Logotyp serwisu CyberDefence24
Reklama

Odejście od papieru w polskich urzędach. Piękna teoria vs. praktyka [OPINIA]

Jak powinna wyglądać cyfryzacja urzędów?
Jak powinna wyglądać cyfryzacja urzędów?
Autor. freepik.com

Zmniejszenie roli papieru w administracji to w dużej mierze słuszny kierunek, lecz wymagający jednocześnie szerokiego podejścia do cyberbezpieczeństwa. Jeśli nie chcemy „brukować piekła dobrymi chęciami”, potrzebna jest zmiana myślenia o plikach i dokumentach w różnych jednostkach administracji publicznej.

Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji

„Elektroniczny” często kojarzy się z „szybki” czy „dobry”. Są to dobre skojarzenia, dopóki towarzyszy im „dostępność” oraz „bezpieczeństwo”.

Odejście od papierowego obiegu dokumentów w administracji publicznej może ułatwić życie obywatelom, dopóki go nie utrudnia. Choć poprzednie zdanie brzmi nieco sprzecznie, musimy mieć na uwadze to, że nie każdy obywatel musi mieć chęć korzystania z elektronicznych usług, nawet jeśli często jest to znaczne ułatwienie pod kątem czasu czy transportu.

Ponadto, bezpieczeństwo danych obywateli wymaga odpowiedzialności po stronie urzędów, które mogą nawet nie być świadome niektórych zagrożeń.

Odejście od papieru

W kwietniu 2025 r. na Kongresie Regeneracji Miast w Łodzi wicepremier i minister cyfryzacji Krzysztof Gawkowski stwierdził:

Do 2035 roku Polska chce całkowicie zrezygnować z papieru w administracji. Żeby to osiągnąć, każdy obywatel musi znać i rozumieć narzędzia cyfrowe. Już teraz potrzebujemy 1,5 miliona specjalistów ICT, obecnie jest ich 800 tysięcy. Działajmy już dziś, aby jutro nikt nie został wykluczony cyfrowo.

Tak jasne stanowisko ministra cyfryzacji wzbudziło kontrowersje. Gosia Fraser, redaktorka naczelna techspresso.cafe, napisała w komentarzu: „Biedni starsi ludzie. A tak na poważnie - czy Ministerstwo uwzględnia, że obywatel może nie chcieć korzystać z usług cyfrowych? Czy obywatel będzie przymuszony do cyfryzacji, czy też państwo polskie zagwarantuje mu prawo do wolności od niej?”.

Marek Gieorgica, Dyrektor Biura Komunikacji Ministerstwa Cyfryzacji odpowiedział: „(…) Przecież nie chodzi o wyeliminowanie możliwości korzystania z usług publicznych inaczej niż cyfrowo, chodzi o danie możliwości korzystania z nich cyfrowo, jako alternatywę do załatwiania ich w konwencjonalny sposób. Chodzi o danie możliwości na trwania kompetencji cyfrowych. Dziś jest wiele w tym zakresie do zrobienia, ale nikt nigdy nie wpadłby na pomysł dyskryminowania osób które z założenia nie chcą korzystać z usług cyfrowych.

Jest to ważne stanowisko przedstawiciela resortu – przy wszystkich dobrodziejstwach cyfryzacji powinniśmy mieć możliwość załatwiać sprawy urzędowe bez korzystania z nowych technologii.

Warto dodać, że 12 czerwca 2025 roku odbyły się konsultacje społeczne Ministerstwa Cyfryzacji dotyczące cyfryzacji administracji publicznej. Agenda składała się z ośmiu paneli dyskusyjnych. Wyjście resortu w stronę głosu ekspertów to na pewno krok w dobrą stronę.

Czytaj też

Reklama

Raport NIK – co musimy wiedzieć?

17 kwietnia Naczelna Izba Kontroli opublikowała raport: „Cyberbezpieczeństwo w samorządach kuleje”. Tytuł nie mija się z prawdą, ponieważ z publikacji wynika, że:

  • 71% kontrolowanych jednostek nie miało planu ciągłości działania;
  • 50% kontrolowanych jednostek nie miało planów zapewnienia ciągłości działania oraz planów odtworzeniowych;
  • 50% kontrolowanych jednostek nie miało odpowiednich zabezpieczeń fizycznych serwerowni;
  • 50% kontrolowanych jednostek miało nieprawidłowości związane w zakresie tworzenia, przechowywania lub testowania kopii zapasowych.

