Andrzej Kozłowski: Jak spowodować, żeby usługi oferowane przez państwo były bardziej konkurencyjne albo na takim samym poziomie jak np. podmiotów komercyjnych i jakie to mogą być usługi? Jak Pan widzi tutaj rolę Exatelu?
Szymon Ruman: Jeżeli mówimy o e-usługach, to one dopiero raczkują. Jak te na bazie rejestrów państwowych - https://historiapojazdu.gov.pl/, https://bezpiecznyautobus.gov.pl/ czy te, oferujące możliwość sprawdzenia swojego dowodu i danych w rejestrze PESEL i rejestrze dowodów. Są to e-usługi działające bardzo dobrze, na najwyższym poziomie, spełniające wszystkie standardy User Experience (UX). Niestety nie są one odpowiednio promowane, przez co nie wszyscy wiedzą, że istnieją. Nie są to jednak również te usługi, na które obywatele i rynek najbardziej czekają. W ramach projektu Cepik 2.0 mają powstać kolejne usługi, takie jak np. usługa umożliwiająca sprawdzenie swoich punktów karnych czy różnych danych dotyczących kierowcy, auta i jego uprawnień. Są to rzeczy, które przydadzą się w codziennym życiu użytkownikowi pojazdu, ale także w handlu samochodami. Kolejny obszar to e-zdrowie – jeśli obywatel będzie mógł się komunikować z lekarzem, apteką czy z funduszem przez e-usługi, to będzie przełom i Polacy będą z tego korzystać. Wszystkie te aplikacje muszą oczywiście spełnić standardy UX. Muszą być proste i przyjazne w obsłudze. Ale jestem przekonany, i są tego przykłady, że państwo jest w stanie je dostarczyć. Natomiast żadne publiczne e-usługi nie mogą być realizowane bez „fundamentu” w postaci sieci, która połączy państwowe rejestry. Co więcej – samą tę infrastrukturę trzeba też odpowiednio zabezpieczyć. I tutaj pojawia się rola dla Narodowego Operatora Sieci Strategicznych (NOSS).
A.K: Jak zabezpieczyć takie systemy, takie bazy danych? Czy Exatel świadczy tutaj jakieś usługi? Ostatnio mieliśmy aferę z bazą danych PESEL, która okazała się kaczką dziennikarską, ale wśród obywateli wybuchła panika w związku z tą sprawą.
Sz. R.: Na wstępie chciałbym podkreślić, że Exatel nie odpowiada za kwestie bezpieczeństwa Systemów Rejestrów Państwowych (SRP), w tym bazy PESEL. Przy tym projekcie zapewniamy łączność pomiędzy centralnymi serwerami a wszystkimi gminami w kraju.
Co zaś się tyczy przytoczonego wydarzenia - rzeczywiście opinia publiczna wpadła w panikę, choć była nieuzasadniona. W końcu informacja, że dane obywateli masowo wyciekają w sposób niekontrolowany, nie jest niczym dobrym. Sytuacja ta została wprawdzie wyjaśniona, ale pokazała, że wiele jest jeszcze do zrobienia. Mówimy tutaj o mechanizmach legislacyjnych, czyli o dobrym prawie i o dobrych regulacjach dotyczących bezpieczeństwa. Również ważne jest bezpieczeństwo danych, samych systemów, a także świadomość zagrożenia wśród użytkowników. Cyberbezpieczeństwo to nie tylko komputery, switche, różne urządzenia. To przede wszystkim ludzie. W Exatelu zdajemy sobie z tego sprawę. I to właśnie zatrudniając najlepszych ekspertów możemy świadczyć usługi Security Operations Center (SOC) na najwyższym światowym poziomie. Z jednej strony polegają one na zabezpieczeniu danych z sieci publicznych i prywatnych tak, by nie wyciekły, z drugiej - na zabezpieczeniu przed pojawieniem się większości rodzajów malware. A w przypadku ich pojawienia się - na zneutralizowaniu. Jak wiemy, rocznie powstaje ponad 880 000 rodzajów tego typu szkodliwego oprogramowania na całym świecie. Natomiast średni czas wykrycia takiego incydentu w organizacji lub firmie szacuje się na ponad 200 dni. To bardzo groźna sytuacja i dla administracji publicznej, i dla firm prywatnych.
A.K.: Dlaczego tak długo?
Sz.R.: Dlatego, że tak naprawdę zarówno sektor publiczny, jak i sektor prywatny, nie posiadają odpowiednich kompetencji. I w obu sektorach często brakuje przekonania, że warto zainwestować w bezpieczeństwo.
A.K.: Czyli nie ma świadomości zagrożenia?
