NIK negatywnie oceniła zakup oraz wykorzystanie systemu analitycznego Hermes

Najwyższa Izba Kontroli opublikowała raport dotyczący nabycia systemu Hermes przez Prokuraturę Krajową. Negatywnie oceniono w nim zarówno sam proces kupna, jak również zbadane podczas kontroli aspekty jego wykorzystania. Jak się okazuje, zakupu Hermesa dokonano bez żadnego przygotowania oraz analiz, w sposób nieuprawniony i choć na rynku były tańsze oprogramowania o takich samych możliwościach. Ustalono także, iż system stosowano do wyszukiwania informacji o znanych politykach, samorządowcach, prokuratorach i osobach ze sfery biznesu. Biorąc pod uwagę wszystkie ustalenia, Izba skierowała do prokuratury dwa zawiadomienia o możliwości popełnienia przestępstw.

20 listopada 2020 roku Prokuratura Krajowa kupiła za 15,56 mln zł system Hermes do analizy danych z otwartych źródeł internetowych (OSINT). Miał on służyć jako narzędzie wspomagające przeprowadzanie analizy kryminalnej (o różnicach między systemem Hermes, a głośnym Pegasusem, informowaliśmy na łamach ITwiz w tym materiale). Z oprogramowania Prokuratura korzystała ponad 3 lata. W tym okresie wykonano 398 analiz kryminalnych.

Najważniejsze ustalenia kontroli

Jak ustaliła NIK, Prokuratura Krajowa nabyła system Hermes bez przeprowadzenia jakichkolwiek analiz w zakresie: potrzeb usprawnienia procesu analizy kryminalnej, oczekiwanych możliwości takiego oprogramowania i zakresu jego wykorzystania. Nie analizowano również potrzeb analityków, którzy mieli go docelowo wykorzystywać. W ocenie NIK zakup tego typu oprogramowania, jak system Hermes, można uznać za zakup celowy (czyli zgodny z zadaniami prokuratury), o ile celowość tą uda się wykazać za pomocą właśnie analiz, których wykonanie pominięto.

Transakcji dokonano bez rzetelnego rozeznania rynku i analizy ekonomicznej zakupu tego typu oprogramowania. Najdroższy z alternatywnych systemów dostępnych na rynku i posiadający te same funkcje był 6,5 mln zł tańszy od systemu Hermes. Zgromadzony materiał dowodowy wskazuje, że kierownictwo Prokuratury Krajowej od początku planowało zakup właśnie tego systemu, oferowanego przez tego konkretnego dostawcę. Co prawda – wysiłkiem pracowników Wydziału ds. Analizy Kryminalnej – podjęto próby znalezienia konkurencyjnych, tańszych rozwiązań, ale kierownictwo Prokuratury Krajowej nie wzięło tej analizy pod uwagę. Przed zakupem systemu Hermes nie przeprowadzono również jego testów, gdyż dostawca nie przewidywał takiej możliwości.

Przy zakupie Hermesa PK w sposób nieuprawniony wyłączyła stosowanie przepisów regulujących udzielanie zamówień publicznych, powołując się na ochronę bezpieczeństwa publicznego, pomimo że:

• okoliczności faktyczne jak i charakter kupowanego systemu nie uzasadniały pominięcia tych przepisów;
• system miał na celu wspomaganie ustawowych, tj. powszechnie znanych zadań prokuratury (tzn. dokonywanie analiz kryminalnych z otwartych źródeł internetowych);
• nie wykazano, że ochrona bezpieczeństwa publicznego nie może zostać zagwarantowana w inny sposób, niż pominięcie trybów przetargowych, co było niezbędne do wyłączenia przepisów dotyczących zamówień publicznych;
• upowszechnienie wiedzy o nabyciu narzędzia usprawniającego wykonywanie ustawowych zadań prokuratury nie mogło realnie narazić bezpieczeństwa publicznego.

Wyniki kontroli wskazują, że nabycie systemu Hermes procedowano pośpiesznie, niedbale, a ówczesne kierownictwo Prokuratury Krajowej podejmowało wysiłki, by zakup ukryć przed opinią publiczną. Świadczy o tym niezastosowanie wymaganych trybów przetargowych, co w ocenie NIK było działaniem nielegalnym, ale zakup procedowano również rażąco niegospodarnie i nierzetelnie.

