Marcin Marjański, p.o. rzecznik prasowy NIK
Dzień dobry Państwu. W imieniu pracowników Najwyższej Izby Kontroli oraz Prezesa NIK pragnę przywitać wszystkich obecnych na sali, oraz wszystkich, którzy oglądają nas dziś na kanałach mediów społecznościowych Izby. Tematem dzisiejszej konferencji prasowej są wyniki niezwykle ważnej kontroli obejmującej tematykę zawarcia i realizacji umowy na zakup oprogramowania Hermes. Na sali jest z nami Prezes Najwyższej Izby Kontroli, Pan Marian Banaś oraz Wiceprezesi NIK, Pan Michał Jędrzejczyk, który nadzorował bezpośrednio tę kontrolę. Witam Dyrektora Generalnego, Pana Jarosława Melnarowicza. Witam przedstawicieli NIK, którzy przeprowadzili czynności kontrolne, Pana Stefana Gadosa, Dyrektora Delegatury NIK w Rzeszowie.
Stefan Gados, dyrektor Delegatury NIK w Rzeszowie
Dzień dobry.
Marcin Marjański
Witam Pana Sebastiana Szozdę, głównego specjalistę kontroli państwowej.
Sebastian Szozda, główny specjalista kontroli państwowej NIK
Dzień dobry.
Marcin Marjański
Dla porządku dodam, Szanowni Państwo, że tak jak zwykle pracujemy w formule dwuczęściowej, czyli w pierwszej części zaprezentujemy Państwu wyniki kontroli i najważniejsze ustalenia z nich wynikające. W drugiej części jesteśmy gotowi na to, żeby odpowiedzieć na Państwa pytania. Nie zabierając więcej czasu, poproszę o zabranie głosu przez Pana Prezesa.
Marian Banaś, prezes NIK
Dzień dobry Państwu, witam wszystkich bardzo serdecznie. Szanowni Państwo, wszystkie, bez wyjątku, podmioty publiczne dysponujące środkami publicznymi są obowiązane działać nie tylko w zgodzie z przepisami prawa, ale również z poszanowaniem ugruntowanych zasad wydatkowania grosza publicznego. Do tych zasad, zgodnie z ustawą o finansach publicznych, należy dokonywanie wydatku w sposób celowy i oszczędny, zachowaniem zasady uzyskiwania najlepszych efektów. W przypadku zakończonej właśnie kontroli NIK dotyczącej oceny prawidłowości zawarcia i realizacji przez Prokuraturę Krajową Umowy na zakup oprogramowania Hermes, zasady te zostały złamane. W efekcie ponad 15,5 miliona złotych ze środków publicznych wydatkowano nie tylko nielegalnie, naruszając obowiązek zastosowania zamówień publicznych, ale także w sposób rażąco niegospodarny i nierzetelny.
Oprogramowanie w rodzaju tego, którego dotyczy zakup dokonany przez Prokuraturę Krajową, może być co do zasady przydatnym narzędziem w pracy Prokuratury. W przypadku wydawania publicznych środków, zakup taki musi być jednak poprzedzony dokonaniem analizy potrzeb oraz uwzględnieniem najkorzystniejszych warunków zakupu. Niestety przy zakupie oprogramowania, którego Prokuratur Krajowy dokonał w listopadzie 2020 roku, zaniechano tych obowiązków. Wyniki kontroli wskazują, że zakupu dokonano bez żadnego przygotowania, bez analizy potrzeb zakresu zastosowania kupowanego systemu konkretnych funkcjonalności programu, a także z minimalnym rozeznaniem rynku, którego wyniki i tak pominięto. Zakupu dokonano bowiem mimo wiedzy o dostępności dwukrotnie tańszego oprogramowania o takich samych możliwościach.
