Co robić, kiedy świadek nie pamięta maili? Ściąga dla komisji śledczych

We wtorek, 13 lutego 2024, komisja śledcza ds. wyborów kopertowych będzie kontynuować przesłuchanie byłego szefa Kancelarii Premiera Michała Dworczyka. Już po pierwszym dniu jego zeznań wiadomo, jaką przyjął strategię. Kiedy komisja pytała go o treść maili, wykradzionych z jego prywatnej skrzynki i opublikowanych na portalu Poufna Rozmowa, Dworczyk twierdził, że maile są niewiarygodne, bo ujawnił je rosyjski portal. Mówił również, że nie pamięta maili, które do niego przychodziły. A także że nigdy nie sprawdzał, czy te publikowane na „rosyjskim portalu” były prawdziwe czy nie.

Słuchając tych zeznań, OKO.press postanowiło przygotować dla śledczych ściągę. Bo zarówno zeznania Michała Dworczyka, jak i innych świadków, da się zweryfikować. Trzeba jednak wiedzieć, co dotychczas zostało ujawnione na temat afery mailowej.

Czy da się zweryfikować Dworczyka?

Kiedy Dworczyk mówi, że nie pamięta swoich maili, warto sprawdzić ich treść w ABW, ponieważ służby zarchiwizowały jego skrzynkę mailową. Gdy wyjaśnia, że nie wie, czy publikowano prawdziwą korespondencję, bo nie sprawdzał tych publikacji – warto mu przypomnieć jego wypowiedź z 2022 roku. Przyznał wtedy, że część maili jest prawdziwa.

A kiedy były szef Kancelarii Premiera tłumaczy, że używał prywatnej skrzynki do prowadzenia służbowej korespondencji z powodu pandemii

Do końca lipca 2023 roku na kanale i stronie Poufna Rozmowa opublikowano ponad dwa tysiące zrzutów ekranu z fragmentami mailowej korespondencji. Dotyczą wielu tematów i wielu osób. Nasza ściąga przyda się więc wszystkim komisjom śledczym.

Afera mailowa to element znacznie szerszej operacji, nazwanej Ghostwriter. Nazwę tę nadała jej amerykańska firma Mandiant, zajmująca się m.in. cyberbezpieczeństwem. Jako pierwsza ujawniła ona działania hakerskiej grupy. Hakerzy włamywali się na witryny internetowe i skrzynki mailowe. Na te ostatnie – głównie za pomocą ataków phishingowych. Podszywali się pod wiarygodną osobę lub instytucję, by nieświadomy użytkownik przekazał im dane dostępu do konta.

Ponadto hakowali konta polityków, ekspertów i dziennikarzy w mediach społecznościowych. Konta i strony, do których zyskali dostęp, wykorzystywali do rozprowadzania fake newsów, materiałów sfabrykowanych, ale też prawdziwych, choć niejawnych informacji.

Operacja Ghostwriter

Sieciowe incydenty dotyczyły nie tylko Polski, także Litwy i Łotwy. Według firmy Mandiant za operacją Ghostwriter stała grupa hakerska UNC1151. Nie zakończyła działalności do dziś. Znane są jej ataki realizowane już po wybuchu wojny w Ukrainie.

Jednym ze zhakowanych konto było konto żony Michała Dworczyka na Facebooku. Wykorzystano je, by 8 czerwca 2021 roku poinformować, że na platformie Telegram publikowane są materiały wykradzione ze skrzynki jej męża. Tak zaczęła się afera mailowa.

Pisowskie władze od początku twierdziły, że to działanie Rosjan – nawet wtedy, gdy nie było na to jeszcze żadnych dowodów (te pojawiły się później). Hasło o rosyjskim autorstwie operacji wykorzystano, by podważyć wiarygodność publikowanych maili oraz uzasadnić własne milczenie i brak konsekwencji wobec osób zamieszanych w aferę. PiS przyjął bowiem zasadę: nie komentujemy operacji rosyjskiej.

