Poważne ostrzeżenia w Ministerstwie Cyfryzacji. Do załatania są istotne luki

• Rada ds. Cyfryzacji to ciało doradcze przy Ministerstwie Cyfryzacji. Przez dwa lata kadencji przygotowała dla ministrów wiele rekomendacji, ale większość z nich nie została wykorzystana przez administrację.
• Mijającą właśnie kadencję (dziś ruszył nabór do nowej Rady) podsumowuje w rozmowie z WNP Agnieszka Jankowska, szefowa Rady i jednocześnie dyrektor ds. korporacyjnych i public affairs w T-Mobile Polska.
• Przykłady inercji? Aplikacje gabinetowe. - Nie ma żadnego standardu ich zabezpieczenia, więc stają się one często furtką dla cyberprzestępców - mówi Jankowska. To duży problem także z punktu widzenia ZUS-u.
• Dlaczego tak długo ciągną się prace nad Krajowym Systemem Cyberbezpieczeństwa? - Dlatego, że nie ma jednego teamu w rządzie. Po prostu - ocenia rozmówczyni WNP.

Właśnie kończy się kadencja Rady ds. Cyfryzacji przy Ministerstwie Cyfryzacji. Jak można podsumować te dwa lata?

- Cieszę się, że znaleźli się w niej i wokół niej ludzie z różnych instytucji, którzy widzą wyzwania w obszarze cyfryzacji i którzy chcieliby z nimi coś zrobić. To bardzo budujące. Z drugiej strony mam poczucie, że niewiele z proponowanych rekomendacji zostało wykorzystanych.

Po co działa Rada do spraw Cyfryzacji?

Rada ds. Cyfryzacji to kwiatek do kożucha?

- Myślę, że dobrze skomponowana rada jest potrzebna. Proponowaliśmy różne rozwiązania nie tylko Ministerstwu Cyfryzacji, ale też innym ministrom w rządzie, jedno pismo wystosowaliśmy do premiera.

Przyjęliśmy w tej kadencji założenie, że nie boimy się podejmować trudnych tematów, naszą rolą było pokazywać rozwiązania, które będą służyły społeczeństwu. Dlatego napisaliśmy choćby stanowisko w sprawie cyberbezpieczeństwa w sektorze medycznym czy w sektorze nauki i badań.

Ministrowie was słuchali?

- W sprawie naszego stanowiska dotyczącego cyberbezpieczeństwa w sektorze medycznym dostałam bardzo merytoryczną odpowiedź z Centrum e-Zdrowia, w sprawie stanowiska dotyczącego Funduszu Cyberbezpieczeństwa odpowiedziało Ministerstwo Finansów. Odpowiedzi były czasem robocze, od osób, które z instytucji zapraszaliśmy na posiedzenia, czasem udzielane w oficjalnej formie.

A minister cyfryzacji? Zdjęcie szefowej Rady zostało umieszczone w zakładce „kierownictwo i kluczowe osoby” na stronie internetowej resortu.

- Czy nas słuchał? Myślę, że tak. Trzy razy wicepremier był nawet obecny na posiedzeniach. Ale nie mam poczucia, że to, co mówiliśmy, przekładało się na konkretne wykorzystanie naszych propozycji. Na początku wysyłałam stanowiska Rady tylko w formie notatki, potem pisałam już oficjalne pisma z uprzejmą prośbą o odniesienie się do nich.

Otrzymaliśmy odpowiedź od ministra Gramatyki ws. stanowiska Rady dotyczącego walki z dezinformacją na temat właściwości pola elektromagnetycznego w telekomunikacji. Dodatkowo na jednym z posiedzeń gościliśmy ministra Standerskiego – dotyczyło eIDAS 2.0.

Na czym więc polegało to, że była pani „kluczową osobą” w ministerstwie?

- Szczerze powiedziawszy – nie wiem, na czym polegała kluczowość mojej roli poza tym, co ja sobie założyłam, czyli żeby pełnić funkcję przewodniczącej Rady najlepiej i najsprawniej jak to możliwe.

Strategia cyfryzacji? Nie została przyjęta, choć minęło pół roku od konsultacji

Rada jest zadowolona ze strategii cyfryzacji, którą pokazało Ministerstwo?

- Przygotowaliśmy duże stanowisko, kiedy była tworzona. Część z naszych pomysłów znalazła się w niej, część nie. To naturalne. Potem zgłosiliśmy szereg uwag do już opublikowanego dokumentu. Teraz trudno mi cokolwiek powiedzieć, bo nie wiem, jaka jest finalna wersja tej strategii.

To w ogóle jest ciekawe, bo w ubiegłym roku mieliśmy bardzo dużą presję czasu, było widać duże zaangażowanie i olbrzymi wysiłek departamentu strategii, który nad tym pracował. W grudniu MC ogłosiło konsultacje. Dzisiaj mamy połowę czerwca i nie ma jeszcze finalnej wersji strategii.

Dynamika spadła.

- Spadła, dokładnie.

To brzmi trochę jak zawód.

