Priorytetem jest dla mnie przeniesienie relacji między państwem a obywatelem z urzędów do telefonu komórkowego - mówi Janusz Cieszyński, sekretarz stanu ds. cyfryzacji w Kancelarii Prezesa Rady Ministrów.
Od lutego obowiązuje trzeci stopień alarmowy dotyczący zagrożeń w cyberprzestrzeni, a mimo to dwie niezależne grupy hakerów włamały się na serwis e-faktura. Jak wygląda dziś nasze cyberbezpieczeństwo? Jesteśmy dobrze chronieni?
Doświadczenia z obowiązywania stopnia alarmowego CHARLIE-CRP są dla nas ciekawe. Prowadzą do konkluzji, że takie procedury nie powinny być wyjątkiem, ale elementem standardu działania państwa. Rzeczywisty wymiar szkód wynikających z incydentu z e-fakturą nie jest tak poważny, jak mogłoby się na pozór wydawać. Ktoś uzyskał możliwość publikowania treści na stronach prowadzonych przez Ministerstwo Rozwoju i Technologii, ale nawet przez chwilę nie przestały działać systemy do wystawiania dokumentów i nie nastąpił wyciek danych.
Blamaż z e-fakturą doprowadził do wzmocnienia zabezpieczeń? Czegoś się przy okazji nauczyliśmy?
Ministerstwo Rozwoju i Technologii wyciągnęło wnioski i wprowadzi do swoich systemów niezbędne modyfikacje. To pokazuje też, jak dużą wagę trzeba przykładać do jakości oprogramowania stosowanego w domenie publicznej. W przypadku systemu zarządzania treścią obsługującego stronę e-faktura wykorzystano darmową technologię ze znanymi podatnościami. Wykonawca mógł to zrobić, bo prawdopodobnie po stronie administracji nie było zespołu, który byłby w stanie ocenić techniczne aspekty jego pracy. Kiedy wydajemy miliony na usługi IT, musimy dobrze zapłacić tym, którzy pracują dla nas i podpisują protokół odbioru. W tym kierunku zmienia się w ostatnich miesiącach Cyfryzacja KPRM i temu ma też służyć przekształcenie Centralnego Ośrodka Informatyki w Agencję Informatyzacji. Żeby dobrze zamówić i odebrać produkt z dużym komponentem technologicznym, trzeba się na tym po prostu znać.
Po przekształceniu COI w Agencję Informatyzacji już nikt w administracji państwowej nie kupi żadnego nowego Kaspersky’ego?
To, że nikt nie kupi Kaspersky’ego, gwarantuje rekomendacja wydana w tym roku przez Kolegium ds. Cyberbezpieczeństwa. Natomiast jeżeli chodzi o podnoszenie jakości oprogramowania, to dzisiaj każde ministerstwo musi zadbać o silny komponent informatyczny. Nie da się dobrze obsługiwać obywateli bez usług cyfrowych. Oczywiście muszą być też dostępne rozwiązania dla osób, które nie korzystają z komputera, internetu czy smartfona.
Ale to się da połączyć. Na przykład wnioski o dofinansowanie na zakup dekodera do odbioru naziemnej telewizji cyfrowej można składać w internecie i na poczcie. Tę drugą formę wybrało dotychczas 80 proc. osób. Jednak wnioski składane osobiście w placówkach pocztowych są tam od razu wprowadzane do systemu informatycznego. Dzięki temu cała operacja przebiega sprawnie i w sposób wygodny dla obywatela.
Jako administracja musimy zrozumieć, że usługa cyfrowa nie jest przeniesieniem papieru do formularza w internecie - żeby działać dobrze, zazwyczaj trzeba przeprojektować cały proces tak, aby był wygodny dla obywatela. Za taki sposób projektowania e-usług będzie odpowiadać Agencja Informatyzacji.
Stawiamy też na interakcję z użytkownikami. Uruchomiliśmy serwis Badania i Projektowanie, w którym każdy może zobaczyć makiety serwisów i aplikacji, które przygotowujemy do uruchomienia - i podzielić się swoją opinią. Jeśli jakiś pomysł się nie podoba, lepiej jest dowiedzieć się o tym wcześniej, niż uruchomić kolejny portal dla bezdomnych (w 2014 r. uruchomiło go Ministerstwo Pracy - red.).