Sz.R.: Niestety dominuje takie podejście, że jakoś to będzie. I dopiero jak coś się wydarzy, a sam problem zostanie nagłośniony, niejako jesteśmy przymuszeni do zareagowania. Usługa Security Operations Center jest usługą relatywnie niedrogą. Jednak ze względu na swoją specyfikę nie można jej kupić „w każdym kiosku”. To połączenie technologii, procedur i wiedzy specjalistów. Bo na końcu każdego systemu muszą znaleźć się eksperci, którzy wykryją incydent, zanim spowoduje on szkody u klienta. Ich zadaniem jest rozpoznanie, zrozumienie mechanizmów działania i finalnie – zneutralizowanie.
A.K.: Powiedział Pan głównie o incydentach zewnętrznych. Jak wygląda kontrola zagrożeń insiderskich? Czy SOC prowadzi również monitorowanie zagrożeń wewnętrznych? Czy możliwa jest sytuacja, że ktoś w kancelarii przegrywa dane na urządzenie mobilne i sobie wynosi i nikt tego nie kontroluje?
Sz.R.: To jest bardzo dobre pytanie. Tutaj znowu wracamy do tematu Security Operations Center, które to monitoruje cały ruch w sieci i też kontroluje, czym pracownik, intencjonalnie lub nie, zainfekuje swój komputer. SOC również ustala wewnętrzne procedury bezpieczeństwa np. uniemożliwiając kopiowanie części zasobów na zewnętrzne nośniki danych. W przypadku, gdy jest to urządzenie mobilne - czy pendrive z jakimś dziwnym oprogramowaniem, które może być niebezpieczne - SOC również może takie rzeczy wykrywać i neutralizować. Wracając do sprawy komorników i potencjalnego wycieku z bazy PESEL, jest to również kwestia dobrych regulacji, których często brakuje. Państwo w legislacyjnym obszarze nowych technologii często nie ma kompetencji i nie jest w stanie dogonić rynku i dynamicznie zmieniającej się sytuacji. W efekcie nie nadąża objąć jej regulacjami. Co więcej - potrzebujemy również efektownego regulatora np. rynku cyfrowego. Uważam, że Krajowa Rada Radiofonii i Telewizji jest predestynowana, po połączeniu z Urzędem Komunikacji Elektronicznej (UKE), do bycia takim silnym regulatorem rynku cyfrowego.
Warto zwrócić uwagę, że jeśli jakikolwiek zasób - rejestr danych czy sieć - jest stale chroniony przez usługi SOC, to pracujący tam specjaliści są w stanie takie anomalia wychwycić. Ale jeśli sieci publiczne, strony internetowe czy bazy danych są niezabezpieczone, to ryzyko tego typu sytuacji oczywiście istnieje.
A.K.: Czy w takim razie nie powinno być jakichś regulacji nakładających kary za zaniedbania przy zabezpieczaniu bazy danych?
Sz.R.: Jako prawnik z wykształcenia osobiście nie jestem zwolennikiem wprowadzania kar na samym początku. Powinniśmy mieć takie regulacje, które nałożą obowiązek pozytywny. Zwłaszcza na sektor publiczny, który może wiązać się z pewnymi sankcjami. W organach publicznych nie wystarczy podłączyć superszybkiego łącza internetowego, ale trzeba je również zabezpieczyć. Zarówno wysyłane maile, jak i dane osobowe, które są przetwarzane, muszą być chronione.
A.K.: Jednym z punktów suwerenności Polski w cyberprzestrzeni mają być wykształcone kadry. Jak Polska powinna ściągnąć najlepszych specjalistów w dziedzinie IT do pracy w służbie publicznej, biorąc pod uwagę, że sektor prywatny zawsze zaoferuje o wiele większe pieniądze?
Sz.R.: To prawda – kadry to podstawa. Obecnie pozostało na rynku niewiele firm IT, z większościowym lub pełnym udziałem Skarbu Państwa. Wśród nich z pewnością można wymienić sam Exatel, PWPW czy Centralny Ośrodek Informatyki (COI). Ta ostatnia firma to idealny przykład, że państwo może sprawnie zbudować i skutecznie rozwijać swoje kompetencje IT. COI obsługiwał bazę CEPIK i dostał do uratowania projekt systemów rejestrów. Wyłączono 30-letnią bazę Jantar – dawną bazę PESEL, którą generał Kiszczak zakupił od IBM. Zastąpiono ją nowoczesnym, tańszym w eksploatacji rozwiązaniem. Ale równolegle była budowana firma państwowa, mająca najwyższe kompetencje IT i najlepszych specjalistów. I to nie był urząd. W COI udało się stworzyć startupową atmosferę i przyciągnąć najlepszych specjalistów. COI nie gwarantował najwyższych stawek na rynku, ale proponował stawki konkurencyjne. Po trzecie, pracowano tam nad ciekawymi projektami. Pracownicy COI mieli okazje budować system zbierający dane wszystkich Polaków. Te trzy elementy powodowały, że praca tam była atrakcyjna i z sukcesem udało się zbudować świetną ekipę.
