Dyki odpowiadając na pytania posłów wyjaśniał jak funkcjonuje oprogramowanie Pegasus, także w kontekście kontroli nad pozyskiwanymi danymi.

Biegły powiedział, że pierwszym komponentem standardowego modelu Pegasusa jest tzw. stacja robocza - są to np. komputery stacjonarne lub laptopy, których z reguły jest więcej niż jeden; moduł ten jest "operatorem sterowania".

Drugim modułem - wyjaśniał - jest serwer, najczęściej w postaci fizycznej, znajdujący się w dyspozycji klienta; czasami znajduje się nawet w tym samym pomieszczeniu, co operator.

Biegły podkreślił, że architektura konfiguracji trzeciego modułu zależy od tego, jak klient zakupił produkt. Jest nim sieć anonimizująca systemu Pegasus, na którą składa się grupa serwerów, fizycznych lub wirtualnych. Odpowiada ona za anonimizację komunikacji w obie strony i ukrycie lokalizacji operatora.

"To czy ta grupa serwerów była zarządzana przez CBA czy NSO (izraelska firma, która stworzyła system Pegasus) zależy właśnie od sposobu zakupu systemu. Nie wiem, w jaki sposób zakupiła ten system Polska" - powiedział Dyki. Dodał, że ten kto ma kontrolę nad siecią anonimizującą ma kontrolę nad danymi, które przez nią przechodzą.

W związku z tym, jak podkreślił biegły, jeśli Polska zakupiła oprogramowanie bez kontroli nad siecią anonimizującą, to nie sprawowała kontroli nad danymi. "W przypadku innych krajów, ponieważ nie wiem jak było w naszym przypadku, NSO dopuszczało całkowitą kontrolę danych przez klienta" - powiedział.

Biegły został zapytany, czy system Pegasus miał możliwość wgrywania danych poza przestrzeń pamięci operacyjnej - chodzi o modyfikację treści, jakie były przechowywane na urządzeniu końcowym, np. SMS-ów, e-maili czy zdjęć w galerii. Dyki powiedział, że z perspektywy technicznej istniała taka możliwość. Podkreślił jednak, że w standardowej wersji Pegasusa nie oferowano takiej funkcjonalności dla klienta. (PAP)

del/ mok/