Pomysłem, który się nie podoba, jest obowiązek preinstalowania we wszystkich smartfonach rządowej aplikacji Regionalnego Systemu Ostrzegania (RSO) i Alarm112. Ten zapis zostanie w projekcie ustawy o ochronie ludności oraz o stanie klęski żywiołowej?
To decyzja, która zapadnie na etapie rządowych prac nad ustawą. Natomiast przyjęcie tej propozycji pokazuje, że żyjemy w czasie, gdy zupełnie nieodpowiedzialna opozycja jest skłonna upolitycznić absolutnie każdą sprawę. Aplikację RSO przygotował jeszcze pan Andrzej Halicki (minister administracji i cyfryzacji w latach 2014-2015 - red.), prominentny członek Platformy Obywatelskiej. Dziwi mnie, że dzisiaj jego koledzy podnoszą wobec niej wątpliwości.
Ale on nie kazał jej instalować na każdym smartfonie.
Pomysł, żeby ta aplikacja była dostępna dla każdego, wynika z troski o bezpieczeństwo. Warto pamiętać o tym, że nawet aplikacja preinstalowana bez aktywnego działania użytkownika nie uzyska systemowych uprawnień do korzystania z informacji o lokalizacji czy jakichkolwiek danych zawartych w telefonie. Jeżeli opinia publiczna ma wątpliwości, to projektodawcy (MSWiA - red.) odniosą się do nich w toku prac nad ustawą. Natomiast moim zdaniem robienie polityki na tym, że ktoś chce spopularyzować aplikację, która ostrzega o zagrożeniach, to Himalaje cynizmu.
A nie sądzi pan, że przydatne aplikacje zdobywają popularność bez nakazów? Ukraińców nie trzeba było zmuszać do instalowania Diji.
Oczywiście można powiedzieć, że dobry produkt sam się sprzeda. Ale gdyby to było takie proste, to firmy i rządy nie musiałyby poświęcać tak wiele wysiłku, aby promować swoje apki. Rozumiem, skąd płyną wątpliwości wobec obowiązku instalowania aplikacji RSO i Alarm112 - natomiast intencje stojące za tym pomysłem są stuprocentowo czyste. Chodzi o to, żeby mogły z nich skorzystać nawet osoby, które nie wiedzą dziś o ich istnieniu.
Gdy zaczęła się pandemia COVID-19, cały świat technologii był przekonany, że należy wykorzystać dane w naszych telefonach komórkowych do zahamowania rozprzestrzeniania się wirusa. Okazało się, że społeczeństwo nie było na to gotowe. Czy to oznacza, że pomysłodawcy mieli złe intencje? Nie. Zawsze jednak trzeba być gotowym na konfrontację z rzeczywistością i dostosować działania do tego, jak wygląda sytuacja.
Podobnie jest teraz. Robienie z tego sensacji jest szukaniem tematu na siłę. Aplikacje rządowe mają dużą wiarygodność, co widać chociażby po aplikacji mObywatel, którą ma zainstalowanych ponad 8 mln Polaków.
Trzeba zrozumieć obawy społeczeństwa, które dowiedziało się o inwigilacji obywateli systemem Pegasus.
Za każdym razem, kiedy wykorzystuje się środki kontroli operacyjnej, dzieje się to za zgodą sądu. Chyba że ktoś ma dowody na to, że jest inaczej.
Działacze na rzecz praw człowieka podnoszą, że to fikcja, bo 98 proc. takich wniosków przechodzi. W dodatku nie zawsze sędziowie wiedzą, kto będzie inwigilowany.
Ci działacze mają dość ograniczone możliwości ustalenia, jak te sprawy mają się w rzeczywistości, bo postępowania są niejawne. Ustawa jasno mówi, że obowiązkowym elementem wniosku są dane pozwalające jednoznacznie określić, wobec kogo prowadzona jest kontrola operacyjna.
Ale służby czasami zgłaszają wnioski na numery, nie dysponując danymi osobowymi.