Wyniki kontroli wskazują, że ówczesne kierownictwo Prokuratury Krajowej dążyło od początku do zakupu konkretnego oprogramowania od konkretnego dostawcy, mimo że analitycy zatrudnieni w Prokuraturze Krajowej wskazywali na istnienie tak samo dobrych, lecz dużo tańszych programów. W sposób nieuprawniony pominięto przy zakupie przepisy regulujące udzielenie zamówień publicznych. Powołano się przy tym na zagrożenie bezpieczeństwa publicznego. Jednak w żaden sposób nie wykazano, dlaczego bezpieczeństwo to byłoby narażone przy zastosowaniu jawnych trybów konkurencyjnych. Zawarta umowa na zakup oprogramowania była nierzetelna, bowiem preferowała interesy zagranicznego dostawcy, w tym zakresie języka umowy, zagranicznego sądownictwa oraz rażąco niskich kar umownych w przypadku niewłaściwego wykonania umowy.
Dodatkowo ustalenia kontroli NIK wskazują, że nie tylko zakup tego oprogramowania obarczony był poważnymi nieprawidłowościami. Należy bowiem podkreślić, że również sposób jego użytkowania naruszał obowiązujące przepisy, a nawet mógł istotnie naruszać prawa i wolności obywatelskie. Kontrola wykazała, że wysocy rangom prokuratorzy zlecali przy pomocy zakupionego oprogramowania wyszukiwanie informacji ustnie, bez wymaganego formalnego wniosku, bez wskazania, czy ma to związek z prowadzonymi przez prokuraturę śledztwami. Wyniki prezentowanej dziś kontroli NIK wskazują, na rażący brak staranności najwyższym rangom funkcjonariuszy publicznych przy wydawaniu publicznych pieniędzy, a także na użytkowanie zakupionego narzędzia w sposób niedopuszczalny dla demokratycznego Państwa prawa i w sposób zupełnie sprzeczny z podstawowym zadaniem Prokuratury. To jest stania na straży praworządności. Dziękuję Państwu za uwagę i poproszę Pana Dyrektora o przedstawienie szczegółów tej kontroli. Dziękuję bardzo.
Stefan Gados
Prezentujemy dziś Państwu wyniki kontroli przeprowadzonej na wniosek Prokuratury Regionalnej w Rzeszowie, prowadzącej śledztwo w związku z zakupem przez Prokuraturę Krajową oprogramowania Hermes. Tematyka kontroli obejmowała: prawidłowość zakupu pod kątem legalności, w szczególności zastosowania przepisów dotyczących zamówień publicznych, celowość oraz gospodarność zakupu, w tym dokonanie wymaganych w tym zakresie analiz. Rzetelność zawarcia i realizacji umowy, w tym zabezpieczenie interesów Skarbu Państwa, prawidłowość wykorzystania zakupionego oprogramowania.
Dokumentacja dotycząca zakupu oprogramowania Hermes została zabezpieczona na potrzeby śledztwa przez Prokuraturę Regionalną w Rzeszowie. Za zgodą prokuratora prowadzącego postępowanie przygotowawcze mogliśmy z niej skorzystać. Mieliśmy wgląd w zeznania świadków przesłuchanych przez Prokuraturę Regionalną w Rzeszowie. Sami również pozyskiwaliśmy materiał dowodowy, przesłuchując między innymi członków kierownictwa Prokuratury Krajowej, w tym byłych szefów tej instytucji to jest Prokuratora Krajowego Bogdana Święczkowskiego oraz Prokuratora Krajowego Dariusza Barskiego. Kontrola ta miała szczególne znaczenie ze względu na specyfikę tematu, jak również charakter kontrolowanej jednostki. Po raz pierwszy bowiem, nasza instytucja tak dalece badała działalność Prokuratury Krajowej. Do tej pory kontrolowaliśmy jedynie prawidłowość wydatków budżetowych. Mieliśmy też świadomość, że spoczywa na nas szczególna odpowiedzialność związana z ochroną tajemnicy postępowania przygotowawczego. Dziś przedstawiamy Państwu wyniki tej kontroli, zachowując tajemnicę śledztwa prowadzonego przez Prokuraturę Regionalną w Rzeszowie.
