Polityka i prawo
Narodowy operator pocztowy niezbędny jak siły zbrojne [WYWIAD]
„Wychodzimy z założenia, że najbardziej narażonym sektorem na cyberataki jest sektor bankowy. Po rozpoczęciu świadczenia usług Operatora Cyfrowego możemy być narażeni na ataki w takim samym stopniu” - mówi Tomasz Janka, wiceprezes zarządu ds. rozwoju Poczty Polskiej. W trakcie wywiadu wspomniał również o roli jaką będzie pełnił Operator Cyfrowy, ustawie o elektronizacji doręczeń oraz inwestycjach w cyberbezpieczeństwo.
Ustawa o elektronizacji doręczeń przewiduje, że każdy podmiot publiczny będzie miał własną elektroniczną skrzynkę i będzie korzystał z systemu doręczeń? Co ta zmiana oznacza dla Poczty Polskiej i jak firma się na to przygotowuje?
To będzie niezwykle istotna zmiana dla wszystkich obywateli, podmiotów publicznych, a także dla Poczty Polskiej, choć w tak zwanej przestrzeni publicznej niewiele się o niej mówi. Niektórzy nazywają ją wręcz rewolucją cyfrową. Z jednej strony to nowa usługa i nowy model biznesowy. To również pewna reorganizacja w kontekście linii biznesowych i to nie tylko Poczty Polskiej, ale całej grupy kapitałowej. Ta zmiana dotyczy w największym stopniu spółki Poczta Polska Usługi Cyfrowe i jej platformę Envelo.
Czy Poczta Polska planuje kampanię informacyjną wyjaśniając obywatelom co się zmieni?
Z pewnością będziemy o tym informować. Ale temat wykracza poza Pocztę Polską. Liderem tego przedsięwzięcia jest Ministerstwo Cyfryzacji, które przygotowywało projekt ustawy zaakceptowany przez Radę Ministrów we wrześniu br. Natomiast to nie kończy procesu. Musi on przejść przez parlament i uzyskać zgodę prezydenta. Potrzebujemy jeszcze rozporządzeń, które będą precyzować kluczowe kwestie związane z warunkami świadczenia usług, dlatego pełnych szczegółów jeszcze nie znamy. Nie zmienia to faktu, że my się do tego przygotowujemy.
Co dokładnie Państwo robią?
Wiemy, że rozwiązania, które są planowane będą w znacznej części spójne z wymaganiami zawartymi i przyjętym w rozporządzaniu UE eIDAS (Electronic Identification and Trust Services Regulation) i norm technicznych ETSI. One jasno precyzują rolę kwalifikowanego dostawcy usług cyfrowych i dodatkowe kwestie, takie jak np. kwalifikowany znacznik czasu, czy jak ma wyglądać korespondencja. Ministerstwo Cyfryzacji będzie przygotowywać standard techniczny uzupełniający te rozwiązania o wymagania dla rynku krajowego.
Chcemy przygotowywać e-skrzynki pocztowe dla każdego obywatela, ale również dla każdego podmiotu gospodarczego i urzędu. To jednak nie wszystko. Do tego potrzeba jasnych i precyzyjnych procesów identyfikacji nadawcy i odbiorcy w sposób niepodważalny, znacznika czasu (wyjścia takiej korespondencji) i niepodważalnych dowodów m.in odbioru. W tej chwili jeśli obywatel przyjmuje jakieś pismo to odbiera je w sposób tradycyjny na poczcie. W razie potrzeby, sąd uznaje, że adresat zapoznał się z tym pismem. Dotyczy to na przykład wezwania do sądu bądź wezwania do opłacenia mandatu. Ten aspekt zostanie zelektronizowany. Tego nie ma w tradycyjnej korespondencji mailowej, nie mówiąc o zapewnieniu spójności i niezaprzeczalności tych informacji i aspekcie bezpieczeństwa. To jest absolutna podstawa. Elektroniczna skrzynka nadawczo-odbiorcza jest czymś więcej i wyposażona jest w dodatkowe elementy.
Obywatel będzie taką elektroniczną korespondencję podpisywał podpisem elektronicznym zamiast zwykłym? Jak to będzie wyglądało?
Zakładam, że szerzej zostanie wykorzystany profil zaufany do kwestii uwierzytelniania i autentykacji. Natomiast może być również dodatkowy sposób. W odróżnieniu od istniejących usług niewypełniających w całości tych wymagań, czyli ePUAP będziemy mieli korespondencję w jednym miejscu. Ze wszystkimi urzędami obywatel będzie mógł się komunikować za pomocą jednej skrzynki. To jest najważniejszy element tego rozwiązania.
