka strachu przed „wojną terroryzmu z całym światem demokratycznym”, niepoparta merytorycznymi argumentami. Nawet dane, które kiedyś były w oczywisty sposób jawne (chociażby statystyki dostępu do billingów), są dziś zasnute mgłą tajemnicy. Dużym problemem jest też brak realnej weryfikacji nakładania klauzul tajności przez służby. A konsekwencje nie są błahe – w praktyce wszystkie dane osobowe uznane przez służby za informacje niejawne będą wyłączone spod reżimu przepisów o ochronie danych osobowych objęte pozbawioną realnych gwarancji i niezgodną z prawem unijnym ustawą DODO.

Przy okazji warto przytoczyć wyrok NSA z 2012 roku który pisał, że w demokratycznym państwie prawnym niezwykle istotne jest to, by działalność służb specjalnych „podlegała społecznej kontroli w obszarach, które nie ograniczają możliwości ich skutecznego działania i nie dotyczą konkretnych prowadzonych postępowań czy też stosowanych metod operacyjnych”.

Źródło: Fundacja Panoptykon

Fot. Pixabay

Ciekawy obraz wyłania się z raportu Apple na temat zagranicznych żądań dotyczących informacji o klientach amerykańskiej firmy technologicznej. Dokument odnosi się do pierwszej połowy 2018 r. i pokazuje w jaki sposób koncern z Cupertino przekazuje dane krajom takim jak Polska.

Produkty Apple stanowią w Polsce pierwszy wybór dla wielu polityków, dziennikarzy czy biznesmenów w odniesieniu do bezpieczeństwa w sieci. Zwraca się uwagę na częste aktualizacje oprogramowania komputerów czy smartfonów amerykańskiej firmy, zamknięty charakter ekosystemu i restrykcyjną politykę prywatności. Czy tak jest w istocie?

Raport firmy dotyczący pierwszej połowy 2018 r. prezentuje bardzo ciekawe dane. Chodzi np. o zestawienie wniosków zewnętrznych (a więc potencjalnie ze strony polskich służb specjalnych choć nie tylko) skierowanych do Apple w związku z żądaniami dotyczącymi udostępnienia informacji dotyczących kont klientów.

Ze strony Polski wnioski dotyczyły w omawianym okresie 15 kont. Tylko w przypadku jednego Apple przekazało wszystkie dane takie jak nazwa i adres klienta, treści z iCloud w tym zdjęcia, e-maile, szczegóły kalendarza, kontakty czy kopie zapasowe. W przypadku 6 kont przekazano stronie polskiej dane nie będące treścią takie jak powiązania konta z innymi usługami czy informacje transakcyjne.

Raport prezentuje również w jaki sposób koncern z Cupertino reaguje na żądania dostępu do danych dotyczących urządzeń (a więc np. numerów IMEI) wystosowywanych przy okazji ich zgubienia czy kradzieży oraz wniosków prawnych (spory dotyczące majątku etc.). Są one generalnie akceptowane przez amerykańską firmę. W pierwszej połowie 2018 r. zapytania dotyczyły 14060 przypadków z czego w 81% zostały one przekazane stronie polskiej.

Fot. Pixabay