Całkowite odejście od papieru w przypadku braku planu ciągłości działania może w najgorszym scenariuszu oznaczać… brak funkcjonowania danej jednostki. Przy braku odpowiednich zabezpieczeń fizycznych serwerowni oraz niemożliwości odtworzenia kopii zapasowych urzędom grozi naruszenie każdego aspektu tzw. Triady CIA (poufność, integralność, dostępność).

Nieszyfrowane nośniki mogą zostać wykradzione lub zgubione (jak w przypadku słynnej kary wynoszącej prawie 240 tys. złotych od UODO za zgubienie pendrive’a z danymi osobowymi). Zaszyfrowane lub niemożliwe do przywrócenia kopie zapasowe nie zapewniają dostępności danych po incydencie, zaś możliwość fizycznej ingerencji w serwerownie rodzi pytania o integralność informacji.

Należy podkreślić, że do raportu NIK dołączono pismo wicepremiera Gawkowskiego do Prezesa NIK Mariana Banasia. Wyróżniono w nim program „Cyberbezpieczny samorząd”, który obejmuje wszystkie jednostki samorządowe. Kwota pomocy planowana jest na 1,4 mld złotych. Wśród celów programu wymieniono:

  • wdrożenia lub aktualizacje w JST polityk bezpieczeństwa informacji (SZBI - System Zarządzania Bezpieczeństwem Informacji);
  • wdrożenia w JST środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • wdrożenia w JST mechanizmów i środków zwiększających odporność na ataki z cyberprzestrzeni;
  • podniesienia poziomu wiedzy i kompetencji personelu JST kluczowego z punktu widzenia SZBI wdrożonego w urzędzie;
  • przeprowadzenia w JST audytów SZBI potwierdzających uzyskanie wyższego poziomu odporności na cyberzagrożenia.

Dodano również, że program „Cyberbezpieczny wodociąg” ma objąć 430 podmiotów. Kwota wsparcia to 328,5 mln złotych.

Czytaj też

Reklama

Co pokazują incydenty?

Podmioty polskiej administracji publicznej co jakiś czas padają ofiarami cyberprzestępców. Dobrym przykładem odtwarzania infrastruktury informatycznej po ataku ransomware jest Starostwo Powiatowe w Jędrzejowie – tamtejsza placówka najprawdopodobniej „odtworzyła się” z kopii kwartalnej - atak miał miejsce 20 września (koniec trzeciego kwartału roku), zaś weryfikacja wniosków w geoportalu obejmuje dokumenty złożone po 1 lipca (pierwszy dzień trzeciego kwartału). Starostwo miało kopię zapasową wykonującą się codziennie, lecz też została zaszyfrowana.

Ten przypadek pokazuje, że najprawdopodobniej:

  • Kopia zapasowa kwartalna była odłączona od sieci i poprawnie przechowywana, tzn. nie udało się jej zaszyfrować;
  • Kopia zapasowa dzienna nie była odpowiednio przechowywana, skoro udało się ją zaszyfrować.

Analiza wycieków danych jednoznacznie pokazuje, że komputery wykorzystywane w JST służą jednocześnie do celów prywatnych. Z racji na poufność informacji nie zostaną wskazane poszczególne incydenty, lecz na komputerach osób pracujących w JST można znaleźć m.in.:

  • dokumenty zawierające dane osobowe dzieci pracowników;
  • prywatne zdjęcia;
  • hasła do prywatnych kont w formie tekstu;
  • przepis na makaron (wydawał się naprawdę smaczny);
  • CV;
  • zasady dotyczące m.in. zmywania naczyń w domu przez dzieci;
  • listę gości na ślub.

Niepokojące jest to, że w wielu wyciekach danych informacje są zawarte w katalogu „Pulpit”. Dotyczy to czasem np. kilkuset dokumentów z danymi osobowymi (wypełnionych wniosków lub pism).

Papier remedium na wszystko? Kto zarobi na cyfryzacji?

Informację powinniśmy chronić niezależnie od medium, na którym się znajduje. W październiku 2016 roku Dziennik Łódzki opisał przypadek kradzieży papierowych umów o pracę ponad 30 osób z Urzędu Gminy w Klonowej. W 2022 roku Rzeczpospolita nagłośniła kradzież służbowego laptopa pracownika JST, gdzie ukarany za uchybienia został Wójt Gminy Dobrzyniewo Duże.

Warto jednak zadać sobie pytanie, kto będzie mógł czerpać ewentualne zyski z powszechnej cyfryzacji naszych urzędów. Jeżeli w przyszłości ktoś uznałby, że mogą to być Big Techy dostarczające rozwiązania chmurowe – należy rozważyć utworzenie własnych, polskich, suwerennych rozwiązań. Na szczęście obecnie takie zapowiedzi nie dotyczą administracji publicznej.

