Komisje senackie
Zapis stenograficzny
– posiedzenie Komisji Infrastruktury (24.)
w dniu 17 maja 2016 r.
Porządek obrad:
1. Informacja na temat przestępstw telekomunikacyjnych i krajowego systemu cyberbezpieczeństwa.
(Początek posiedzenia o godzinie 14 minut 32)
(Posiedzeniu przewodniczy przewodniczący Stanisław Kogut)
Przewodniczący Stanisław Kogut:
Dzień dobry państwu.
Otwieram dzisiejsze posiedzenie Komisji Infrastruktury.
Witam serdecznie pana ministra Kołodziejskiego, który bardzo często bywa na posiedzeniach naszej komisji. Witam przedstawicieli Komendy Głównej Policji, przedstawicieli MSWiA, a także panów senatorów. No, pań senator u nas po prostu nie ma.
Punkt 1. porządku obrad: informacja na temat przestępstw telekomunikacyjnych i krajowego systemu cyberbezpieczeństwa
Państwo Drodzy, w czasie dyskusji na ostatnim posiedzeniu senatorowie wyszli z propozycją omówienia tematu przestępstw telekomunikacyjnych i krajowego systemu cyberbezpieczeństwa. W związku z tym od razu oddaję głos panu ministrowi Kołodziejskiemu. Na omówienie tego tematu mamy półtorej godziny.
Proszę, Panie Ministrze.
Sekretarz Stanu w Ministerstwie Cyfryzacji Witold Kołodziejski:
Dziękuję bardzo.
Panie Przewodniczący! Szanowni Państwo!
Skoro mamy półtorej godziny…
Przewodniczący Stanisław Kogut:
Przepraszam, ale chciałbym jeszcze przywitać pana wiceprezesa Dyla, którego bardzo dobrze znam.
Proszę bardzo, Panie Ministrze.
Sekretarz Stanu w Ministerstwie Cyfryzacji Witold Kołodziejski:
Szanowni Państwo!
Ponieważ są wśród nas specjaliści i praktycy zajmujący się tymże zagadnieniem, myślę, że może nas czekać ciekawa dyskusja. Postaram się w skrócie nakreślić najważniejsze kwestie związane z cyberbezpieczeństwem i krótko omówić najbardziej istotne problemy, z którymi się w tej chwili stykamy.
Dzisiaj jest dobry moment na taką dyskusję, ponieważ… No, z jednej strony dobry, z drugiej niedobry. Otóż wczoraj wyszedł kolejny raport Najwyższej Izby Kontroli o bezpieczeństwie danych. To już drugi raport NIK na ten temat. Poprzedni był druzgocący, jeżeli chodzi o stan polskich instytucji pod względem bezpieczeństwa informatycznego. Tym razem NIK przyjrzała się konkretnym jednostkom: Ministerstwu Skarbu Państwa, Ministerstwu Spraw Wewnętrznych i Administracji, Ministerstwu Sprawiedliwości, Komendzie Głównej Straży Granicznej, Narodowemu Funduszowi Zdrowia i Kasie Rolniczego Ubezpieczenia Społecznego. Wyniki tego raportu są niepokojące. Stopień przygotowania oraz wdrożenia systemu zapewnienia bezpieczeństwa informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i, wobec braku procedur, intuicyjny.
KRUS była jedyną jednostką, w której formalnie wdrożono system zarządzania bezpieczeństwem informacji. Wiązało się to z koniecznością uzyskania certyfikatu ISO 27001. Niestety, mimo podjęcia określonych działań i inwestycji w implementacji norm stanowiących podstawę uzyskania tego certyfikatu pojawiły się błędy. W ocenie NIK niektóre z nich były poważne i mogły mieć istotny negatywny wpływ na wiele procesów dotyczących zapewnienia bezpieczeństwa IT. Mówię o KRUS dlatego, że jest to jedyna z wymienionych instytucji, która wdrażała systemy bezpieczeństwa wyznaczone normami międzynarodowymi. Niestety w ocenie Najwyższej Izby Kontroli było to niewystarczające.
Krótko mówiąc, problem, z którym się tu stykamy, jest bardzo poważny. Zaniedbania te mogą być bardzo niebezpieczne. Jeśli chodzi o KRUS, to w chwili obecnej obsługuje ona ok. 1,5 miliona świadczeniobiorców. To są bardzo szczegółowe i wrażliwe dane dotyczące ogromnej liczby ludzi. Jeśli chodzi o Straż Graniczną, to chyba nie muszę nawet mówić, jakie znaczenie ma tutaj ochrona informacji. Z kolei w przypadku Ministerstwa Sprawiedliwości chodzi o system umożliwiający gromadzenie, przetwarzanie i udostępnianie informacji zawartych w księgach wieczystych. W MSWiA działa system obsługujący wydawanie paszportów. Kwestia bezpieczeństwa danych wiąże się więc z bezpieczeństwem narodowym, antyterrorystycznym i każdym innym. No, co do Ministerstwa Skarbu Państwa to też nie muszę chyba mówić, jak duże ma to znaczenie.
Nie znaczy to, że w tej chwili dane te wyciekają. Twierdzę tylko, że zabezpieczenia są niewystarczające. Dla nas, jak również z punktu widzenia państwa komisji, najistotniejsze jest to, że prowadzone działania są chaotyczne. No, tak naprawdę działania państwa powinny mieć na celu organizację całego systemu cyberbezpieczeństwa.
Proszę państwa, jeśli chodzi o to, przed czym się bronimy, to podam krótką statystykę incydentów. Oszustwa komputerowe, takie jak kradzież tożsamości, podszywanie się pod kogoś, nieuprawnione wykorzystanie zasobów czy naruszenie praw autorskich, stanowią 42% tychże incydentów, gromadzenie informacji, skanowanie, podsłuch, inżynieria społeczna – 19%, obraźliwe i nielegalne treści, spam, dyskredytacja, obrażanie, pornografia dziecięca, przemoc – 10%, złośliwe oprogramowanie… Te statystyki są tak zestawione, że… No, jest oczywiście różnica między dyskredytacją a pornografią dziecięcą, niemniej jednak zostało to ujęte w takich właśnie kategoriach. Atak na bezpieczeństwo informacji, czyli nieuprawniony dostęp do informacji bądź nieuprawniona zmiana informacji, to 6%, próby włamań i włamania – 6%, a rozproszone ataki blokujące serwis – 2,5%.
Ponieważ te zakresy są dosyć szerokie, chciałbym zwrócić uwagę nie tyle na same liczby i proporcje, co na zjawiska, z którymi mamy do czynienia. Wspomniane 2,5% to niby mały odsetek, ale incydenty polegające na blokowaniu dostępu do zasobów, czyli ataki blokujące serwis, odgrywały bardzo istotną rolę w trakcie wojny na Ukrainie, a nawet jeszcze przed jej wybuchem. Kiedy była u nas delegacja z ukraińskiego parlamentu, tamtejsi deputowani mówili nam, że sprawa cyberbezpieczeństwa jest dla nich wyzwaniem naczelnym i strategicznym. Wojna hybrydowa, w tym cyberwojna, toczyła się na długo przed konfliktem na Krymie czy pierwszymi wystrzałami w Donbasie i toczy się cały czas. Przykładem tego są właśnie wspomniane ataki blokujące.
Krótko mówiąc, mamy do czynienia z sytuacją, w której musimy podjąć zdecydowane działania. Jeśli chodzi o ten najnowszy raport NIK, to w Ministerstwie Cyfryzacji opracowane zostały założenia strategii cyberbezpieczeństwa, które w dużej części pokrywają się z oceną NIK mówiącą o potrzebie usystematyzowania i ujednolicenia zasad ochrony systemu przetwarzania danych istotnych dla funkcjonowania państwa. Zresztą dane te są istotne nie tylko dla państwa, lecz także dla gospodarki i sektora prywatnego. O wspomnianych działaniach powiem za chwilę. No, Ministerstwo Cyfryzacji podjęło intensywne prace nad zbudowaniem odpowiedniego systemu bezpieczeństwa. Podkreślam, że bezpośrednio wpłynie to na bezpieczeństwo polskich obywateli. Coraz częściej korzystają oni z usług sieciowych, co przekłada się też na gospodarkę. Oczywiście ma to swoje dobre strony, ale złą stroną tej sytuacji jest to, że naszym obywatelom realnie zagrażają określone cyberniebezpieczeństwa.
