Серьезные предупреждения от Министерства цифровых дел. Необходимо залатать существенные пробелы

• Совет по цифровым вопросам является консультативным органом Министерства цифровых вопросов. За два года своего существования он подготовил множество рекомендаций для министров, однако большинство из них не были использованы администрацией.
• Срок полномочий, который только что истек ( набор в новый Совет начался сегодня ), подводит в интервью WNP Агнешка Янковска, глава Совета и одновременно директор по корпоративным вопросам и связям с общественностью T-Mobile Polska.
• Примеры инертности? Офисные приложения. - Стандарта по их защите нет, поэтому они часто становятся лазейкой для киберпреступников, - говорит Янковска. Это большая проблема и с точки зрения ZUS.
• Почему так долго идет работа над Национальной системой кибербезопасности? - Потому что в правительстве нет единой команды. Все просто, - оценивает собеседник WNP.

Срок полномочий Совета по цифровым вопросам при Министерстве цифровых вопросов подходит к концу. Как можно подвести итоги этих двух лет?

- Я рад, что в нем и вокруг него есть люди из разных учреждений, которые видят проблемы в области цифровизации и хотели бы что-то с ними сделать. Это очень обнадеживает. С другой стороны, у меня есть ощущение, что мало что из предложенных рекомендаций было использовано.

Почему работает Совет по цифровым вопросам?

Неужели создание цифрового совета — это так просто?

- Я думаю, что нужен хорошо составленный совет. Мы предлагали разные решения не только Министерству цифровых технологий, но и другим министрам в правительстве, мы отправили одно письмо премьер-министру.

Мы приняли предположение в этом термине, что мы не боимся браться за сложные темы, наша роль заключалась в том, чтобы показать решения, которые будут служить обществу. Вот почему мы написали позицию по кибербезопасности в медицинском секторе или в секторе науки и исследований.

Министры вас слушали?

- По поводу нашей позиции по кибербезопасности в медицинском секторе я получил очень содержательный ответ от Центра электронного здравоохранения, а по поводу позиции по Фонду кибербезопасности ответило Министерство финансов. Ответы были иногда рабочие, от людей, которых мы приглашали на встречи из учреждений, иногда давались в официальной форме.

А министр цифровых дел? Фотография главы совета размещена во вкладке «руководство и ключевые лица» на сайте министерства.

- Он нас выслушал? Думаю, да. Трижды вице-премьер даже присутствовал на заседаниях. Но у меня нет ощущения, что то, что мы говорили, воплощалось в конкретные предложения. Сначала я направлял позиции Совета только в виде записки, потом писал официальные письма с вежливой просьбой на них отреагировать.

Мы получили ответ от министра грамматики относительно позиции Совета по борьбе с дезинформацией о свойствах электромагнитного поля в телекоммуникациях. Кроме того, мы принимали министра Стандерски на одной из встреч - она ​​касалась eIDAS 2.0.

Так что же означало, что вы были «ключевой фигурой» в министерстве?

- Честно говоря, я не знаю, в чем заключался главный смысл моей роли, кроме того, что я намеревалась сделать, а именно, как можно лучше и эффективнее выполнять функцию председателя Совета.

Стратегия цифровизации? Она не принята, хотя прошло уже полгода с момента консультаций

Удовлетворен ли Совет стратегией цифровизации, представленной министерством?

- Мы подготовили большую позицию, когда она создавалась. Часть наших идей в нее вошла, часть нет. Это естественно. Потом мы направили ряд комментариев к уже опубликованному документу. Мне сейчас сложно что-либо сказать, потому что я не знаю, какова окончательная версия этой стратегии.

Это интересно, потому что в прошлом году у нас было много цейтнота, вы могли видеть большую приверженность и огромные усилия со стороны стратегического отдела, который работал над этим. В декабре MC объявил о консультациях. Сегодня у нас середина июня, а окончательной версии стратегии все еще нет.

Динамика снизилась.

- Она упала, точно.

Это немного похоже на профессию.

- Как Совет, мы с самого начала были очень вовлечены в подготовку стратегии, мы подготовили ряд материалов, провели много встреч, сроки были очень сжатыми, поэтому я чувствую неудовлетворенность.

