NIK o zawarciu i realizacji umowy na zakup systemu Hermes

1 dzień temu

Najwyższa Izba Kontroli negatywnie oceniła zarówno proces nabycia systemu Hermes przez Prokuraturę Krajową (PK) w listopadzie 2020 r., jak również zbadane w kontroli aspekty jego wykorzystania. Chociaż system do analizy danych z otwartych źródeł kosztował ponad 15 mln zł, to jego zakupu dokonano bez żadnego przygotowania. Nie przeprowadzono analizy potrzeb, zakresu zastosowania tego systemu, czy konkretnych jego funkcjonalności. Należy podkreślić, iż PK przy zakupie Hermesa w sposób nieuprawniony wyłączyła zastosowanie przepisów o zamówieniach publicznych, choć na rynku były tańsze systemu o takich samych możliwościach. Było to działanie nie tylko nielegalne, ale również rażąco niegospodarne i nierzetelne. W toku kontroli ustalono również, iż system stosowano do wyszukiwania informacji o znanych politykach, samorządowcach, prokuratorach i osobach ze sfery biznesu. Biorąc pod uwagę wszystkie ustalenia, Izba skierowała do prokuratury dwa zawiadomienia o możliwości popełnienia przestępstw dotyczących: wyrządzenia szkody majątkowej w wielkich rozmiarach i celowego nieujawnienia kontrolerom NIK dokumentu księgowego dotyczącego systemu Hermes.

20 listopada 2020 r. Prokuratura Krajowa kupiła za 15,56 mln zł system o handlowej nazwie Hermes do analizy danych z otwartych źródeł internetowych (OSINT). Miał służyć jako narzędzie wspomagające przeprowadzanie analizy kryminalnej. Z systemu Prokuratura korzystała od 19 stycznia 2021 r. do 13 marca 2024 r. W tym okresie wykonano 398 analiz kryminalnych.

Konferencja prasowa prezentująca wyniki kontroli „Zawarcie i realizacja umowy na zakup systemu HERMES”

Transkrypcja w opracowaniu

Najważniejsze ustalenia kontroli

Prokuratura Krajowa nabyła system Hermes bez przeprowadzenia jakichkolwiek analiz w zakresie: potrzeb ulepszenia procesu analizy kryminalnej, oczekiwanych możliwości takiego systemu i zakresu jego wykorzystania. Nie analizowano również potrzeb analityków, którzy mieli go docelowo wykorzystywać. W ocenie Najwyższej Izby Kontroli zakup tego typu oprogramowania, jak system Hermes, można uznać za zakup celowy (czyli zgodny z zadaniami prokuratury), o ile celowość tą uda się wykazać dzięki właśnie analiz, których wykonanie pominięto.

Transakcji dokonano bez rzetelnego rozeznania rynku i analizy ekonomicznej zakupu tego typu oprogramowania. Najdroższy z alternatywnych systemów dostępnych na rynku i posiadający te same funkcje był 6,5 mln zł tańszy od systemu Hermes. Zgromadzony materiał dowodowy wskazuje, iż kierownictwo Prokuratury Krajowej od początku planowało zakup właśnie tego systemu, oferowanego przez tego konkretnego dostawcę.

Co prawda – wysiłkiem pracowników Wydziału ds. Analizy Kryminalnej – podjęto próby znalezienia konkurencyjnych, tańszych rozwiązań, ale kierownictwo Prokuratury Krajowej nie wzięło tej analizy pod uwagę. W sporządzonej notatce służbowej, przekazanej następnie do akceptacji Ministra Sprawiedliwości – Prokuratora Generalnego poinformowano, iż system Hermes posiada określoną funkcjonalność, która wyróżnia go na tle innych, dostępnych na rynku rozwiązań.

Przed zakupem systemu Hermes nie przeprowadzono jego testów, gdyż dostawca nie przewidywał takiej możliwości. Pracownicy Wydziału ds. Analizy Kryminalnej przeprowadzili za to krótkie, dwudniowe testy dla dwóch alternatywnych programów. Co interesujące pracownicy, którzy mieli stosować system Hermes w ramach dokonywanych analiz kryminalnych, nie zgłaszali potrzeby zakupu takiego systemu.

Przy zakupie Hermesa PK w sposób nieuprawniony wyłączyła stosowanie przepisów regulujących udzielanie zamówień publicznych, powołując się na ochronę bezpieczeństwa publicznego, pomimo że:

  • okoliczności faktyczne jak i charakter kupowanego systemu nie uzasadniały pominięcia tych przepisów;
  • system miał na celu wspomaganie ustawowych, tj. powszechnie znanych zadań prokuratury (tzn. dokonywanie analiz kryminalnych z otwartych źródeł internetowych);
  • nie wykazano, iż ochrona bezpieczeństwa publicznego nie może zostać zagwarantowana w inny sposób, niż pominięcie trybów przetargowych, co było niezbędne do wyłączenia przepisów dotyczących zamówień publicznych;
  • upowszechnienie wiedzy o nabyciu narzędzia usprawniającego wykonywanie ustawowych zadań prokuratury nie mogło realnie narazić bezpieczeństwa publicznego.

