Coraz więcej spraw załatwia się za pomocą komputera. Nie zawsze działa to bez zarzutu i nie dla wszystkich jest wygodne.
Wystąpienie pandemii COVID-19 i wprowadzenie przez rząd Prawa i Sprawiedliwości szeregu ograniczeń w funkcjonowaniu państwa spowodowało, że w wielu przypadkach internetowy oraz pisemny kontakt z administracją publiczną był jedynym naprawdę możliwym. Siłą rzeczy rośnie więc liczba osób zainteresowanych e-usługami udostępnianymi przez administrację publiczną. Służą do tego platforma ePUAP (Elektroniczna Platforma Usług Administracji) oraz Profil Zaufany. Ich utrzymaniem i rozwojem zajmuje się Ministerstwo Cyfryzacji.
Najwyższa Izba Kontroli stwierdziła jednak nieprawidłowości w zarządzaniu przez Ministerstwo Cyfryzacji i Centralny Ośrodek Informatyki systemami ePUAP i PZ – głównie przy obliczaniu ich dostępności, która okazywała się niewystarczająca. Z kolei w urzędach miast i gmin nieprawidłowości dotyczyły przede wszystkim niepełnej informacji o e-usługach i trudności w ich znajdowaniu na stronach internetowych.
Ponadto, w większości tych urzędów nie zapewniono należytej organizacji zapewnienia ochrony informacji, co może stwarzać zagrożenie dla bezpieczeństwa przetwarzanych informacji i ciągłości pracy urzędów.
Pandemia koronawirusa spowodowała znaczący wzrost liczby spraw załatwianych z wykorzystaniem platformy ePUAP oraz Profilu Zaufanego. W 2016 r. było ich w sumie w całej Polsce zaledwie 265 tys., w 2019 r. wielokrotnie więcej bo 137, 4 miliona spraw, zaś w pierwszej połowie 2020, pandemicznego już roku, liczba spraw urzędowych załatwianych przez internet osiągnęła prawie 99,5 miliona.
Rosnące zainteresowanie e-usługami wpływa na coraz większe obciążenie platformy ePUAP. „Dotychczas występowały wielokrotnie sytuacje, gdy była ona mało stabilna lub czasowo niedostępna” – stwierdza NIK.
Zapewnienie nieprzerwanego i sprawnego działania e-usług jest więc kluczowe dla prawidłowego funkcjonowania administracji publicznej oraz państwa polskiego w przestrzeni cyfrowej. Dla obywateli ważne jest zaś udostępnienie przez państwo jak największej liczby usług elektronicznych obejmujących najbardziej istotne sprawy przez nich załatwiane.
Jak wyglądał rozwój internetowych usług administracyjnych w Polsce? Otóż liczba rodzajów e-usług udostępnionych przez centralne organy administracji państwowej na terenie naszego kraju wzrosła z 72 (wedle stanu na 1 stycznia 2016 r.) do 148 (na 30 czerwca 2020 r.).
Podstawą określenia tego, jakie usługi elektroniczne należy przede wszystkim rozwijać, stało się badanie społeczne z 2016 r. Wskazano wówczas, że dla 61 proc. respondentów najważniejsze do załatwienia w Internecie było wydanie bądź wymiana dokumentów, dla 51 proc. były to sprawy związane ze zdrowiem (zapisy do lekarza, konsultacje online, recepta elektroniczna), a dla 45 proc. sprawy związane z rejestracją pojazdów.
Ponadto, 79,8 proc. badanych wskazało, że chciałoby otrzymywać od administracji publicznej powiadomienia o upływie terminu ważności dokumentu, a 69,9 proc. powiadomienia o dokumencie gotowym do odbioru. Wśród udostępnionych e-usług przez ePUAP najpopularniejsza była: „Sprawdź historię pojazdu”.