Mimo to naszym zdaniem otrzymacie Państwo, a za Państwa pośrednictwem opinia publiczna, najważniejsze, najistotniejsze informacje związane z zakupem i wykorzystaniem przez Prokuraturę Krajową oprogramowania Hermes, jak i wynikami kontroli NIK w tym zakresie. Szczegółowe informacje związane z przedmiotową kontrolą przedstawi Pan Sebastian Szozda, główny specjalista kontroli państwowej, który był kierownikiem ekipy kontrolnej w Prokuraturze Krajowej.
Sebastian Szozda
Szanowni Państwo, Najwyższa Izba Kontroli negatywnie oceniła zarówno proces nabycia systemu Hermes, jak również zbadane w kontroli aspekty jego wykorzystania. W ocenie NIK zakup tego systemu naruszał nie tylko przepisy prawa, ale również dokonano go w sposób nierzetelny, a także z naruszeniem zasady gospodarnego wydatkowania środków publicznych. Nabycia systemu Hermes dokonano z pominięciem jakichkolwiek analiz w zakresie potrzeb usprawnienia procesu analizy kryminalnej, oczekiwanych możliwości takiego oprogramowania i zakresu jego wykorzystania. Nie wzięto pod uwagę potrzeb analityków, którzy mieli docelowo wykorzystywać ten program. W ocenie Najwyższej Izby Kontroli zakup tego typu oprogramowania jak system Hermes można uznać za zakup celowy, to jest zgodny z zadaniami prokuratury, jednakże celowość ta powinna być wykazana za pomocą właśnie tych analiz, które pominięto.
Szanowni Państwo wyniki kontroli wskazują, że system Hermes był droższy o około 6,5 miliona złotych od porównywalnych systemów o tożsamych funkcjonalnościach. Zgromadzony materiał dowodowy wskazuje, że kierownictwo Prokuratury Krajowej od początku rozważało nabycie konkretnego programu od konkretnego dostawcy. Co prawda wysiłkiem pracowników Wydziału ds. Analizy Kryminalnej podjęto próby znalezienia konkurencyjnych, dwukrotnie tańszych rozwiązań, ale kierownictwo Prokuratury Krajowej nie wzięło tej analizy pod uwagę. W sporządzonej notatce służbowej przekazanej następnie do akceptacji Ministra Sprawiedliwości, Prokuratora Generalnego, poinformowano, że system Hermes posiada określoną funkcjonalność, która wyróżniała go na tle porównywalnych, dostępnych na rynku rozwiązań, a była to nieprawda.
W procesie zakupu systemu Hermes, jego dostawca nie przewidział możliwości wykonania testów oprogramowania, choć w stosunku do rozwiązań alternatywnych pracownicy Wydziału ds. Analizy Kryminalnej mogli, choć krótko, przetestować dwa porównywalne systemy. W kontroli ustalono, że pracownicy ci nie zgłaszali potrzeb w zakresie nabycia systemu usprawniającego analizę kryminalną. W ocenie Najwyższej Izby Kontroli pominięcie ustawy Prawo zamówień publicznych przy zakupie systemu Hermes było nieuprawnione, sprzeczne z przepisami tej ustawy. System Hermes jest narzędziem służącym do dokonywania analizy kryminalnej, a jej wykonywanie jest przewidziane przepisami prawa. Powszechna wiedza o wykonywaniu tych zadań, a tym samym wiedza o nabyciu takiego narzędzia, nie mogła realnie zagrozić bezpieczeństwu publicznemu. A właśnie na tę przesłankę powołano się, pomijając przepisy regulujące udzielanie zamówień publicznych.
Art. 4 pkt 5c, obowiązującej w dniu zakupu ustawy, na który powołano się, odstępując od trybów przetargowych, wyraźnie przewidywał, że aby go zastosować, zamawiający musi wykazać, że ochrona bezpieczeństwa publicznego nie może zostać zagwarantowana w inny sposób niż pominięcie przepisów ustawy. Jednakże Prokuratora Krajowa nie wykazała, w jaki sposób zastosowanie przepisów ustawy, a w tym samym upublicznienie wiedzy o zakupie narzędzia usprawniającego wykonywanie ustawowych zadań prokuratury miałoby zagrozić bezpieczeństwu publicznemu. Tym samym jedyną przyczyną niezastosowania wymaganych trybów przetargowych wydaje się być chęć ukrycia zakupu przed opinią publiczną.