- Jako Rada bardzo zaangażowaliśmy się w przygotowanie strategii od samego jej początku, przygotowaliśmy szereg materiałów, odbyliśmy wiele spotkań, terminy były bardzo napięte, dlatego odczuwam niedosyt.

W administracji panuje duża inercja?

- Tak, dlatego też Rada wydaje mi się istotna. Potrzebne jest miejsce, gdzie będzie paru pozytywnych „wariatów”, którzy po prostu chcą coś zrobić dla Polski. Uprą się i będą chodzić za jednym czy drugim ministrem, przypominać się.

Choć należy podkreślić, że wśród członków Rady są też osoby, które mają pogląd, iż jest to ciało doradcze ministra i może jedynie radzić, podpowiadać, zaś to, czy minister wykorzysta te propozycje, czy nie, to już nie jest nasza sprawa. Ja jednak uważam, że za dobrymi propozycjami warto chodzić i prosić, by były chociaż przedyskutowane.

Dla kogo powinno być miejsce w Radzie ds. Cyfryzacji? Dziś są tam m.in. T-Mobile i Google

Sposób komponowania składu Rady temu sprzyja?

- Ja bym zmieniła sposób naboru do Rady tak, by była rzeczywiście tym think tankiem, by trafiali do niej ludzie, którym zależy na zmianach i mają czas na dodatkową pracę. Na pewno ogłosiłabym otwarty nabór do wybranych obszarów tematycznych.

Przy formułowaniu takiego ogłoszenia trzeba by było jednak podkreślić, że to jest intensywna praca, która nie jest dobrze płatna, że wymaga czasu i zaangażowania.

Pani jest na etacie lobbystki w spółce telekomunikacyjnej. Było to przedmiotem krytyki ze strony części sektora.

- Przyznaję, że krytyka była dla mnie bardzo trudna, bo przez ten czas nie zajmowałam się graniem na siebie czy na własną firmę. Można to zobaczyć w protokołach z posiedzeń Rady, a także tematach stanowisk – wszystkie są publicznie dostępne. Jedyne, które dotyczy sektora telekomunikacyjnego, związane jest z dezinformacją na temat właściwości pola elektromagnetycznego.

Zajmowałam się w Radzie organizacją jej pracy, nadaniem jej rytmu, efektywnością. To był mój cel odkąd zostałam przewodniczącą.

Czy przedstawiciele konkretnych spółek powinni być w Radzie?

- Musi być jakieś gremium, w którym spotkają się i duzi, i mali, i przedstawiciele sektora pozarządowego, i samorządów – chodzi o maksymalną różnorodność. Ostatecznie to jest ciało doradcze i tak to minister wybiera, co zrobi z rekomendacjami.

Niestety na podejmowane decyzje zawsze nakłada się ten filtr polityczny. To nasza udręka, że politycy szukają takich rozwiązań, które w jakiś sposób po prostu zaspokajają wyborców. Poza tym każdy projekt musi znaleźć poparcie polityczne. Uzyskiwanie go jest trudną pracą, bo nawet jak ktoś ma dobry pomysł i intencje, to zaraz znajdą się niezadowoleni.

Skąd problemy z Krajowym Systemem Cyberbezpieczeństwa?

A propos politycznych tematów – jak Rada patrzy na Krajowy System Cyberbezpieczeństwa? Dlaczego tak długo ciągnie się uchwalanie tej ustawy?

- Dlatego, że nie ma jednego teamu w rządzie. Po prostu.

Minister Krzysztof Gawkowski mówił nam w wywiadzie, że problemem są ministrowie.

- Każdy ma swoje interesy i każdy widzi inne zagrożenia. Nigdy nie będzie tak, że wszyscy są zadowoleni.

Od miesięcy jest duży nacisk różnych środowisk, by usunąć z projektu kwestię dostawców wysokiego ryzyka.

- Tak, ale to jest temat, którego ja nie chciałam w ogóle brać na warsztat jako przewodnicząca Rady.

Bo był za kontrowersyjny?

- Nie, to jest po prostu decyzja polityczna. Trzeba usiąść, omówić wątpliwości wszystkich stron i podjąć decyzję. Ile lat trwają już konsultacje? Jeszcze w poprzedniej kadencji Rada przygotowywała stanowisko w tej sprawie. Co tu więcej mówić? Tu trzeba mieć odwagę, żeby podjąć taką czy inną decyzję.

Wiadomo, że nie wszyscy będą zadowoleni. I żeby było jasne, nie mówię tu teraz o wicepremierze, ale o innych ministrach.

Aplikacje gabinetowe stają się furtką dla cyberprzestępców

Co jeszcze będzie z punktu widzenia cyfryzacji najważniejsze do końca kadencji?

- Dużo uwagi wymaga szkolnictwo wyższe i nauka. Między 2023 i 2024 liczba incydentów cyberbezpieczeństwa na uczelniach zwiększyła się prawie dwukrotnie, a jednak nadal nie ma systemowego podejścia do poprawy sytuacji.

Podobnie w ochronie zdrowia – tam tworzone są aplikacje gabinetowe w poszczególnych jednostkach służby zdrowia, nawet tych prywatnych. Nie ma żadnego standardu ich zabezpieczenia, więc stają się one często furtką dla cyberprzestępców. Przy ich pomocy tworzą oni recepty na nieżyjące bądź fikcyjne osoby albo mogą wpływać na historię choroby na przykład jakiegoś pacjenta.