Na marginesie dodam, że skoro mówimy dzisiaj o gospodarce cyfrowej, to powinniśmy pamiętać, że w tej chwili wchodzimy w kolejny etap sieciowej wymiany informacji i wprowadzania nowych rozwiązań. Dotychczas mówiło się o włamaniach na konta bankowe czy do jakichś innych zasobów danych, a zatem o działaniach czysto hakerskich – związanych czy to z usługami, czy to z informacjami – podczas gdy dzisiaj coraz częściej mamy do czynienia z… No, rośnie zagrożenie całkiem realnymi działaniami. Proszę sobie wyobrazić, że niedawno głośna była sytuacja – działo się to chyba w Stanach Zjednoczonych – w której niepewność co do chipów umieszczonych w licznikach energii elektrycznej spowodowała blokadę gigantycznych inwestycji. Bo wyobraźcie sobie państwo, że tzw. smart metering… No, jest to tylko jeden z przykładów tzw. internetu rzeczy. Smart metering ma zapewnić bardziej ekonomiczną dystrybucję energii elektrycznej. Wiadomo, że zapotrzebowanie na energię jest różne. Chodzi o to, żeby za pomocą samej tylko dystrybucji zoptymalizować związane z nią koszty, a w efekcie bardzo tę energię potanić. No ale z tym wiąże się konieczność sterowania całą siecią. Jest to po prostu niezbędne, i to nie tyle na poziomie software’u, ile samego hardware’u, czyli chipów, które są w takich urządzeniach ukryte. Jeśli nie mamy pełnego wglądu w dokumentację, to nie mamy też pewności, czy w chipach tych nie ma bramek, do których można by się włamać i, powiedzmy, nagle wyłączyć prąd elektryczny w połowie kraju. Tego typu zagrożenia istnieją i będą coraz poważniejsze, ale chciałbym w imieniu Ministerstwa Cyfryzacji podkreślić, że korzyści wypływające z internetu rzeczy, przemysłu 4.0, usług elektronicznych i partycypacji społeczeństwa w sieci znacznie przewyższają ujemne strony tych zjawisk. Z drugiej jednak strony musimy być bardzo uwrażliwieni na związane z tym zagrożenia. Kiedy jedziemy samochodem, nie jesteśmy pewni, czy… W tej chwili samochody są coraz bardziej naszpikowane elektroniką, ale tak naprawdę nie chodzi o to, ile jest w nich układów scalonych, tylko w jakiej mierze podlegają one wymianie informacji i czy można je zdalnie kontrolować poprzez komendy wydawane w sieci. Mam na myśli to, czy ktoś może taki samochód przejąć i zacząć nim sterować. To są problemy dzisiejszej nowoczesnej gospodarki. Znamy je zresztą z filmów. No, nie jest to już wcale science fiction.
W internecie coraz częściej dochodzi też do naruszania ekonomicznych praw obywateli i do prób destabilizacji państwa. Chodzi o przejmowanie wrażliwych danych, oszustwa i dezinformację. Co do naszych założeń to podchodzimy do tej sprawy w ten sposób, że musimy temu przeciwdziałać. Dla znacznej części społeczeństwa internet stał się wyłącznym źródłem pozyskiwania informacji o kraju i o świecie, tak więc próby ingerencji w ten przekaz też wydają się niebezpieczne. Jeśli chodzi o zapewnienie bezpieczeństwa obywatelom, to jest ono naszym priorytetem. Znaczenie mediów elektronicznych rośnie bardzo szybko. Szacuje się, że za 10–15 lat będziemy w ponad 70% uzależnieni od transakcji dokonywanych drogą elektroniczną, dlatego też cyberprzestrzeń staje się głównym polem walki o wpływy ekonomiczne. Miejsce, gdzie toczy się nasze wirtualne życie, jest też miejscem, gdzie dokonywane są kolejne przestępstwa. Jeśli chodzi o kwestię ochrony cyberprzestrzeni, to mam na myśli nie tylko nasze państwo, ale także monitorowanie sytuacji poza krajem, ponieważ problem ten ma charakter transgraniczny.
Ochrona cywilnej cyberprzestrzeni to jeden z priorytetów Ministerstwa Cyfryzacji, jednak pojawia się tutaj dosyć istotny problem związany z ustaleniem położenia osoby atakującej. Cyberprzestępcy stosują teraz coraz doskonalsze metody anonimizacji. Już za chwilę – najpierw w Sejmie, później w Senacie – będzie tutaj procedowana ustawa antyterrorystyczna, a jednym z elementów tej ustawy jest rejestracja kart prepaid. Anonimizacja może się odbywać na płaszczyźnie software’u, czyli programów, które podmieniają adresy internetowe, ale z tym można sobie poradzić. Jeżeli jednak ktoś wykorzystuje zupełnie anonimowe karty prepaid, to złapanie takiego cyberprzestępcy jest rzeczywiście znacznie utrudnione. Dotyczy to nie tylko kwestii terrorystycznych, ale w ogóle wszystkich przestępstw. Dzięki narzędziom, które ma dzisiaj policja, możemy dotrzeć do przestępcy po jego adresie IP i – tym razem realnie, a nie tylko wirtualnie – interweniować, ale jeżeli używa on laptopa czy telefonu z internetem mobilnym, to jest to znacznie trudniejsze.
Trzeba od razu powiedzieć, że aby takie działania były skuteczne, powinny być one prowadzone – i pewnie tak będzie – również w naszym otoczeniu, czyli w całej Unii Europejskiej. Jeśli chodzi o walkę z terroryzmem, to dzisiejsza sytuacja skłania nas raczej do myślenia, że powoli będzie się to stawać standardem, przynajmniej w Unii Europejskiej. Zresztą już teraz coraz więcej krajów przyjmuje takie rozwiązania.
Proszę państwa, jakie działania w tej sprawie podejmuje Ministerstwo Cyfryzacji? Otóż opracowaliśmy i wdrażamy strategię ochrony cyberbezpieczeństwa państwa. Przygotowujemy też ustawę o krajowym systemie cyberbezpieczeństwa, która dodatkowo uwzględniać będzie wymagania unijnej dyrektywy NIS. Uważam, że natychmiastowe zbudowanie warunków bezpieczeństwa w cyberprzestrzeni jest niezbędne. Ten wcześniejszy raport NIK pokazał niestety słabość naszego państwa. Zaniedbania w tym obszarze spowodowały, że nie wypracowano odpowiednich struktur. Chodzi o to, że w Polsce brakuje jednolitego ustawodawstwa regulującego instytucjonalno-prawny system ochrony cyberprzestrzeni. Funkcjonują jedynie przepisy regulujące jednostkowe kwestie dotyczące bezpieczeństwa teleinformatycznego. Do czasu wypracowania wspomnianego jednolitego ustawodawstwa podjęliśmy się jednak realizacji szeregu przedsięwzięć doraźnych. W porozumieniu z innymi organami sektora publicznego, jak również we współpracy z sektorem prywatnym, staramy się przeciwdziałać cyberzagrożeniom już teraz. Przykładem takich działań może być uruchomienie operacyjnego centrum bezpieczeństwa stanowiącego ochronę programu 500+. Powinno to być oczywiście działanie systemowe, ale skoro nie mamy jeszcze takich standardów, to musimy podejmować przynajmniej działania jednostkowe. Drogą elektroniczną wnioski złożyło ponad pół miliona ludzi, więc stworzyliśmy lokalny zespół do spraw kontrolowania i monitorowania tych procesów. Jeśli zaś chodzi o ustawę antyterrorystyczną, o której wspomniałem wcześniej, to jest w niej odesłanie do ustawy o Agencji Bezpieczeństwa Wewnętrznego. W sytuacji zagrożenia terrorystycznego ABW przyznawane są konkretne kompetencje.
No właśnie, skoro już mowa o ABW, to chciałbym zaznaczyć, że działania w tym obszarze powinny wynikać ze statutowych obowiązków następujących instytucji: Ministerstwa Obrony Narodowej, Ministerstwa Spraw Wewnętrznych i Administracji oraz Ministerstwa Cyfryzacji. O ABW już wspomniałem. Bardzo ważne jest to, żeby instytucje te ściśle ze sobą współdziałały. Jeśli chodzi o kompetencje, to Agencja Bezpieczeństwa Wewnętrznego działa w zakresie istotnych interesów państwa, MON – w zakresie obrony państwa, a Ministerstwo Spraw Wewnętrznych i Administracji – w zakresie zwalczania przestępczości. Ministerstwo Cyfryzacji odpowiada za organizację, koordynację i współdziałanie wspomnianych organów w ramach stanowionego krajowego systemu cyberbezpieczeństwa, a także za współpracę międzynarodową w tym obszarze. Krótko mówiąc, cyberbezpieczeństwem związanym z szeroko rozumianymi kwestiami militarnymi zajmuje się Ministerstwo Obrony Narodowej. Proszę państwa, ćwiczenia NATO polegają nie tylko na strzelaniu do celów znajdujących się na morzu, ale również na symulowaniu konkretnych cyberataków na systemy administracji rządowej. Ministerstwo Cyfryzacji też było przedmiotem takich próbnych ataków. I to jest właśnie to, za co odpowiada Ministerstwo Obrony Narodowej. ABW, tak jak mówiłem, zajmuje się terroryzmem, MSWiA – działaniami policyjnymi i ściganiem przestępców, no a Ministerstwo Cyfryzacji – koordynacją. Nie realizujemy tych zdań bezpośrednio, tylko raczej je koordynujemy.