Zdaniem NIK, umowa na zakup systemu Hermes została sporządzona nierzetelnie i nie zabezpieczała w sposób należyty interesów Skarbu Państwa i Prokuratury Krajowej. Między innymi, postanowienia dotyczące kar umownych stawiały dostawcę w uprzywilejowanej pozycji, bowiem kary te były rażąco niskie w stosunku do wartości nabywanego oprogramowania. Co więcej, w umowie nie zapewniono niezwłocznej reakcji dostawcy na wypadek, gdyby system przestał działać nawet na wiele dni.

Zarówno instalacja tzw. hardware, jak i możliwości systemu Hermes nie zostały w żaden sposób zweryfikowane pod względem bezpieczeństwa przetwarzanych w Prokuraturze Krajowej danych, w tym informacji objętych tajemnicą prowadzonych postępowań przygotowawczych. Jest to o tyle dziwne, że PK prowadzi i nadzoruje szereg postępowań dotyczących najgroźniejszych przestępstw. Tymczasem w ramach dokonywania analiz kryminalnych, do systemu Hermes wprowadzano dane (tzw. dane wsadowe) pochodzące z prowadzonych śledztw, które objęte były tajemnicą postępowania przygotowawczego. Wiedza o okolicznościach tych przestępstw nie powinna zostać ujawniona osobom niepowołanym, a tym bardziej nieuprawnionym podmiotom zagranicznym.

Nieuprawnione użycie Hermesa

Kontrolerzy NIK znaleźli też dowody wskazujące na nieuprawnione użycie systemu Hermes. Chodzi tu o wyszukiwanie informacji z naruszeniem obowiązujących w Prokuraturze Krajowej procedur, bez wymaganych formalnych wniosków, na podstawie ustnych poleceń, a także bez weryfikacji czy wyszukiwania te były związane z popełnieniem przestępstwa.

W kontroli ujawniono ślady 30 takich wyszukiwań, bowiem pozostały po nich pliki lub wydruki. Ile ich było w rzeczywistości – tego na tę chwilę nie można stwierdzić. Wątpliwości za to nie pozostawia fakt, że zlecający takie wyszukiwania prokuratorzy wychodzili poza ramy uregulowanej przepisami analizy kryminalnej. W ocenie NIK, działania takie mogły mieć charakter czynności operacyjno-rozpoznawczych, które z natury swej rzeczy zarezerwowane są dla służb.

Wspomniane już nieformalne zapytania realizowane w systemie Hermes, których nie można było powiązać z popełnianiem przestępstw, dotyczyły znanych polityków i samorządowców, pojawiających się w mediach prokuratorów, a także znanych osób ze sfery biznesu.

W okresie od stycznia 2021 roku do marca 2024 roku, przy pomocy systemu Hermes wykonano niemal 400 analiz kryminalnych. Biorąc pod uwagę koszty zakupu systemu, wartość wykonania jednej analizy kryminalnej wyniosła ok. 40 tys. zł. Jak bardzo przydatne były te analizy w działaniach prokuratury – tego nie można stwierdzić, bowiem Prokuratura Krajowa nie analizowała skuteczności zastosowania systemu Hermes.

Analitycy pracujący w systemie Hermes nie mieli pełnej wiedzy skąd pochodzą dane, pozyskiwane przez oprogramowanie ani jak są przetwarzane. Kierowane przez nich w tym zakresie zapytania – do przełożonych, a dalej do dostawcy systemu – pozostały bez odpowiedzi.

Reasumując, Prokuratura Krajowa dysponowała systemem do analizy danych z otwartych źródeł internetowych, ale nie miała wiedzy czy wprowadzane do systemu zapytania były widoczne dla dostawcy systemu lub innych służb, nie wiadomo tak naprawdę jaka była pula logów i haseł do systemu, nie wiadomo gdzie te dane były przechowywane (np. w tzw. „chmurze”) i kto miał do nich dostęp.

Dwa zawiadomienia

W wyniku kontroli skierowano dwa zawiadomienia do prokuratury o uzasadnionym podejrzeniu popełnienia przestępstwa. Pierwsze dotyczy wyrządzenia szkody majątkowej w wielkich rozmiarach poprzez niegospodarny zakup systemu Hermes, a także niedopełnienia obowiązku przeprowadzenia stosownych analiz przed tym zakupem. Z kolei drugie zawiadomienie dotyczy nieuprawnionego utajnienia dokumentu księgowego przed kontrolerami NIK w toku kontroli budżetowej w 2023 roku.