Jednocześnie, od 2016 r. ponad trzynastokrotnie wzrosła liczba osób posiadających profil zaufany. Minister Cyfryzacji kilkakrotnie przeprowadził kampanie promujące założenie takiego profilu. W kwietniu 2020 r., w związku z epidemią COVID-19, ministerstwo umożliwiło założenie tymczasowego profilu zaufanego, którego ważność wynosiła trzy miesiące. Było to możliwe za pośrednictwem Internetu, bez konieczności wizyty w urzędzie, jak też bez konieczności uwierzytelnienia się za pośrednictwem systemów bankowych. Weryfikacja tożsamości następowała w formie video-rozmowy z urzędnikiem. Do 30 czerwca 2020 r. założono 12 tys. takich tymczasowych profili zaufanych – które oczywiście już dawno stały się nieważne.
Natomiast w maju 2020 r. uruchomiona została aplikacja eDO App. umożliwiająca założenie i potwierdzenie profilu zaufanego oraz logowanie do usług e-administracji z wykorzystaniem e-dowodu oraz smartfona. Jak podaje NIK, do początków lipca 2020 r. tę aplikację pobrano 44 tys. razy i dokonano 3,8 tys. potwierdzeń profilu zaufanego za pomocą e-dowodu, a liczba logowań e-dowodem do usług administracji wyniosła 41 tys.
W sumie, liczba profili zaufanych w naszym kraju zwiększyła się z 654,7 tys. w 2016 r. do około 9 milionów obecnie.
Najwyższa Izba Kontroli podkreśla, że mimo dużego zaangażowania w tworzenie systemów ePUAP i profili zaufanych, Ministerstwo Cyfryzacji nie ustrzegło się nieprawidłowości. Przede wszystkim nie zapewniło niezależnej oceny prawidłowości, przygotowanych przez Centralny Ośrodek Informatyki, kalkulacji zwiększających koszty umowy na utrzymanie i rozwój ePUAP. W rezultacie zawartego aneksu do umowy dotyczącej m.in. utrzymania i rozwoju ePUAP oraz profilu zaufanego, koszty wzrosły o prawie 70 mln zł. Nie było to poparte żadnymi dokumentami potwierdzającymi przeprowadzenie weryfikacji wyceny przez pracowników ministerstwa lub przez ekspertów zewnętrznych niezależnych od COI. Zdaniem NIK, brak takiej wyceny i bazowanie wyłącznie na kalkulacji sporządzonej przez wykonawcę usługi stanowiły działania nierzetelne.
Nieprawidłowo przygotowano też zasady obliczania dostępności ePUAP oraz Profilu Zaufanego w umowach między Ministerstwem Cyfryzacji a Centralnym Ośrodkiem Informatyki. W umowach na utrzymanie tych systemów dostępność określono na poziomie 98 proc. dla systemu ePUAP oraz 99 proc. dla PZ.
Przyjęcie takich wartości oznacza możliwość zaistnienia całkowitej niedostępności każdej z usług przez 7,3 dnia w ciągu roku dla ePUAP oraz przez 3,6 dnia dla systemu PZ. Tymczasem, w opinii NIK, systemy ePUAP i Profilu Zaufanego, z uwagi na istotne znaczenie dla obywateli i dla funkcjonowania administracji publicznej, powinny mieć zagwarantowaną w umowach dostępność o wartości zbliżonej do bankowych systemów informatycznych, czyli wynoszącą 99,9 proc. – co jest szczególnie ważne w sytuacji epidemii COVID-19.
W umowach na utrzymanie obu tych systemów przyjęto zbyt wąską, zdaniem NIK, definicję „incydentu krytycznego”. Powoduje to, że awaria uzasadniająca klasyfikację jakiegoś zakłócenia jako incydentu krytycznego jest w praktyce trudna do zaistnienia. W rezultacie, przypadki istotnych utrudnień w dostępie użytkowników do systemów, bynajmniej nie były ujmowane jako incydenty krytyczne wpływające na poziom dostępności systemów. Według oficjalnych enuncjacji systemy te funkcjonowały zatem niemal bez zarzutu, zgodnie z PiS-owską propagandą sukcesu.