Rosyjskie autorstwo, prawdziwe maile

Jednak w kolejnych miesiącach dziennikarze i eksperci udowodnili, że publikowane najpierw przez kanał Poufna Rozmowa, a potem przez stronę internetową o tej samej nazwie fragmenty korespondencji są prawdziwe. Jednocześnie śledztwa prowadzone przez amerykańskie firmy wywiadowcze i polskich ekspertów wskazują, że rzeczywiście za aferą mailową stoją Białoruś i Rosja.

Jedną z istotnych wskazówek był istniejący na platformie Telegram kanał SecretEU, na którym już od lutego 2021 publikowano korespondencję, wykradzioną od Michała Dworczyka oraz jednego z jego rozmówców, płk. Krzysztofa Gaja.

Robiono to między innymi za pomocą kanałów komunikacji należących do siatki medialnej słynnego Jewgienija Prigożyna (tego od wagnerowców). A następnie także w rosyjskich i białoruskich mediach.

Wschodnie autorstwo operacji nie wyklucza jednak prawdziwości wykradzionej korespondencji, choć taki wniosek usiłował zaszczepić PiS wśród Polaków. Dlatego trzeba to podkreślić:

O tym, w jaki sposób potwierdzano dotychczas ich autentyczność, piszę w dalszej części artykułu.

Weszli do skrzynek mailowych setek osób

Przyjęta przez PiS strategia milczenia sprawiła, że oficjalnych informacji na temat tego, kto stoi za aferą i jak do niej doszło, do dziś jest bardzo mało. Przypomnijmy, co wiadomo.

14 czerwca 2021 Michał Siegieda, dyrektor komunikacji Wirtualnej Polski (Michał Dworczyk miał konto na serwerze wp.pl), poinformował, że nie doszło do włamania na konto Dworczyka. Wskazał, że osoba nieuprawniona, która dostała do skrzynki mailowej, znała hasła dostępu. Skąd? Tego dowiedzieliśmy się później.

22 czerwca 2021 ABW i SKW wydały oświadczenie. Przyznały w nim, że publikacja wykradzionej korespondencji ministra Michała Dworczyka jest częścią operacji Ghostwriter. Poinformowały również, że: „Na liście celów przeprowadzonego ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwerach poczty elektronicznej. Co najmniej 500 użytkowników odpowiedziało na przygotowaną przez autorów ataku informację”.

Wśród 4350 adresów mailowych więcej niż sto należało do osób publicznych: członków rządu, posłów, senatorów, samorządowców. Próbowano hakować także dziennikarzy i pracowników organizacji pozarządowych.

Standardowa metoda Dworczyka

1 lipca 2021 z kolejnej publikacji Poufnej Rozmowy dowiedzieliśmy się, że zhakowano nie tylko prywatną skrzynkę mailowa Dworczyka, ale także jego skrzynkę sejmową, i to już po wybuchu afery mailowej.

Publikowane maile Dworczyka pochodziły z różnych lat, także z okresu, gdy był on wiceministrem w Ministerstwie Obrony Narodowej (2017).

Gdy więc teraz zeznaje przed komisją śledczą, że robił to, ponieważ trwała pandemia koronawirusa, jego zeznania nie pokrywają się z faktami.

Owszem, w czasie pandemii również używał prywatnej skrzynki – tak samo jak wcześniej. Była to na tyle powszechna praktyka, iż wiedzieli o niej urzędnicy z instytucji, w których Dworczyk pracował. Wielu z nich wysyłało mu służbowe dokumenty od razu na prywatny adres.

Chociaż więc teoretycznie afera dotyczy prywatnej korespondencji byłego szefa Kancelarii Premiera, w rzeczywistości stawia ona pod znakiem zapytania bezpieczeństwo wszelkich dokumentów, wytwarzanych w latach 2017-2021 w KPRM.

Zhakowano 300 polityków i samorządowców

12 lipca 2021 roku w Kancelarii Premiera zorganizowano briefing dla mediów, na którym służby podały kolejne informacje. Nie zaproszono wszystkich redakcji, zabroniono również dziennikarzom jakiegokolwiek rejestrowania (nagrywania czy robienia zdjęć) briefingu. Mimo to odtworzyliśmy najważniejsze podane wówczas informacje.

