"Chcemy stworzyć wyraźny pion, który będzie się zajmował tylko cyberbezpieczeństwem. Ma mieć wysoko wyspecjalizowaną kadrę i współpracować z całą administracją" – mówi w pierwszym radiowym wywiadzie nowa Minister Cyfryzacji Anna Streżyńska. Zapowiada powołanie osobnego wiceministra, zajmującego się wyłącznie cyberbezpieczeństwem. "Chociaż to dziwnie zabrzmi, to dotychczasowe Ministerstwo Cyfryzacji nie doceniło wagi bezpieczeństwa w cyberprzestrzeni. Nie tylko w tym świecie wirtualnym prywatnym, ale nawet w tym publicznym, związanym z bezpieczeństwem państwa" - dodaje.
Krzysztof Berenda, RMF FM: Pani minister, zaczęła pani już urzędowanie w nowym resorcie. W porównaniu z poprzednikiem, ministrem Andrzejem Halickim, które kompetencje pani oddała, a które przejęła?
Anna Streżyńska: Wystąpiłam do ministerstw, zgodnie z intencją utworzenia tu centrum kompetencyjnego w dziedzinie informatyzacji i cyfryzacji, o przekazanie pod nadzór jednostek, które w administracji państwowej wykonują stricte zadania informatyzacyjne, związane przede wszystkim z budową baz danych albo z obsługą tych systemów. Interesują mnie te systemy, które mają charakter wspólny dla całej administracji. Chodzi o systemy, które obejmują więcej niż jeden urząd albo te, które są w budowie i z jakichś powodów ta budowa jest w kłopotach. Później, po zakończeniu budowy, w stosunku do tych systemów wyspecjalizowanych, powinny być one u właściciela merytorycznego.
Te systemy, które służą całej administracji, powinny jednak być w centrum i pod naszym nadzorem.
A czego pani się pozbędzie z ministerstwa?
Oddaliśmy całą administrację i kwestie wyznaniowe. To jest ta część ministerstwa, która powodowała, że przez swoją ilość i wagę detronizowała zagadnienia cyfryzacyjne. To kierowało całą energię ministerstwa na sprawy bieżące, administrowania krajem. Oddajemy także pocztę do Ministerstwa Infrastruktury i to pocztę pod względem nadzoru właścicielskiego, czyli wykonywania kontroli wobec spółki Poczta Polska i obsady stanowisk, jak i również pod względem regulacyjnym i legislacyjnym. Całość tego zagadnienia przechodzi do ministra Adamczyka.
Jeżeli popatrzymy na informatyzację państwa, to do tej pory w administracji wychodziło to co najwyżej średnio. Jeżeli powstawał system Państwowej Komisji Wyborczej, to skończyło się to katastrofą, gdy powstaje CEPIK, czyli Centralna Ewidencja Pojazdów i Kierowców, to mamy ogromne opóźnienia. Gdy powstaje jakiś system w Zakładzie Ubezpieczeń społecznych to mamy ogromne koszty i wizyty Centralnego Biura Antykorupcyjnego. Jak pani chce sprawić, żeby to wszystko działało?
Przede wszystkim ktoś musi to wszystko koordynować, bo jak jest jedna wspólna standaryzacja i jedna wspólna świadomość, czym my w ogóle dysponujemy, to możemy osiągnąć o wiele lepsze efekty, niż gdy to wszystko jest rozproszone i nikt nie wie czym inny organ dysponuje. Kiedyś na etapie przygotowywania Programu Operacyjnego Polska Cyfrowa, próbowano nawet dokonać takich koordynacji, papierowych w prawdzie, bo ciągle nie było tego organu odpowiedzialnego za koordynację. Ale wpisano do tego projektu, że trzeba wykazać synergię między systemami i możliwość wykorzystania ich zasobów do własnego celu, żeby podwójnie nie wydawać pieniędzy na te same zasoby na przykład macierzowe.
To się nie w pełni udaje, bo do tej pory model silosowego prowadzenia inwestycji teleinformatycznych spowodował to, że każdy czuje się królem na swoim królestwie, to są jego zabawki, jego komputerki, jego dyski, niechętnie ich udziela albo wręcz niechętnie udziela informacji o tym co ma i co mogłoby zostać wykorzystane przez inne instytucje.
Nie jest to oczywiście reguła, nie chcę tu robić uogólnień, bo są i takie organy państwa, które zrobiły swój projekt, mają wolne moce i proponują nam by wykorzystać to w pozostałej części administracji.
Jaka w tej nowej strukturze będzie rola COI, czyli przejętego przez panią z Ministerstwa Spraw Wewnętrznych Centralnego Ośrodka Informatyki? Dalej będzie zajmował się projektami deweloperskimi i budowaniem systemów informatycznych, jak teraz próbuje to robić, z różnym zresztą skutkiem?
COI to jest jedna z tych organizacji, które chcielibyśmy z racji ich uniwersalnego spojrzenia na rynek i szerokiego zakresu kompetencji, przygarnąć do siebie. To nie jest organizacja wyspecjalizowana w ramach jednego tylko resortu. Ona od lat wykonuje audyty, standaryzuje projekty innych resortów, ma bardzo dobrą orientację w tych projektach. Niestety budzi emocje tym, że uczestniczy nie tylko w działalności informatycznej resortów, ale czasem konkuruje również na rynku komercyjnym.
