- Obywatele Ukrainy będą mieli, oprócz numeru PESEL, także cyfrowy dokument tożsamości. Do jego przygotowania wykorzystano doświadczenie z trwających prac nad rozszerzeniem funkcjonalności elektronicznego dokumentu dla Polaków - mówi w rozmowie z DGP Janusz Cieszyński, sekretarz stanu w KPRM, pełnomocnik rządu do spraw cyberbezpieczeństwa.

Jak wygląda nadawanie Ukraińcom numerów PESEL i jakie wnioski z tego płyną?
Według statystyk nadajemy każdego dnia roboczego ok. 50 tys. nowych PESEL-i obywatelom Ukrainy. I żeby pokazać to w pewnym kontekście - nakład pracy w urzędzie jest podobny do tego przy wydaniu dowodu osobistego, bo podobny jest zakres zbieranych danych. Dowodów w przeciętnym roku wydaje się ok. 3-3,5 mln sztuk. Samorządy, nie przerywając innych działań, w ciągu miesiąca nadadzą ok. 1 mln PESEL-i. To pokazuje skalę przedsięwzięcie, jest to też świetny przykład współpracy rządu z samorządem. Za realizację odpowiada gmina, my stworzyliśmy system.
A jak z wydolnością urzędów? Gdybym teraz poszedł wyrobić sobie dowód, złożył wniosek o paszport, czy będę odczuwał wzmożony ruch?
To zależy od urzędu. Większość samorządowców postępuje mądrze i organizuje to w taki sposób, aby jak najmniej wpływało na funkcjonowanie urzędów dla obywateli polskich. W dużych urzędach, jak ten na warszawskim Mokotowie, są odrębne stanowiska dla osób z Ukrainy. Dostarczamy dużo nowego sprzętu po to, by te stanowiska dało się uruchomić. Docelowo udostępnimy 3,5 tys. komputerów, z czego 2 tys. to są stacje mobilne, których można używać w różnych miejscach; oprócz tego czytniki odcisków palców.
PESEL to jedno. Ile uruchomiono aplikacji mObywatel z tożsamością ukraińską?
Mniej więcej trzy czwarte osób, które otrzymały PESEL, uruchamia profil zaufany, natomiast ze względu na to, że uruchomienie aplikacji mobilnej nie jest realizowane w samym urzędzie, to najczęściej te procedury się kończą na profilu zaufanym. Rada Ministrów kończy właśnie prace nad rozporządzeniem, które określa zakres czynności, które będzie można zrealizować, legitymując się elektronicznym dokumentem. Jedną z nich będzie otwarcie rachunku bankowego, ale można będzie go wykorzystać także do załatwiania spraw w urzędzie. Dlatego przewiduję, że popularność aplikacji będzie szybko rosnąć. Aby była rozpoznawalna, nazwaliśmy ją w porozumieniu z rządem Ukrainy diia.pl tak, aby kojarzyła się ze swoim ukraińskim odpowiednikiem.
Czyli Ukraińcy będą mogli się posługiwać własną aplikacją?
Nie. Diia.pl to polskie rozwiązanie oparte na mObywatelu. Ale pracujemy nad tym, aby wykorzystać aplikację ukraińską - korzysta z niej 14 mln osób.
Czy uprawnienia z nowego rozporządzenia, o którym pan mówi, Polacy także będą mogli realizować za pomocą cyfrowej tożsamości, jaka jest w mObywatelu?
Na dziś dotyczy to dokumentu, który obywatelom Ukrainy zastąpi plastikowy dokument tożsamości. Chodzi przede wszystkim o to, aby było prosto, szybko i tanio.
Czyli za pomocą aplikacji w praktyce będą mogli załatwić więcej spraw urzędowych niż Polacy za pomocą mObywatela?