Służby zaktualizowały dane ilościowe: w ramach operacji Ghostwriter zaatakowano około dwóch tysięcy osób, atak powiódł się wobec 700. 40 procent z tych siedmiuset mieli stanowić politycy i samorządowcy, 11 procent – naukowcy.

Najczęściej włamywano się do skrzynek prywatnych. Ale dostano się także do skrzynek sejmowych jedenastu parlamentarzystów. Jak się później okazało, także do skrzynek pracowników najważniejszych polskich urzędów, np. Kancelarii Prezydenta RP.

Wielokrotny dostęp do skrzynki Dworczyka

Funkcjonariusze poinformowali również, że:

1. Hakerzy po raz pierwszy dostali się do skrzynki mailowej Michała Dworczyka już we wrześniu 2020. Po raz drugi – 24 maja 2021. Logowali się, korzystając z usług rosyjskiego dostawcy internetowego. Trzeci raz dostali się do jego skrzynki po wybuchu afery mailowej, 10 czerwca. Mimo że była już zabezpieczona dwuetapowym systemem logowania.
2. Jak to możliwe, że sprawcy ataku bez problemu logowali się na konto Dworczyka? Otóż (i to eksperci wyjawili między wierszami, a nie wprost) na komputerze Dworczyka zainstalowano prawdopodobnie oprogramowanie szpiegujące. Takie programy są niewidoczne dla użytkownika, pracują w tle i gromadzą wszystkie dane, jakie użytkownik wprowadza za pośrednictwem danego urządzenia. W tym oczywiście dane logowań.

Późniejsze publikacje Poufnej Rozmowy, prezentujące zrzuty ekranu z listą wiadomości przychodzących na prywatną skrzynkę Dworczyka dowodziły, że hakerzy mieli dostęp do maili także w kolejnych dniach trwania afery. Najświeższe wiadomości widoczne w zestawieniu pochodziły z 14 czerwca 2021. Był to dzień, w którym w premier Morawiecki wnioskował o zwołanie niejawnego posiedzenia Sejmu na temat afery mailowej właśnie. Premier zwoływał, a hakerzy czytali wiadomości u szefa jego kancelarii.

Skrzynka Dworczyka w posiadaniu służb

Dzięki informacjom z lipca 2021 wiemy, że skrzynka Dworczyka była szczegółowo badana przez służby po wybuchu afery mailowej. Pokrywa się to z informacjami, podawanymi w październiku 2021 przez Andrzeja Gajcego, dziennikarza Onet.pl. Ujawnił on, iż najistotniejsze maile ze skrzynki Dworczyka zostały wydrukowane i przekazane prezesowi PiS Jarosławowi Kaczyńskiemu, by mógł się z nimi zapoznać.

„Jarosław Kaczyński miał otrzymać od polskich służb teczkę z opisem e-maili, które znajdowały się w skrzynce pocztowej Dworczyka. Ich treść miała okazać się jeszcze bardziej kompromitująca niż to, co do tej pory wyciekło” – pisał Gajcy.

Kiedy dziś maile te są wykorzystywane jako dowody przez komisje śledcze, a świadkowie podważają ich wiarygodność (bo pochodzą z „rosyjskiego portalu”, więc są zmanipulowane lub sfałszowane) lub twierdzą, że nie pamiętają, czy jakiś mail istniał – można sięgnąć do źródeł.

Mailowe archiwum powinno znajdować się w ABW. O ile, oczywiście, nie uległo zniszczeniu. Śledztwo w sprawie włamania do skrzynki prowadzi także prokuratura. Zarchiwizowane maile powinny być dołączone także do akt śledztwa. Mamy więc dwa miejsca, z których posłowie z komisji śledczej mogą pobrać maile i w ten sposób uciąć twierdzenia o ich sfałszowaniu. A także odświeżyć pamięć świadkom.

Czy te maile są prawdziwe?