Wyniki kontroli wskazują, iż nabycie systemu Hermes procedowano pośpiesznie, niedbale, a ówczesne kierownictwo Prokuratury Krajowej podejmowało wysiłki, by zakup ukryć przed opinią publiczną. Świadczy o tym niezastosowanie wymaganych trybów przetargowych, co w ocenie NIK było działaniem nielegalnym, ale zakup procedowano również rażąco niegospodarnie i nierzetelnie. Ponadto, w trakcie kontroli NIK w PK w 2023 r., na polecenie Dyrektora Departamentu ds. Przestępczości Gospodarczej PK w sposób nieuprawniony utajniono przed kontrolerami jedną z faktur dotyczących systemu Hermes, pod pretekstem, iż wydatek ten powiązany jest z prowadzonym przez prokuraturę śledztwem.

Zdaniem NIK, umowa na zakup systemu Hermes została sporządzona nierzetelnie i nie zabezpieczała w sposób należyty interesów Skarbu Państwa i Prokuratury Krajowej. W umowie zawarto zapisy promujące dostawcę systemu – językiem wiążącym dla postanowień umowy był język angielski, a sądem adekwatnym w przypadku sporu – sąd w Londynie. Ponadto postanowienia dotyczące kar umownych stawiały dostawcę w uprzywilejowanej pozycji, bowiem kary te były rażąco niskie w stosunku do wartości nabywanego oprogramowania. Co więcej, w umowie nie zapewniono niezwłocznej reakcji dostawcy na wypadek, gdyby system przestał działać choćby na wiele dni.

NIK zwraca również uwagę, iż w sposób nierzetelny procedowano zawarcie jednego z aneksów do umowy. Prokuratura Krajowa nie dysponowała bowiem jakimkolwiek dokumentem potwierdzającym, iż podmiot będący stroną aneksu jest następcą prawnym podmiotu, z którym zawarto umowę na zakup systemu. Tym samym za zakup usługi wsparcia wypłacono ponad 1,5 mln zł netto podmiotowi, który mógł być całkowicie przypadkowy.

Zarówno instalacja tzw. hardware, jak i możliwości systemu Hermes – oferowanego przez zagranicznego dostawcę – nie zostały w żaden sposób zweryfikowane pod względem bezpieczeństwa przetwarzanych w Prokuraturze Krajowej danych, w tym informacji objętych tajemnicą prowadzonych postępowań przygotowawczych. Jest to o tyle dziwne, iż PK prowadzi i nadzoruje szereg postępowań dotyczących najgroźniejszych przestępstw. Tymczasem w ramach dokonywania analiz kryminalnych, do systemu Hermes wprowadzano dane (tzw. dane wsadowe) pochodzące z prowadzonych śledztw, które objęte były tajemnicą postępowania przygotowawczego. Wiedza o okolicznościach tych przestępstw nie powinna zostać ujawniona osobom niepowołanym, a tym bardziej nieuprawnionym podmiotom zagranicznym. Realność tego zagrożenia, jak i ewentualne faktyczne wycieki danych ze śledztw są w tej chwili przedmiotem analiz Biura Badań Kryminalistycznych Agencji Bezpieczeństwa Wewnętrznego.

Do danych wsadowych, które wprowadzane były do systemu Hermes należą także dane osobowe. Dane te pojawiały się również jako wyniki dokonywanych w Hermesie analiz. Jednakże mimo obowiązujących w Prokuraturze Krajowej wymogów, co do objęcia wszystkich systemów przetwarzających takie dane polityką bezpieczeństwa danych osobowych, systemu Hermes nie objęto tą polityką.

Kontrolerzy NIK w trakcie kontroli znaleźli dowody wskazujące na nieuprawnione użycie systemu Hermes. Chodzi tu o wyszukiwanie informacji z naruszeniem obowiązujących w Prokuraturze Krajowej procedur, bez wymaganych formalnych wniosków, na podstawie ustnych poleceń, a także bez weryfikacji czy wyszukiwania te były związane z popełnieniem przestępstwa. W kontroli ujawniono ślady 30 takich wyszukiwań, bowiem pozostały po nich pliki lub wydruki. Ile ich było w rzeczywistości – tego na tę chwilę nie można stwierdzić. Wątpliwości za to nie pozostawia fakt, iż zlecający takie wyszukiwania prokuratorzy wychodzili poza ramy uregulowanej przepisami analizy kryminalnej. W ocenie NIK, działania takie mogły mieć charakter czynności operacyjno-rozpoznawczych, które z natury swej rzeczy zarezerwowane są dla służb.