Powtórzę: za każdym razem w takiej sprawie decyzję podejmuje sędzia. Jeśli twierdzą panie, że sędziowie nie zapoznają się z dokumentacją, to ja spytam - dlaczego to akceptujemy? Dla mnie jako obywatela to szokujące, że osoby, które każdego z nas mogą posłać za kraty, nie mają motywacji, by się zapoznać z aktami.
Ponadto kontrola operacyjna jest dozwolona przez trzy miesiące, ale jeżeli jest przedłużana na kolejne trzy, to sędzia ma ustawowy obowiązek zapoznania się z materiałami pozyskanymi w pierwszym okresie. Jeden z polityków opozycji twierdzi, że był poddany kontroli operacyjnej przez pół roku. To oznacza, że - jeśli to prawda - w międzyczasie nastąpiło przedłużenie kontroli, podczas którego sędzia miał wgląd do tego, co zostało pozyskane. Mimo tego wydał zgodę na dalszą pracę służb.
Zgadzamy się, że to szokujące. Być może wymagałoby to jakichś działań rządu, np. większej obsady sędziowskiej.
To kolejny obszar życia społecznego, który został w maksymalny sposób upolityczniony. Postępowania są objęte ochroną informacji niejawnych, wobec czego w przytłaczającym stopniu poruszamy się w sferze domysłów i niepewności. I politycy opozycji z tego korzystają, opowiadając kolejne niestworzone historie.
To pomówmy teraz o przepisach przygotowanych przez KPRM. Co zmieniliście w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), który został przekazany Komitetowi Stałemu Rady Ministrów?
Z poprzedniej wersji zostały najważniejsze elementy ściśle związane z cyberbezpieczeństwem. Natomiast zapisy dotyczące operatora strategicznej sieci bezpieczeństwa (OSSB) pojawiają się w kształcie uzgodnionym z Ministerstwem Aktywów Państwowych (MAP), wykonującym prawa właścicielskie wobec Exatela (operator należący do Skarbu Państwa - red.).
OSSB będzie mógł skorzystać z częstotliwości 700 MHz przeznaczonych na cele związane z bezpieczeństwem państwa, a w razie potrzeby zwiększenia przepustowości sieci - np. w związku z powodzią czy inną sytuacją kryzysową - także z częstotliwości będących na co dzień w dyspozycji operatorów.
To już pan mówi wprost, że Exatel będzie operatorem sieci strategicznej?
Nie ma innego podmiotu będącego pod kontrolą państwa, który zajmowałby się na poważnie działalnością w obszarze telekomunikacji. Oczywiście, formalna decyzja zapadnie dopiero, kiedy będą obowiązywały przepisy.
Co będzie z przedsięwzięciem #Polskie5G, które zniknęło z projektu?
Ta koncepcja budziła wątpliwości dotyczące przydziału częstotliwości, więc żeby nie czekać, wypracowaliśmy inne rozwiązanie, które ma dać taki sam efekt. Z punktu widzenia bezpieczeństwa państwa najważniejsze jest to, że państwo będzie miało „czerwony guzik”, dzięki któremu skorzysta w razie konieczności nawet z pełnego zakresu częstotliwości 700 MHz. Mamy deklarację, że Exatel jest gotowy zrealizować wielomiliardowy program inwestycyjny budowy OSSB bez tworzenia spółki Polskie5G - więc jest to dobry prognostyk.
I ta państwowa sieć zajmie część pasma 700 MHz, a w razie potrzeby będzie wchodziła na częstotliwości operatorów komercyjnych?
Tak. Możliwość przeniesienia już rozdysponowanych częstotliwości na inny podmiot w wyjątkowych sytuacjach przewiduje zresztą prawo telekomunikacyjne. Będzie ona też w niedalekiej przyszłości w prawie komunikacji elektronicznej.
Pozostaje problem zakłócania „siedemsetki” przez Rosję.
To problem, który się do tej pory nie zmaterializował. Rosja nie przejmuje się wprawdzie uzgodnieniami ani traktatami, gdy leży to w jej interesie - ale zakłócanie częstotliwości to broń obosieczna. I na razie nigdzie nie została wykorzystana.
To kiedy nowelizacja KSC trafi do Sejmu?
O tym zadecyduje Rada Ministrów. Mając na uwadze historię tego aktu prawnego, nie wyciągałbym lekcji z przeszłości, gdybym teraz wskazywał termin.
