Cyfryzacja państwa

– Ministerstwo Spraw Wewnętrznych i Administracji rozpoczęło w 2009 roku prace nad projektem PL.ID, którego najbardziej znanym elementem było stworzenie nowego dowodu osobistego wyposażonego w czip. W ramach tego projektu budowano również system, który ma scalić w jedną bazę dane o Polakach gromadzone dotychczas w trzech rejestrach: PESEL, bazie dowodów osobistych oraz aktach stanu cywilnego. W dodatku nowy system ma współpracować jeszcze z kilkoma innymi bazami: Centralną Ewidencją Pojazdów i Kierowców, Centralną Ewidencją Wydanych i Unieważnionych Paszportów, a także KRS, Krajową Ewidencją Podatników, Centralną Ewidencją i Informacją o Działalności Gospodarczej, Krajowym Rejestrem Karnym czy z ZUS. W polu zainteresowania MSWiA były też dane gromadzone przez Ministerstwo Zdrowia i ewidencję gruntów.

System wzbudził zastrzeżenia Rzecznika Praw Obywatelskich, a także głównego inspektora ochrony danych osobowych. Wątpliwości wzbudzało też to, że baza ta budowana była na podstawie akt prawnych niskiej rangi, takich jak zarządzenia. Tymczasem według dyrektora Zespołu Prawa Konstytucyjnego i Międzynarodowego Rzecznika Praw Obywatelskich, sprawa dotyczy materii konstytucyjnej i powinna być uregulowana zupełnie nową ustawą.

– Zwolennikami wprowadzenia nowego dowodu byli ówczesny minister spraw wewnętrznych Jerzy Miller i nadzorujący informatyzację wiceminister Piotr Kołodziejczyk. Zdecydowali oni jesienią 2010 roku o ogłoszeniu przetargu w trybie dialogu konkurencyjnego na produkcję dowodów wyposażonych w czip. We wrześniu 2011 roku szef ABW Krzysztof Bondaryk ostrzegał przed sposobem prowadzenia przetargu na dowody osobiste. Według niego rozszczelniony zostanie system legalizacji, czyli tworzenia nowych tożsamości, np. oficerów Agencji Wywiadu czy świadków koronnych, którą mogliby przeprowadzać np. Niemcy.

– Specjalny zespół w MSW, zajmujący się projektem twierdził, że koszt wprowadzenia nowych dowodów to ok. 400 mln zł. Okazało się, że to za duża kwota. Rząd próbował więc wycofać się z wprowadzenia elektronicznych dowodów tożsamości i przedłużyć przetarg, a następnie zawiesić proces na kilka lat. Dodatkowo projekty PL.ID oraz PESEL 2 pochłonęły od 100 do 230 mln zł z unijnych funduszy, a efektów nie było widać.

Następca Jerzego Millera Jacek Cichocki zlecił urzędnikom resortu przygotowanie audytu stanu przygotowań do wprowadzenia nowego dowodu. Audytorzy w raporcie napisali, że Miller i Kołodziejczyk ogłosili przetarg, choć resort nie wiedział jeszcze, jakie dokładnie wymagania ma spełniać nowy dowód. Wybór technologii i wymagań technicznych nastąpił bowiem na etapie ogłaszania postępowania o udzielenie zamówienia publicznego, bez uprzedniego opracowania modelu operacyjnego, rozporządzeń technicznych, a także bez rzetelnej kalkulacji kosztów odnoszących się do rozwiązań technicznych.

grzechy-platforma-cyfryzacja

Okazało się, że wdrożenie nowego systemu dowodów osobistych będzie wymagało w latach 2013-2017 nakładów w wysokości 1,2 mld zł. W przypadku gdyby dokument miał pełnić funkcję karty ubezpieczenia zdrowotnego, kwota ta musiałaby wynosić 2,2 mld zł. Ta sytuacja miała być przyczyną dymisji Piotra Kołodziejczyka oraz związanych z nim dyrektorów Centrum Projektów Informatycznych.