A.K.: Pana zdaniem powinniśmy mieć jeden podmiot, który jest odpowiedzialny za sieci strategiczne. Czym są sieci strategiczne i jaką rolę pełni tu Exatel?
Sz. R.: Exatel de facto tym podmiotem jest. Obsługuje sieć GOVnet, KPRM, MSWiA, MON, MSZ, służby specjalne, sieć OST 112, CEPiK a także łączność wszystkich gmin w Polsce z Systemem Rejestrów Państwowych (PESEL, Rejestr Dowodów Osobistych, Baza Usług Stanu Cywilnego).
A.K.: Czyli rozumiem, że nie ma definicji w prawie, czym jest sieć strategiczna?
Sz.R.: Nie ma takiej definicji. I to nie jest zły pomysł, żeby taką regulację stworzyć. Być może będzie to potrzebne.
A.K.: A co z elementami infrastruktury krytycznej, które znajdują się w posiadaniu podmiotów prywatnych?
Sz.R.: Państwo powinno zdefiniować, czym są sieci strategiczne. Exatel obsługuje sieci rządowe czy też podłącza różne lokalizacje publiczne np. serwerownie, bazy danych itd. Są to niewątpliwie rzeczy, które w rozwiniętych krajach europejskich obsługują podmioty krajowe, kontrolowane przez państwo. I jest to dobry model. Jednocześnie w tym modelu narodowy operator powinien wykonywać swoje usługi na najwyższym poziomie i posiadać kompetencje, żeby to robić. Na Forum Ekonomicznym w Krynicy w panelu dotyczącym sieci szerokopasmowych i pokrycia białych plam pojawił się wniosek, że operatorzy komercyjni nigdy tych białych plam nie pokryją, bo się im po prostu to nie opłaca i nigdy nie będzie. Tu pojawia się pytanie, czy państwo nie powinno z środków publicznych budować sieci w modelu hurtowym w tychże białych plamach, a potem udostępniać je na równych zasadach innym operatorom.
A.K.: Czyli rozumiem, że Exatel teraz pełni taką rolę?
Sz.R.: Pełni ją de facto, a czy będzie pełnił de iure, to zależy od decyzji rządu, w którego kompetencji leży decyzja, czy Exatel powinien być narodowym operatorem.
A.K.: Rozumiem, że wcześniej czegoś takiego w Polsce nie było? Nie było jednego narodowego operatora?
Sz.R.: Trochę upraszczając – można powiedzieć, że taką rolę spełniała Telekomunikacja Polska, jednak Skarb Państwa sprzedał TPSA oraz prawie całą infrastrukturę budowaną przez dziesiątki lat francuskiemu koncernowi.
Jedyne co pozostawiono to szkieletowe sieci i łączność rządową, która do TP SA nie należała. W dużym uproszczeniu był to zalążek obecnego Exatela. My staramy się to, co dostaliśmy, rozwijać i nam się to udaje. Proponujemy usługi na najwyższym poziomie. Jako jedyni mamy światłowód Moskwa-Frankfurt, własną infrastrukturę, własny węzeł we Frankfurcie, a teraz również połączenie do Londynu, a tam także własną infrastrukturę. Jest to więc łączność na poziomie europejskim i międzynarodowym.
A.K.: Rozumiem, że takie rozwiązanie funkcjonuje w innych krajach UE?
Sz.R.: Zależy o jakich krajach mówimy. Jeśli mówimy o Niemczech czy Francji to one po prostu mają ogromne telekomy kontrolowane przez państwo. To jest znaczenie bardziej komfortowa sytuacja.
A.K.: Rozumiem, że Exatel chciałby zostać takim telekomem w Polsce?
Sz.R.: Nie. Mówię o narodowym operatorze sieci strategicznych, czyli o narodowym operatorze dla sektora publicznego (jak np. w Finlandii). Nie mamy ambicji budowania monopolu. Mamy podejście bardzo pragmatyczne i realistyczne zarazem. Operatorzy komercyjni wykonują swoją pracę w mojej ocenie bardzo dobrze, a my w wielu projektach z nimi współpracujemy. Ci najwięksi operatorzy u nas są często podwykonawcami w projektach publicznych. I dobrze, bo jeśli jest infrastruktura, to my ją wykorzystujemy. Jednocześnie uważamy, że są strategiczne obszary dla państwa, które powinien obsługiwać operator narodowy. A niekoniecznie operatorzy, nad którymi państwo nie posiada żadnej kontroli.
Szymon Ruman – polski prawnik, menedżer i legislator, dyrektor Departamentu Administracji Publicznej w Exatel SA, założyciel Instytutu Druckiego-Lubeckiego, były podsekretarz stanu w Ministerstwie Cyfryzacji.