Obywatele polscy mają plastikowy dowód osobisty z numerem PESEL, którego Ukraińcy nie mają. Przepisy, na podstawie których funkcjonuje diia.pl, pochodzą prosto z projektu ustawy o mObywatelu, który przygotował wiceminister Adam Andruszkiewicz. Projekt czeka obecnie na wpis do wykazu prac legislacyjnych Rady Ministrów.
Ale czy to przyspieszy uruchomienie tych funkcjonalności dla polskich obywateli?
To będzie rozpoznanie bojem. Temat nie jest nowy, ale wojna przyspieszyła pewne działania. W przypadku obywateli RP chcemy działać na podstawie zasady, że co nie jest zabronione, jest dozwolone, i ustawa będzie zawierać jedynie wyjątki, w przypadku których aplikacja nie wystarczy. Tymczasem rozwiązanie dla obywateli Ukrainy działa odwrotnie i można będzie je wykorzystać tylko do wybranych czynności wskazanych w rozporządzeniu.
Kiedy polski e-dowód zacznie być bardziej honorowany?
Mamy tyle interpelacji opozycji w tej sprawie, że nie sądzę, aby ktokolwiek był przeciw. Przypuszczam, że ustawa wejdzie w życie w tym roku.
Coś się zmieniło w nastawieniu? Wcześniej MSWiA blokowało taką koncepcję.
Z ministrami Pawłem Szefernakerem i Maciejem Wąsikiem współpraca układa mi się wzorowo. Na pewno wypracujemy rozsądny kompromis. Myślę, że nastawienie do cyfryzacji nie było w MSWiA tak pozytywne nawet w dawnych czasach, kiedy za informatyzację odpowiadał tamten resort.
Czy pana zdaniem liczba wydanych PESEL-i wskazuje, ile osób z Ukrainy będzie chciało zostać w Polsce?
Nie mam takiego przekonania. Myślę, że te osoby słyszą z oficjalnych komunikatów, że jest oczekiwanie, by wyrobić sobie PESEL, i to robią.
A czy macie informacje od samorządów o jakichś nieprawidłowościach? Próbie wyłudzenia tożsamości?
Nie, proces jest zabezpieczony, tak jak wydawanie polskich dowodów osobistych. Po to zostały wprowadzone zdjęcia biometryczne i skanowanie odcisków palców, aby tę identyfikację można było realnie przeprowadzić.
Czyli jesteście w stanie zweryfikować, że dana osoba to ta osoba?
Jesteśmy w stanie zweryfikować, że dana osoba nie wyrobiła sobie więcej niż jednej tożsamości.
Banki opracowują specjalne procedury, by wyrabiać konta osobom, które nie mają dokumentów tożsamości?
Docelowo takim sposobem identyfikacji będzie PESEL połączony z elektronicznym dokumentem tożsamości. Stabilność i bezpieczeństwo systemu finansowego to priorytet, dlatego bardzo liczymy się z głosami ze strony instytucji finansowych.
A czy widać rejonizację i można powiedzieć, gdzie numery PESEL są wydawane najszybciej?
Widzimy, że jest przewaga w dużych miastach, ale to dlatego, że duże miasta, jak Warszawa, uruchomiły specjalne punkty, w których PESEL-e są nadawane. Trudno się spodziewać, że mała gmina, która do obsługi obywateli zatrudnia kilku pracowników, będzie w stanie uruchomić specjalne okienko dla obywateli Ukrainy. Co ciekawe, obserwujemy taki trend, że liczba nadawanych PESEL-i osiągnęła szczyt 21 marca i od tej pory lekko spada wszędzie poza właśnie dużymi miastami.
Wygląda na to, że w warszawskim urzędzie stanu cywilnego (USC) pracował szpieg. Czy miał dostęp do aplikacji Źródło, a przez nią do Systemu Rejestrów Państwowych? Bo jeśli tak, to miał dostęp do danych wszystkich obywateli.