Do chwili obecnej w zakresie budowy krajowego systemu cyberbezpieczeństwa podjęto następujące działania: opracowano i poddano publicznym konsultacjom bardzo szczegółowe założenia strategii cyberbezpieczeństwa – są one dostępne na stronie internetowej Ministerstwa Cyfryzacji – uruchomiono proces legislacyjny dotyczący ustawy o krajowym systemie cyberbezpieczeństwa, a także rozpoczęto budowę zrębów narodowego centrum cyberbezpieczeństwa, które powstanie w oparciu o CERT Polska, zespół będący częścią Naukowej i Akademickiej Sieci Komputerowej, czyli NASK. NASK ma odpowiadać za… No, CERT jest, powiedziałbym, centrum operacyjnym…
(Wypowiedź poza mikrofonem)
Słucham?
(Wypowiedź poza mikrofonem)
Tak, jest to centrum operacyjne, które reaguje na różne incydenty komputerowe. Poszczególne resorty i instytucje też mają takie centra. ABW ma swoje centrum, Policja ma swoje centrum, MON ma swoje centrum… Centrum ABW jest centrum rządowym, podczas gdy centrum narodowym ma być CERT Polska. NASK zostanie wpięta w strukturę europejską. Informacje o incydentach i zagrożeniach są niesłychanie ważne z punktu widzenia ochrony cyberprzestrzeni, dlatego że wcześniejsze przekazanie ich do instytucji, która jest na dany atak narażona, może w dużej mierze takiemu atakowi zapobiec. Zresztą nie chodzi tylko o samą informację o incydencie, ale też o rodzaj ataku, użyte narzędzia itd. Krótko mówiąc, struktura będzie taka, że powstaną centra resortowe, branżowe, rządowe i narodowe, a na poziomie europejskim zostaną one spięte przez ENISA. Będzie to więc owoc rozwiązań wynikających z dyrektywy NIS.
Jak już powiedziałem, Ministerstwo Cyfryzacji zajmuje się koordynacją. W oparciu o sieć pełnomocników organów rządowych do spraw cyberbezpieczeństwa koordynujemy działania związane z cyberbezpieczeństwem w urzędach. Ministerstwo Cyfryzacji pozostaje również w ścisłym kontakcie z innymi instytucjami państwa, w tym z Biurem Bezpieczeństwa Narodowego i jednostkami samorządu terytorialnego. Prowadzimy też rozmowy z podmiotami prywatnymi mającymi uruchomić projekty związane z cyberbezpieczeństwem w formie partnerstwa publiczno-prywatnego. Ponadto współpracujemy z organizacjami pozarządowymi, głównie w obszarze propagowania wśród społeczeństwa wiedzy na temat cyberbezpieczeństwa.
No właśnie, nie wspomniałem jeszcze o edukacji, a jest to bardzo istotne zagadnienie. Wiele zagrożeń – nie powiem, że większość, ale na pewno wiele – tworzymy sami. Winna jest nasza niefrasobliwość w korzystaniu z sieci.
I to jest, proszę państwa, zrąb naszego programu. Szczegółowa strategia, jak już powiedziałem, zamieszczona jest na stronie Ministerstwa Cyfryzacji. Niedługo będziemy się zajmować implementacją dyrektywy NIS i ustawą o cyberbezpieczeństwie, a więc będzie jeszcze okazja, żeby na temat tychże szczegółów porozmawiać. Dziękuję bardzo.
Przewodniczący Stanisław Kogut:
Dziękuję serdecznie panu ministrowi.
Czy pan prezes UKE chciałby zabrać głos? Nie?
To może panowie – a właściwie państwo, bo jest też jedna pani – z Komendy Głównej Policji? Kto z państwa chciałby się wypowiedzieć?
Pan dyrektor? Proszę bardzo.
Zastępca Dyrektora Departamentu Porządku Publicznego w Ministerstwie Spraw Wewnętrznych i Administracji Mariusz Cichomski:
Szanowny Panie Przewodniczący! Wysoka Komisjo!
Mariusz Cichomski, zastępca dyrektora Departamentu Porządku Publicznego w Ministerstwie Spraw Wewnętrznych i Administracji.
Wspólnie z kolegami z Komendy Głównej Policji reprezentujemy tutaj dwa obszary aktywności resortu spraw wewnętrznych w zakresie walki z zagrożeniami w cyberprzestrzeni. Z jednej strony są to kwestie związane z ochroną systemów informatycznych, a z drugiej to, o czym wspominał pan minister, czyli ściganie sprawców przestępstw popełnianych w cyberprzestrzeni.
Z naszej perspektywy podkreślić należy, że jeśli chodzi o specyfikę tych zagrożeń, to w większości przypadków – poza atakami wymierzonymi w funkcjonowanie systemów teleinformatycznych – cyberprzestrzeń nie stwarza nowego rodzaju przestępstw, niemniej jednak daje nowe środki do prowadzenia działalności przestępczej w ogóle. W tym kontekście warto zwrócić uwagę, że obserwujemy wzrost liczby przestępstw popełnianych bezpośrednio w cyberprzestrzeni. No, niektóre z nich dotyczą bardzo delikatnych obszarów życia społecznego, w tym chociażby pedofilii. Jeśli chodzi o przestępstwa tego rodzaju, dokonywane za pośrednictwem systemów teleinformatycznych lub sieci telekomunikacyjnych, to w 2010 r. stwierdziliśmy ich 6, a w roku 2015 – już 286. Wprawdzie w dalszym ciągu liczby te nie są zatrważająco duże, niemniej jednak widać, że skala tego zjawiska rośnie. Można to interpretować z różnych perspektyw. Albo liczba sprawców korzystających z możliwości działania w cyberprzestrzeni rzeczywiście się zwiększyła, albo nastąpił wzrost efektywności organów ścigania, które mają coraz lepsze metody i są coraz lepiej przygotowane do tego, żeby tego typu przestępstwa wykrywać. Niemniej jednak w dalszym ciągu mówimy o 200–300 przypadkach rocznie.
Jeśli jednak odniesiemy się do kategorii przestępstw zwykłych, czyli tych, które występują w przestrzeni rzeczywistej, choć sprawcy używają do ich popełnienia cyberprzestrzeni, to ta skala diametralnie się zmieni. Nie będzie to przejęzyczenie, jeżeli powiem, że… No, co do oszustw, w przypadku których w modus operandi sprawców wykorzystywany był internet, to w 2015 r. mieliśmy do czynienia z przeszło 40 tysiącami takich sytuacji. A więc skala tego zjawiska jest naprawdę gigantyczna. Doskonale zdajemy sobie sprawę z tego, że ta liczba będzie rosła. Musimy być gotowi na coraz częstsze wykorzystywanie systemów teleinformatycznych, przede wszystkim internetu, do popełniania tego typu przestępstw.
Jeśli są państwo zainteresowani większą liczbą danych dotyczących aktywności resortu spraw wewnętrznych w zakresie ścigania sprawców najróżniejszych przestępstw, to oddam głos przedstawicielom Komendy Głównej Policji. Jak najbardziej możemy podzielić się dodatkowymi informacjami i opowiedzieć, jak zwalczanie przestępczości wygląda z perspektywy organów ścigania. Chciałbym jeszcze tylko wskazać, że corocznie przygotowujemy w naszym resorcie raport o stanie bezpieczeństwa. Zawarty jest w nim m.in. rozdział dotyczący szeroko rozumianych cyberzagrożeń, w którym zasygnalizowaliśmy kwestię bezpieczeństwa systemów teleinformatycznych. Jest tam też dość pokaźna statystyka dotycząca cyberprzestępstw, czyli tego, co wymaga największej aktywności ze strony Policji.
Może opowiem anegdotę. Otóż parę lat temu, przygotowując jeden ze strategicznych dokumentów poświęconych przestępczości zorganizowanej, spieraliśmy się, czy zorganizowane grupy przestępcze w ogóle działają w cyberprzestrzeni. Zdania były wtedy podzielone. Oczywiście wiedzieliśmy, że sprawcy przestępstw ze sobą współpracują. Absolutnie nikt tego nie negował, niemniej jednak jeśli chodzi o to, czy istniały zorganizowane grupy przestępcze, których clou stanowiła aktywność w cyberprzestrzeni – zdania były podzielone. W tej chwili z informacji uzyskiwanych przez policję wynika, że sytuacja się zmieniła. Nikt już tego nie kwestionuje. W związku z tym dość łatwo zauważyć, jak szybko rozwijają się zagrożenia związane z cyberprzestępczością.
Tytułem uzupełnienia oddam głos panu dyrektorowi, który opowie o statystykach policji i procesie wykrywczym. Dziękuję bardzo.
Przewodniczący Stanisław Kogut:
Proszę bardzo.
Zastępca Dyrektora Biura Kryminalnego w Komendzie Głównej Policji Krzysztof Kot:
Panie Przewodniczący! Szanowni Państwo!
Krzysztof Kot. Jestem zastępcą dyrektora Biura Kryminalnego w Komendzie Głównej Policji i uzupełnię wypowiedź pana dyrektora o kilka słów à propos naszej działalności.
Szanowni Państwo, w Komendzie Głównej Policji istnieją dwa filary. Ja odpowiadam za kwestię ścigania przestępstw dotyczących m.in. cyberprzestrzeni, podczas gdy kolega, który siedzi obok mnie, jest pełnomocnikiem komendanta głównego Policji do spraw cyberbezpieczeństwa.