Большая ли инертность в администрации?

- Да, поэтому мне кажется важным Совет. Нам нужно место, где будет несколько позитивных "сумасшедших", которые просто хотят что-то сделать для Польши. Они будут настаивать и следовать за тем или иным министром, напоминать друг другу.

Хотя следует подчеркнуть, что среди членов Совета есть и те, кто придерживается мнения, что это совещательный орган при министре и может только советовать, предлагать, а использует ли министр эти предложения или нет — это не наше дело. Однако я считаю, что стоит добиваться хороших предложений и просить, чтобы их хотя бы обсуждали.

Кто должен иметь место в Совете по цифровым вопросам? Сегодня там, среди прочих, T-Mobile и Google

Способствует ли этому состав Совета?

- Я бы изменил метод набора в Совет, чтобы он действительно стал аналитическим центром, чтобы в него попадали люди, которым небезразличны перемены и у которых есть время на дополнительную работу. Я бы обязательно объявил открытый набор на отдельные тематические направления.

Однако при составлении такого объявления необходимо подчеркнуть, что это интенсивная работа, которая плохо оплачивается и требует времени и самоотдачи.

Вы лоббист телекоммуникационной компании. Это стало предметом критики со стороны некоторых представителей сектора.

- Признаюсь, критика была для меня очень тяжелой, потому что в то время я не занимался игрой за себя или свою компанию. Вы можете это увидеть в протоколах заседаний Совета, а также в темах позиций - все они общедоступны. Единственная, которая касается телекоммуникационной сферы, связана с дезинформацией о свойствах электромагнитного поля.

Я отвечала за организацию работы Совета, придавая ей ритм и эффективность. Это было моей целью с тех пор, как я стала председателем.

Должны ли в состав Совета входить представители конкретных компаний?

- Должен быть какой-то орган, где встречаются и большие, и малые, представители неправительственного сектора и местных органов власти - цель состоит в том, чтобы иметь максимальное разнообразие. В конечном счете, это консультативный орган, и поэтому министр выбирает, что делать с рекомендациями.

К сожалению, принимаемые решения всегда подвержены этому политическому фильтру. Это наша мука, что политики ищут решения, которые просто удовлетворяют избирателей в каком-то смысле. Кроме того, каждый проект должен найти политическую поддержку. Получить ее — это сложная работа, потому что даже если у кого-то есть хорошая идея и намерения, вскоре найдутся недовольные.

Откуда берутся проблемы с Национальной системой кибербезопасности?

Говоря о политических темах – как Совет смотрит на Национальную систему кибербезопасности? Почему так долго принимают этот законопроект?

- Потому что в правительстве нет единой команды. Просто.

Министр Кшиштоф Гавковски сказал нам в интервью, что проблема в министрах .

- У каждого свои интересы, и каждый видит разные угрозы. Никогда не будет так, чтобы все были довольны.

В течение нескольких месяцев различные группы оказывали сильное давление с требованием исключить из проекта вопрос о поставщиках с высоким уровнем риска.

- Да, но это тема, которой я вообще не хотела заниматься как председатель Совета.

Потому что он был слишком противоречивым?

- Нет, это просто политическое решение. Нужно сесть, обсудить проблемы всех сторон и принять решение. Сколько лет длятся консультации? Совет уже готовил позицию по этому вопросу в предыдущем сроке. Что еще я могу сказать? Здесь нужно иметь смелость принять то или иное решение.

Очевидно, что не все будут довольны. И чтобы было ясно, я говорю не о вице-премьере, а о других министрах.

Офисные приложения становятся воротами для киберпреступников

Что еще будет наиболее важным с точки зрения цифровизации до конца семестра?

- Высшее образование и наука требуют большого внимания. В период с 2023 по 2024 год количество инцидентов кибербезопасности в университетах почти удвоилось, и до сих пор нет системного подхода к улучшению ситуации.

Аналогично в здравоохранении – существуют приложения, созданные в отдельных медицинских учреждениях, даже частных. Стандарта для их защиты не существует, поэтому они часто становятся лазейкой для киберпреступников. Они используют их для создания рецептов для умерших или фиктивных людей или могут влиять на историю болезни, например, пациента.

