Jestem przekonany, że sfera cyfrowa wymaga regulacji, natomiast jej specyfika powoduje, że regulacje te będą skuteczne tylko wtedy, kiedy porozumienie co do ich treści będzie wykraczało poza państwa narodowe – mówi w wywiadzie z 300Gospodarką Janusz Cieszyński, wiceminister ds. cyfryzacji w Kancelarii Premiera.
Katarzyna Mokrzycka, 300Gospodarka: Jakie zobowiązania i na kogo nakłada podwyższenie stopnia alarmowego dotyczącego cyberzagrożeń? Chodzi tylko o instytucje publiczne czy również o spółki skarbu państwa?
Janusz Cieszyński: Podniesienie stopnia alarmowego do poziomu Charlie CRP nakłada zobowiązania na organy administracji publicznej oraz na operatorów infrastruktury krytycznej, wśród których są zarówno spółki skarbu państwa, ale też firmy prywatne z sektora bankowego czy telekomunikacyjnego. Wszystkie te podmioty muszą wdrożyć odpowiednie procedury.
Czy podniesienie stopnia alarmowego oznacza, że rząd podjął działania wobec ataków, które się rozpoczęły, czy że wzmacnia procedury w związku z przyszłymi możliwymi atakami?
Przyczyną jest oczywiście sytuacja na Ukrainie, natomiast jeśli chodzi o szczegóły to są one objęte ochroną informacji niejawnych.
Czy może pan powiedzieć, na jakim etapie jest usuwanie skutków cyberataku w Lotniczym Pogotowiu Ratunkowym?
W usunięciu skutków tego ataku LPR został od razu wsparty przez zespół reagowania na incydenty z NASK (Naukowa i Akademicka Sieć Komputerowa). Według mojej wiedzy i rozmów z szefem LPR, pogotowie działa i ciągłość działania nie jest już zagrożona.
Skąd są kierowane te ataki? Kto jest ich nadawcą? Macie wątpliwości, że stoi za nimi Rosja? Nawet jeśli w setkach maili, które przychodzą w ostatnich dniach do różnych polskich instytucji, jak uczelnie czy urzędy, zamachowcy straszący podłożeniem bomb podają się za Ukraińców.
Polska nie obawia się wskazywania odpowiedzialnych za cyberataki, ale żeby robić to dobrze, musimy mieć stuprocentową pewność. Ustalenie faktycznych sprawców często wymaga dużego nakładu pracy i dlatego – w trosce o naszą wiarygodność – atrybucję, czyli przypisanie ich pochodzenia, wskażemy w momencie, gdy będziemy mieli stuprocentowo pewne dowody.
Panie ministrze, ostatnio sporo pana było w mediach, więc poproszę teraz o bardzo konkretną odpowiedź: trzy najważniejsze projekty cyfrowych usług dla Polaków, które KPRM zamierza zrealizować w 2022 r.?
Bardzo proszę, będą to: e-doręczenia, nowa odsłona aplikacji mObywatel i publiczna platforma do e-płatności. E-doręczenia mają być narzędziem do elektronicznej komunikacji obywatela ze wszystkimi urzędami i instytucjami publicznymi. Chcemy, żeby w tym roku e-doręczenia ruszyły już na masową skalę i zastąpiły system ePUAP. Trwają prace legislacyjne, aby ten projekt wprowadzić w życie.
Planujemy też zmianę sposobu działania aplikacji mObywatel. Z elektronicznego portfela dokumentów – usługi na miarę ostatniej dekady XX wieku – stanie się w pełni funkcjonalną platformą do serwowania e-usług, pozwalającą na przejście całego wybranego procesu.
Trzeci temat to budowa platformy e-płatności, która umożliwi realizację szybkich płatności online na rzecz organów administracji bez ponoszenia dodatkowych opłat za przelew.
Będzie można tak płacić już w tym roku?