Zresztą nawet bez sięgania do materiałów ABW i prokuratury wiemy, że większość opublikowanych maili jest prawdziwa. Mamy na to sporo dowodów. Prowadziłam analizę udostępnionych przez Poufną Rozmowę i Secret EU plików – oba kanały często publikowały nie tylko zrzuty ekranu maili, ale też dołączały pliki elektroniczne. Wynikało z niej, że w przytłaczającej większość mamy do czynienia z prawdziwymi materiałami. Wskazywały na to zachowane dane cyfrowe.

Oto na przykład w pliku jednej z udostępnionych notatek zachował się opublikowany przez autora pliku link, prowadzący do źródła zamieszczonej w dokumencie grafiki z logotypem MSZ. Link kierował do wewnętrznego, intranetowego portalu MSZ. Mają do niego dostęp jedynie pracownicy ministerstwa.

W innym dokumencie zapisano linki prowadzące do zarchiwizowanej strony Ministerstwa Finansów, z wewnętrznymi wytycznymi, także dostępnymi tylko dla pracowników.

Zapisała ona jakiś materiał na dysku twardym swego komputera, a potem zamieściła prowadzącą do niego ścieżkę dostępu. Wystarczyło odczytać zapis tej ścieżki, by ustalić, na czyim komputerze powstał dokument.

Nie ma cyfrowych niespójności

Niektóre opublikowane pliki były wersjami roboczymi – zapisano w nich nazwiska urzędników przygotowujących je, akceptujących i zatwierdzających. Sprawdziłam – wszystkie nazwiska pokrywały się z informacjami o pracownikach urzędów oraz z ich stanowiskami. Jednocześnie daty edycji dokumentów, zapisane w danych cyfrowych, często nie było zmieniane od momentu ich utworzenia i pokrywały się z datami widniejącymi w treści dokumentów.

Nie było w nich żadnych niespójności, a te musiałyby się pojawić, gdyby dokumenty sfałszowano.

Poufna Rozmowa kilkukrotnie publikowała także pliki w formacie „emi”, który zapisuje wiadomości mailowe w taki sposób, że po otwarciu pliku widzimy wiadomości jako aktywne. Wygląda to tak, jakbyśmy weszli na czyjąś skrzynkę mailową. Taki format daje możliwość sprawdzenia choćby cyfrowego nagłówka maila. Zawiera on dane o serwerach, wykorzystanych do przesyłu wiadomości, daty utworzenia maila etc. Tam również nie było niespójności. Nagłówki potwierdzały, że mamy do czynienia z prawdziwymi mailami.

Dworczyk przyznał: część maili prawdziwa

Co więcej – w sierpniu 2022 Michał Dworczyk w programie Polsat News sam przyznał, że część maili „jest prawdziwa, część jest zmanipulowana, część jest fałszywa”. To stoi w sprzeczności ze stwierdzeniem Dworczyka, wygłoszonym w pierwszym dniu jego przesłuchania przed komisją śledczą ds. wyborów kopertowych. Były szef Kancelarii Premiera powiedział wówczas, że nie wie, które maile są prawdziwe, a które fałszywe, ponieważ nie porównywał tego, co zostało opublikowane, ze swoją skrzynką. Cóż, w sierpniu 2022 jednak wiedział, że przynajmniej część ujawnionej korespondencji jest prawdziwa. Coś więc musiał pamiętać oraz porównywać.

W lipcu 2021 na briefingu w KPRM służby także odnosiły się do kwestii fałszowania maili. Mimo że wówczas opublikowano już kilkadziesiąt zrzutów ekranu z korespondencją,

Trzy inne materiały dotyczące polskiego wojska, prawdopodobnie autorstwa płk. Gaja, miały być fragmentami artykułu naukowego. Zostały natomiast opublikowane jako dokumenty, zatwierdzone przez Szefa Sztabu Generalnego Wojska Polskiego. Fałszywa miała być właśnie pieczątka o ich zatwierdzeniu. Żadnych więcej manipulacji ani fałszerstw służby nie wskazały.

