"Będę ostatnim, który krzyknie: ‘Polacy, nic się nie stało’. (...) Cyberataki na polskich polityków to forma meczu" - mówi w Popołudniowej rozmowie w RMF FM dr Maciej Kawecki z Instytutu Lema. Co, jeśli potwierdzi się, że najważniejsi politycy z rządu porozumiewają się za pomocą prywatnych skrzynek e-mailowych? "Skomentuję to negatywnie, to znaczy nie wyobrażam sobie komunikatu po ataku hakerskim, gdy wiemy, że doszło do uzyskaniu dostępu do poczty e-mailowej jednej z najważniejszych osób w kraju - o treści: "Nie ma to wpływu na bezpieczeństwo państwa". A taki komunikat się pojawił" - mówi gość Marcina Zaborskiego.

Wiemy, ze ktoś się włamał na skrzynkę ministra Dworczyka, na komunikator jego żony, że osobą poszkodowaną jest czwarta osoba w państwie, czyli premier, bo doszło do wycieku korespondencji, którą prowadził z prezesem Rady Ministrów. Mało tego, wiemy, że jest to atak wyrafinowany. Jak sobie spojrzymy na korespondencję między premierem a ministrem Dworczykiem, to mamy błąd w tzw. znaczniku czasu - premier odpowiada na e-maila ministra Dworczyka wcześniej niż on go wysłał. Albo ktoś udaje, że to jest sfabrykowana korespondencja, chcąc coś wywołać albo jest to sfabrykowana korespondencja. To, że nic nie wiemy - prasa nic nie wie, nikt nic nie wie - to jest chaos - ocenia Kawecki. 

Dr Maciej Kawecki o udostępnianiu w sieci tras biegowych i rowerowych: To skrajnie niebezpieczne

Mam nadzieję, że po tym incydencie (ataku na konto e-mailowe ministra Michała Dworczyka - przyp. red.) komuś przyjdzie do głowy, by zmienić prawo: wprowadzić obowiązek szkoleń z cyberbezpieczeństwa dla posłów, senatorów, sekretarzy, podsekretarzy stanu czy wicepremierów, premierów - by (ten obowiązek szkoleń - przyp. red.) był wprowadzony do ustawy  - mówi w Popołudniowej rozmowie w RMF FM dr Maciej Kawecki z Instytutu Lema.

Czy chwaląc się w internecie tym, że biegamy, jeździmy na rowerze, sprowadzamy na siebie niebezpieczeństwo? Uświadamiamy, gdzie mieszkamy. Najczęściej rozpoczynamy bieg czy wycieczkę rowerową z miejsca zamieszkania. Mamy kult wyników, rankingów, chcemy oszczędzić każdy przejechany kilometr, więc otwieramy aplikację z chwilą, gdy jesteśmy jeszcze w łazience w domu. (...) Informujemy nie tylko o naszym adresie, ale o numerze księgi wieczystej - jeśli wiem, że Maciej Kawecki mieszka w tym obrębie, to jestem w stanie korzystając z wyszukiwarek online, dojść do mojej nieruchomości, a tam znajdę informację o moich egzekucjach, kredytach, pożyczkach, numerze PESEL. (...) - ostrzega gość Marcina Zaborskiego.

Czy jego zdaniem dane o szczepieniu powinny być udostępniane za pomocą certyfikatu covidowego? Tak, powinny być. To jest ochrona zdrowia i życia - ocenia Kawecki.

Dr Maciej Kawecki: Informowanie o cyberataku jest często wspieraniem hakerów w dezinformacji

W całym tym zamieszaniu można wiele zarzucić władzy, ale i prasie również. Informowanie o cyberataku wraz z udostępnianiem treści korespondencji, która nie wiemy, czy jest prawdziwa czy fałszywa, jest często wspieraniem hakerów w dezinformacji. (...) Musimy pamiętać, że intencją atakującego jest wywołanie chaosu i obniżenia autorytetu władzy - mówi gość Popołudniowej rozmowy w RMF FM dr Maciej Kawecki dodając, że jego zdaniem powinni się uważać z relacjonowaniem informacji z utajnionego posiedzenia Sejmu.

Nie ufam ludziom, jeśli chodzi o cyberbezpieczeństwo - mówi gość Marcina Zaborskiego. Zawsze mówię, że najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek - dodaje dr Maciej Kawecki odnosząc się do dzisiejszego utajnionego posiedzenia Sejmu. Jednak jak uważa gość Popołudniowej Rozmowy w RMF FM, nie można krytykować samego utajnienia dzisiejszych obrad. Gdybym miał podjąć decyzję tym zakresie, to bym podjął taką samą. Pamiętajmy, że to nie decyzja premiera, tylko prezydium Sejmu (...). To że posłowie nie mogli wnieść urządzeń elektrycznych, to była dobra decyzja. Tak powinno wyglądać tego typu posiedzenie - dodaje.