W planach jest uruchomienie tej platformy już w tym roku. Pewnie nie wszystkie funkcje na raz, ale lepiej stopniowo wypuszczać dopracowane elementy niż czekać długo i „odpalać” wszystko na raz. Chcemy, żeby ten projekt został poddany pod ocenę przyszłych użytkowników i zrobić coś w rodzaju społecznych konsultacji e-usługi. Udział przyszłych użytkowników w projektowaniu powinien być standardem przy e-usługach.
Kto będzie operatorem tego systemu?
Wkrótce wyłonimy podmiot, który się tym zajmie.
Będzie przetarg?
Na pewno będzie konkurencyjny tryb wyboru partnera.
Mówimy tylko o dużych bankach czy pod uwagę bierzecie również fintechy?
Mówimy o każdym przedsiębiorcy, który będzie w stanie zapewnić sprawną obsługę tego procesu.
W poniedziałek na konferencji przedstawił pan program wsparcia młodzieży z rodzin pracujących niegdyś w PGR-ach. Na komputery dla nich chcecie przeznaczyć prawie 600 mln zł. Dzieci ostatnich pracowników PGR-ów mają pewnie koło 40-stki. Komu i czemu ma więc służyć taki program?
Nie chodzi tylko o osoby, których rodzice tam pracowali, ale o osoby, które na tych terenach się wychowały. W PGR-ach pracowali na przykład ich dziadkowie, którzy z dnia na dzień w 1991 roku zostali zwolnieni z pracy. Regiony zdominowane niegdyś przez Państwowe Gospodarstwa Rolne przez wielu socjologów są wskazywane jako przykład kreowania społecznego wykluczenia. Główną ideą programu jest zlikwidowanie nierówności, które dotknęły dzieci i młodzież z terenów popegeerowskich. Kiedy 30 lat temu likwidowano PGR-y, pozostawiono te środowiska bez jakiegokolwiek wsparcia.
W trakcie pandemii Agencja Restrukturyzacji i Modernizacji Rolnictwa przekazywała komputery dla dzieci rolników. Dzieci z rodzin po PGR-owskich takich komputerów wówczas nie dostały. Formalnie ich rodzice nie byli rolnikami, mimo że kiedyś pracowali w gospodarstwach rolnych. Nasze obecne działanie ma tę niesprawiedliwość naprawić.
Jak duża grupa otrzyma wsparcie?
220 tysięcy dzieciaków.
Ich rodzice czy dziadkowie od ponad 30 lat nie pracują w PGR-ach. Jak ich identyfikujecie – według mapy PGR-ów sprzed ‘91 roku, miejsca urodzenia, obecnego zameldowania?
Krajowy Ośrodek Wsparcia Rolnictwa dysponuje danymi na temat osób pracujących kiedyś w PGR, a oświadczenia rodziców były weryfikowane przez samorządowców. Rozmawiałem z wójtami, burmistrzami – oni znają swoich mieszkańców i nie dadzą się wyprowadzić w pole. Mówią, że to potrzebna inicjatywa.
Sporo ludzi wyjechało poza te tereny, do miasta. Czy oni nadal także liczą się jako ci, którzy pochodzą z PGR-ów?
Żeby uprościć proces aplikowania o ośrodki, ustaliliśmy, że kryterium ich przyznania jest fakt pochodzenia z rodziny zatrudnionej w PGR. Gdy zaś analizujemy wpływające wnioski to obserwujemy, że w zdecydowanej większości są one składane z terenów, gdzie działały PGR-y.
Czy mapa potrzebujących na terenach po PGR-owych pokrywa się z mapą wykluczenia cyfrowego? Próbuję zrozumieć, dlaczego akurat tym dzieciakom oferuje się pomoc w postaci sprzętu elektronicznego, a nie na przykład wszystkim uboższym rodzinom w Polsce wg kryterium dochodowego.
