NIK zgłasza Prokuraturę do Prokuratury. Za narzędzie OSINT-owe.

Zakończyła się konferencja NIK-u w sprawie kontroli dotyczącej narzędzia OSINT-owego Hermes. Kontrola zakończyła się zawiadomieniem prokuratury o “niegospodarności” w …prokuraturze.

40 000 za śledztwo

NIK ustalił, że “Hermes” był wykorzystywany przez prokuraturę przez 3 lata (od stycznia 2021 do marca 2024) do analizy kryminalnej 398 spraw, na co wydano łącznie ponad 15 500 000 zł. To daje średni koszt ok. 39 000 PLN za śledztwo OSINT-owe. Dużo? Mało? NIK poinformował, że na rynku były o połowę tańsze rozwiązania tego typu, i — tu cytat —

Co prawda – wysiłkiem pracowników Wydziału ds. Analizy Kryminalnej – podjęto próby znalezienia konkurencyjnych, tańszych rozwiązań, ale kierownictwo Prokuratury Krajowej nie wzięło tej analizy pod uwagę. W sporządzonej notatce służbowej, przekazanej następnie do akceptacji Ministra Sprawiedliwości – Prokuratora Generalnego poinformowano, że system Hermes posiada określoną funkcjonalność, która wyróżnia go na tle innych, dostępnych na rynku rozwiązań.

Niestety, NIK nie precyzuje co to za unikatową funkcję miał Hermes, ani dlaczego była kluczowa. Pojawiły się też zarzuty, że nie było wiadomo, z jakich źródeł Hermes prezentuje dane, a twórcy systemu (firma Q Cyber Technologies powiązana z NSO) nie odpowiadała na zapytania w tym zakresie:

Nadużycia przy użyciu

Ustalenia NIK zawierają także informacje, że Hermesa “stosowano do wyszukiwania informacji o znanych politykach, samorządowcach, prokuratorach i osobach ze sfery biznesu”. I że nie ma jasności co do tego, czy producent miał wgląd w dane śledztwa prowadzonych przy użyciu Hermesa. Nie jest też pewne, kto jeszcze mógł dane na temat śledztw pozyskiwać, bo — patrz akapit wyżej — nie wiadomo do czyich endpointów trafiały selektory o które narzędzie odpytywali analitycy.

Co ciekawe, NIK miał też zastrzeżenia do sposobu korzystania z narzędzia:

Chodzi tu o wyszukiwanie informacji z naruszeniem obowiązujących w Prokuraturze Krajowej procedur, bez wymaganych formalnych wniosków, na podstawie ustnych poleceń, a także bez weryfikacji czy wyszukiwania te były związane z popełnieniem przestępstwa. W kontroli ujawniono ślady 30 takich wyszukiwań, bowiem pozostały po nich pliki lub wydruki. Ile ich było w rzeczywistości – tego na tę chwilę nie można stwierdzić. Wątpliwości za to nie pozostawia fakt, że zlecający takie wyszukiwania prokuratorzy wychodzili poza ramy uregulowanej przepisami analizy kryminalnej.

NIK skierował do prokuratury dwa zawiadomienia o możliwości popełnienia przestępstw dotyczących: wyrządzenia szkody majątkowej w wielkich rozmiarach i celowego nieujawnienia kontrolerom NIK dokumentu księgowego dotyczącego systemu Hermes.

Takie śledztwa można zrobić taniej :-)

Gdyby ktoś chciał dowiedzieć się co na jego temat mogą takie OSINT-owe śledztwa wyszukać i jak chronić swoją prywatność w internecie, albo wprost — nauczyć się, jak samemu takie śledztwa OSINT-owe prowadzić i jak pozyskiwać dane na temat osób i firmy, ale w oparciu o setki rzetelnych źródeł danych i API (o których wiadomo, do kogo należą) oraz przy pomocy dziesiątek uznanych i darmowych narzędzi, to zapraszamy na nasz internetowy kurs OSINT (~25h materiału, który oglądasz kiedy chcesz i ile razy chcesz) albo nasze pełne praktyki dwudniowe szkolenia w największych miastach w Polsce — lista terminów poniżej, a przy zapisie dziś, z kodem HERMES dajemy 120 PLN zniżki.