Tę sprawę szczegółowo wyjaśnia ABW. Fundamentalną zasadą funkcjonowania rejestrów państwowych jest pełna dokumentacja działań, które się w ramach tego systemu realizują - oznacza to, że nie ma możliwości wykonania operacji, po której nie zostanie ślad. I jeśli ktoś powie, że da się zbudować system dla tysięcy urzędników samorządowych odporny na działanie czynnika ludzkiego, to mówi nieprawdę. Ale można zapewnić, że jeżeli taka sytuacja zostanie wykryta, to będziemy w stanie dokładnie sprawdzić, jakie sprawy taka osoba prowadziła.
A wiemy, jakie prowadziła?
Tym zajmuje się ABW.
Jaką korzyść mogliby mieć Rosjanie z agenta, który ma dostęp do danych USC?
Ten system jest dobrze monitorowany i były już przypadki, że odpowiednie służby odwiedzały gminy i weryfikowały podejrzane operacje. Do bezpieczeństwa danych podchodzimy bardzo poważnie.
W zeszłym roku ABW namierzyła pracownika mazowieckiej skarbówki, który w bazie PESEL sprawdzał dane wiceszefa MSWiA Macieja Wąsika.
Każdy, kto chce z tego systemu korzystać, doskonale wie, że jego praca jest pod specjalnym nadzorem. Tak to działa na całym świecie.
A odnotowaliście ostatnio jakieś próby sparaliżowania tego systemu?
Ten system działa w ramach wydzielonej sieci i nikt z zewnątrz nie powinien mieć do tego dostępu. Na przykład w 3,5 tys. komputerów, które dostarczamy dzięki możliwościom, jakie dała nam specustawa ukraińska, instalujemy jednolite środowisko tak, aby odpowiedzialność za to, co jest na tych komputerach, była po stronie ministra cyfryzacji. Na drugą połowę roku przewidzieliśmy wymianę kolejnych 3,5 tys. stanowisk i tam też będzie ujednolicone oprogramowanie.
Czy zauważyliście coś, co można nazwać próbą ataków na polską infrastrukturę informatyczną?
Tak i wspólnie z ABW zdecydowaliśmy, że od 24 do 27 marca zostanie zablokowany ruch przychodzący z niektórych krajów. Właśnie dlatego, by niemożliwe było przeprowadzenie z tych kierunków ataków typu DDoS (ataki polegające na przeciążaniu i zablokowaniu strony przez masowe wejścia na nią - red.). Przed rozpoczęciem działań wojennych został wprowadzony na terenie Polski stopień alarmowy Charlie-CRP, który sprawia, że wszystkie zespoły odpowiedzialne za cyberbezpieczeństwo w administracji publicznej i infrastrukturze krytycznej są w trybie podwyższonej gotowości. Zdajemy sobie sprawę, że sytuacja w Ukrainie może zwiększać ryzyko ataku na Polskę.
Czy wyciągnęliśmy wnioski z ostatniej awarii na kolei? I czy wierzymy Alstomowi, że to zwykła awaria?
Skutki awarii zostały usunięte tego samego dnia. Zadziałały procedury - zarówno na kolei, jak i w instytucjach odpowiedzialnych za cyberbezpieczeństwo. Szczegółową analizę techniczną prowadzą teraz eksperci.
A banki? Widzicie tu większe zainteresowanie?
Tam też obowiązują zasady, wynikające ze stopnia alarmowego Charlie-CRP.
Ale czy ataków jest więcej niż przed inwazją?
Jest więcej zgłoszeń. Czy jest więcej incydentów - nie mam przekonania. Jest większa świadomość, że takie sprawy trzeba zgłaszać.
A jakie są wnioski z tego, co dzieje się w Ukrainie, jeśli chodzi o bezpieczeństwo infrastruktury cyfrowej?