Szanowni Państwo, Policja jako instytucja bardzo poważnie podchodzi do tematyki dotyczącej zwalczania cyberprzestępczości. Zagadnienie to objęte jest priorytetem komendanta głównego Policji na lata 2016–2018. Wśród wielu priorytetów komendanta znalazł się m.in. ten właśnie temat, który rozpatrujemy na kilku płaszczyznach. Chciałbym państwa poinformować, że sprawcy tych przestępstw są ścigani zarówno przez komórki, które zwalczają przestępczość gospodarczą, jak również przez wyodrębnione komórki do spraw zwalczania cyberprzestępczości. Wiąże się z tym pewna nowość. Mianowicie na jesieni ubiegłego roku komendant główny Policji podjął decyzję o utworzeniu u nas w centrali specjalnego wydziału, który ma zwalczać taką właśnie przestępczość. Oprócz tego wyspecjalizowane w tym komórki znajdują się jeszcze w każdej komendzie wojewódzkiej, a także w Centralnym Biurze Śledczym Policji.
Szanowni Państwo, kilka słów à propos współpracy. Nie mielibyśmy tak dużych sukcesów, gdybyśmy nie współpracowali z innymi podmiotami, które również zajmują się czy to profilaktyką, czy to ściganiem tego rodzaju przestępczości. Pan minister wskazał już tutaj co najmniej jeden projekt, w którym uczestniczyliśmy. Chodzi o kwestie związane z ochroną programu 500+.
Szanowni Państwo, kolejna kwestia to ściganie sprawców. Musimy nie tylko reagować na zawiadomienia o przestępstwie, ale również samemu wykazywać się aktywnością. No, mam na myśli czynności niejawne.
Ważne są również kwestie związane z szeroko rozumianą profilaktyką, dlatego też aktywnie uczestniczymy we wszelkiego rodzaju kampaniach społecznych. W tym roku też chcemy stworzyć dużą kampanię, która będzie miała na celu upowszechnienie podstawowej wiedzy o tym, jak uchronić się przed przestępstwami popełnianymi w cyberprzestrzeni.
Jakie przestępstwa ścigamy? Oprócz tego, co przedstawił pan minister, ścigamy praktycznie każdy rodzaj przestępczości, od takich podstawowych spraw, jak oszustwa w serwisach aukcyjnych – posłużę się tutaj przykładem Allegro – aż po bardzo skomplikowane kwestie, związane np. z praniem brudnych pieniędzy czy łamaniem zabezpieczeń bankowych.
Podam tylko jeden przykład, który uzmysłowi państwu, o czym mówię. Chodzi o postępowanie przygotowawcze, notabene zakończone sukcesem, prowadzone przez jedną z komend wojewódzkich. Suma strat wyniosła w tym przypadku 94 miliony zł. Pewna grupa przestępcza – no, w tej sytuacji można już mówić o zorganizowanej grupie przestępczej o charakterze międzynarodowym – włamywała się na strony internetowe poszczególnych banków, omijała systemy zabezpieczeń i w ten sposób, poprzez sieć tzw. słupów, wyprowadziła taką właśnie kwotę. Dla nas sprawa ta zakończyła się sukcesem, dlatego że w wyniku naszej działalności udało się odzyskać i zabezpieczyć kwotę 57 milionów zł.
Idźmy dalej. Takich sukcesów nie byłoby bez coraz lepiej i coraz bardziej profesjonalnie działającej prokuratury, w której również zaczynają powstawać wyspecjalizowane komórki mające za zadanie zwalczać przestępstwa popełniane w cyberprzestrzeni.
No i cóż, Szanowni Państwo, pora na podsumowanie. Widzimy, że coraz częściej przestępcy przenoszą swoją aktywność do cyberprzestrzeni. Dotyczy to zarówno przestępstw ekonomicznych i gospodarczych, jak i innych kategorii spraw. Ok. 90% przestępstw na tle rasistowskim i ksenofobicznym popełnianych jest z wykorzystywaniem internetu. No, nie mówię już o przypadkach pedofilii.
Przewodniczący Stanisław Kogut:
Dziękuję.
Proszę bardzo.
Radca w Wydziale Utrzymania Systemów Informatycznych Międzynarodowych w Biurze Łączności i Informatyki w Komendzie Głównej Policji Marcin Kuskowski:
Panie Przewodniczący! Szanowni Państwo!
Jako pełnomocnik do spraw bezpieczeństwa cyberprzestrzeni reprezentuję komendanta głównego Policji.
Jeżeli chodzi o działania, jakie komendant główny Policji podejmował w okresie wcześniejszym, to wynikiem kontroli Najwyższej Izby Kontroli, o której mówił pan minister, było utworzenie w Komendzie Głównej Policji Zespołu Reagowania na Incydenty Komputerowe POL-CERT. Na mój wniosek zastępcy komendantów wojewódzkich do spraw logistyki wyznaczyli również ludzi, którzy w jednostkach terenowych i szkołach Policji pełnią funkcję osób kontaktujących się z tymże zespołem. Ponadto ściśle współdziałamy z Agencją Bezpieczeństwa Wewnętrznego i Rządowym Zespołem Reagowania na Incydenty Komputerowe CERT.GOV.PL. Tak naprawdę to w głównej mierze od tych właśnie instytucji otrzymujemy informacje o incydentach dotyczących naszej infrastruktury, ale jesteśmy również podłączeni do systemu NASK.
W chwili obecnej nasz zespół realizuje też kilka nowych projektów. Są to kwestie związane z krajowym punktem kontaktowym do spraw ataków na systemy teleinformatyczne, który wyznaczony został w Agencji Bezpieczeństwa Wewnętrznego. Policja musi zadbać o to, żeby współpraca z Agencją Bezpieczeństwa Wewnętrznego stała na wysokim poziomie, w związku z czym podjęliśmy działania mające na celu zapewnienie trybu 24-godzinnego. W tym momencie w Komendzie Głównej Policji realizowane są czynności związane z przyjęciem nowych pracowników, którzy będą realizować zadania w zakresie współpracy z agencją i krajowym punktem kontaktowym do spraw ataków na systemy teleinformatyczne w trybie całodobowym.
Przed nami jest też wiele wyzwań związanych z procesem budowy systemów bezpieczeństwa w naszej instytucji. Potrzebne jest ujednolicenie procedur, tak żeby były one spójne z tym, co w ramach krajowego systemu cyberbezpieczeństwa przygotowywane jest przez Ministerstwo Cyfryzacji. Konsolidujemy też infrastrukturę sieci intranetowych, które są najbardziej podatne na ataki cybernetyczne, jak również serwisy internetowe polskiej Policji. Chcemy skupić je w jednym bezpiecznym miejscu, tak żeby nie było już takich przypadków jak ten z Katowic. No, ówczesny dyrektor przedstawiał tę sprawę w telewizji, więc wiadomo, o co chodzi. Musimy zapewnić odpowiedni poziom bezpieczeństwa tych serwisów, ale ważne są też kwestie związane z dostępem, modyfikacją treści, jak również z ujednoliceniem szaty graficznej. Społeczeństwo powinno mieć do tych informacji dostęp, a Policja musi prezentować je na swoich stronach internetowych w sposób spójny. Myślę, że to wszystko.
Przewodniczący Stanisław Kogut:
Dziękuję serdecznie.
Widzę, że już nikt z naszych gości nie chce zabrać głosu.
Proszę, Panie Ministrze.
Sekretarz Stanu w Ministerstwie Cyfryzacji Witold Kołodziejski:
Proszę państwa, chciałbym tylko wyjaśnić, jak zbudowana jest struktura bezpieczeństwa cyberprzestrzeni. Jeżeli chodzi o CERT, czyli zespoły reagowania na incydenty komputerowe, to w Polsce na poziomie krajowym działać będą 4 takie podmioty: wspomniany CERT.GOV.PL, który już istnieje, CERT finansowy, CERT telekomunikacyjny oraz CERT do spraw infrastruktury krytycznej i energii. I to właśnie będą te 4 zespoły reagowania na incydenty komputerowe. Pod CERT.GOV.PL podpięte będą wszystkie urzędy finansowe i wszystkie banki, CERT telekomunikacyjny będzie obejmował operatorów, a osobno wydzielone zostaną energia i infrastruktura krytyczna. Wszystkie te zespoły zostaną spięte przez CERT narodowy, czyli przez NASK. Każdy kraj europejski ma taki swój CERT narodowy, a na poziomie europejskim spina to wszystko ENISA, czyli Europejska Agencja Bezpieczeństwa Sieci i Informacji z siedzibą na Krecie. To tam jest centrum zarządzania. I w ten właśnie sposób cały ten system funkcjonuje. Część tych instytucji już istnieje, a część zostanie zbudowana. Jak najbardziej mieści się to w naszej strategii cyberbezpieczeństwa.
Przewodniczący Stanisław Kogut:
Dziękuję serdecznie panu ministrowi.
Panowie Senatorowie, bardzo proszę o pytania. Uważam, że temat ten jest bardzo interesujący.
Proszę, pan senator Dobkowski.
Senator Wiesław Dobkowski:
Dziękuję bardzo.