Mieliśmy bardzo dobre spotkanie z przedstawicielami ZUS-u na ten temat. Zwracali uwagę, że certyfikat ZUS, stworzony pierwotnie wyłącznie do wystawiania zwolnień lekarskich, jest dziś masowo wykorzystywany do innych celów medycznych, co niesie poważne ryzyko nadużyć i wyłudzeń, a Zakład nie ma nad tym pełnej kontroli.

Innym ciekawym problemem jest e-Czas.

E-Czas?

- Przed Radą ds. Cyfryzacji w ogóle nie wiedziałam, że coś takiego istnieje. System e-Czas, stworzony przez polską instytucję i sfinansowany z publicznych środków, umożliwia precyzyjne oznaczanie czasu zdarzeń w systemach informatycznych. To kluczowe dla automatyzacji decyzji i zachowania terminów. Mimo że jest darmowy, pozostaje niemal niewykorzystywany przez instytucje i firmy. W jego sprawie także wystosowaliśmy stanowisko.

Zajęliśmy się też ochroną małoletnich przed krzywdzeniem w sieci. To może przełożyć się niebawem na konkretne działania.

To znaczy?

- Rada przygotowała stanowisko w sprawie działań niezbędnych do podjęcia w celu ochrony małoletnich przed wykorzystaniem seksualnym w sieci - chodzi o tzw. CSAM (child sexual abuse material – red.), który jest zupełnie czym innym niż głośna ostatnio kwestia oglądania przez dzieci pornografii. Minister Michał Gramatyka obiecał, że bierze ten temat na warsztat, więc przygotowaliśmy założenia, co powinno znaleźć się w takiej ustawie.

Czekam na to, aż po kierownictwie będzie sygnał, czy resort będzie się tym zajmować. Liczę, że przez najbliższy czas uda się rozwiązać chociaż ten problem. Do tej pory z różnych stron często słyszeliśmy, że czegoś nie da się teraz zrobić ze względu na wybory.

Jak rozwiązać problem krzywdzenia dzieci w sieci?

W tym przypadku padają argumenty, że polskie przepisy niewiele dadzą, bo takie materiały to problem ogólnoświatowy.

- Wiele państw europejskich już wdrożyło skuteczne mechanizmy. Kluczowe jest wyposażenie służb – policji, prokuratury, sądów – w konkretne narzędzia, dzięki którym można szybciej identyfikować i zwalczać przestępstwa seksualne wobec dzieci w internecie.

Obecnie działające systemy, jak Dyżurnet w NASK, reagują dopiero po zgłoszeniu – my chcemy, by powstały narzędzia, które pozwolą na reagowanie proaktywne, tj. tu i teraz, gdy mamy do czynienia z takim przestępstwem.

Co to dokładnie znaczy?

- Można w tym celu przygotować bazę tzw. hashy, czyli zbiór zakodowanych „odcisków palców” plików (np. zdjęć czy filmów), które pozwalają szybko i automatycznie rozpoznać znane, nielegalne treści bez konieczności ich ponownego oglądania. Oczywiście taka baza musi być ściśle kontrolowana, z ograniczonym dostępem. Chodzi nie tylko o efektywność, ale też o ochronę psychiki biegłych czy policjantów, którzy analizują materiały – dziś wielu z nich musi oglądać te same drastyczne treści wielokrotnie. Dzięki technologii można to zautomatyzować, przyspieszyć reakcję służb i ograniczyć liczbę ofiar.

A to wszystko oczywiście to i tak nie koniec listy. W cyfryzacji należy poruszyć jeszcze bardzo wiele innych wątków.

Na przykład?

- Bardzo istotne są kompetencje cyfrowe, bardzo ważna jest kwestia cyberbezpieczeństwa, zwłaszcza w energetyce. A także bezpieczeństwo informacyjne państwa. Na sam koniec pojawił się nam w dyskusjach Rady temat dostępu do informacji publicznej, w którym zwracamy uwagę na ryzyko związane z dostępem do wrażliwych z punktu widzenia bezpieczeństwa państwa danych.

Małe gminy często nie mają zasobów ani wiedzy, by właściwie chronić wrażliwe dane czy infrastrukturę, a działają one na bazie wielu przepisów i wymaga się od nich podejmowania wielu działań, które wymagają transparentności odbywającej się na podstawie zapytań w ramach dostępu do informacji publicznej, publikowania dokumentów w Biuletynie Informacji Publicznej, w mediach społecznościowych czy lokalnych.

To rodzi poważne ryzyka, jak np. nieumyślne ujawnienie danych osobowych, tajemnicy przedsiębiorstwa, informacji o infrastrukturze IT, jak np. ujawnienie adresu IP lub umowy z danymi dotyczącymi usług i systemów IT wykorzystywanych do zabezpieczenia sieci informatycznej. Być może jeszcze na koniec kadencji uda nam się w tej sprawie wysłać do MC pismo.