– 2,5 mld zł miała kosztować informatyzacja polskiej administracji w latach 2007–2010. Plan nie został wykonany, a w nieskoordynowanych projektach utopiono setki milionów złotych. W urzędach miejskich Bydgoszczy i Sławkowa oraz gminnym Stężyca nie działała aplikacja ZMOKU (Zintegrowany Moduł Obsługi Krańcowego Użytkownika), mimo że został kupiony sprzęt. Brakowało jednak oprogramowania, które miało zapewnić MSWiA. Utrzymanie systemu w Bydgoszczy kosztowało 70 tys. zł. Kontynuacja programu w latach 2011-2013 miała kosztować kolejny miliard złotych, ale rząd zwiększył tę kwotę do 6 mld zł.

– Wokół projektów informatycznych miało miejsce tyle afer i nieprawidłowości, że zawieszono finansowanie z unijnych funduszy. Komisja Europejska zamroziła wypłatę 3,7 mld złotych na stworzenie polskiej e-administracji. Z problemami borykało się 7 systemów e-administracji: 5 koordynowanych przez Centrum Projektów Informatycznych (ePUAP, pl.ID, Ogólnopolska Sieć Teleinformatyczna 112, centra powiadamiania ratunkowego i platforma dla policji) oraz dwa firmowane przez Centrum Systemów Informacyjnych Ochrony Zdrowia. W przypadku CPI dofinansowanie zostało też wstrzymane w związku ze sprawą Inoafery. Polska otrzymała dwa miesiące na podjęcie działań, które zapewnią, że w przyszłości wszystko będzie odbywać się przejrzyście, a wtedy KE wznowi wypłaty dofinansowań.

– Pierwszym gotowym projektem e-administracji był nowy serwis internetowy ZUS-u. Na tę stronę internetową wydano 18 mln złotych, ale według ekspertów jej jakość pozostawiała wiele do życzenia. Tak wysoka kwota za przygotowanie platformy internetowej wydawała się być co najmniej podejrzana.  Autorzy strony, firma Sygnity S.A., wzorowali się na witrynach dużych urzędów państwowych oraz firm usługowych typu PKP czy InPost. Jednym z bardziej charakterystycznych motywów był Wirtualny Doradca, którego skrypty były jednak dość ubogie, komunikacja wymagała niezwykle precyzyjnego formułowania pytań, a głosu użyczył translator mowy.

– Miało miejsce kilka poważnych awarii systemów informatycznych administracji państwowej. Najpoważniejsza była awaria z maja 2012 roku, która na przeszło 3 dni unieruchomiła rejestr PESEL. W tym czasie nie można było korzystać m.in. z Elektronicznej Platformy Usług Administracji Publicznej (EPUAP), czyli np. elektronicznego składania pism urzędowych. Problemy wynikały także z tego, że udało się skończyć tylko część systemu EPUAP. Zrezygnowano na przykład z wdrożenia mechanizmów bezpieczeństwa, a nadzór nad tzw. profilem zaufanym powierzono firmie zewnętrznej, będącej poza kontrolą państwa.

– Policja na budowę prototypu tzw. elektronicznego modułu procesowego (to aplikacja, na której miał działać e-posterunek) otrzymała z Narodowego Centrum Badań i Rozwoju aż 4,6 mln zł. Aplikację wykonała na zlecenie policji prywatna firma Netline z Wrocławia za niecałe 300 tys. zł. Resztę pieniędzy przeznaczono na sześcioletni nadzór nad projektem, prace naukowo-badawcze wykonywane przez pracowników z Wyższej Szkoły Policji w Szczytnie.

System elektronicznego obiegu dokumentów dla policji testowano w 2010 roku, a do końca 2011 roku mieli na nim pracować policjanci z całego kraju. Na początku 2013 roku program jeszcze nie ruszył. Powodem był brak kodów źródłowych, potem wątpliwości, czy przetwarzanie danych osobowych w takim centralnym systemie jest zgodne z prawem. Później wybuchła tzw. Infoafera, brakowało też odpowiedniej klasy specjalistów od informatyki.