Kilka lat temu miałem pewną przygodę. Sam nie wiem, czy to było przestępstwo, czy nie. Używałem internetu – coś tam oglądałem albo czegoś szukałem – i nagle pokazała mi się strona z napisem „Komenda Główna Policji w Warszawie” i informacją, że niby przeglądałem jakieś treści pornograficzne. Było tam napisane, że jeśli zapłacę jakąś tam kwotę, to wtedy oni nie będą mnie ścigać, a jeśli nie zapłacę, to zostanę wezwany do Komendy Głównej Policji. Zignorowałem to. Poszedłem po prostu do znajomego…
(Przewodniczący Stanisław Kogut: …z policji?)
Nie, nie. W ogóle tego nie zgłaszałem. Poszedłem do mojego znajomego, który zajmuje się internetem, i on powiedział mi, że to jakieś wirusy. Zapłaciłem mu, a on mi to skasował. Zastanawiałem się, czy iść z tym na policję, czy nie, ale w końcu nie poszedłem. Czy to też jest przestępstwo komputerowe? No, ktoś po prostu naciąga ludzi, każąc im płacić za jakieś sprawy związane z… Nie pamiętam nawet, czy chodziło o pornografię, czy pedofilię. Takie strony mają na celu wystraszyć ludzi, tak żeby zapłacili pieniądze. Bo jak nie, to będą rzekomo ścigani.
Przewodniczący Stanisław Kogut:
Bardzo proszę o odpowiedź.
Zastępca Naczelnika Wydziału do Walki z Cyberprzestępczością w Biurze Kryminalnym w Komendzie Głównej Policji Aneta Trojanowska:
Panie Przewodniczący! Szanowni Państwo!
Komisarz Aneta Trojanowska, zastępca naczelnika Wydziału do Walki z Cyberprzestępczością w Biurze Kryminalnym Komendy Głównej Policji.
Odniosę się do tego, co powiedzieli już pan dyrektor i pan pełnomocnik. Pojawiły się tutaj wątpliwości co do zakresów i rodzajów cyberprzestępstw. To, o czym wspomniał pan senator, jest w tym momencie, można powiedzieć, jednym z przestępstw pospolitych. Przejęcie systemu komputerowego czy też zainfekowanie go złośliwym oprogramowaniem, o którym pan mówił, stanowi oczywiście przestępstwo.
Tak naprawdę jest to dla nas chleb powszedni. Musimy reagować na takie incydenty i informować społeczeństwo, że należy o takim fakcie zawiadomić policję. Większość społeczeństwa nie uświadamia sobie, że tak naprawdę stała się ofiarą przestępstwa. Naszym zadaniem jest również to, aby informować obywateli o konieczności zawiadamiania o takich sytuacjach. To jest taka, powiedziałabym, ciemna strefa. Liczba przestępstw, o których nie wiemy, jest duża.
Mówiąc o statystykach, tak naprawdę możemy podawać tylko umowne liczby, bo nie ma precyzyjnej definicji cyberprzestępczości. Czym jest cyberprzestępczość? Możemy rozumieć to pojęcie sensu stricto i sensu largo. Sensu stricto cyberprzestępstwo następuje wtedy, kiedy celem ataku stają się dane informatyczne, tj. zasoby serwerowe. Z kolei sensu largo możemy mówić o wszystkich przestępstwach popełnionych przy użyciu systemu teleinformatycznego, urządzenia mobilnego czy karty telefonicznej. I takich właśnie przestępstw jest coraz więcej.
Pan minister wspomniał też o przemyśle 4.0 i, nadchodzącym wielkimi krokami, internecie rzeczy. Stawia to przed nami nowe wyzwania. Coraz więcej elementów naszego realnego życia przenosi się do świata wirtualnego, więc niełatwo nad tym wszystkim zapanować. Tak naprawdę jest to dobrodziejstwo, ale z drugiej strony trudno przewidzieć, jakie wiąże się z tym ryzyko. Skuteczne mogą być jedynie działania wspólne. Przykład ochrony programu 500+, w której brał udział nasz wydział, potwierdził, że tego rodzaju wspólne inicjatywy – mam na myśli współpracę na płaszczyźnie technicznej, systemowej, prawnej i legislacyjnej – naprawdę przynoszą bardzo dobre efekty. Kiedy stwierdziliśmy, że doszło do próby włamania się na cudzy rachunek, sprawca został natychmiast ustalony, a w przeciągu kilku godzin doszło do jego zatrzymania. To pokazuje, jak ważne jest systemowe działanie w zakresie przeciwdziałania i zwalczania cyberprzestępczości.
Przewodniczący Stanisław Kogut:
Proszę, Panie Ministrze.
Sekretarz Stanu w Ministerstwie Cyfryzacji Witold Kołodziejski:
Przy okazji chciałbym dodać, że jeżeli system ten będzie odpowiednio koordynowany, to dzięki takiej właśnie współpracy ma on szansę dobrze funkcjonować, niemniej jednak największym zagrożeniem dla naszego bezpieczeństwa jesteśmy niewątpliwie my sami. Jeśli chodzi o doświadczenia z programu 500+, to prawo pozwalało nam działać wtedy, gdy popełniono ewidentne przestępstwo, ale zdarzały się też sytuacje wyłudzeń. Jeżeli ktoś świadczył jakąś usługę wymagającą wypełnienia formularza, to mimo że tak naprawdę podszywał się pod kogoś innego, miał prawo… No, osoba wypełniająca taki formularz, akceptując regulamin usługi, sama zobowiązywała się do tego, że będzie płacić kilkaset złotych miesięcznie za otrzymywanie SMS z prognozą pogody. I to jest już poważniejszy problem, bo policja nie może ścigać przestępcy, który właściwie działa w ramach prawa. Przecież konsument sam się do tego zobowiązał. A zatem niesłychanie istotna jest kwestia prewencji i edukacji. Policja, NASK, Ministerstwo Cyfryzacji i generalny inspektor ochrony danych osobowych już tego typu działania prowadzą. Myślę, że będziemy musieli… Proszę państwa, przecież wszyscy mówimy, że nie można kserować dowodów osobistych, a jednocześnie na Facebooku podajemy imiennie nasze najbardziej wrażliwe dane, łącznie z informacjami o swoim aktualnym położeniu. Notabene informacje te nie pozostają w ramach europejskiego systemu ochrony danych osobowych, tylko wędrują za ocean, gdzie są zupełnie inne regulacje. Krótko mówiąc, w najbliższej przyszłości to od nas samych będzie zależało nasze własne bezpieczeństwo w sieci.
Przewodniczący Stanisław Kogut:
Dziękuję panu ministrowi.
Proszę, pan senator Gaweł.
Senator Robert Gaweł:
Szanowni Państwo!
Tego, że nasze życie coraz bardziej przenosi się do cyberprzestrzeni, tłumaczyć nam nie trzeba. My o tym wiemy. Zresztą przestępczość również się tam przenosi. Czy jesteśmy przygotowani do obrony przed cyberzagrożeniami, okaże się dopiero wtedy, gdy nastąpi jakiś poważny atak. No, chyba że nie będziecie państwo mogli o nim mówić.
Chciałbym zapytać o stan naszych kadr. Jeśli chodzi o walkę z przestępczością w cyberprzestrzeni, to potrzeba do tego naprawdę wybitnych fachowców. Zdaję sobie sprawę, że kosztuje to dużo pieniędzy, niemniej jednak zabezpieczanie systemów to nie tylko kupowanie programów, ale i zatrudnianie wybitnych fachowców. Czy nasze instytucje państwowe mają takich fachowców, czy też dopiero będą ich pozyskiwać? Stać nas w ogóle na takich specjalistów?
Przewodniczący Stanisław Kogut:
Wydaje mi się, że musi nas być na nich stać.
Proszę, Panie Ministrze.
Sekretarz Stanu w Ministerstwie Cyfryzacji Witold Kołodziejski:
No, jest to najczulszy punkt naszego systemu cyberbezpieczeństwa. Problem ten dotyczy specjalistów w ogóle, a szczególnie tych wąsko wyspecjalizowanych informatyków. Wyodrębniamy i organizujemy CERT narodowy właśnie po to, żebyśmy mogli zapewnić ochronę 24 godziny na dobę, 7 dni w tygodniu. Dzisiaj tak nie jest. Do tej pory nasze instytucje pracowały w normalnym systemie jednozmianowym. Krótko mówiąc, liczono na to, że cyberprzestępstwa popełniane będą tylko w godzinach pracy urzędu. W tej chwili już to zmieniamy, ale najtrudniejsze są właśnie kwestie kadrowe. Chodzi o to, że dobrych pracowników trzeba dobrze wynagradzać, a informatycy nie cierpią na brak propozycji pracy. Nawet w dobrych polskich prywatnych firmach zdarza się, że są oni podkupywani i wyjeżdżają za granicę. Tak więc rzeczywiście jest to problem.
W planach mamy program… „Złota setka”? Tak się to nazywa? Może niech pan o tym powie.
(Głos z sali: Trzeba włączyć mikrofon.)