Potwierdza to też fakt, że o zakupie systemu Hermes nie poinformowano Urzędu Zamówień Publicznych, pomimo że jest to wymagane nawet wówczas, gdy dokonuje się wyłączenia na podstawie wskazanego przepisu. W ocenie NIK umowa na zakup systemu Hermes została sporządzona nierzetelnie i nie zabezpieczała w sposób należyty interesów Skarbu Państwa i Prokuratury Krajowej. W umowie zawarto zapisy promujące dostawcę systemu, językiem wiążącym umowy był język angielski, a sądem właściwym w przypadku sporu, sąd w Londynie. Postanowienia dotyczące kar umownych również stawiały dostawcę w uprzywilejowanej pozycji, bowiem kary te były rażąco niskie w stosunku do wartości nabywanego oprogramowania. W umowie nie zapewniono niezwłocznej reakcji dostawcy na wypadek, nawet gdyby system przestał działać na wiele dni.
Szanowni Państwo, kuriozalnym wydaje się fakt, że jeden z aneksów do umowy zawarto z podmiotem, co do którego Prokuratura Krajowa nie dysponowała jakimkolwiek dokumentem potwierdzającym, że jest on następcą prawnym sprzedawcy systemu. Tym samym ponad półtora miliona złotych wypłacono podmiotowi, który mógł być całkowicie przypadkowy. Prokuratura Krajowa prowadzi, jak również nadzoruje szereg postępowań dotyczących najgroźniejszych przestępstw. Wiedza o okolicznościach tych przestępstw nie powinna zostać ujawniona osobom niepowołanym, a tym bardziej nieuprawnionym podmiotom zagranicznym. Ustalenia kontroli dokonane w Prokuraturze Krajowej wskazują, że zarówno instalacja tzw. hardware'u, jak i możliwości systemu Hermes, oferowanego przecież przez zagranicznego dostawcę, nie zostały w żaden sposób zweryfikowane pod względem bezpieczeństwa, w szczególności możliwości wycieku informacji o prowadzonych przez Prokuraturę postępowaniach.
W ramach dokonywania analiz kryminalnych do systemu Hermes wprowadzano dane, sprowadzonych przez Prokuraturę Krajową Śledztw, które objęte były tajemnicą postępowania przygotowawczego. To właśnie te dane, tzw. dane wsadowe, mogły być w ocenie NIK narażone na nieuprawnione ujawnienie. Realność tego zagrożenia, jak i ewentualne faktyczne wycieki danych ze śledztw są w tej chwili przedmiotem analiz Biura Badań Kryminalistycznych Agencji Bezpieczeństwa Wewnętrznego. Do danych wsadowych, które wprowadzane były do systemu Hermes, należą również dane osobowe. Dane te pojawiały się również jako wyniki dokonywanych w Hermesie analiz. Jednakże mimo obowiązujących w Prokuraturze Krajowej wymogów co do objęcia wszystkich systemów przetwarzających takie dane, polityką Bezpieczeństwa Danych Osobowych, systemu Hermes nie objęto tę polityką.
Szanowni Państwo, w toku kontroli ujawniono dowody wskazujące na nieuprawnione użycie systemu Hermes. Chodzi tutaj o zlecanie wyszukiwań bez formalnych wniosków ustnie, a co najważniejsze, bez powiązania z prowadzonymi lub nadzorowanymi śledztwami. Zlecając takie nieformalne wyszukiwania, odpowiedzialni za to prokuratorzy wychodzili poza ramy uregulowanej przepisami analizy kryminalnej. Eksces taki uznać należy za działania, których prokuratura nie mogła dokonywać, bowiem nadawało to tym działaniom charakteru czynności operacyjno-rozpoznawczych zarezerwowanych dla służb. W kontroli ujawniono ślady 30 takich wyszukiwań, bowiem pozostały po nich pliki, wydruki, a ile ich było w rzeczywistości, tego na tę chwilę stwierdzić nie można.