– Najwyższa Izba Kontroli ostrzegała, że opieszałość w budowie Systemu Informacji Medycznej może kosztować Polskę setki milionów złotych. SIM miało zbudować Centrum Systemów Informacyjnych Ochrony Zdrowia (CSIOZ), które podlegało Ministerstwu Zdrowia. W 2009 roku Centrum otrzymało na budowę SIM 700 mln zł, z czego 575 mln zł pochodziło z funduszy europejskich. Problem polegał jednak na tym, że należało się z nich rozliczyć do 2014 roku. CSIOZ wydało do 2013 roku zaledwie 20% dotacji UE. Z raportu NIK wynikało, że na 30 zatrudnionych na potrzeby projektu osób, tylko siedem miało wykształcenie kierunkowe – budowa i zarządzanie systemami informatycznymi.

Centrum nie wiedziało też, jaki był stan wyposażenia szpitali w kwestii sprzętu i oprogramowania niezbędnego do współpracy z bazami danych, które miały powstać. Przyjęta ustawa nakazywała jednak szpitalom i przychodniom prowadzenie e-dokumentacji. Okazało się, że aż 60% szpitali nie miało programu do ordynacji leków, a 40% do obsługi laboratorium. Za pomocą internetu kontaktowało się tylko z 23% pacjentów.

– Minister transportu Sławomir Nowak zapowiadał uruchomienie elektronicznego systemu wydawania prawa jazdy. Każda ubiegająca się o prawo jazdy osoba jeszcze przed kursem miała mieć w starostwie założony elektroniczny profil kandydata na kierowcę (PKK). Powinny się w nim znaleźć wszelkie informacje o kursie i zdanych egzaminach. Miało to oszczędzić czas urzędników i sprawić, że prawa jazdy będą wydawane szybciej.

Okazało się, że 20 spośród 49 Wojewódzkich Ośrodków Ruchu Drogowego miało podpisane umowy z inną firmą niż urzędy powiatowe i elektroniczna wymiana informacji nie działała. Resort transportu wdrożył więc „awaryjny tryb wydawania dokumentów”, który oznaczał papierowy obieg między urzędami a WORD-ami i kursanci po zdanych egzaminach czekali na prawo jazdy dłużej. Powiaty straciły na niedziałającym PKK 5–6 mln zł. Związek Powiatów Polskich postawił Sławomirowi Nowakowi ultimatum załatwienia sprawy albo wytoczą pozew zbiorowy przeciwko państwu, żądając zwrotu kosztów poniesionych w związku z prowizorką, a nawet odszkodowań.

– Ppłk Grzegorz W. w Straży Granicznej do czerwca 2012 roku odpowiadał za przetargi i informatyzację straży. Odszedł na emeryturę w efekcie podejrzeń o nieprawidłowości. Prokuratura oskarżyła go o nadużycie uprawnień i działanie na szkodę Straży Granicznej. Chodziło o kontrakt na modernizację systemów teleinformatycznych: zamówienie z wolnej ręki dostało IBM. Wraz z Grzegorzem W. oskarżono Andrzeja M., podległego mu naczelnika biura ds. przetargów w Straży Granicznej. W grudniu 2012 roku Grzegorz W. wygrał konkurs na stanowisko głównego specjalisty w Wydziale Nadzoru nad Wdrażaniem Systemu Powiadamiania Ratunkowego w Ministerstwie Administracji i Cyfryzacji. Miesiąc później pracę tam dostał też Andrzej M. Jak ujawnił dziennik Rzeczpospolita Prokuratura Okręgowa w Warszawie posiadała dowody, że konkurs był ustawiony pod Grzegorza W.