Jesteśmy w stałym kontakcie ze stroną ukraińską. Myślę, że ten rok będzie rekordowy, jeśli chodzi o wydatki na cyberbezpieczeństwo w Polsce. Z nowo utworzonego Funduszu Cyberbezpieczeństwa 170 mln zł trafi na wyższe wynagrodzenia dla specjalistów od bezpieczeństwa IT.
Prywatne firmy zgłaszają, że podejrzewają, iż padły ofiarą podobnych ataków?
Rośnie świadomość, a przez to i liczba zgłaszanych podejrzanych zdarzeń. Myślę, że tak jak w pandemii przedsiębiorcy zainwestowali w narzędzia do pracy zdalnej, to teraz będą zwiększać wydatki na cyberbezpieczeństwo.
Czy jest szansa, że duże firmy zmienią politykę w sprawie dezinformacji? Czy wielkie platformy będą bardziej skłonne do blokowania kontentu?
Niestety te firmy, jeśli chodzi o zarabianie pieniędzy, działają bardzo szybko i sprawnie, a w kwestii walki z dezinformacją mają dynamikę góry lodowej. Widzimy, że jest zainteresowanie po ich stronie zmianą tego stanu rzeczy. Ale dopóki nie będziemy mieli na stole konkretnych deklaracji ponad to, co już widzimy, to trudno uznać sprawę za zamkniętą. Ta branża uważa, jak wiele branż w przeszłości, że wszystko im wolno, ponieważ oferują bardzo atrakcyjny produkt. Ich wpływ na społeczeństwo jest tak duży, że powinny też wykazywać się odpowiedzialną postawą. Zasłanianie się wolnością słowa jako argument przeciwko walce z dezinformacją przypomina mi argumenty branży tytoniowej z XX w., kiedy na piedestał wynoszono wolność wyboru stylu życia. Dziś połowę etykiety papierosów zasłania zdjęcie przepalonych płuc.
Wielu polityków sprawdziło, czym może grozić phishing - podszywanie się pod osoby lub instytucje w celu wyłudzenia danych. Jaka będzie teraz metoda walki z tym zjawiskiem?
Jeśli chodzi o smishing (wyłudzanie danych od właścicieli telefonów komórkowych - red.), to konkretne rozwiązanie mamy już gotowe, wraz z projektem przepisów. Jeśli chodzi o spoofing (podszywanie się pod zaufane witryny - red.), to prace są na ukończeniu. Mamy lekki poślizg ze względu na wojnę, ale za chwilę projekt ustawy trafi do wykazu prac legislacyjnych Rady Ministrów.
To jak będziecie walczyć z phishingiem?
Chcemy zaproponować rozwiązania będące rozwinięciem tego, co działa już w NASK, czyli listy złośliwych domen. Będzie specjalny mechanizm blokujący próby wyłudzenia na podstawie wzorów zidentyfikowanych przez NASK treści złośliwych SMS-ów. Dla przejrzystości będziemy z pewnym opóźnieniem publikować informacje na temat tego, co zostało zablokowane, natomiast przełomowość tego mechanizmu polega na tym, że do walki z przestępcami wykorzystamy przede wszystkim infrastrukturę firm. To dobra kontynuacja wprowadzonego w czasie pandemii rozwiązania, które zablokowało miliony wejść na podejrzane witryny internetowe.
A boty, które dzwonią? To też może być zakazane?
Jeśli chodzi o robocalle, jesteśmy na forum UE we frakcji jastrzębiej. Nasi partnerzy uważają, że swoboda prowadzenia działalności gospodarczej obejmuje także możliwość wykonywania takich połączeń do momentu, kiedy ktoś wyrazi sprzeciw. Ja jestem zwolennikiem tego, by automaty mogły dzwonić tylko w sytuacji, gdy klient wyrazi na to zgodę, i takie rozwiązanie będziemy popierać.
Rozmawiali Klara Klinger, Grzegorz Osiecki i Tomasz Żółciak
Współpraca Anna Ochremiak