Wyniki kontroli wskazują, że nabycie systemu Hermes procedowano pośpiesznie, niedbale, a ówczesne kierownictwo Prokuratury Krajowej podejmowało wysiłki, aby zakup pozostał w tajemnicy. Pomimo powoływania się na bezpieczeństwo publiczne jako argument za utajnieniem transakcji, dokumentom zakupowym nie nadano żadnych klauzul dotyczących informacji niejawnych. Analitycy pracujący w systemie Hermes nie mieli pełnej wiedzy, skąd pochodzą dane pozyskiwane przez oprogramowanie, ani jak są przetwarzane. Kierowane przez nich w tym zakresie zapytania najpierw do przełożonych, a dalej do dostawcy systemu, pozostały bez odpowiedzi.
Wspomniane już nieformalne zapytania realizowane w systemie z naruszeniem przepisów regulujących dokonywanie analizy kryminalnej dotyczyło osób, których nie można było powiązać z popełnianiem przestępstw. Osobami tymi byli znani politycy i samorządowcy, pojawiający się w mediach prokuratorzy, a także znane osoby ze sfery biznesu. W okresie od stycznia 2021 roku do marca 2024 roku przy pomocy systemu Hermes wykonano niemal 400 analiz kryminalnych. Biorąc pod uwagę zapłaconą za system kwotę oraz liczbę analiz, koszt wykonania jednej analizy kryminalnej wyniósł około 40 tysięcy złotych. Jak bardzo przydatny były te analizy w działaniach Prokuratury, tego nie można stwierdzić, bowiem Prokuratura nie analizowała skuteczności zastosowania systemu Hermes.
Zatem Prokuratura Krajowa dysponowała system do analizy danych z otwartych źródeł, ale nie było wiedzy, czy wprowadzone do systemu zapytania były widoczne dla dostawcy systemu lub innych służb. Nie wiadomo tak naprawdę, jaka była pula logów i haseł do systemu. Nie wiadomo, gdzie te dane były przechowywane, na przykład w tzw. chmurze i kto miał do nich dostęp.
Szanowni Państwo, osobami odpowiedzialnymi za stwierdzone nieprawidłowości są: ówczesny prokurator krajowy, pan Bogdan Święczkowski, w zakresie zawarcia umowy z pominięciem zamówień publicznych, a także bez przeprowadzenia wymaganych analiz, w tym z pominięciem analiz dotyczących gospodarności zakupu. Pan Dariusz Barski, który jako prokurator krajowy, polecił zawarcie aneksu do umowy na zakup systemu bez weryfikacji, czy strona aneksu jest następcą prawnym sprzedawcy oprogramowania Hermes. Pan Michał Ostrowski, ówczesny dyrektor Departamentu ds. Przestępczości Gospodarczej Prokuratury Krajowej oraz Pan Tomasz Piekarski, ówczesny zastępca tego departamentu, w zakresie zlecania nieformalnych wyszukiwań w systemie Hermes z naruszeniem przepisów dotyczących analizy kryminalnej.
Szanowni Państwo, ustalenia niniejszej kontroli ujawniły też taką okoliczność związaną z kontrolą budżetową NIK za 2022 rok, przeprowadzono w Prokuraturze Krajowej w 2023 roku. Otóż stwierdzono, że na polecenie dyrektora Departamentu Przestępczości Gospodarczej Michała Ostrowskiego w sposób nieuprawniony utajniono przed kontrolerami NIK jedną z faktur dotyczących systemu Hermes pod pretekstem, że wydatek ten powiązany jest z prowadzonym przez Prokuraturę śledztwem. Nie wiem, czy to jest dobrze widoczne na slajdzie, ale tutaj Państwo macie na czerwono zaznaczony ten wydatek, który został wyłączony z badania oraz adnotację, wydatek związany z toczącym się śledztwem.