Czytaj też

Reklama

Trudne pytania na trudne czasy

Myśląc o cyfryzacji należy również zadawać sobie trudne pytania o incydenty. Jeśli zrezygnujemy z papieru, a kopii zapasowej nie uda się odtworzyć – co wtedy? Oczywiście powinniśmy zawsze mieć możliwość odtworzenia kopii, lecz zapewnienie tego na poziomie np. każdego urzędu gminy w Polsce należy do niemałych wyzwań.

mObywatel znacząco ułatwia życie wielu z nas – pozwala m.in. na zmianę miejsca głosowania, zastrzeżenie numeru PESEL czy potwierdzenie swojej tożsamości. Mamy jednak możliwość dokonać tych wszelkich czynności osobiście w urzędzie, co powinno być zawsze naszym prawem i miejmy nadzieję, że nikt nie wpadnie w przyszłości na to, aby to Polakom odbierać. „Wykluczenie cyfrowe jest prawem” – stwierdziła jasno Gosia Fraser na X.

Quo vadis

Usługi cyfrowe dość dobrze spisują się na poziomie krajowym i nie wolno o tym zapominać, choć wyjątkiem były np. e-Doręczenia, zaraz po ich wprowadzeniu. Kluczem w cyfryzacji urzędów powinno być przede wszystkim zaakcentowanie bezpieczeństwa.

Można by pokusić się o stwierdzenie, że obecnie o wiele trudniej wykraść papierowe dokumenty z szuflady zamkniętej na klucz w pokoju księgowej niż przeprowadzić atak ransomware na urząd, który nie stosuje się do wytycznych i regulacji - choć niewykluczone, że znajdą się przeciwnicy tego stanowiska.

Nie możemy opierać cyfryzacji kraju na specjalistach za najniższą krajową pensję, co niestety się zdarza. Warto przy tym zaznaczyć, że Fundusz Cyberbezpieczeństwa jest słuszny, szczególnie gdy dodatki są wypłacane regularnie i na czas, a to nie zawsze było regułą.

Czytaj też

Trzeba też uznać, że ostatnie kontrowersje wokół NASK czy COI znacząco obniżają zaufanie do organów zajmujących się cyfryzacją. Początkowa passa braku sukcesów e-Doręczeń może stawiać pod znakiem zapytania to, czy Elektroniczna Zintegrowana Dokumentacja (obligatoryjna dla urzędów od 1 stycznia 2026 r.) będzie działać dobrze i bezpiecznie - choć nie wykazujmy się nieuzasadnionym pesymizmem, ponieważ możemy miło się zaskoczyć.

Czytaj też

Reklama

Podsumowanie

Zacznijmy od bezpieczeństwa naszych danych przed pełną cyfryzacją, lecz nie podcinajmy skrzydeł dobrym pomysłom – weryfikujmy każde działania i słowa. mObywatel to przykład sukcesu ponad podziałami politycznymi, ale nadal czekamy na publikację kodu źródłowego.

Poczekajmy z pełnym odejściem od papieru do momentu, aż również ludzie odpowiedzialni za procesy w administracji publicznej będą przyzwyczajeni do takiego działania. Niewykluczone, że wspomniany 2035 rok to dobra data – pytanie, czy w przypadku dokumentów nie powinniśmy traktować ich papierowych wersji jako swego rodzaju „formę fizycznego backupu”, odpornego np. na ataki ransomware (w metaforycznym tego słowa znaczeniu). Miejmy także nadzieję, że pieniądze z rządowych programów zostaną efektywnie wydane.

Powyższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

SK@NER: Jak przestępcy czyszczą nasze konta?

Komentarze

    Reklama

    Czytaj także

    Samsung Galaxy S25+
    Inteligentny aparat w smartfonie. Nowa jakość dzięki AI
    Cyberatak na irański bank. W tle ostrzał rakietowy
    Dodatkowe przepisy ws. RODO. Prozumienie na szczeblu UE
    Prezes UOKIK z większymi kompetencjami w zakresie rynku cyfrowego
    Zakłócenia GPS i spadające drony. Siemoniak: Rosja macza w tym palce
    Ransomware, czyli poważne zagrożenie dla polskich organizacji
    Ataki ransomware. Jak się przed nimi skutecznie chronić?
    CBZC rozbiło zorganizowaną grupę. Przestępcy wyłudzili ponad 21 mln zł
    ukraina zniszczenia atak na kijów skutki rosyjskiego ataku
    Wojna na Ukrainie dostępna na Steamie. Gra narzędziem Rosji