Ja uważam, że to jest absolutnie zbędna obecność. Zarówno na rynku komercyjnym, jak i na rynku informatycznym publicznym. Ona może wystąpić tylko wtedy, gdy jakiś projekt jest zagrożony, nie ma go kim realizować, właściciel merytoryczny nie jest w stanie go zrealizować, w związku z tym przekazuje go do COI, do wykończenia, do wyprowadzenia na spokojne wody. Ale co do zasady, chcemy Centralny Ośrodek Informatyki ograniczyć do kompetencji audytorskich i standaryzujących. Do tej pory takiego centrum dowodzenia, koordynacji i narzucania standardu nie było. COI ma również wyceniać projekty. Gdy oni przestaną być zainteresowani obecnością na rynku, to w sposób naturalny będzie mogła obiektywizować wyceny wartości dostaw poszczególnych urządzeń, aplikacji i usług dla całej administracji.
Myślę, że to wygeneruje nam oszczędności. Chciałbym także, żeby COI wyszukiwał, mając bardzo dobrze opanowaną mapę informatyzacji państwa, potencjalne synergie i ułatwiał kontakty między instytucjami, które nie potrafią znaleźć wspólnego języka. Takie wsparcie informatyków bardzo się przyda.
Czyli administracja państwowa nie będzie już deweloperem? Nie będzie już sama budowała systemów informatycznych?
Co do zasady tak bym to widziała. Większość z tych systemów może być tworzona przez biznes, rzecz jasna nadzorowany i weryfikowany. Oczywiście zawsze będą systemy, które mają szczególne znaczenie dla państwa, chociażby obronne, gdzie nawet Ustawa o Zamówieniach Publicznych to ogranicza.
Mówi pani o bezpieczeństwie merytorycznym systemów informatycznych państwa. A jak zwiększyć bezpieczeństwo faktyczne? Żyjemy w skomplikowanych czasach. Kto i jak będzie dbał o nasze cyberbezpieczeństwo?
To był temat, który do tej pory był tu bardzo zaniedbany, chociaż to właśnie Ministerstwo Cyfryzacji jest odpowiedzialne za cyberbezpieczeństwo, zwłaszcza na poziomie politycznym, dokumentów strategicznych. Nawet po usytuowaniu tego zagadnienia w ministerstwie widać, że nie była to dziedzina pierwszoplanowa. Chociaż to dziwnie zabrzmi, to dotychczasowe Ministerstwo Cyfryzacji nie doceniło wagi bezpieczeństwa w cyberprzestrzeni. Nie tylko w tym świecie wirtualnym prywatnym, ale nawet w tym publicznym, związanym z bezpieczeństwem państwa.
My stawiamy na bardzo mocną współpracę z wyspecjalizowanymi instytucjami, takimi jak Agencja Bezpieczeństwa Wewnętrznego i Ministerstwo Obrony Narodowej. Oczywiście, będziemy też wykonywać własne kompetencje, które w dużej mierze polegają na uczestnictwie w uzgadnianiu dokumentów międzynarodowych. Chcemy to mocno wyodrębnić w strukturze ministerstwa i stworzyć wyraźny pion, który będzie się zajmował tylko tym. Ma mieć wysoko wyspecjalizowaną kadrę i współpracować z całą administracją. Pamiętajmy, że to nie jest zagadnienie wsobne, dotyczące jedynie Ministerstwa Cyfryzacji. Musimy zapewnić bezpieczeństwo nie tylko w strukturach rządowych, ale i samorządowych. To jest kilkadziesiąt tysięcy jednostek i tysiące kilometrów sieci, które muszą być budowane i utrzymywane z głęboką świadomością zagadnień cyberbezpieczeństwa.
Dziś wojny coraz częściej prowadzi się jednak w cyberprzestrzeni. I to jest coraz bardziej widoczne. To dotyczy nie tylko wojen międzynarodowych, ale też wojen interesów ekonomicznych i politycznych.
Skoro będzie w Ministerstwie Cyfryzacji osobny pion cyberbezpieczeństwa, to będzie też osobny wiceminister od tego zagadnienia?
Tak. Osobny pion, czyli co najmniej osobny departament i osobny wiceminister, który będzie charakteryzował się doświadczeniem, wiedzą i umiejętnością stworzenia sieci pełnomocników cyberbezpieczeństwa w całej administracji państwowej.
Wymieniła pani szereg zagrożeń dla cyberbezpieczeństwa. Co w tej walce jest najważniejsze? Ochrona całej sieci infrastrukturalnej, czyli serwerów, kabli i przekaźników, czy może ochrona danych?
Są oczywiście sprawy, które są zdecydowanie poza nami, bo bezpieczeństwo składa się zarówno z prewencji, jak i z działalności czynnej. Ta działalność czynna, aktywna, jest w rękach innych organizacji państwowych. Natomiast co do pozostałej części, tej związanej między innymi z bezpieczeństwem infrastruktury i danych, to są sprawy równoznaczne. Dane muszą być bezwzględnie zabezpieczone, bez nich administracja nie jest w stanie wykonywać swoich funkcji i to nie tylko w czasie pokoju, ale przede wszystkim w czasie zagrożenia, czy wojny. Równocześnie musimy dbać o bezpieczeństwo sieci, bo mając dane, musimy je bezpiecznie przekazywać. Konieczne jest zapewnienie sprawności reagowania.
Sieci również muszą być budowane z uwzględnieniem wymagań specjalnych i z resztą one od lat są tak budowane, zwłaszcza te sieci niekomercyjne.
Nie można tu wyodrębnić sprawy, która jest priorytetem. To jest ściśle ze sobą związane, bo platformy techniczne zapewniają wymianę informacji, ale informacja jest bazą na której państwo w ogóle stoi i jest w stanie reagować na potrzeby w zależności od czasu.