Interpelacja nr 7605

do ministra cyfryzacji

w sprawie działań rządu dla zapewnienia bezpieczeństwa państwa i obywateli wobec ataku hakerskiego na firmę EuroCert sp. z o.o. świadczącą komercyjne usługi na rzecz administracji publicznej w zakresie elektronicznej warstwy dowodu osobistego

Zgłaszający: Jarosław Zieliński

Data wpływu: 23-01-2025

Warszawa, 23 stycznia 2025 r.

W dniu 12 stycznia 2025 roku został dokonany atak hakerski klasy ransomeware na firmę EuroCert sp. z o.o. z siedzibą w Warszawie przy ul. Puławskiej 472. Firma EuroCert świadczy komercyjnie elektroniczne usługi zaufania, w tym jest wystawcą elektronicznego podpisu kwalifikowanego.

W wyniku ataku zostały ujawnione dane osobowe polskich obywateli, w tym:

Następstwem wycieku danych obywateli może być między innymi:

W aktualnej sytuacji geopolitycznej, wobec realnych zagrożeń atakami sabotażowymi oraz infiltracją obcych służb, wyciek tak dużej ilości danych polskich obywateli jest szczególnie niepokojący. Możliwość posługiwania się skradzionymi tożsamościami, w szczególności osób zajmujących kluczowe stanowiska w strukturach państwa oraz strategicznych gałęziach gospodarki, rodzi ogromne ryzyko destabilizacji i może być elementem ataków hybrydowych.

Ze względu na specyfikę usług świadczonych przez EuroCert sp. z o.o. klientami tej firmy były osoby zajmujące kluczowe funkcje w państwie oraz biznesie, co dodatkowo zwiększa zagrożenie.

W 2019 roku Polska jako jeden z pierwszych krajów Unii Europejskiej wprowadziła do obiegu nowy rodzaj dowodu osobistego wyposażonego w warstwę elektroniczną (e-dowód). Celem tego przedsięwzięcia było upowszechnienie cyfrowych narzędzi autoryzacji i przyspieszenie transformacji cyfrowej. Dodatkowo wydanie e-dowodu miało na celu wyeliminowanie możliwości posługiwania się skradzionymi lub sfałszowanymi dowodami osobistymi w relacjach obywatela z państwem, gdyż nie ma technicznej możliwości spreparowania e-dowodu z fałszywą warstwą elektroniczną. Ta funkcjonalność w obecnej sytuacji nabiera szczególnego znaczenia.

Zapisy ustawy z dnia 6 sierpnia 2010 roku o dowodach osobistych m.in. w art. 32f wprost wskazują konieczność każdorazowej weryfikacji warstwy elektronicznej dowodu osobistego podczas czynności potwierdzania tożsamości obywatela. Ma to na celu potwierdzenie autentyczności dokumentu oraz sprawdzenie jego ważności. Dodatkowo dowód osobisty został wyposażony w pakiet kluczy kryptograficznych, które ograniczają możliwość posługiwania się skradzionym dowodem osobistym oraz możliwość elektronicznego podpisywania dokumentów. Certyfikaty zostały wydane bezpłatnie każdemu polskiemu obywatelowi.

Po sześciu latach nowym dowodem osobistym posługuje się ponad połowa obywateli.

Aktualnie wydaje się zasadnym podjęcie zdecydowanych działań mających na celu wprowadzenie obligatoryjnej kontroli warstwy elektronicznej e-dowodu co najmniej we wszystkich instytucjach państwowych. Uniemożliwi to posługiwanie się fałszywymi oraz skradzionymi dowodami osobistymi, co w konsekwencji przyczyni się do uszczelnienia systemu i będzie dodatkowym utrudnieniem dla działań dywersyjnych i szpiegowskich czy nielegalnej migracji.

Wobec powyższego, działając na podstawie art. 14 ust. 1 pkt 7 ustawy z dnia 9 maja 1996 roku o wykonywaniu mandatu posła i senatora (Dz. U. 1996 Nr 73, poz. 350 z późn. zm.), proszę Pana Premiera o udzielenie szczegółowej odpowiedzi na następujące pytania:

  1. Jaka jest skala wycieku danych osobowych urzędników oraz pracowników administracji państwowej?
  2. Jaka jest skala wycieku danych funkcjonariuszy służb państwowych oraz żołnierzy Wojska Polskiego?
  3. Jaka jest skala wycieku danych osobowych obywateli zajmujących kluczowe funkcje w gospodarce oraz spółkach strategicznych?
  4. Czy podjęto działania mające na celu rezygnację (zawieszenie) z wszelkich usług świadczonych przez firmę EuroCert sp. z o.o. na rzecz instytucji publicznych? Miałoby to znaczenie prewencyjne przy braku wiedzy co do skali ataku oraz faktycznej ilości wykradzionych danych.
  5. Jakie koszty w skali roku ponosi administracja publiczna z tytułu zakupu usług podpisu elektronicznego dla urzędników?
  6. Jaka jest aktualna liczba wydanych dowodów osobistych z warstwą elektroniczną?
  7. Jakie są aktualne koszty utrzymania systemu wydanych nieodpłatnie obywatelom kluczy elektronicznych umieszczonych w warstwie elektronicznej dowodu osobistego?
  8. Jakie są podejmowane działania uświadamiające obywateli o możliwościach wykorzystania udostępnionych kluczy elektronicznych umieszczonych w warstwie elektronicznej dowodu osobistego?
  9. Czy w związku z faktem, że każdy urzędnik państwowy otrzymał bezpłatne narzędzia autoryzacyjne umieszczone w warstwie elektronicznej dowodu osobistego, planowane jest zastąpienie odpłatnych usług komercyjnych produktami wydawanymi przez ministra spraw wewnętrznych i administracji? Działania takie zredukowałyby koszty budżetowe oraz przyczyniłyby się do poprawy bezpieczeństwa, uniezależniłyby administrację państwową od usług zewnętrznych, co do których, jak dowodzi aktualna sytuacja, nie ma ona wpływu na ich bezpieczeństwo.
  10. Kiedy planowane jest przystosowanie systemów instytucji państwowych do obligatoryjnej weryfikacji warstwy elektronicznej e-dowodu, co miałoby na celu wyeliminowanie prób posługiwania się skradzionymi oraz sfałszowanymi dowodami osobistymi?
  11. Kiedy planowane jest obligatoryjne przystosowanie systemów medycznych do weryfikacji warstwy elektronicznej e-dowodu, co miałoby na celu uniemożliwienie kradzieży danych medycznych polskich obywateli oraz finansowe uszczelnienie systemu świadczeń zdrowotnych?
  12. Kiedy planowane jest obligatoryjne przystosowanie systemów bankowych do weryfikacji warstwy elektronicznej e-dowodu, co miałoby na celu uniemożliwienie tworzenia fałszywych kont bankowych, prania pieniędzy, finansowania terroryzmu oraz powszechnego procederu wyłudzania środków finansowych na dane obywatela, którym została skradziona tożsamość?