– Strony Ministerstwa Spraw Wewnętrznych i Administracji, któremu podlega m.in. policja, powstały przy użyciu pirackiego oprogramowania. Zauważył to jeden z użytkowników serwisu niebezpiecznik.pl, który znalazł w serwisie e-PUAP (Elektroniczna Platforma Usług Administracji Publicznej), hostowanym przez Ministerstwo Spraw Wewnętrznych i Administracji, ciekawy fragment kodu w źródle strony, który wskazywał na to, że twórca tego fragmentu strony posłużył się crackiem. XMLSpy to narzędzie pozwalające na tworzenie plików XML. Licencjonowana wersja aplikacji to wydatek 399 euro.

– Z zestawienia opublikowanego przez Komisję Europejską w 2010 roku wynikało, że dostęp do szerokopasmowego internetu miało zaledwie 13,5% Polaków. Gorzej było tylko w Rumunii i Bułgarii. Pieniądze z UE przeznaczone na pomoc samorządom w inwestowaniu w sieć były niewykorzystywane. Do 2010 roku, z 579 mln euro przeznaczonych m.in. na budowę sieci przez samorządy wydano 4%, z kwoty 364 mln zł przeznaczonych na zakup komputerów i dopłaty do usług internetowych wykorzystano 8%, a z pozostałej kwoty 360 mln euro przeznaczonych dla samorządów w ogóle nie korzystano.

Pieniądze miały być rozdysponowane do 2013 roku, a wydane do końca 2015 roku. Pomóc w szybszym ich wykorzystaniu miała instytucja doradzająca samorządom, jak przebić się przez unijne i polskie procedury, w co inwestować i jak pozyskiwać partnerów. Konkurs na prowadzenie doradztwa wygrał Urząd Komunikacji Elektronicznej i wynegocjował z resortem spraw wewnętrznych umowę, którą podpisał i odesłał do ministerstwa. Ale umowa z resortu nie wróciła.

– Statystyki nie poprawiły się wiele w trzy lata później. Zestawienie Komisji Europejskiej wskazywało, że dostęp do szerokopasmowego internetu miało w 2013 roku zaledwie 19,3% Polaków. Podczas gdy w krajach UE było to ponad 29%, a w krajach, które były rekordzistami, takie jak Dania i Holandia ponad 40%.

– W zamyśle „Działania 8.4 w ramach Programu Operacyjnego Innowacyjna Gospodarka” szybki, radiowy internet miał być dociągnięty do wszystkich mieszkańców w najbardziej nawet oddalonych od cywilizacji domostwach. Z projektu nic jednak nie wyszło, bo choć w ramach programu z lokalnymi firmami telekomunikacyjnymi podpisano 540 umów na zinformatyzowanie tysięcy wiosek i siedlisk, okazało się, że aż 78 z nich Ministerstwo Infrastruktury i Rozwoju było zmuszone rozwiązać. Powodem głównie był brak środków na wkład własny ze względu na wzrost cen produktów i usług związanych z realizacją projektów, a tym samym wzrost ogólnych kosztów przedsięwzięcia, brak niezbędnych pozwoleń koniecznych do realizacji, a także upadłość firm.

CBA wszczęła też śledztwo w sprawie wyłudzeń dotacji z POIG Działanie 8.4, które przejęła prokuratura i postawiła zarzuty wyłudzenia ze środków publicznych 19,5 mln zł prezesowi lokalnej firmy telekomunikacyjnej. Do końca 2013 roku, zanim postawiono zarzuty, wypłacono około 10,7 mln zł. Wypłata pozostałej kwoty została wstrzymana z uwagi na toczące się śledztwo. Inny wątek badała też warszawska prokuratura. Chodziło o działalność trzech powiązanych ze sobą firm: Profit Group, Profit Group Krzysztof Jankowski oraz EC Group Jarosław Sawa, dawniej działająca pod nazwą Profit Group Jarosław Sawa.

