Konferencja NIK ws. cyberataków. Jeden wykres i zero szczegółów. "Warto nie ośmieszać takich śledztw"

Najwyższa Izba Kontroli podczas konferencji nt. cyberataków na pracowników NIK nie przedstawiła żadnych szczegółów. Jedynym "konkretem" był wykres pokazujący piki cyberataków, które zbiegały się w czasie m.in. z zapowiedzią kontroli głosowania kopertowego oraz z publikacją wyników kontroli Funduszu Sprawiedliwości. - Warto nie ośmieszać śledztw z dziedziny cyberbezpieczeństwa ani informatyki śledczej - skomentował konferencję NIK dla Gazeta.pl dr Łukasz Olejnik, niezależny konsultant cyberbezpieczeństwa.

Podczas poniedziałkowej konferencji prasowej Najwyższa Izba Kontroli odniosła się do doniesień RMF FM z 4 lutego. To wtedy po raz pierwszy ujawniono, że urządzenia pracowników NIK zostały zaatakowane systemem Pegasus ponad 6 tys. razy, a około 500 z nich zostało zainfekowanych. Redakcji Gazeta.pl udało się niezależnie potwierdzić te informacje.

Atak Pegasusem na NIK? "Nie możemy udzielać szczegółowych informacji", "nie można wykluczyć żadnego scenariusza"

Czego dowiedzieliśmy się na konferencji? - Na obecnym etapie nie możemy udzielać szczegółowych informacji - powiedzieli urzędnicy NIK. Wyjaśniono, że zainfekowane zostały trzy urządzenia osób z najbliższego otoczenia prezesa Izby, Mariana Banasia. Jednym z tych urządzeń jest telefon Jakuba Banasia - doradcy społecznego prezesa Mariana Banasia, a prywatnie jego syna.

- Na chwilę obecną nie można wykluczyć żadnego scenariusza - mówił anonimowy ekspert. - Zebrane dane wskazują na anomalie, dla których hipotezą roboczą jest użycie tego typu oprogramowania [jak Pegasus - red.].

Kierownik wydziału bezpieczeństwa Najwyższej Izby Kontroli Grzegorz Marczak dodał, że obecnie nie można wykluczyć, że był to atak Pegasusem.

Pegasus - więcej informacji na temat programu szpiegowskiego znajdziesz na stronie głównej Gazeta.pl

Już z wcześniejszych doniesień medialnych wiadomo było, w jakim czasie dochodziło do cyberataków. Pierwszy szczyt ataku przypadał w czasie, gdy NIK zapowiedział kontrolę głosowania kopertowego. Kolejne piki nastąpiły w momencie publikacji wyników kontroli Funduszu Sprawiedliwości, w czasie zmian w kierownictwie Izby oraz gdy odbywało się posiedzenie Kolegium NIK w sprawie planu kontroli na 2022 rok. Chodzi o zakres czasowy od 23 marca 2020 r. do 23 stycznia 2022 r. 

Omawiane zdarzenia dotyczące cyberataków na urządzenia pracowników Najwyższej Izby Kontroli zostały zaprezentowane na wykresie podczas konferencji prasowej.

Wykres przedstawiony podczas konferencji prasowej Najwyższej Izby Kontroli ws. cyberataków na urządzenia NIKFot. Sławomir Kamiński / Agencja Wyborcza.pl

Konferencja NIK ws. cyberataków. "Nie przedstawiono żadnych informacji, piękna strata czasu"

- Konferencja NIK zrobiła na mnie duże wrażenie, ponieważ nie przedstawiono na niej żadnych informacji. To piękna strata czasu opinii publicznej i niestety być może kompromitacja doniesień o naruszeniach cyberbezpieczeństwa - skomentował konferencję NIK w rozmowie z Gazeta.pl dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa.

- Jeśli NIK ma uzasadnione podejrzenia, to oczywiście powinien poinformować służby państwowe oraz, zgodnie z RODO, Urząd Ochrony Danych Osobowych. Doniesienia o wyciekach danych z tak newralgicznej instytucji państwowej trzeba wszak traktować bardzo poważnie. Miejmy nadzieję, że z czasem ustalenia pójdą w jakąś konkretną stronę. Warto nie ośmieszać śledztw z dziedziny cyberbezpieczeństwa ani informatyki śledczej - dodał.