Główny Specjalista w Departamencie Cyberbezpieczeństwa w Ministerstwie Cyfryzacji Andrzej Szyszko:
W ramach strategii cyberbezpieczeństwa, która opracowywana jest właśnie w Ministerstwie Cyfryzacji, planujemy stworzyć program „Złota setka”, czyli – powiem kolokwialnie – wyłuskać ok. 100 najlepszych pracowników administracji publicznej, głównie rządowej, tak żeby mieć ich w odwodzie na wypadek jakichś dużych zagrożeń w cyberprzestrzeni. Chcielibyśmy, aby minister cyfryzacji otrzymał na ten cel odpowiednie środki finansowe, tak aby zapewnić tym osobom coś w rodzaju stypendiów czy też dodatkowych pensji wypłacanych przez cały rok. Dziękuję.
Przewodniczący Stanisław Kogut:
Dziękuję.
Chyba wszyscy jesteśmy świadomi, że w Polsce mamy najlepszych informatyków. Przecież nasi studenci wygrywają wszystkie międzynarodowe zawody. Chodzi ino o pieniądze. Trzeba dać ludziom zarobić, bo jak nie, to wyjadą za granicę, gdzie zarobią dużo, dużo więcej. Musimy dbać o polskich informatyków. Panie Ministrze, trzeba po prostu przygotować projekt budżetu i go uzasadnić. My jako senatorowie Komisji Infrastruktury na pewno nie będziemy przeciw.
O głos prosił pan senator Włosowicz.
(Senator Jacek Włosowicz: Nie, nie.)
Nie? Jak to? Nie macie już pytań?
Proszę bardzo, Panie Dyrektorze.
Zastępca Dyrektora Departamentu Porządku Publicznego w Ministerstwie Spraw Wewnętrznych i Administracji Mariusz Cichomski:
Panie Przewodniczący, jeszcze parę słów tytułem uzupełnienia. Pan minister wspominał tutaj o ustawie o działaniach antyterrorystycznych, która już za chwilę będzie przedmiotem prac na poziomie parlamentarnym, i o zadaniach, które są w niej przypisane Agencji Bezpieczeństwa Wewnętrznego. Otóż w ocenie skutków tejże regulacji przewidziane są również środki finansowe na kadry, które będą te zadania realizować. To nie jest właściwy moment, żeby dyskutować o ustawie antyterrorystycznej, dlatego też nie chcę wchodzić w szczegóły, niemniej jednak szacowane koszty tej regulacji obejmują również kwestię zabezpieczenia cyberprzestrzeni. Ta ustawa będzie nakładać na państwo określone obowiązki wydatkowe. Inne przewidywane w tej ustawie elementy, przynajmniej z punktu widzenia państwa, nie generują większych kosztów. Koszty, które pociągnie za sobą ustawa o działaniach antyterrorystycznych, tak naprawdę dotyczą dwóch filarów: z jednej strony budowy systemów, które będą służyły zapobieganiu zdarzeniom o charakterze terrorystycznym, a z drugiej strony poszukiwania odpowiednich kadr. Z punktu widzenia organów administracji publicznej bardzo trudno znaleźć środki na zagwarantowanie atrakcyjnych wynagrodzeń dla osób, które chcemy pozyskać. Na rynku nie brakuje ludzi, którzy posiadają doświadczenie i umiejętności w zakresie cyberprzestrzeni, ale nie ma co ukrywać, że specjaliści są drodzy. Musimy to w tego typu działaniach uwzględnić. Dziękuję.
Przewodniczący Stanisław Kogut:
Dziękuję panu dyrektorowi.
Państwo Drodzy, na ostatnim posiedzeniu, na którym był pan minister Kołodziejski, padały pytania dotyczące akwizytorów, którzy przychodzą do starszych ludzi i podsuwają im jakieś umowy. Ludzie ci, nieświadomi zagrożenia – no bo powiedzmy sobie szczerze: starsze osoby nie muszą być biegłe w informatyce – takie umowy podpisują, a później okazuje się, że zostali pozbawieni majątku. Czasem dochodzi nawet do tego, że tracą oni własne domy. Chciałbym więc, żeby ktoś z państwa, czy to panowie z MSWiA, czy to państwo z Komendy Głównej Policji, czy to pan minister… No, całe posiedzenie komisji transmitowane jest w internecie. Chodzi o to, żeby ludzie mieli świadomość, w jaki sposób z takimi akwizytorami postępować. Chciałbym podziękować wam za to, że tępicie oszustów działających metodą „na wnuczka”, którzy dzwonią do babć i… Naprawdę wypada wam tylko pogratulować. No, nie mówię już o pedofilach, bo uważam, że powinno się ich skazywać na dożywocie. Jeżeli ktoś uprawia pedofilię i krzywdzi dzieci, to moim zdaniem jest to człowiek chory, który powinien być leczony przez najlepszych specjalistów. Najbardziej jednak interesuje mnie to, w jaki sposób… Panowie senatorowie jeszcze o tym nie mówili, ale moim głównym celem było właśnie to, żeby poprosić przedstawicieli Ministerstwa Cyfryzacji i… No, nie ma tutaj nikogo z resortu sprawiedliwości, ale są z nami przedstawiciele MSWiA, które wyśmienicie funkcjonuje teraz pod kierownictwem pana ministra Mariusza Błaszczaka, a także przedstawiciele Komendy Głównej Policji. Mam nadzieję, że odpowiecie państwo na pytanie, jak się przed tymi zagrożeniami zabezpieczyć. Trzeba by też powiedzieć parę słów na temat tych tzw. chwilówek, bo stoją za nimi straszni naciągacze, dla których naprawdę nie powinno być litości. Kto z państwa chciałby zabrać głos? Pan minister? Panowie z MSWiA? A może państwo z komendy? Może pani komisarz, która wyśmienicie odpowiedziała już na pytanie pana senatora Dobkowskiego? Panie Ministrze, to jest naprawdę nurtujący temat, bo tych przestępstw… Jestem przerażony tym, co pan dyrektor z MSWiA powiedział o tych 40 tysiącach przestępstw. Państwo Drodzy, przecież ta liczba będzie rosła.
(Głos z sali: Może oddajmy głos Urzędowi Komunikacji Elektronicznej.)
Proszę. Pan wiceprezes Dyl.
Wiceprezes Urzędu Komunikacji Elektronicznej Krzysztof Dyl:
Szanowny Panie Przewodniczący! Wysoka Komisjo! Szanowni Państwo! Panie Ministrze!
Jeśli chodzi o wprowadzanie konsumentów w błąd, to umowy telekomunikacyjne są pod naszym szczególnym nadzorem. W 2013 r. zgłoszono do nas ok. 1 tysiąca 400 spraw, które dotyczyły podobnych zagadnień. W 2014 r. było ich już 1 tysiąc 763, a w roku 2015 – 1 tysiąc 531. Należy zauważyć, że w tym przypadku wykorzystywana jest oczywiście naiwność osób, które takie umowy zawierają. Trzeba zwracać szczególną uwagę na to, aby doczytać, z kim dana umowa jest zawierana. Przedstawiciele handlowi często dopuszczają się także fałszowania podpisów. Jeżeli ktoś zgłasza nam taki przypadek, to natychmiast przekazujemy sprawę do prokuratury.
Najistotniejsze jest to, że w 2015 r. rozpatrzyliśmy ogółem 5 tysięcy 233 skargi – związane nie tylko z tymi akurat zagadnieniami – z czego w ponad 4 tysiącach przypadków udało się uzyskać zwrot należności. To jest bardzo istotne.
Prowadzimy także szereg akcji informacyjnych. Bardzo rozbudowana jest chociażby nasza strona internetowa, zwłaszcza jej część dotycząca praw konsumentów. Zachęcamy do czytania tej strony, bo są na niej informacje dotyczące tego, na co należy zwrócić szczególną uwagę.
Co jeszcze? Poza tym że zajmujemy się pojedynczymi sprawami konsumenckimi, istotne jest też to, że… Niekiedy abonent dowiaduje się o takim oszustwie nie po podpisaniu umowy, kiedy mógłby jeszcze od niej odstąpić – zgodnie z prawem można to zrobić w ciągu 14 dni – ale dopiero po otrzymaniu pierwszego rachunku, co utrudnia troszkę proces reklamacyjny. Stąd też podjęliśmy działania zmierzające do ukarania podmiotów, które się takich praktyk dopuszczają. W 2012 r. pierwszą karę w wysokości 1,5 miliona zł nałożono na Telekomunikację Novum. W 2013 r. ukaraliśmy z kolei PTS SA, właśnie za naruszanie obowiązków informacyjnych. W 2014 r. TelePolska zapłaciła prawie 2 miliony zł za zawieranie z konsumentami umów o czasie obowiązywania dłuższym niż 24 miesiące. We wszystkich tych przypadkach, w których prawo pozwala nam działać, skutecznie stajemy w obronie konsumentów. Istotne jest więc to, aby takie przypadki do nas zgłaszać. Zawsze staramy się pomóc konsumentom.