Wszystkie trzy, choć nie miały doświadczenia telekomunikacyjnego tylko doradcze, wyspecjalizowały się w zdobywaniu dotacji z POIG Działanie 8.4. Tylko w rozdaniach w 2011 roku na 360 wszystkich wniosków złożonych w całym kraju te trzy spółki ubiegały się o zamówienia ponad 180 razy. Śledztwo w sprawie Profit Group dotyczyło niekorzystnego rozporządzenia mieniem o wartości ok. 500 tys. zł. Dodatkowo wszystkie trzy firmy w lutym 2014 roku niespodziewanie ogłosiły upadłość, a na swojej stronie wystosowały pismo, w którym o niepowodzenia oskarżały nieprzychylnych urzędników.

NIK przeprowadziła kontrolę dotyczącą bezpieczeństwa Polski w cyberprzestrzeni. NIK uznała, że nie jest ono dostatecznie chronione i nie podjęto też spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. Według NIK „aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych oraz bierne oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia Europejska.”:

– nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej
– nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne
– nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań
– nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią

NIK uznała też, że sytuacja taka miała miejsce, ponieważ niewystarczające było zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów. Kontrola wykazała, że „Minister Administracji i Cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Minister Administracji i Cyfryzacji nie dysponował zasobami pozwalającymi na realną realizację zadań dotyczących zarządzania krajowym system ochrony cyberprzestrzeni, a także nie miał wpływu na na inne instytucje, które odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z przypisanych im obowiązków.”

Natomiast Minister Spraw Wewnętrznych „nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania Ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych – jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.” NIK zwróciła uwagę, że w Polsce nie funkcjonuje spójny krajowy system reagowania na incydenty komputerowe.

– Do końca 2015 roku należy zakończyć i rozliczyć z UE inwestycje w szybkie sieci. Jak ustaliła NIK, na rok przed ostatecznym terminem w całym kraju wybudowano i odebrano jedynie 20,5% planowanej długości sieci, dając dostęp do szybkiego internetu 15,6% zaplanowanej liczby osób. W województwie podkarpackim do końca 2014 roku nie odebrano ani jednego z budowanych odcinków sieci. Zdaniem NIK przyczynami opóźnień były m.in. przeszkody formalno-prawne, które spowodowały późne rozpoczęcie prac. Przed rozpoczęciem budowy sieci wymagane było uzyskanie wielu pozwoleń i zebranie obszernej dokumentacji. Nie było też właściwego nadzoru nad pracami.

– W ramach protestów przeciwko ACTA (zobacz więcej: ACTA) nastąpiły ataki hakerskie na strony rządowe, które wykazały jak słabo są one zabezpieczone. Dostęp do administracji strony internetowej premiera Donalda Tuska można było uzyskać wpisując login: admin i hasło: admin1. Przeprowadzona wkrótce po atakach na stronę premiera kontrola bezpieczeństwa serwerów rządowych wypadła fatalnie. Dane były źle zabezpieczone i podatne na ataki. Na serwerach znaleziono również ściągane z internetu filmy i muzykę oraz pirackie oprogramowanie. Testy wykazały, że niską podatność na zagrożenia miało jedynie 19% systemów informatycznych administracji publicznej, 56% była podatna w stopniu krytycznym, a 25% w stopniu średnim.

W trakcie audytów wykryto liczne błędy ułatwiające ataki zarówno hakerom jak i z wewnątrz organizacji czy instytucji. Były to między innymi niezabezpieczone skrypty konfiguracyjne aplikacji i błędne konfiguracje całych systemów. Oznacza to błędne działanie systemów bezpieczeństwa, bądź możliwość łatwego sprawdzenia przez osoby z zewnątrz, w jaki sposób one działają. Źle skonfigurowane były także szyfrowane transmisje SSL i formularze stron, co ułatwiało przechwycenie całej transmisji oraz stron www przez hakerów. Co więcej zabezpieczenie stron było tak słabe, że hakerzy mogli czuć się bezkarnie, ponieważ brakowało też często mechanizmu przekazywania do serwerów aplikacyjnych adresu źródła. To oznaczało, że niemożliwe było ustalenie skąd nadszedł atak.