Obszary dawnych PGR-ów w wielu analizach wychodzą jako objęte wykluczeniem społecznym i wykluczeniem cyfrowym. W ciągu ostatnich dwóch lat w ramach różnych programów do szkół i uczniów w całej Polsce trafiło bardzo wiele sprzętu, ale pomoc ominęła tę grupę. Sfinansujemy to ze środków europejskich z puli przeznaczonej na odbudowę po pandemii, w szczególności na wzmocnienie dostępności do usług cyfrowych dla tych, którzy wcześniej takich możliwości nie mieli.
Macie fizycznie te pieniądze?
Oczywiście.
Czyli nie jest to element KPO?
Nie, to są środki, którymi już dysponujemy.
Zgodnie z KPO europejskie środki miały wspomóc cyfryzację w Polsce w bardzo dużym stopniu. Jak na razie wszystkie te programy są wstrzymane i czekają. Czy bierze pan pod uwagę, że pieniędzy nie będzie?
Wszystkie projekty, które będziemy realizować w tym roku, jesteśmy w stanie sfinansować – w razie potrzeby z własnych środków. Budżet na cyfryzację w KPRM na ten rok to ok. 400 mln zł. Jestem pewien, że jeżeli pojawią się dodatkowe potrzeby to też znajdziemy finansowanie.
Jestem zresztą przekonany, że środki z KPO wpłyną, bo one się Polsce po prostu należą.
Odnoszę wrażenie, że nadzór i prowadzenie cyfryzacji usług czy procesów w Polsce jest bardzo rozdrobniony, podzielony między strasznie dużo różnych instytucji – inaczej niż wszystkie inne dziedziny, gdzie widać raczej chęć do konsolidowania i tworzenia struktur z hasłem „narodowy” w nazwie. Jest pan, jako pełnomocnik rządu do spraw cyberbezpieczeństwa w KPRM, ale zajmujecie się wieloma najróżniejszymi sprawami, jak choćby wspomniany program pomocy dla obszarów PGR. Jest GovTech, jest Centralny Ośrodek Informatyki, jest Centrum e-Zdrowia, a ponadto każde ministerstwo cyfryzuje, co uważa za słuszne w swoim zakresie. Nie ma natomiast Ministerstwa Cyfryzacji jako takiego. To jest zdrowy układ?
W mojej opinii, każdy resort powinien mieć swoje centrum kompetencji jeżeli chodzi o realizację projektów informatycznych. To bardzo dobrze, że takie instytucje w kolejnych resortach się wzmacniają.
Wcześniej brak tych komórek i takich kompetencji sprawiał, że projekty informatyczne w Polsce kojarzyły się wyłącznie z porażkami. Zajmowałem się wcześniej rozwojem e-zdrowia i zastałem projekt realizowany przez Centrum e-Zdrowia, na który przez osiem lat, do 2015 roku, wydano pół miliarda złotych bez żadnego efektu dla obywatela. Światła dziennego nie ujrzał żaden produkt.
Dla odmiany, w ciągu ostatnich dwóch lat w Centrum e-Zdrowia było trzech dyrektorów. To celowa polityka, która ma mobilizować pracowników do większej efektywności?
Centrum e-Zdrowia podlega Ministrowi Zdrowia. Nie wypowiadam się na temat decyzji, których nie podejmuję.
Właśnie o to mi chodzi – o ten rozłożysty podział kompetencji i rozrzucenie projektów pomiędzy wieloma podmiotami nadzorczymi. Jakie korzyści płyną z tego, że pan, jako człowiek, który nadzoruje cyfryzację w kraju, nie ma wpływu na to, kto będzie robił cyfryzację w służbie zdrowia?
KPRM Cyfryzacja realizuje te usługi, które mają horyzontalny wpływ na społeczeństwo, czyli np. jest to ePUAP, rejestry państwowe, które stanowią fundament danych dla innych systemów, kwestie związane z tożsamością, czyli profil zaufany, aplikacją mObywatel, w której są usługi z różnych dziedzin życia.
Usługi, które utrzymujemy, to fundament, pewna niezbędna część wspólna, na bazie której każde inne ministerstwo we własnym zakresie potrafi przygotować grunt pod usługi kierunkowe z danej dziedziny, jak edukacja czy zdrowie.
