Konrad BIAŁOSZEWSKI: Wszystkie błędy Ministerstwa Cyfryzacji

Wszystkie błędy Ministerstwa Cyfryzacji

Photo of Konrad BIAŁOSZEWSKI

Konrad BIAŁOSZEWSKI

Pułkownik dypl. Ekspert kryminalistyki i biegły sądowy, ekspert narodowy w UE, były doradca Ministra Cyfryzacji; Współautor Paszportowego Systemu Informacyjnego, autor założeń do systemu pl-ID, współautor Systemu Wiza Konsul, konsultant systemu NATO-SOFA. Uczestniczył i kierował wdrożeniami systemu paszportowego oraz systemu Wiza Konsul w Polsce i w 42 innych krajach.

Ryc.: Fabien Clairefond

zobacz inne teksty Autora

Przeczytałem z dużą uwagą dokumenty opracowane w Ministerstwie Cyfryzacji, wskazywane przez ten urząd jako dokumenty fundamentalne dla rozwoju cyfryzacji. Powiedzmy nawet: strategiczne

.W trakcie ich lektury zastanowił mnie brak wielu informacji, które pozwalałyby ocenić, na ile przedstawiane projekty są realne, a na ile są tylko hasłami. Zwykle takie dokumenty opracowuje się według określonych zasad. Czyli: cel strategiczny, analiza stanu obecnego, cele operacyjne (w tym podcele prowadzące do sukcesu), zasoby ludzkie, zasoby materiałowe, sposób realizacji zadania, analiza ryzyka, harmonogram prac, a po zakończeniu raport z wykonania zadania strategicznego, zawierający informację, w jakim stopniu zrealizowaliśmy nasz plan, a jeśli czegoś nie zrobiliśmy, to czego i dlaczego. Czytając te dokumenty, z wymienionych ośmiu punktów mogę znaleźć maksimum trzy: cel strategiczny, cele operacyjne oraz sposób realizacji niektórych celów operacyjnych. Reszty niestety nie ma, a zatem brak nam ponad 50% elementów do oceny tego, czy mamy do czynienia z realnymi projektami, czy jedynie deklaracjami.

Przekłada się to na brak jasno sprecyzowanej ścieżki dojścia do sukcesu, a wiele prac realizowanych jest raczej jako działanie efektowne. Taki sposób prowadzenia prac jest przede wszystkim niesystematyczny i angażuje i tak skromne zasoby ludzkie w niecelowe albo nie do końca zdefiniowane działania. Jeśli do tego dodać, że realizowanie projektów nie leży w kompetencji Ministerstwa Cyfryzacji, lecz innych resortów, np. Ministerstwa Spraw Wewnętrznych i Administracji, Ministerstwa Rozwoju i Finansów, Ministerstwa Obrony Narodowej, wątpliwości zaczynają rosnąć.

.Cyberbezpieczeństwo jest najlepszym przykładem. Temat ten znajduje się w obszarze zainteresowań głównie Ministerstwa Obrony Narodowej i Ministerstwa Cyfryzacji. Konia z rzędem temu, kto wskaże, jak mają się przygotowane przez Ministerstwo Cyfryzacji rozwiązania dotyczące choćby zarządzania kryzysowego, w którym kompetencja w miarę pogarszania się sytuacji kryzysowej przechodzi z administracji cywilnej do systemów wojskowych. Nie trzeba tu wymyślać jakichś nadzwyczajnych rozwiązań, bo takie rozwiązania już zostały wdrożone w innych krajach. Ministerstwo Cyfryzacji niejako zakłada, że każdy szczebel administracji publicznej ma zatrudnionego etatowego informatyka. W rzeczywistości na poziomie gmin i powiatów informatycy są raczej z doskoku i zamiłowania, a nie w strukturze etatowej urzędów. Ponadto jeśli urząd już ma takiego informatyka, to głównie w godzinach pracy. Po tych godzinach system jest niemonitorowany, bo nie ma kto tego robić. A hakerzy pracują przeważnie wieczorami i nocą. Jeśli dodać do tego informację, przedstawioną jako wypowiedź szefowej resortu na Twitterze, że Ministerstwo Cyfryzacji nie dysponuje odpowiednimi kadrami, a także brak jest 60 milionów złotych na ten cel, to można wywnioskować, że najciekawsze plany pozostają tylko planami, a tworzenie cyberbezpieczeństwa jest tylko interesującym projektem (jednym z wielu).