У нас была очень хорошая встреча с представителями ZUS по этой теме. Они указали на то, что сертификат ZUS, изначально созданный исключительно для выдачи больничных листов, теперь массово используется для других медицинских целей, что несет в себе серьезный риск злоупотреблений и мошенничества, и Институт не имеет над этим полного контроля.

Еще одна интересная проблема — электронное время.

Электронное время?

- До Совета по цифровизации я понятия не имел, что что-то подобное существует. Система e-Czas, созданная польским учреждением и финансируемая из государственных средств, позволяет точно отмечать время событий в ИТ-системах. Это имеет решающее значение для автоматизации решений и соблюдения сроков. Хотя она бесплатна, она остается практически неиспользуемой учреждениями и компаниями. Мы также опубликовали позицию по этому вопросу.

Мы также взялись за защиту несовершеннолетних от вреда в сети. Это может вскоре вылиться в конкретные действия.

Значение?

- Совет подготовил позицию о необходимых действиях по защите несовершеннолетних от сексуального насилия в Интернете - это касается так называемого CSAM (детские материалы сексуального насилия - ред.), что полностью отличается от недавно нашумевшей проблемы просмотра детьми порнографии. Министр Михал Граматика обещал заняться этой темой, поэтому мы подготовили предположения о том, что должно быть включено в такой акт.

Жду сигнала от руководства, будет ли министерство этим заниматься. Надеюсь, что в ближайшее время удастся решить хотя бы эту проблему. До сих пор мы часто слышали с разных сторон, что сейчас что-то сделать нельзя из-за выборов.

Как решить проблему жестокого обращения с детьми в Интернете?

В этом случае высказываются аргументы, что польские правила не помогут, поскольку такие материалы представляют собой глобальную проблему.

- Многие европейские страны уже внедрили эффективные механизмы. Крайне важно оснастить службы - полицию, прокуратуру, суды - специальными инструментами, которые позволят быстрее выявлять и пресекать сексуальные преступления против детей в Интернете.

Действующие в настоящее время системы, такие как Dyżurnet в NASK, реагируют только после поступления сообщения – мы хотим создать инструменты, которые позволят реагировать проактивно , то есть здесь и сейчас, когда мы имеем дело с таким преступлением.

Что именно это означает?

- Для этого можно подготовить базу данных так называемых хэшей, то есть набор закодированных «отпечатков» файлов (например, фотографий или фильмов), которые позволяют быстро и автоматически распознавать известный, противозаконный контент без необходимости его повторного просмотра. Конечно, такая база данных должна быть строго контролируемой, с ограниченным доступом. Речь идет не только об эффективности, но и о защите психики экспертов или сотрудников полиции, которые анализируют материалы, - сегодня многим из них приходится смотреть один и тот же резкий контент много раз. Благодаря технологиям это можно автоматизировать, ускорить реагирование служб и сократить количество жертв.

И, конечно, это не конец списка. Есть много других тем, которые необходимо рассмотреть в цифровизации.

Например?

- Цифровые компетенции очень важны, вопрос кибербезопасности очень важен, особенно в энергетическом секторе . А также информационная безопасность государства. В самом конце в обсуждениях Совета появилась тема доступа к публичной информации, в которой мы обращаем внимание на риск, связанный с доступом к данным, которые являются чувствительными с точки зрения государственной безопасности.

Небольшие муниципалитеты часто не обладают ресурсами или знаниями для надлежащей защиты конфиденциальных данных или инфраструктуры, и они действуют в соответствии со многими правилами и обязаны предпринимать множество действий, требующих прозрачности на основе запросов в рамках доступа к публичной информации, публикации документов в Бюллетене публичной информации, социальных сетях или местных СМИ.

Это создает серьезные риски, такие как непреднамеренное раскрытие персональных данных, коммерческой тайны, информации об ИТ-инфраструктуре, например, раскрытие IP-адреса или договора с данными об ИТ-услугах и системах, используемых для обеспечения безопасности ИТ-сети. Возможно, к концу срока мы сможем направить письмо в МК по этому вопросу.