Projekty muszą dawać efekt w ciągu 2 lat – uważa nowy naczelny informatyk kraju
Powiedział pan niedawno, że „szpitale i placówki służby zdrowia są głównym celem cyberataków”. W Polsce także? Mówimy o kradzieży danych czy o jakichś innych działaniach?
Przede wszystkim chodzi o skutki w postaci zablokowania dostępu do danych zhakowanych placówek – dane zostają zaszyfrowane. Przykładowo, ponowne uruchomienie systemu kosztowało Irlandię 100 mln euro.
Dopiero po jakimś czasie możemy się dowiedzieć, co się stało z samymi danymi, bo przecież ktoś, kto je zaszyfrował wedle wszelkiego prawdopodobieństwa, mógł też uzyskać do nich dostęp. Co z tym dalej zrobił – nie wiemy.
Czy pana zdaniem potrzebujemy nowych dodatkowych regulacji prawnych dotyczących sektora internetu i nowych technologii, dających rządowi czy służbom większą kontrolę?
Jestem przekonany, że sfera cyfrowa wymaga regulacji, natomiast jej specyfika powoduje, że regulacje te będą skuteczne tylko wtedy, kiedy porozumienie co do ich treści będzie wykraczało poza państwa narodowe. W naszym przypadku powinno obejmować całą europejską wspólnotę, ale w wielu sytuacjach do ustaleń politycznych powinny też zostać włączone Stany Zjednoczone.
Społeczeństwo oczekuje rozwiązywania problemów, które przez przewlekłość procesów multinarodowych nie są rozwiązywane wystarczająco szybko.
Było już parę prób wprowadzania regulacji dotyczących Internetu – z reguły kończyły się protestami społecznymi na dużą skalę. Pana zdanie to wynik niezrozumienia przez stronę społeczną, co miałoby zmienić takie prawo, czy jednak po prostu obawa przed jawną inwigilacją?
Protesty społeczne wybuchały dlatego, że ludzie uważali, że państwo nie powinno kontrolować internetu. Przez to doszło do sytuacji, w której internet kontrolują ponadnarodowe platformy cyfrowe, nad którymi państwo – jakiekolwiek państwo – ma bardzo ograniczoną władzę. Od ich decyzji względem użytkowników nie można się nawet odwołać. To jest niedopuszczalne w demokratycznym społeczeństwie.
Czyli chodzi panu o to, żeby zwiększyć nadzór i kontrolę nad działaniami platform społecznościowych.
Chodzi mi o to, aby mieć możliwość zwiększenia praw obywateli w sporach z tymi platformami.
I myśli pan, że obywatele tego właśnie chcą? Ile osób czyta informacje o RODO, o marketingu na stronie, o ciasteczkach itp.? Byle szybciej kliknąć zgodę, zamknąć okno i przejść do treści, czemu nawet trudno się dziwić, tak jest tego dużo. Czy pokolenie, które się od oseska wychowało na internecie ceni jeszcze prywatność? Może próbuje pan ratować obywatela wbrew jego potrzebom?
Z takim postawieniem sprawy zupełnie się nie zgadzam. Uważam, że im więcej będzie takich rozwiązań, jak te, które pani wymienia, tym lepiej. Oczywiście, zgadzam się że przez działania podmiotów, które zarabiają na funkcjonowaniu w internecie ochrona prywatności czy danych czasami ma charakter fasadowy. Ostatnio zapadł wyrok w sprawie, w której chodziło właśnie o to, że w pewnym serwisie łatwiej było wyrazić zgodę na przetwarzanie danych, niż się na to nie zgodzić.
Odsetek tych, którzy akceptują bez czytania jest bardzo wysoki, ale jestem przekonany, że z czasem będzie się zmniejszał. Szczególnie, że przed nami wiele znaczących historii związanych z wykorzystaniem naszych danych wbrew naszej woli. Spodziewam się czegoś na miarę afery Cambridge Analytica tylko na znacznie większą skalę.