Kolejny przykład: e-administracja. Angażujemy się w duże projekty, jak pl.ID, CEPiK 2.0, ePUAP, ale nim osiągniemy zakładane cele, sięgamy po półśrodki, jak pośrednictwo banków lub korporacji. Jak słusznie zauważył jeden z ekspertów, banki będą pomagały społecznie tylko do pewnego momentu. Potem, gdy realne obciążenie ich infrastruktury i pracowników przekroczy pewien poziom i okaże się, że przyrost danych osobowych w systemach bankowych już nie będzie satysfakcjonujący, banki zgłoszą się do rządu z wnioskiem o wprowadzenie stałej dotacji państwowej, bo przecież za darmo nikt nie będzie niczego robić, a zwłaszcza takie instytucje.

Bardzo drażliwa dziś wśród ekspertów jest kwestia sposobu wybrania banku do realizacji pilotażu projektu Profil Zaufany — wybrano bank o jednych z wyższych opłat za świadczone usługi. Krytykom odpowiedziano, że korzystanie z tej propozycji nie jest konieczne. A przecież Profil Zaufany to element projektu pl.ID, który dotyczy wszystkich Polaków, więc stworzenie takiej formuły niejako z góry wyklucza sporą grupę osób, które powinny móc korzystać z oferowanego rozwiązania. Jak to się ma do zapisu, że każdy pełnoletni Polak ma obowiązek posiadać dowód osobisty, skoro dokument ten ma być z warstwą elektroniczną?

By to wszystko miało ręce i nogi, oprócz systemu wprowadzania danych musi być jeszcze system wykorzystujący te dane. W dokumentach strategicznych nawet nie ma śladu informacji o tym, w jakim czasie kontrahenci będą mieli gotowe rozwiązania. Czym grozi brak rozwiązań? Kwestia pierwsza z brzegu: pomysł zintegrowania dowodu osobistego z prawem jazdy. Prawo jazdy można w pewnych sytuacjach zatrzymać, a dowodu osobistego nie. Jeśli nie zrealizujemy zarówno pl.ID, jak i CEPiK 2.0, a policja nie podłączy swojego Krajowego Systemu Informacji Policyjnej do tych systemów, to cały projekt można odłożyć na półkę i czekać na lepsze czasy.

.Sztandarowy projekt Ministerstwa Cyfryzacji to Profil Zaufany. Informacji na ten temat jest mnóstwo, z wyjątkiem tych, które dla oceny wiarygodności tego przedsięwzięcia z eksperckiego punktu widzenia są podstawowe. Pojawiają się za to inne, które bynajmniej nie są optymistyczne.

Pierwsza jest taka, że Profil Zaufany to surogat rozwiązania docelowego, czyli dowodu osobistego z warstwą elektroniczną. Wdrożenie tego dokumentu będzie oznaczało konieczność zmiany struktury Profilu Zaufanego.

Druga informacja: obecny Profil Zaufany ważny będzie dwa lata, podczas gdy dowody osobiste są ważne 5, 10 lat lub bezterminowo. W przypadku wariantu bezterminowego zakłada się zwykle użytkowanie dokumentu przez 50 lat. Z tego wynika, że należy opracować odpowiednie rozwiązania techniczne, by ten profil był odpowiednio długo ważny.

Trzecia informacja (notabene: podniesiona przez wielu ekspertów): są dzieci, są osoby starsze niesamodzielne, są wreszcie osoby pozbawione wyrokami praw publicznych. Nikt nie tworzy rozwiązania umożliwiającego reprezentowanie prawne takich osób, mimo że są odpowiednie akty prawne obowiązujące w tym zakresie. Efekt: rozwiązanie zamiast pomagać, komplikuje sytuację, ubezwłasnowolniając osoby niesamodzielne.

Czwarta informacja: we wdrożonym po 17 października 2016 r. rozwiązaniu dokonano całkowitego odwrócenia tego, co dotychczas zakładano i robiono przez kilka lat. Otóż pierwotnym założeniem było to, że tożsamość obywatela jest gwarantowana przez państwo — gwarantuje ono poprawność danych, o ile nie sfałszowano dokumentu. Tej tożsamości każdy miał obowiązek wierzyć, chyba że potrafił wskazać, co świadczy o fałszerstwie. Taką tożsamością cyfrową jest w dawnym założeniu Profil Zaufany.

.Obecnie mamy sytuację następującą: obywatel idzie do banku, w którym zakłada konto na podstawie dokumentów tożsamości wystawionych przez państwo. Gdy chce uzyskać profil, wystarczy, by w internecie zalogował się na konto bankowe, wybrał opcję świadczenia usługi Profil Zaufany — i już z automatu otrzyma ten profil, któremu zgodnie z oczekiwaniami Ministerstwa Cyfryzacji ma ufać cała administracja. Oznacza to, że administracja ma ufać procedurom uwierzytelniania podmiotu prywatnego, jakim jest bank, który nie ma dostępu do zbioru PESEL, by np. zweryfikować dokument lub zawarte w nim dane!