W 2014 r. zwróciliśmy się do prokuratora generalnego, pana Andrzeja Seremeta – a z końcem marca również do pana Zbigniewa Ziobry, ministra sprawiedliwości – z prośbą, aby sprawy, które przekazujemy do prokuratury, nie były umarzane. To też jest duży problem. Ze względu na małą szkodliwość czynu lub brak możliwości wykrycia sprawcy sprawy te były po prostu umarzane, jednak dostaliśmy zapewnienie, że przypadki tego rodzaju będą teraz traktowane szczególnie. Liczymy na to, że poszczególni sprawcy będą ścigani przez odpowiednie organy. Dziękuję.
Przewodniczący Stanisław Kogut:
Dziękuję serdecznie panu prezesowi.
Czy panowie z MSWiA i z komendy chcą coś dodać?
Proszę bardzo, Panie Dyrektorze.
Zastępca Dyrektora Biura Kryminalnego w Komendzie Głównej Policji Krzysztof Kot:
Panie Przewodniczący! Szanowni Państwo!
Chciałbym odnieść się do podniesionej tutaj kwestii przestępstw dokonywanych metodą „na wnuczka”. W zmodyfikowanej wersji tej metody sprawcy podają się też za policjanta lub funkcjonariusza CBŚP. Wykrywanie takich oszustw jest niezwykle trudną i żmudną pracą, dlatego też powzięliśmy decyzję, aby uruchomić szeroko zakrojoną kampanię społeczną. Namacalnym przykładem tego procederu jest sytuacja, którą – jak podejrzewam – doskonale znają państwo z mediów. Otóż bohaterką jednej z tego rodzaju kampanii społecznych została osoba, która sama stała się ofiarą takiego przestępstwa. Miejmy nadzieję, że ta kampania się uda. Zatrważające jest to, że w tamtym roku doszło do wyłudzenia ok. 30 milionów zł. Takie właśnie były straty z tytułu tego rodzaju przestępstw.
Szanowni Państwo, jeżeli chodzi o kwestię ścigania, to chciałbym podkreślić, że sprawcy działają często w zorganizowanych grupach przestępczych o charakterze międzynarodowym. Nasze dotychczasowe sukcesy związane były z zatrzymywaniem osób, które w naszym slangu nazywane są odbierakami. Zazwyczaj są one werbowane przez sprawców, którzy stoją w tej hierarchii nieco wyżej. No, w niektórych grupach obowiązuje ustalona hierarchia. Ludzie, którzy decydują o takich atakach, zazwyczaj mieszkają na co dzień w Wielkiej Brytanii, we Francji czy w Holandii.
Reasumując, mam nadzieję, że wspomniana kampania społeczna przyniesie wymierne efekty i uzupełni nasze czynności stricte operacyjne. Dziękuję.
Przewodniczący Stanisław Kogut:
Dziękuję serdecznie panu dyrektorowi.
Muszę wam raz jeszcze pogratulować. Kiedyś przyszedłem do kościoła na mszę, a ksiądz czytał akurat ogłoszenie policji. Uważam, że było to bardzo, bardzo mądre posunięcie, bo w tym ogłoszeniu informowaliście państwo babcie, dziadków i wszystkich ludzi w podeszłym wieku, że trzeba uważać na takie właśnie międzynarodowe gangi. Naprawdę muszę wam pogratulować. Ja akurat jestem z diecezji tarnowskiej. Na polecenie ordynariusza tej diecezji, księdza biskupa Jeża, było to odczytywane we wszystkich kościołach. Pod tym ogłoszeniem podpisani byli zresztą komendanci powiatowi. Podkreślam: nie miejscy, ino powiatowi.
Czy są jeszcze jakieś pytania?
Jeśli nie, to ja zadam jeszcze jedno. Panie Ministrze, bardzo zaciekawiło mnie to, co powiedział pan o zakupach przez internet, bo z tym też wiążą się ogromne oszustwa.
Mam też pytanie do panów z komendy. Czasem dostaję wiadomości o treści „wygrałeś nagrodę”. Podobno jest tak, że jeśli poda się swój numer, to od razu z telefonu ściągane są wszystkie dane.
Państwo Drodzy, zadawajcie pytania, tak żeby ludzie, którzy słuchają nas przez internet, wiedzieli, jak zadziałać w razie zagrożenia. Przecież nie zawsze mamy do dyspozycji tak wybitnych gości. Mówimy o przestępczości, bo to my tworzymy prawo i mamy święty obowiązek zapewniać bezpieczeństwo naszym obywatelom.
Panie Ministrze, jak należy się przed tym wszystkim zabezpieczać? Coraz więcej osób robi zakupy przez internet, gdzie też trafiają się naciągacze sprzedający różne buble.
Proszę bardzo.
Sekretarz Stanu w Ministerstwie Cyfryzacji Witold Kołodziejski:
Proszę państwa, pamiętajmy o tym, co usłyszeliśmy z ust przedstawicieli MSWiA i Policji. Tak naprawdę tych nowych przestępstw jest mało. To są głównie stare przestępstwa, popełniane przy pomocy nowych narzędzi. Jeżeli chodzi o naciąganie konsumentów w związku z umowami podpisywanymi w internecie, to przecież zwykły domokrążca też może wyłudzić podpis. Była tu mowa o świadczeniu usług telekomunikacyjnych. Otóż nie ma znaczenia, czy podpiszemy umowę ręcznie, czy wypełnimy wniosek w internecie. Tak więc jeżeli chodzi o zabezpieczanie się przed przestępstwami tego typu, to jest to kwestia rozsądku, szkolenia i odpowiedniego przygotowywania.
Niemniej jednak pewne rzeczy faktycznie łatwiej jest przeoczyć w internecie. Łatwość zawierania transakcji sprzyja wpadaniu w różne zastawione tam pułapki. Jeśli chodzi o umowy, to znacznie łatwiej przeoczyć coś ważnego wtedy, gdy zawieramy je w internecie. Chodzi np. o regulaminy zatwierdzane na stronach internetowych. Na co drugiej stronie trzeba zatwierdzić jakiś regulamin, więc wszyscy jesteśmy już do tego przyzwyczajeni. Odhaczamy to i idziemy dalej, ale to właśnie tutaj kryje się niebezpieczeństwo. To też jest kwestia edukacji.
Mówi się również o tym, że nie wszystko można do końca zdefiniować jako przestępstwo. Krótko mówiąc, mamy niekiedy do czynienia ze zwykłym naciąganiem klientów. Jeżeli dany nieuczciwy przedsiębiorca działał w ramach prawa, to upoważniony do interwencji jest Urząd Ochrony Konkurencji i Konsumentów. Dobrze by było, gdyby reprezentanci tego urzędu też byli zapraszani na posiedzenia komisji.
(Przewodniczący Stanisław Kogut: Są tutaj panowie z…)
No to w takim razie nie będę już …
(Głos z sali: Pan minister mówił o UOKiK.)
(Przewodniczący Stanisław Kogut: Aha.)
No właśnie, nie ma nikogo z UOKiK, aczkolwiek stwierdzenie pana przewodniczącego nie jest pozbawione podstaw, dlatego że na rynku telekomunikacyjnym rolę UOKiK odgrywa właśnie UKE, czyli Urząd Komunikacji Elektronicznej, co zresztą prowadzi czasami do sporów o to, kto ma jakie kompetencje.
Jeśli chodzi o handel elektroniczny, to w tej chwili wprowadzanych jest ileś tam regulacji, które mają zagwarantować, że nie będziemy oszukiwani. Jeżeli ktoś kupuje jakiś przedmiot, ale go nie dostaje – i tym samym traci pieniądze – to policja jest od tego, żeby złapać oszusta. Takie przestępstwa są ścigane dosyć skutecznie. Zresztą właściciele serwisów internetowych współpracują z policją, bo zależy im na tym, żeby takich przestępstw nie było. To jest jedna kwestia.
Druga kwestia jest taka, że wprowadzone zostały pewne ułatwienia. Jeżeli ktoś nas oszuka… a nawet nie tyle oszuka, ile lekko nabierze, sprzedając coś, co nie do końca się nam podoba, albo coś, co inaczej wyglądało na zdjęciu, a inaczej w rzeczywistości, to mamy prawo taki towar zwrócić. W grę wchodzi jeszcze kwestia przesyłki, bo w handlu internetowym zawsze jest to dodatkowy koszt. Za pierwszą przesyłkę płaci klient, a za drugą, zwrotną… No, są w tej kwestii konkretne regulacje. Za bardzo się na tym nie znam, więc nie chcę o nich opowiadać, ale w każdym razie to wszystko jest już uregulowane.