Usługi cyfrowe i usługi tradycyjne będą przez jakiś czas istnieć razem. Będą ze sobą komplementarne?
Ten projekt dotyczy wszystkich obywateli. Jest w nim jeszcze publiczna usługa hybrydowa z której mogą korzystać osoby, które z różnych powodów nie są w stanie lub nie mogą odbierać elektronicznej korespondencji. Myślimy również o osobach, które z jakiś powodów nie mają dostępu do Internetu, np. z powodu miejsca zamieszkania. Poczta Polska bierze wtedy odpowiedzialność za dostarczenie takiej korespondencji w formie tradycyjnej.
Jak to będzie wyglądało? Czy urząd będzie musiał decydować i sprawdzać czy ten obywatel jest wykluczony z usługi cyfrowej czy nie jest i w jaki sposób przygotować taką korespondencję?
O sposobie wysłania, czy list ma być cyfrowy czy hybrydowy decydować ma urząd w oparciu o Bazę Adresów Elektronicznych. Jeśli adresat znajduje się w bazie, to otrzyma list cyfrowy, jeśli nie, to urząd wyśle list hybrydowy. Poczta Polska otrzymuje już zdefiniowaną jednoznacznie przesyłkę.
Jak Państwo będą to sprawdzać?
W Ministerstwie Cyfryzacji zostanie stworzona baza elektronicznych adresów BAE która będzie stanowiła rejestr państwowy obywateli i podmiotów gospodarczych, którzy złożą deklarację cyfrowości czyli chęć komunikowania się elektronicznie. Przykładowo, osoba która zdecyduje się na to, żeby otrzymywać taką korespondencję w formie mailowej, będzie musiała to zadeklarować. To ma być realizowane za pomocą wniosku kierowanego do Ministra Cyfryzacji, który złożymy zarówno cyfrowo poprzez stronę, jak i w formie papierowej. Adres tej osoby znajdzie się w bazie i podmiot publiczny będzie wiedział, że dana osoba decyduje się na elektroniczne otrzymywanie korespondencji. Jeżeli ktoś tego nie zadeklaruje, będzie dostawał korespondencje w klasycznej formie.
Czyli nie ma obowiązku przejścia na elektroniczny system doręczeń.
Nie dla obywateli, natomiast podmioty publiczne i gospodarcze zgodnie z opublikowanym harmonogramem w projekcie ustawy będą zobowiązane wejść do systemu.
Pojawiają się pogłoski, że Poczta Polska jest typowana do tego, że zostanie Operatorem Cyfrowym w ramach systemu e-doręczeń. Czym właściwie miałby być taki operator cyfrowy i jakie funkcje miałby sprawować?
Przede wszystkim funkcja operatora cyfrowego została połączona z funkcją operatora wyznaczonego do świadczenia pocztowych usług powszechnych. Poczta Polska do 2025r. pełni rolę Operatora Wyznaczonego i to tej roli została wybrana w konkursie zorganizowanym przez UKE. Od 2025r. UKE również dokona wyboru Operatora Wyznaczonego z tym, że będzie ten podmiot zobowiązany świadczyć obie formy usługi. To jednak nie oznacza, że Poczta Polska będzie pełniła tę funkcję zawsze.
Dlaczego Poczta Polska powinna pełnić tą funkcję?
W innych krajach jak np. Danii, Francji, w Czechach, Finlandii tę funkcję pełnią poczty narodowe. W tych krajach kontrakty na takie funkcje są rozpisywane w perspektywie nie 3 - 5 lat tylko 10 - 15, albo 20. Dlaczego te państwa decydują się na to, żeby w pewien sposób oddać te zadania w całości operatorom narodowym i dlaczego na taki długi czas? Wydaje się, że bardziej zasadne, w kontekście liberalnego rynku, jest powierzenie tej roli podmiotom prywatnym. To jest dość jasne, jeśli popatrzymy na aspekt dużo ważniejszy niż ekonomiczny a dokładnie bezpieczeństwo, zachowanie ciągłości działania całej administracji państwowej. Jakbym miał to przyrównać do jakiegoś innego zadania, to moglibyśmy sobie wyobrazić „outsourcing” pewnego elementu sił zbrojnych albo nawet całej armii do innego państwa, np. Polska zdecydowałaby się na outsourcing ze względu ekonomicznych swojej obrony armii niemieckiej albo oddać całe lotnictwo Czechom, a np. czołgi Francji, a artylerię Szwajcarom.