Z audytu wynikało też, że administratorzy tolerowali wymianę plików z filmami i muzyką pobieranych z sieci. Pliki były umieszczane na serwerach urzędu. Częste było też tworzenie „składzików” pirackiego oprogramowania, filmów i muzyki na serwerach dostępnych przez internet. Hasła przydzielane użytkownikom były tak proste i trywialne, że ok. 60% odszyfrowywanych było w ciągu pierwszych 5 sekund pracy narzędzia do łamania haseł.

– Minister cyfryzacji Michał Boni nie wiedział kim są administratorzy stron, które były tak słabo zabezpieczone. W jednym z wywiadów ujawnił, że rząd dopiero to sprawdza. „Była wystosowana ankieta do wszystkich instytucji rządowych i wszystkich resortów. Niestety, nie wszystkie odpowiedziały na tę ankietę. My tę ankietę ponowimy, po to, żeby w ogóle wiedzieć, kto się tym zajmuje, jakie są zasady, jakie są mechanizmy.”

– Donald Tusk nie przejął się atakami hakerów i zwiększeniem bezpieczeństwa informatycznego. Fotoreporterzy PAP sfotografowali na laptopie premiera naklejkę ze ściągawką loginu i hasła.

Minister kultury Bogdan Zdrojewski patronował porozumieniu, które szło zdecydowanie dalej niż umowa ACTA. Miało ono pozwolić dostawcom internetu na gromadzenie danych o internautach i przekazywanie ich bez żadnej kontroli innym organizacjom. Prace nad dokumentem wstrzymano po interwencji Generalnego Inspektora Ochrony Danych Osobowych Wojciecha Wiewiórowskiego, który przez przypadek dowiedział się o powstawaniu dokumentu.

– W 2009 roku Donald Tusk odwołał kapitana Przemysława Gułę z funkcji p.o. szefa Rządowego Centrum Bezpieczeństwa. Odpowiadał on m.in. za zarządzanie kryzysowe w kraju. Według Donalda Tuska była to decyzja administracyjna, jednak dziennikarze uważali, że powodem dymisji mogło być zagrożenie przez Gułę interesów potężnych firm informatycznych. W Rządowym Centrum Bezpieczeństwo (RCB) uruchomiono bowiem aplikację SARNA, która monitoruje polskie szpitale (dzięki niej na bieżąco wiadomo, ile jest przypadków np. świńskiej grypy oraz ile i gdzie jest wolnych łóżek na oddziałach ratunkowych).

To narzędzie zbudowali dla RCB za darmo cybernetycy z Wojskowej Akademii Technicznej. Z ustaleń dziennikarzy wynikało, że kilka osób pracujących dla rządu mogło obiecać którejś z firm, że otrzyma kontrakt na wykonanie podobnego systemu. Guła mógł więc być niewygodny. Decyzja premiera zaskoczyła i oburzyła zatrudnionych w Rządowym Centrum Bezpieczeństwa ekspertów rezygnacje złożyli m.in. szef biura ochrony infrastruktury krytycznej Paweł Tarnawski i generał Straży Pożarnej.

– W 2006 roku rząd Prawa i Sprawiedliwości powierzył 39-letniej Annie Strzeżyńskiej prezesa Urzędu Komunikacji Elektronicznej. Urząd stworzył właśnie rząd PiS w celu ograniczenia praktyk monopolistycznych. Nowa prezes wprowadziła mechanizmy konkurencji w telefonii komórkowej. W czasie prawie sześcioletnich rządów Streżyńskiej średnie koszty usług komórkowych spadły o 72%, koszty dostępu do internetu o prędkości 1 Mb/s o 70% i praktycznie zlikwidowano limity transferu, o 22% spadły koszty telefonu stacjonarnego.

W 2011 roku skończyła się kadencja Anny Streżyńskiej i decyzją premiera Donalda Tuska przedstawiono parlamentowi inną kandydaturę na to stanowisko. W jednym z wywiadów minister cyfryzacji zdradził, że Anna Streżyńska musiała odejść, ponieważ była za dobra i potrzebne były „nowe twarze”.