Jest to absolutne nieporozumienie. Co się stanie, gdy np. osoba niepowołana przejmie czyjś smartfon i dzięki temu stworzy dla siebie fałszywą tożsamość cyfrową lub wejdzie w posiadanie istniejącej? Osoba taka będzie mogła wyrobić sobie prawo jazdy, dowód osobisty, pozałatwiać sprawy na konto właściciela Profilu Zaufanego.

W mojej ocenie wycofanie się z procedur potwierdzania tożsamości osoby wnioskującej o Profil Zaufany jest bardzo ryzykowne. Takie potwierdzenie tożsamości miało miejsce w starej procedurze. Być może mniej atrakcyjnej ze względu na konieczność udania się do urzędu, ale od początku zakładano, że przynajmniej wydanie dokumentu tożsamości, czyli dowodu osobistego lub paszportu, będzie wymagało takiej wizyty.

Efekt: rozwiązanie można traktować jako tymczasowe, a pomysł zmiany jego nazwy jest wyjątkowo nietrafiony, ponieważ skoro obniżamy zaufanie do profilu, nie powinniśmy nazywać go zaufanym. Jest to również w pewnym sensie podważenie projektu pl.ID, na który Polska otrzymała środki z Unii Europejskiej.

.W ostatnim czasie pojawiły się doniesienia, że nastąpił wyciek danych z systemu PESEL, co wywołało zrozumiałe zaniepokojenie. Ministerstwo Cyfryzacji sprawnie przeprowadziło akcję informacyjną — poinformowano społeczeństwo, że wszystko jest w porządku i nie ma powodów do obaw. Następnie zaproponowano, że każdy obywatel może sprawdzić swoje dane w systemie, z czego postanowiło skorzystać wiele osób.

Efekt: odpowiedni departament został zasypany pytaniami i nikomu nie przyszło do głowy, żeby napisać aplikację, która niejako automatycznie będzie udzielała odpowiedzi obywatelom po dokonaniu sprawdzeń w systemie. Tak więc wielu specjalistów zamiast zajmować się pracą merytoryczną, pisze teraz odpowiedzi na nadesłane zapytania, tracąc czas na rzeczy istotne z punktu widzenia obywatela, ale w najmniejszym stopniu nieposuwające naprzód prac nad rozwojem systemów.

Kolejna kwestia: problem kadr. Przeczytałem ostatnio na Facebooku ogłoszenie o następującej treści: „Poszukuję do MC osoby na stanowisko Chief Data Officer. Osoba ta będzie odpowiedzialna za zarządzanie danymi, ich integrację i implementację usługową. Pierwszym zadaniem będzie napisanie bazowego dokumentu, który ustali politykę zarządzania danymi, w tym zasady integracji rejestrów. Proszę o zgłoszenia na adres (tu adres mailowy minister cyfryzacji)”. Można uznać to za ciekawy ruch PR-owy (znów ten PR!), można też stwierdzić, że to przyznanie się do tego, że w ministerstwie nie ma kadr z wiedzą merytoryczną. Nawet kierownictwo Departamentu Utrzymania i Rozwoju Systemów Ministerstwa Cyfryzacji, które powinno znać zagadnienie na wylot, nie ma możliwości stworzenia tak prostego i podstawowego dokumentu.

.Sytuacja jest bardzo trudna i wbrew optymistycznym informacjom propagandowym ze strony Ministerstwa Cyfryzacji wymaga bez wątpienia konkretnych decyzji strategicznych, zaplanowanych zgodnie ze sztuką realizacji takich złożonych i wieloaspektowych przedsięwzięć, jakimi są projekty w zakresie cyfryzacji. A są to fundamentalne projekty nie tylko dla porządku i bezpieczeństwa państwa, ale również dla gospodarki i rozwoju. Projekty te w założeniach miały wspierać walkę z szarą strefą. Niestety, ich realizację uniemożliwia szara rzeczywistość.

Konrad Białoszewski

OD REDAKCJI: Już po złożeniu tego tekstu Ministerstwo Cyfryzacji opublikowało „Koncepcję dowodów osobistych z warstwą elektroniczną”. Autor odniesie się do tego dokumentu już wkrótce.

 

Materiał chroniony prawem autorskim. Dalsze rozpowszechnianie wyłącznie za zgodą wydawcy. 21 października 2016
Fot.Shutterstock