Marcin Zaborski, RMF FM: W naszym studiu dr Maciej Kawecki, prezes Instytutu, Lema, dziekan Wyższej Szkoły Bankowej w Warszawie. Dzień dobry.

Maciej Kawecki: Witam państwa bardzo serdecznie.

Zakrzyknie pan głośno - "Polacy nic się nie stało"?

Nie, absolutnie będę ostatnim, który tak krzyknie.

I nie chodzi wcale o mecz biało-czerwonych, tylko o cyberataki na polityków.

To też jest forma meczu.

No właśnie, jeśli potwierdzi się, że najważniejsi politycy z rządu porozumiewają się za pomocą darmowych, prywatnych skrzynek e-mailowych, to jak pan to wtedy skomentuje?

Negatywnie, to znaczy nie wyobrażam sobie po ataku hakerskim na najważniejsze osoby w kraju, komunikatu o treści: "Nie ma wpływu na bezpieczeństwo państwa". Taki komunikat się pojawił...

Na razie wiemy na pewno, że ktoś włamał się na skrzynkę ministra Dworczyka.

Wiemy więcej. Wiemy o tym, że ktoś się włamał na skrzynkę ministra Dworczyka, na komunikator żony pana ministra Dworczyka. Wiemy o tym, że osobą poszkodowaną jest czwarta osoba w państwie, czyli premier. Doszło do wycieku korespondencji, którą (minister Dworczyk - przyp. red.) prowadził z Prezesem Rady Ministrów. Mało tego, wiemy więcej. To atak wyrafinowany. Jak sobie spojrzymy na korespondencję, rozmowę pomiędzy premierem Morawieckim, a ministrem Dworczykiem, to zobaczymy, że mamy coś co się wydaje bardzo szczegółowe. To jednak zwróciło moją uwagę - błąd w tzw. znacznik czasu. To znaczy premier Morawiecki odpowiada na maila wysłanego przez ministra Dworczyka, wcześniej niż on go wysłał.

I co to oznacza?

To oznacza, że albo ktoś rzeczywiście intencjonalnie udaje, że to jest sfabrykowana korespondencja, chcąc coś wywołać, albo jest to sfabrykowana korespondencja. Teraz to, że my nic nie wiemy, że prasa nic nie wie, nikt nic nie wie, to jest chaos.

No i w chaosie pojawia się minister Dworczyk, który zapewnia, że w skrzynce e-mailowej, która padła celem ataku hakerskiego, nie było informacji niejawnych, zastrzeżonych, tajnych, ściśle tajnych. To pana nie uspokaja?

Nie uspokaja. W przypadku takich funkcji państwowych, to, że wiem o tym z kim taka osoba rozmawia, o której godzinie, jaki ma styl życia, jaką formę ma komunikacji w rozumieniu nawet w stylu komunikacji, to już ma wpływ na bezpieczeństwo państwa. Mam takie poczucie, że każdy, kto nas teraz słucha, jeżeli dowiedziałby się, że ktoś uzyskał dostęp do jego skrzynki e-mailowej i będzie cyklicznie udostępniał te treści informacji publicznej, to byłby tym przerażony. Po to w konstytucji została wprowadzona tajemnica korespondencji. To jest pewien obszar naszej intymności. Jeżeli dodamy do tego bezpieczeństwo państwa i to praktykę polityków do prowadzenia korespondencji drogą prywatną o charakterze służbowym, no to mam odpowiedź pytanie pana redaktora.

Pracował pan wcześniej w rządzie. W Ministerstwie Cyfryzacji był pan dyrektorem Departamentu Zarządzania Danymi. Czy w tamtym czasie korzystał pan z prywatnego konta e-mailowego?

Nie.

O ogóle?

Mam od lat konto prywatne, z którego korzystam. Nie przypominam sobie, żebym kiedykolwiek wysłał formalną wiadomość o charakterze urzędniczym z e-maila o charakterze prywatnym. Przy czym trzeba zwrócić uwagę, że urzędnicy są szkoleni. Mamy działy, departamenty, wydziały cyberbezpieczeństwa, które mówią o tego typu rzeczach.

To jest ciekawe, co pan mówi, bo była minister cyfryzacji Anna Streżyńska w TVN 24 mówi tak: "W Administracji państwowej nie ma żadnych procedur regulujących korzystanie z prywatnych skrzynek e-mailowych w okresie sprawowania funkcji publicznej, choć w domyśle powinno się używać służbowej skrzynki". Nie ma procedur?

Są procedury. Myślę, że pani minister Streżyńska miała na myśli egzekwowalność tych procedur. To o czym wczoraj mówiłem. To znaczy - mam nadzieję, że po tym, incydencie o którym teraz wiemy, komuś przyjdzie do głowy, żeby po prostu zmienić prawo, żeby obowiązek przeprowadzenia szkoleń w zakresie cyberbezpieczeństwa wobec posłów, wobec senatorów, wobec sekretarzy i podsekretarzy stanu, czy wicepremierów i premierów był wprowadzony do ustawy.