Istotną kwestią jest też… No, wracamy do podstaw. Moim zdaniem najważniejsza jest edukacja, i to już od szkoły podstawowej. Programy, o których mówiliśmy, bardzo często adresowane są właśnie do dzieci. Zarówno NASK, jak i policja działają i w szkołach, i w przedszkolach. Swoją edukację prowadzą również organizacje pozarządowe. Proszę państwa, musimy się tego po prostu nauczyć. Z bezpieczeństwem w sieci jest tak samo, jak z bezpieczeństwem w normalnym życiu, tylko że trudniej, dlatego że musimy nauczyć się wszystkiego naraz. Jako dzieci uczymy się, żeby nie dotykać gorącego, bo inaczej się sparzymy, a w internecie takie sparzenie może być dużo bardziej bolesne. Tak więc musimy stopniowo wprowadzać dzieci w korzystanie z narzędzi internetowych, ale to wszystko powinno być robione z głową. Stąd też programy edukacyjne w szkołach są… No, nauka informatyki to również nauka bezpieczeństwa w sieci. Takie jest założenie naszego programu. Domyślam się, że nie szokuje już państwa widok coraz młodszych dzieci, które siedzą naprzeciwko siebie i wpatrują się w swoje smartfony. One tkwią w tym bardzo głęboko, tak więc duża odpowiedzialność spoczywa na rodzicach, którzy powinni to kontrolować.
W kontekście zabezpieczeń i odpowiedzialności chciałbym powiedzieć o jeszcze jednej kwestii, a mianowicie o zasadzie neutralności sieci, czyli o braku odpowiedzialności operatora za… No, może nie braku. Chodzi o to, że operator nie ponosi bezpośredniej odpowiedzialności za przesyłane treści, choć oczywiście nie oznacza to zgody na popełnianie przestępstw za pomocą kanałów technologicznych, które udostępnia. Związane są z tym odpowiednie narzędzia prawne. W tej chwili na poziomie Unii Europejskiej toczy się dyskusja o rozszerzeniu zakresu odpowiedzialności operatora. Chodzi np. o naruszanie praw autorskich, czyli kradzież własności intelektualnej. Proponuje się, żeby odpowiedzialność za to ponosił również operator telekomunikacyjny, który miałby być zobowiązany do kontrolowania treści, które są rozprowadzane poprzez jego kanały informacyjne. Stanowisko Ministerstwa Cyfryzacji jest dosyć stanowcze: nie chcemy wprowadzać tego typu regulacji i uważamy je za zagrażającą wolności sieci cenzurę. Narzędzia, które chcemy wykorzystać, dotyczą pośredników, czyli właścicieli serwisów i witryn. O operatorach możemy rozmawiać dopiero wtedy, kiedy popełnione zostaje przestępstwo. Dziękuję bardzo.
Przewodniczący Stanisław Kogut:
Dziękuję.
Panie Ministrze, mówi pan to wszystko jako człowiek wybitny, obeznany z informatyką, ale prości ludzie i laicy takiej wiedzy nie mają. I dlatego właśnie pytałem o te chwilówki. Najłatwiej jest zrzucić winę na policję. No ale co ci biedni policjanci mogą zrobić? Przecież najpierw trzeba im dać potężny budżet i informatyków, tak żeby mieli większe możliwości. Do naszych biur też przychodzą ludzie i płaczą, że wzięli chwilówki, a teraz tracą domy. I dlatego o to pytałem. Chciałbym usłyszeć konkretną radę, jak się przed tym zabezpieczać. Jak ktoś jest w potrzebie, to bierze 1 tysiąc zł pożyczki, a po pewnym czasie… No, różne cwaniaki, a nawet całe gangi, o których mówili państwo z policji, na tym właśnie żerują. Niektórzy jeżdżą nawet samochodami z napisem „chwilówki natychmiast”. Czy ktoś z policji mógłby coś w tej sprawie powiedzieć? Bardzo bym o to prosił.
Pan minister ma rację. Państwo Drodzy, przecież teraz po internecie poruszają się nawet dzieci. Rodzice są z nich dumni, że tak wyśmienicie to wszystko obsługują, ale tak naprawdę nie wiadomo, jak dzieci te będą wykorzystywać internet, kiedy dorosną. Może niektóre z nich zaczną go używać w sposób niewłaściwy. Przecież dobrze wiemy, że kibice zwołują się właśnie przez internet. Policja ma z tym problemy, bo potem robią oni ustawki. Dilerzy narkotyków też komunikują się przez internet. Jak dla mnie ci wszyscy dilerzy narkotyków i dopalaczy są zwykłymi bandytami. Uważam, że trzeba zrobić wszystko, żeby wyeliminować ich z internetu.
Moją gorąca prośba jest taka, żeby ktoś opowiedział jeszcze o wspomnianych chwilówkach. Jak ludzie mają się przed tym zabezpieczać? Przecież wszyscy oglądamy wiele programów publicystycznych. Pan minister pewnie też czasem je ogląda. Uważam, że niektórzy ich uczestnicy wyśmienicie filozofują, ale były też takie przypadki, że ludzie płakali, bo wzięli 1 tysiąc zł pożyczki, a stracili dom za 600 tysięcy zł. Czy ktoś z MSWiA albo z policji mógłby coś o tym powiedzieć? Serdecznie o to proszę.
Zastępca Dyrektora Biura Kryminalnego w Komendzie Głównej Policji Krzysztof Kot:
Panie Przewodniczący, na wstępie bardzo dziękuję panu za to sformułowanie, które padło przed chwileczką. Rzeczywiście jest tak, że gros problemów, które wydają się nierozwiązywalne, trafia właśnie do nas, do policji. I musimy sobie z tym radzić. Ten temat jest złożony. Na pewno nie jest to prosta sprawa. Na co dzień spotykamy się z ludzką tragedią, dlatego że najczęściej interweniujemy post factum, czyli już po przestępstwie, które miało miejsce. Cóż, podstawowym narzędziem, które może nam pomóc w ograniczeniu skali tych zjawisk – w ograniczeniu, bo całkowite ich wyeliminowanie pewnie byłoby trudne – jest profilaktyka. Profilaktyka, profilaktyka i jeszcze raz profilaktyka. Stawiamy na dialog ze społeczeństwem i wskazywanie pewnych negatywnych zjawisk.
Jeżeli chodzi o chwilówki, to jest to temat, który tak naprawdę dotyczy sektora bankowego, w związku z czym pozostaje w gestii KNF. Na pewno nie można udzielić tutaj łatwej odpowiedzi ani znaleźć, tak ad hoc, gotowej recepty. No cóż, można tylko postawić pytanie, dlaczego ludzie z tych chwilówek korzystają. Ano dlatego, że system skonstruowany jest w taki, a nie inny sposób. Można zaryzykować stwierdzenie, że jest to proceder przestępczy. Dana osoba, nie mając zdolności kredytowej, zaciąga duże zobowiązania pieniężne, a później – wskutek takich, a nie innych zapisów w umowie – nie jest w stanie spłacać wieloprocentowych odsetek.
Przewodniczący Stanisław Kogut:
Dziękuję serdecznie.
Zabrać głos chciałby chyba jeszcze prezes UKE. Proszę.
Wiceprezes Urzędu Komunikacji Elektronicznej Krzysztof Dyl:
Tak, ale nie na temat chwilówek. Panie Przewodniczący, wcześniej zapytał pan, co można by jeszcze zrobić. Tak jak wspomniał już pan minister, najważniejsza jest edukacja. W związku z tym prowadziliśmy i nadal prowadzimy akcję „Ufaj, ale sprawdzaj”, która opiera się na bezpośrednich kontaktach z ludźmi, ale także na współpracy z prasą. W ramach tej akcji wyjaśniamy, jakie zagrożenia wynikają z nieuczciwych praktyk stosowanych przez przedstawicieli handlowych.
Pan przewodniczący podkreślał, że jest to dobra okazja, by przybliżyć pewne sprawy osobom, które słuchają nas w internecie. Otóż chciałbym zwrócić uwagę na trzy główne aspekty. Przede wszystkim chodzi o celowe wprowadzenie klientów w błąd poprzez podawanie się za przedstawiciela jakiegoś innego dostawcy. Cała ta operacja odbywa się dość szybko, więc klienci nie czytają umów, które podpisują, i nieświadomie zmieniają operatora w przekonaniu, że będą płacić niższe rachunki. Przedstawiciele często powołują się też na zmyślone fakty, jak np. zakończenie działalności przez danego operatora, co rzekomo oznacza obowiązek przejścia do innego. Polecam sprawdzać takie informacje i nie podejmować decyzji pochopnie. Jeżeli ktoś nakłania nas do zmiany obecnej taryfy na tańszą, to też należy to dokładnie sprawdzić. Sposób działania jest taki, że przedstawiciel handlowy prosi o ostatnią fakturę, a następnie wprowadza klienta w błąd. Jeżeli tylko mamy możliwość wsparcia konsumentów, to oczywiście podejmujemy konieczne działania, a w przypadku, gdy nasze przepisy nie obejmują danego zagadnienia, składamy zawiadomienie do prokuratury. Tak że zachęcamy wszystkich, którzy zostali oszukani, żeby takie przestępstwa zgłaszali. Dziękuję.
Przewodniczący Stanisław Kogut:
Państwo Drodzy, czas płynie nieubłaganie, w związku z czym chciałbym podziękować panu ministrowi Kołodziejskiemu za przedstawienie informacji o cyberprzestępczości. Dziękuję również przedstawicielom resortu spraw wewnętrznych i Komendy Głównej Policji, a także reprezentantom UKE z panem prezesem na czele.
Posiedzenie uważam za zamknięte.
Serdecznie dziękuję państwu za przyjęcie zaproszenia.