Szanowni Państwo, fakt, że system Hermes służył analizie kryminalnej, nie oznacza, że wydatek ten poniesiony został w związku ze śledztwem. Proszę zwrócić uwagę, tutaj w pozycji piątej, może to też nie widać dokładnie, ale proszę mi uwierzyć, że tak jest, ma tam miejsce wydatek na sprzęt komputerowy dotyczący przetwarzania informacji niejawnych, czyli wydawałoby się, że znacznie poważniejszych, a jednak ten wydatek nie został ukryty przed kontrolerami NIK. Okoliczność ta potwierdza, że ówczesne kierownictwo Prokuratury Krajowej podejmowało nieuprawnione działania celem ukrycia zakupu systemu Hermes.
Szanowni Państwo, w wystąpieniu pokontrolnym Najwyższa Izba Kontroli nie sformułowała wniosków pokontrolnych, bowiem od wiosny 2024 roku Prokuratura Krajowa zaprzestała opłacania kolejnych faktur za wsparcie oprogramowania, a tym samym system Hermes przestał być stosowany. Jednakże w wyniku kontroli skierowano dwa zawiadomienia do Prokuratury o uzasadnionym podejrzeniu popełnienia przestępstwa. Pierwsze zawiadomienie dotyczy wyrządzenia szkody majątkowej w wielkich rozmiarach poprzez niegospodarny zakup systemu Hermes, a także niedopełnienia obowiązku przeprowadzania stosownych wymaganych analiz przed jego zakupem. Drugie zawiadomienie dotyczy nieuprawnionego utajnienia dokumentu księgowego w kontroli budżetowej NIK za 2023 rok. Ponieważ wyniki kontroli wskazują, że system Hermes nie został zweryfikowany pod względem bezpieczeństwa w kontekście wycieku informacji o prowadzonych przez Prokuraturę postępowaniach, Najwyższa Izba Kontroli skierowała stosowne powiadomienie do szefa Agencji Bezpieczeństwa Wewnętrznego z wnioskiem o przeprowadzenie w tym zakresie stosownego postępowania.
Szanowni Państwo, zakup systemu Hermes z pominięciem przepisów dotyczących zamówień publicznych stanowi również naruszenie dyscypliny finansów publicznych. Jednakże w tym przypadku termin przedawnienia wynosi trzy lata i w związku z upływem tego terminu Najwyższa Izba Kontroli odstąpiła od kierowania zawiadomienia do właściwego rzecznika dyscypliny finansów publicznych. Bardzo dziękuję za uwagę.
Marcin Marjański
Ja bardzo dziękuję Państwu za uwagę. Bardzo dziękuję kontrolerom za przedstawienie wyników. Zakończyliśmy tę część pierwszą. Zapraszam do zadawania pytań. Bardzo proszę o podanie nazwy redakcji i przedstawienie się. Jeżeli są jakieś pytania, to zapraszamy tutaj. Postaramy się odpowiedzieć, jak najszerzej możemy.
Anna Dworak, TVP Info
Dzień dobry, Anna Dworak TVP Info. Ja mam pytanie do któregoś z Panów. Jakby Panowie mogli wyjaśnić, proszę, jaka jest różnica między oprogramowaniem Pegasus a Hermesem.
Sebastian Szozda
Szanowna Pani redaktor, po pierwsze chcieliby zaznaczyć, tak jak powiedziałem, że szczegółowe możliwości systemu Hermes są badane w tej chwili przez najlepszych, mam nadzieję, w Polsce specjalistów z Agencji Bezpieczeństwa Wewnętrznego, więc my na razie nie możemy kategorycznie powiedzieć, jakie były różnice. Natomiast dokumenty zgromadzone w kontroli wskazują, że program Hermes był programem typu OSINT, czyli programem do uzyskiwania informacji, kompilowania, przyśpieszania, uzyskiwania tych informacji z otwartych źródeł internetowych.
Anna Dworak
Dziękuję.
Marcin Marjański
Czy jeszcze są jakieś pytania? Jeżeli nie ma więcej pytań, to bardzo Państwu dziękujemy. Pozostajemy do dyspozycji na indywidualne nagrania. No i do zobaczenia już niedługo na kolejnej konferencji prasowej. Bardzo Państwu dziękuję.