Do słynnego powiedzenia Bismarcka, że nie powinno się oglądać jak się robi kiełbasę i politykę, dodałbym jeszcze, że nie powinno się oglądać jak są przetwarzane nasze dane. Ale lepiej nie dać ich przetwarzać.
Nad jakimi przepisami na poziomie krajowym i unijnym w tej chwili trwają prace?
Proces legislacyjny na poziomie europejskim jest bardzo rozległy i problemy, które są do rozwiązania, czekają bardzo długo. Przykładem może być przygotowanie ustawy Digital Services Act, która reguluje funkcjonowanie platform cyfrowych. Zakładam, że ten proces jeszcze przez dłuższy czas się nie zamknie. Polsce zależy, by wprowadzić zmiany, które uniemożliwiałyby platformom cyfrowym wpływanie swoimi decyzjami na funkcjonowanie legalnie działających w danym kraju organizacji społecznych, między innymi pod wpływem zamknięcia w Polsce profilu Konfederacji na Facebooku.
Prokurator generalny Teksasu pozwał Facebooka – tam akurat chodziło o naruszenie przepisów stanowych dotyczących prywatności. Czy to w Europie jest ścieżka do rozwiązywania sporów z cyfrowymi gigantami?
Ostatnio we Francji i w Austrii duże platformy zostały ukarane wielomilionowymi karami za kwestie związane z przetwarzaniem danych osobowych. Od tego się zaczęło, ale myślę, że tych naruszeń zasad współżycia w społeczeństwie jest więcej i świadomość w tym zakresie będzie systematycznie rosła. Właśnie dlatego szybka ścieżka sądowa lub podobna do sądowej w sprawach z koncernami technologicznymi to jest coś, czego w polskim systemie prawnym bardzo brakuje. Ustawa Ministerstwa Sprawiedliwości o wolności słowa ma to zmienić.
Nie ma hipokryzji w tym, że teraz tu mówimy o ochronie prywatności przed koncernami, a – uruchamiając takie systemy jak Pegasus – sami sobie w Polsce stworzyliśmy warunki do tego, żeby państwo nam zaglądało w prywatne życie?
To dobre porównanie, ponieważ pokazuje, jak różną podstawę prawną mają działania platform i służb państwa. Kontrola operacyjna – obejmująca m.in. dostęp do zawartości telefonu komórkowego – jest w pełni legalna. Taka możliwość wprowadzona została w 2016 roku właśnie w odpowiedzi na zmiany technologiczne. Pamiętać należy, że kontrola operacyjna jest realizowana wyłącznie za zgodą sądu.
Uważa pan, że oskarżenia o nadużycia ze strony podsłuchiwanych polityków czy prawników są nieuzasadnione?
Zazwyczaj osoby, którymi zajmują się organy ścigania, mają wobec nich bardzo daleko idące pretensje o to, że uniemożliwia im się dalsze prowadzenie swojej działalności.
Czy w przypadku sprawy senatora Brejzy była zgoda sądu, albo czy w przypadku mecenasa Giertycha była zgoda sądu?
Kontrola operacyjna jest prowadzona niejawnie. Nie mam dostępu do jakichkolwiek dokumentów z tych spraw. Natomiast, jeżeli faktycznie wobec tych osób była stosowana kontrola operacyjna, to jestem absolutnie przekonany, że było to realizowane za zgodą sądu. Pan senator Brejza mówił, że kontrola w jego telefonie trwała 6 miesięcy. Co się zgadza z tym, że w polskim porządku prawnym kontrola operacyjna zakładana jest za zgodą sądu na 3 miesiące z opcją przedłużenia jej, co wymaga kolejnej zgody i daje sędziemu możliwość zapoznania się z pozyskanym wcześniej materiałem, na kolejne trzy.
RCB: Trzeci stopień alarmowy dot. cyberbezpieczeństwa na terenie Polski