SKW pośrednio potwierdziło autentyczność

Kolejne miesiące przyniosły dodatkowe dowody na autentyczność publikowanej korespondencji. Ujawniono między innymi maile, w których naradzano się, jak odpowiadać na pytania dziennikarzy, nadesłane do KPRM. Jedna z dyskusji dotyczyła pytań od Bianki Mikołajewskiej, wówczas dziennikarki OKO.press. W opublikowanej korespondencji wszystko się zgadzało – pytania, daty. Także przyjęta przez współpracowników premiera wersja odpowiedzi była zgoda z odpowiedzią, jaką otrzymała dziennikarka.

Dodajmy, że w czerwcu 2022 roku służby cofnęły poświadczenie bezpieczeństwa płk. Gajowi, który wielokrotnie komunikował się mailowo z Dworczykiem. Takie poświadczenie daje dostęp do informacji niejawnych. Funkcjonariusze SKW mieli ustalić, że w mailach, której Gaj wysyłał Dworczykowi, znajdowały się informacje objęte tajemnicą wojskową. A skoro Gaj tak obchodził się z niejawnymi informacjami, to nie powinien mieć do nich dostępu. Tym samym SKW pośrednio potwierdziło autentyczność korespondencji.

Co jeszcze trzeba wiedzieć?

Afera mailowa jest naprawdę rozległa. Co jeszcze powinni wiedzieć o niej parlamentarzyści z komisji śledczych?

1. Włamano się nie tylko do prywatnej skrzynki mailowej Michała Dworczyka. Poufna Rozmowa publikowała także korespondencję ze skrzynek: prezesa Orlenu Daniela Obajtka, wiceprezesa PiS Joachima Brudzińskiego i byłego szefa SKW Piotra Bączka. W jednej z ostatnich publikacji pojawił się mail, który może sygnalizować, że włamano się także na skrzynkę Sławomira Cenckiewicza. Cenckiewicz kierował pisowską komisją badającą wpływy rosyjskie w Polsce.
2. W mailach Daniela Obajtka znajdują się wiadomości napisane już po wybuchu wojny w Ukrainie. A więc hakerzy mieli dostęp do jego skrzynki w pierwszej połowie 2022 roku, wiele miesięcy po wybuchu afery mailowej. Dzień po wybuchu wojny mail na prywatną skrzynkę Obajtka wysłał premier Morawiecki, także korzystając z prywatnej skrzynki. Premier informował o konieczności zabezpieczenia dostaw paliwa na potrzeby armii ukraińskiej. Chociaż wiadomość dotyczyła wsparcia sił zbrojnych innego państwa, chociaż w tym czasie obowiązywał trzeci stopień zagrożenia CHARLIE-CRP (wysoki stopień zagrożenia w cyberprzestrzeni), premier w żaden sposób nie zabezpieczył maila.

Maile także z Kancelarii Prezydenta i MON

Afera mailowa nie dotyczy tylko współpracowników premiera Mateusza Morawieckiego. Opublikowano także wiadomości, z których wynika, że hakerzy zyskali dostęp do skrzynki pracownika Kancelarii Prezydenta, a także do osoby z Ministerstwa Obrony Narodowej lub z Polskiej Grupy Zbrojeniowej. Włamano się na ich skrzynki służbowe, nie na prywatne.

Niektóre opublikowane materiały zawierały informacje chronione klauzulą poufności lub takie, które powinny być klauzulą objęte. Dotyczyły np. tajemnic wojskowych, w tym pochodzących z NATO. Ze względu na ujawnienie jednej z nich prokuratura wszczęła postępowanie w sprawie (chodziło o mail płk. Krzysztofa Gaja do Michała Dworczyka). Śledztwo jednak stoi w miejscu, podobnie jak inne postępowania dotyczące afery mailowej.

Wśród wykradzionych informacji były też plany stworzenia bezpiecznej Sieci Komunikacji Rządowej przez firmę Exatel, razem ze schematem sieci oraz planowanymi zabezpieczeniami.

Afera mailowa do dziś nie została wyjaśniona. Maile wciąż są publikowane. Z danych przedstawionych w 2021 roku przez służby wynika, że wykradziono tak dużo wiadomości, iż do dziś znamy prawdopodobnie jedynie niewielki ich fragment.