Ułatwi pan inwestowanie branży telekomunikacyjnej, o co ta apeluje?
Dziś sieci telekomunikacyjne są prawie tak samo ważne jak prąd i gaz. Powinniśmy więc zrobić wszystko, żeby te inwestycje nie utonęły w gąszczu biurokracji. Ale większość decyzji zapada na poziomie samorządów, dlatego musimy najpierw usiąść z nimi do partnerskiej dyskusji.
A jeśli chodzi o finansowanie? Szykujecie się do konkursów na wspieranie budowy sieci z KPO. Tylko że tych pieniędzy ciągle nie ma.
Ale mamy mechanizmy prefinansowania, które są zapewniane przez Polski Fundusz Rozwoju. Jestem przekonany, że rząd te pieniądze z Unii w końcu otrzyma, ponieważ one się Polakom należą.
Wychodząc poza Unię - w jaki sposób Polska pomaga Ukrainie w obszarze cyfrowym?
Nadaliśmy obywatelom Ukrainy 1,2 mln numerów PESEL i to jest chyba najlepszy przykład tego, jak, wykorzystując cyfrowe usługi, jesteśmy w stanie rozwiązać dziesiątki problemów. Wdrożyliśmy pierwszy cyfrowy odpowiednik karty pobytu w Unii Europejskiej. Oba te rozwiązania powodują zdziwienie przedstawicieli innych krajów UE - ciężko im zrozumieć, jak udało nam się przenieść na poziom elektroniczny takie usługi, które do tej pory były głównie papierowe i mocno zbiurokratyzowane.
Ale to oczywiście nie koniec. Przygotowaliśmy pierwsze data center, z którego korzysta Ukraina, a które funkcjonuje poza terytorium tego państwa, pracujemy też nad rozwojem wspólnych e-usług. Chcemy, żeby dane, które ma dzisiaj Diia, były widoczne dla polskiego obywatela i na odwrót. To pionierskie projekty, bo wchodzimy w obszar ochrony danych osobowych, współpracę z państwem spoza Europejskiego Obszaru Gospodarczego. Widać jednak, że domena cyfrowa to obszar, w którym możemy zaprosić obywateli Ukrainy do Unii Europejskiej najszybciej.
Uczymy się od nich?
Tak, cyfryzacja to jest taka dziedzina, w której wszyscy uczą się od wszystkich, a kiedy ktoś przestaje się uczyć - wypada z obiegu.
Widział pan prezentacje, jak ma wyglądać cyfrowa Ukraina w 2030?
Jestem pod dużym wrażeniem wizji i działań zespołu pana premiera Fedorowa. Ukraina mocno stawia na to, żeby cyfryzacja była jednym z motorów napędowych rozwoju kraju, i myślę, że to bardzo dobry kierunek.
A jak będzie wtedy wyglądała Polska?
Dużo się zmieni. Wszystkie prognozy stawiane w perspektywie ośmiu lat mają pierwiastek futurystyczny. Wokół nas jest tyle nowych technologii, że trudno dzisiaj się nastawić na to, jaka będzie na topie za 10 lat i jakie możliwości będą przed nami.
Elon Musk (prezes Tesli - red.) zapowiada, że w perspektywie bardziej miesięcy niż lat zobaczymy sztuczną inteligencję, która będzie w stanie w pełni autonomicznie prowadzić pojazdy. Jeśli tak się stanie, z pewnością przyniesie to rozwój robotyki. Inną technologią jest Metaverse, czyli dodanie do cyfryzacji trzeciego wymiaru. To są rzeczy, w których silne, nowoczesne państwo musi uczestniczyć, żeby nie wypaść z obiegu.
Teraz priorytetem jest dla mnie przeniesienie relacji między państwem a obywatelem z urzędów do telefonu komórkowego. Tę rolę odegra nowy mObywatel - już nie tylko elektroniczny portfel dokumentów, lecz także transakcyjna aplikacja, jaką znamy z banków.
Widzi pan, jak to będzie użyteczne, to ludzie sobie zainstalują.
Rozmawiały Elżbieta Rutkowska i Anna Wittenberg