To jest tak, że pan jako dyrektor miał takie szkolenie, a minister czy wiceminister nie ma takiego szkolenia?

Nie wiem, czy w tym konkretnym przypadku, mój kierownik, mój szef, czyli minister lub wiceminister, miał takie szkolenie. Ja takie szkolenie absolutnie miałem. Z chwilą powołania do pełnienia takiej funkcji podpisuje się oświadczenie o tym, że przyjęło się do wiadomości zasady związane z bezpieczeństwem. Nie pamiętam, czy znajdowała się tam wtedy informacja o prywatnej korespondencji, domniemam, że nie. Natomiast informacja o obowiązku dochowania staranności na pewno tak. 

To jest świetna okazja, cała ta sytuacja, żeby rozmawiać o naszym bezpieczeństwie w sieci. Jak wiadomo, wszyscy jesteśmy na wojnie. Teraz zależy od każdego z nas czy będziemy, jak mówią niektórzy, żołnierzami czy wywiadowcami. Czy będziemy wykonywać rozkazy, czy jednak będziemy sprawdzać, skąd pochodzą informacje i jak to się dzieje, że o nas tak dużo wiadomo. Dlaczego chwaląc się np. tym, że biegamy, że jeździmy na rowerze i mówimy, że pokonaliśmy dzisiaj dystans 15 km ściągamy na siebie niebezpieczeństwo?

Uświadamiamy, gdzie mieszkamy. Najczęściej rozpoczynamy bieg albo wycieczkę rowerową od miejsca zamieszkania. Mało tego, my dzisiaj mamy pewien kult wyników, kult rankingów, chcemy oszczędzić każde 2 km przejechane, więc rozpoczynamy pracę tej aplikacji z chwilą, kiedy jesteśmy prawie w łazience, w domu. W ten sposób informujemy kogoś, gdzie mieszkamy.

No i co z tego może się wydarzyć?

Proszę zwrócić uwagę, że my informujemy nie tylko o naszym adresie. Informujemy o numerze księgi wieczystej. Jeżeli ja wiem, że Maciej Kawecki mieszka w tym obrębie, to jestem stanie z wykorzystaniem dziesiątków wyszukiwarek online, numerów ksiąg wieczystych dojść do mojej nieruchomości, a tam znajdę informację o ich egzekucjach, kredytach, pożyczkach, o moim numerze PESEL.

Robi się groźnie.

Numer PESEL, to dzisiaj bardzo jest często identyfikatorem. Po dzisiejszym incydencie wiecie państwo dzisiaj o czym mówię. Wiecie państwo już z czym wiąże się taki szczegół, jak udostępnianie samej mapy tras rowerowych. Zresztą serwis niebezpiecznik.pl łączył fakt udostępniania przez ministra Niedzielskiego tras rowerowych z faktem dotarcia do jego prywatnego miejsca zamieszkania.

Przez osoby protestujące przeciwko polityce rządu.

Pan minister udostępniał tego typu informacje.

Kolejne pytania o nasze dane osobowe przynosi właśnie pandemia. Możemy korzystać z certyfikatów covidowych potwierdzających, że byliśmy albo chorzy, albo przeszliśmy szczepienie. Jednak te dane o szczepieniu, to są dane wrażliwe.

O stanie zdrowia tak.

No właśnie powinny być udostępniane za pomocą takich certyfikatów?

Tak, powinny być udostępnione. To jest ochrona życia i zdrowia. Gdy jeszcze odpowiadałem za wdrażanie RODO, to największą bolączką było niezrozumienie tego, że mamy wartości ważniejsze niż prywatność.

To w ustawie o RODO jest ten zapis, że zabrania się przetwarzania danych dotyczących zdrowia.

Pod warunkiem, że jest to niezbędne do ochrony żywotnych interesów osób, których dane dotyczą. Walka z pandemią, jest ochroną naszych żywotnych interesów.

Czy żywotnym interesem jest to, co dzieje się w dyskotece. Chce wejść do dyskoteki i czy ktokolwiek może zażądać ode mnie na bramce klubu, żebym pokazał certyfikat covidowy?

Dzisiaj - wedle przepisów - moim zdaniem nie. Jak mnie pan redaktor zapyta, czy chciałbym żeby takie przepisy istniały, to odpowiadam również jako dziekan uczelni wyższej, tak chciałbym. Chciałbym mieć możliwość weryfikowania czy studenci, którzy przebywają na wykładzie, są względem siebie bezpieczni.

Ale dzisiaj na podstawie obowiązujących przepisów mogą powiedzieć: "nikomu nic nie powiem?"

Powiedziałbym, że uczelnia ma prawo prosić o tego typu informacje z uwagi na przepisy RODO, na prawo bezpośrednio skuteczne mające pierwszeństwo nad prawem krajowym. Zdaję sobie sprawę, że te przepisy są dyskusyjne i wymaga to doprecyzowania w prawie krajowym.