Wspomniane już nieformalne zapytania realizowane w systemie Hermes, których nie można było powiązać z popełnianiem przestępstw, dotyczyły znanych polityków i samorządowców, pojawiających się w mediach prokuratorów, a także znanych osób ze sfery biznesu.

W okresie od stycznia 2021 r. do marca 2024 r. przy pomocy systemu Hermes wykonano niemal 400 analiz kryminalnych. Biorąc pod uwagę koszty zakupu systemu, koszt wykonania jednej analizy kryminalnej wyniósł ok. 40 tys. zł. Jak bardzo przydatne były te analizy w działaniach prokuratury – tego nie można stwierdzić, bowiem Prokuratura Krajowa nie analizowała skuteczności zastosowania systemu Hermes.

Analitycy pracujący w systemie Hermes nie mieli pełnej wiedzy skąd pochodzą dane, pozyskiwane przez oprogramowanie ani jak są przetwarzane. Kierowane przez nich w tym zakresie zapytania – do przełożonych, a dalej do dostawcy systemu – pozostały bez odpowiedzi.

Reasumując, Prokuratura Krajowa dysponowała systemem do analizy danych z otwartych źródeł internetowych, ale nie miała wiedzy czy wprowadzane do systemu zapytania były widoczne dla dostawcy systemu lub innych służb, nie wiadomo tak naprawdę jaka była pula logów i haseł do systemu, nie wiadomo gdzie te dane były przechowywane (np. w tzw. „chmurze”) i kto miał do nich dostęp.

Uwagi i wnioski

W wystąpieniu pokontrolnym Najwyższa Izba Kontroli nie sformułowała wniosków pokontrolnych, bowiem od wiosny 2024 r. Prokuratura Krajowa zaprzestała opłacania kolejnych faktur za wsparcie oprogramowania, a tym samym system Hermes przestał być stosowany.

W wyniku kontroli skierowano dwa zawiadomienia do prokuratury o uzasadnionym podejrzeniu popełnienia przestępstwa. Pierwsze dotyczy wyrządzenia szkody majątkowej w wielkich rozmiarach poprzez niegospodarny zakup systemu Hermes, a także niedopełnienia obowiązku przeprowadzenia stosownych analiz przed tym zakupem. Z kolei drugie zawiadomienie dotyczy nieuprawnionego utajnienia dokumentu księgowego przed kontrolerami NIK w toku kontroli budżetowej w 2023 r.

Ponieważ wyniki kontroli wskazują, iż system Hermes nie został zweryfikowany pod względem bezpieczeństwa - w kontekście wycieku informacji o prowadzonych przez prokuraturę postępowaniach, Najwyższa Izba Kontroli skierowała stosowne powiadomienie do Szefa Agencji Bezpieczeństwa Wewnętrznego z wnioskiem o przeprowadzenie w tym zakresie stosownego postępowania.

Zakup systemu Hermes z pominięciem przepisów dotyczących zamówień publicznych stanowi naruszenie dyscypliny finansów publicznych, jednakże w tym przypadku termin przedawnienia wynosi 3 lata i w związku z upływem tego terminu Najwyższa Izba Kontroli odstąpiła od kierowania zawiadomienia do adekwatnego rzecznika dyscypliny finansów publicznych.

-->
Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. NIK o zawarciu i realizacji umowy na zakup systemu Hermes

Powiązane

Uwaga na nowe oszustwo. choćby zastrzeżony PESEL w mObywatelu może nie pomóc

Uwaga na nowe oszustwo. choćby zastrzeżony PESEL w mObywatel...

20 godzin temu
Meta AI trafi do Europy. Ale w okrojonej wersji

Meta AI trafi do Europy. Ale w okrojonej wersji

22 godzin temu
UODO: 27 mln zł kary za wybory kopertowe

UODO: 27 mln zł kary za wybory kopertowe

1 dzień temu
Pracodawcy powinni zgłaszać niemal każde naruszenie danych osobowych

Pracodawcy powinni zgłaszać niemal każde naruszenie danych o...

1 dzień temu
Michał Gramatyka ujawnił dane w mediach społecznościowych? Interwencja RPO

Michał Gramatyka ujawnił dane w mediach społecznościowych? I...

1 dzień temu
Nowe oszustwo. "Narastająca fala"

Nowe oszustwo. "Narastająca fala"

1 dzień temu
Prezes UODO nakłada kary za nielegalne przetwarzanie danych PESEL przy wyborach kopertowych

Prezes UODO nakłada kary za nielegalne przetwarzanie danych ...

2 dni temu
Dokąd zmierzają inspektorzy ochrony danych?

Dokąd zmierzają inspektorzy ochrony danych?

2 dni temu