Ponadto, w umowach na utrzymanie systemów ustalono zbyt długie, maksymalne czasy obsługi problemów zgłoszonych przez użytkowników. Może to utrudnić korzystanie z ePUAP i PZ zarówno przez obywateli jak i urzędy.
Kolejną nieprawidłowością w zarządzaniu tymi systemami było niepełne wdrożenie w COI Systemu Zarządzania Bezpieczeństwem Informacji. NIK nie kwestionuje starań Centralnego Ośrodka Informatyki co do pełnego wdrożenia wymaganej normy bezpieczeństwa. Liczy się jednak rezultat, którego wciąż brak. Dlatego Izba zwraca zwraca uwagę, że mimo upływu ponad czterech lat, tej normy wciąż nie wdrożono. COI nie przeprowadził też kompletnych testów bezpieczeństwa platformy ePUAP i Profilu Zaufanego. Tymczasem, w opinii NIK przeprowadzenie pełnych testów jest niezbędne dla potwierdzenia, że użytkowane systemy są bezpieczne. NIK zauważa jednak także, że przyjęte przez COI rozwiązania techniczne i organizacyjne zapewniają ciągłość działania systemów ePUAP i PZ w sytuacji „wystąpienia znaczącej awarii lub katastrofy”.
Oprócz Ministerstwa Cyfryzacji i Centralnego Ośrodka Informatyki kontrola NIK objęła też szereg urzędów miast i gmin. „Urzędy te udostępniały obywatelom od 10 do 232 usług na platformie ePUAP a sprawy wniesione drogą elektroniczną załatwiane były bez zarzutu” – stwierdza NIK. Warto przy tym zauważyć, że świadczenie przez jednostki samorządu terytorialnego e-usług, poza wyjątkami wynikającymi z ustaw, nie jest obligatoryjne – a jednak samorządy dążą zwiększania liczby internetowych usług administracyjnych, biorąc pod uwagę sprawy najczęściej załatwiane przez obywateli.
Pewnym problemem jest jednak brak w urzędach samorządowych Systemu Zarządzania Bezpieczeństwem Informacji. Często w urzędach nie przeprowadzono obowiązkowych audytów bezpieczeństwa informacji. Samorządy miały wprawdzie własne regulacje dotyczące bezpieczeństwa, nie obejmowały jednak one wszystkich informacji jakie są przetwarzane w urzędach – i dotyczyły głównie ochrony danych osobowych. Zdarzało się też, że pracownicy, którzy już zakończyli pracę w samorządach, nadal mieli dostęp do systemów informatycznych tych urzędów, a ich konta były wciąż aktywne. Tymczasem, zgodnie z prawem takie uprawnienia powinny być odebrane im bezzwłocznie.
W trakcie kontroli ustalono też, że część pracowników miała możliwość zainstalowania na komputerach dowolnego oprogramowania, mimo że nie byli oni pracownikami służb informatycznych. „Taka sytuacja może grozić nieświadomym zainstalowaniem złośliwego oprogramowania np. w czasie przeglądania stron internetowych” – stwierdza NIK.
Izba wnioskuje do Ministra Cyfryzacji (którego zadania wykonuje obecnie premier Mateusz Morawiecki), aby przede wszystkim zmienił sposoby obliczania dostępności platformy ePUAP i Profilu Zaufanego, zmienił definicje incydentu krytycznego dla obu systemów oraz zapewnił rzetelną weryfikację kalkulacji kosztów projektów informatycznych. Można mieć jednak wątpliwości czy zapracowany premier, osłabiany dodatkowo walkami szarpiącymi obóz zjednoczonej prawicy, znajdzie czas na te pożądane działania.