W latach 2020-2021 urządzenia mobilne urzędników Najwyższej Izby Kontroli zostały "zaatakowane" ponad 7 tysięcy razy

- wynika z z kolei nieoficjalnych informacji stacji TVN24.

- Oczekuję, ze Prezes NIK złoży bez zbędnej zwłoki zawiadomienie do prokuratury wraz z materiałami świadczącymi o masowej inwigilacji jego instytucji. Przypomnę tylko, że kto zawiadamia o przestępstwie, wiedząc, że przestępstwa nie popełniono, popełnia przestępstwo

- komentuje wiceminister MSWiA i zastępca ministra koordynatora służb specjalnych Maciej Wąsik

- Groteskowe stają się te nowe wątki tzw. afery Pegazusa. Informacje płynące z NIK to już zupełny odlot!

- pisze rzecznik ministra koordynatora Stanisław Żaryn

"Specjalny zespół" NIK opisywany przez RMF miał "wykorzystać ogólnodostępną listę domen wykorzystywanych przez system Pegasus. Na tej podstawie sprawdzili, czy te domeny łączyły się z urządzeniami zależącymi do pracowników NIK".

W rozmowie z Wirtualną Polską Adam Haertle, ekspert ds. cyberbezpieczeństwa z serwisu Zaufana Strona Trzecia, tłumaczy, że w trakcie ataków Pegasusem używane są adresy domen, czyli nazwy stron, z którymi musi połączyć się telefon, żeby doszło do infekcji. Jednak wg. eksperta, wejście na zainfekowaną stronę nie jest jednoznaczne z zaatakowaniem urządzenia przez system Pegasus. 

- Jeżeli potraktować te doniesienia dosłownie, to eksperci NIK-u wzięli listę stron, a potem sprawdzili, czy urządzenia pracowników NIK-u łączyły się z tymi stronami znajdującymi się na liście - tłumaczy Haertle. - Fakt, że dane urządzenie połączyło się z domeną, która znajduje się na liście potencjalnie zagrożonych, nic nie oznacza

(...)

Dziwnym fragmentem jest informacja, że te ataki dotyczą laptopów i serwerów, bo wiemy, że Pegasus ich nie infekuje. Wydaje się, że w procesie badania infekcji albo w procesie przekazywania wniosków badania doszło do pomyłki, która napompowała te liczby

- mówi Haertle

- Jest to jednak dość podejrzana wiadomość, no bo jak sprawdzono to "wobec 500" urządzeń? Wszystkie przejechali skanerem mvt? Czy coś więcej? Dopóki nie będzie szczegółów to trudno nam wyrokować. Spore pole do nadinterpretacji (...) Obecnie dużo wątpliwości, stąd ostrożność. Pytanie kluczowe: dlaczego mielibyśmy w to wierzyć? Nie znam kompetencji informatyków NIK w tym obszarze, ale "500 urządzeń" Pegasusem brzmi na niezwykle dużo. Chodzi tu więc o precedens w skali świata. Choćby dlatego: ostrożnie (...) Osobiście to po prostu obecnie nie wierzę w użycie Pegasusa wobec 500 urządzeń NIK. Oczywiście nie wykluczam (bo jakim prawem miałbym wykluczać, jestem fanem mechaniki kwantowej). Ale nie wierzę. Byłby to precedens na skalę świata. I takiej rangi dowodów by wymagał.

- pisze z kolei na Twitterze Łukasz Olejnik z serwisu Prywatnik.pl

- Nie znam nigdzie w świecie sytuacji, w której instytucja państwowa dała przeciek do mediów o potencjalnie poważnym incydencie cyberbezpieczeństwa, po czym miałaby czekać kilka dni na wyjawienie szczegółów. Oczywiście incydenty takie są poważne, trzeba je kontrolować i rozwiązywać

(...)

Generalnie, jeśli już robić propagandę lub spin polityczny na temacie specjalistycznym, np. technologii, cyfryzacji, cyberbezpieczeństwie, to warto znać temat dogłębnie, żeby robić to z głową. Jeśli są podstawowe braki, jakieś luki, to nie wygląda to wtedy zbyt wiarygodnie.

- pisze Olejnik

Osobiście to po prostu obecnie nie wierzę w użycie Pegasusa wobec 500 urządzeń NIK. Oczywiście nie wykluczam (bo jakim prawem miałbym wykluczać, jestem fanem mechaniki kwantowej). Ale nie wierzę. Byłby to precedens na skalę świata. I takiej rangi dowodów by wymagał.

— Łukasz Olejnik (@prywatnik) February 4, 2022

Bo jednak powstanie - nie możemy go nie zadać - pytanie o poziom cyberbezpieczeństwa w NIK. Dlaczego wykryto dopiero po kilku latach? To kompromitacja NIK przecież. Chodzi o cyberbezpieczeństwo państwa.

— Łukasz Olejnik (@prywatnik) February 4, 2022

NIK powinien być w stanie to zweryfikować. To ich systemy w których zgłasza się (rzekomo) prawdopodobnie incydent cyberbezpieczeństwa. Trzeba to po prostu zbadać jak każdy incydent. Samo informowanie byłoby nieprofesjonalne więc zakładam że bardzo pogłębiony audyt już trwa.

— Łukasz Olejnik (@prywatnik) February 4, 2022

Generalnie, jeśli już robić propagandę lub spin polityczny na temacie specjalistycznym, np. technologii, cyfryzacji, cyberbezpieczeństwie, to warto znać temat dogłębnie, żeby robić to z głową. Jeśli są podstawowe braki, jakieś luki, to nie wygląda to wtedy zbyt wiarygodnie.

— Łukasz Olejnik (@prywatnik) February 5, 2022

Nie znam nigdzie w świecie sytuacji, w której instytucja państwowa dała przeciek do mediów o potencjalnie poważnym incydencie cyberbezpieczeństwa, po czym miałaby czekać kilka dni na wyjawienie szczegółów. Oczywiście incydenty takie są poważne, trzeba je kontrolować i rozwiązywać

— Łukasz Olejnik (@prywatnik) February 5, 2022

Generalnie, jeśli już robić propagandę lub spin polityczny na temacie specjalistycznym, np. technologii, cyfryzacji, cyberbezpieczeństwie, to warto znać temat dogłębnie, żeby robić to z głową. Jeśli są podstawowe braki, jakieś luki, to nie wygląda to wtedy zbyt wiarygodnie.

— Łukasz Olejnik (@prywatnik) February 5, 2022