„Outsourcing” tych usług, o której mowach to byłoby zagrożenie, które negatywnie wpłynęłoby na bezpieczeństwo państwa?
Można to porównać do sytuacji, w której ZUS wysyłałby przekazy przez inne państwa. Proszę sobie wyobrazić, że jakieś obce państwo czy nawet indywidualny podmiot prywatny, który jest przedsiębiorcą spoza Polski posiada taką korespondencję. Może on zapewnić taką usługę bądź nie. Natomiast to jest zawsze kwestia uznaniowa i brania pod uwagę takiego ryzyka. Poczta Polska jest w 100 % spółką skarbu państwa. Co to oznacza w kontekście cyberbezpieczeństwa? Jeśli sytuacja ekonomiczna w państwie się zmieni, prywatny podmiot mógłby np. zaprzestać świadczenia takich usług i argumentować to złą kondycją finansową. Zatrzymałoby to podstawowe funkcje państwa łącznie z kwestiami obronności np. dostarczania kart mobilizacyjnych.
Wracając do tematu Operatora Cyfrowego. Znane są pewne wymagania, które musi spełniać ten podmiot? Czy państwo jako Poczta Polska te wymagania spełniają?
Znane są nam kierunki, wytyczne z eIDAS i norm europejskich. Natomiast na tym etapie nie znamy szczegółowych wymagań, które będą implementowane na grunt krajowy.
Platforma Envelo ma być sercem systemu e-doręczeń?
Technicznym sercem. Jeśli chodzi o całość funkcjonowania tego systemu to oprócz kwestii technicznych mamy również kwestie procesowe i osobowe, którymi zajmie się Poczta Polska. Powołałem w tym celu nową komórkę organizacyjną: Biuro Inicjatyw Cyfrowych, które ma scentralizować te funkcje w poczcie. Wcześniej były one rozproszone.
Jeżeli udałoby się Państwu osiągnąć tą rolę Operatora Cyfrowego i pełnienia pewnego krwiobiegu e-administracji to na pewno będą się musieli Państwo zmierzyć z licznymi cyberatakami. Jak to wygląda na świecie, ilu operatorów pocztowych było już celem cyberataków? Jakie mogą być ich skutki?
Znamy przypadek z rynku polskiego sprzed dwóch lat, kiedy wypłynęła baza adresów. Tych scenariuszy, które możemy sobie wyobrazić jest mnóstwo. Poczta zapewnia w tej chwili tajemnicę pocztową zgodnie z prawem pocztowym i ma gotowe systemy do tego, aby na tym poziomie usług zapewniać to bezpieczeństwo. Mówię tu o cyberbezpieczeństwie. To nie oznacza, że Poczta zakłada, że w tym aspekcie się nic nie zmieni. Wychodzimy z założenia, że jest to cały czas wyścig zbrojeń. Jedna i druga strona musi inwestować i się rozwijać. W związku z tym jest uruchomiony dodatkowy program modernizacji bezpieczeństwa cyfrowego w Poczcie, który powoduje, że rośnie nasz poziom bezpieczeństwa.
Wychodzimy z założenia, że najbardziej narażonym sektorem na cyberataki jest sektor bankowy. Po rozpoczęciu świadczenia usług Narodowego Operatora Cyfrowego możemy być narażeni na ataki w takim samym stopniu. Dlatego też musimy osiągnąć podobny poziom bezpieczeństwa jak banki.
Czy Poczta Polska ma własną komórkę cyberbezpieczeństwa? Czy rozważają Państwo stworzenie własnego CSIRTu czy SOCu?
Parę lat temu podjęliśmy decyzję, żeby to cyberbezpieczeństwo wydzielić z obszaru IT, tak jak to jest w nowoczesnych organizacjach. Mamy osobny pion odpowiedzialny za cyberbezpieczeństwo. Nie jest to taka mała komórka. Jest też pod nadzorem innych członków zarządu.
Jakie kolejne inwestycje są planowane w tym obszarze?
Mówiłem o Programie Modernizacji i częściowego rozwoju. Tak jak Pan słusznie wskazał to rozwiązania z zakresu cyberbezpieczeństwa są najbardziej rozwinięte w sektorze bankowym. Ja zakładam, że na tym poziomie Poczta Polska powinna również rozpocząć swoje działania i usługi związane z rolą Operatora Cyfrowego.
Opracowali: Andrzej Kozłowski i Sylwia Gliwa
Haertle: Każdego da się zhakować
Materiał sponsorowany