Interpelacja w sprawie działań rządu dla zapewnienia bezpieczeństwa państwa i obywateli wobec ataku hakerskiego na firmę EuroCert sp. z o.o. świadczącą komercyjne usługi na rzecz administracji publicznej w zakresie elektronicznej warstwy dowodu osobistego
Data wpływu: 2025-01-23
Co to jest interpelacja? To formalne pytanie posła do organu władzy (np. ministra) w konkretnej sprawie publicznej.
Przeglądaj też tematy interpelacji, profile posłów i druki sejmowe.
Poseł pyta o działania rządu w związku z atakiem hakerskim na firmę EuroCert i wyciekiem danych osobowych, szczególnie w kontekście bezpieczeństwa państwa i wykorzystania e-dowodów. Domaga się informacji o skali wycieku, kosztach usług podpisu elektronicznego i planach wdrożenia obligatoryjnej weryfikacji e-dowodów w instytucjach.
HTML źródłowy dostępny także bez JavaScript
Interpelacja w sprawie działań rządu dla zapewnienia bezpieczeństwa państwa i obywateli wobec ataku hakerskiego na firmę EuroCert sp. z o.o. świadczącą komercyjne usługi na rzecz administracji publicznej w zakresie elektronicznej warstwy dowodu osobistego Interpelacja nr 7605 do ministra cyfryzacji w sprawie działań rządu dla zapewnienia bezpieczeństwa państwa i obywateli wobec ataku hakerskiego na firmę EuroCert sp. z o.o. świadczącą komercyjne usługi na rzecz administracji publicznej w zakresie elektronicznej warstwy dowodu osobistego Zgłaszający: Jarosław Zieliński Data wpływu: 23-01-2025 Warszawa, 23 stycznia 2025 r.
W dniu 12 stycznia 2025 roku został dokonany atak hakerski klasy ransomeware na firmę EuroCert sp. z o.o. z siedzibą w Warszawie przy ul. Puławskiej 472. Firma EuroCert świadczy komercyjnie elektroniczne usługi zaufania, w tym jest wystawcą elektronicznego podpisu kwalifikowanego. W wyniku ataku zostały ujawnione dane osobowe polskich obywateli, w tym: dane identyfikacyjne; dane kontaktowe (adres e-mail, numer telefonu); numer PESEL; imię, imiona i nazwisko; data urodzenia; seria i numer dowodu osobistego; nazwa użytkownika i/lub hasło; wizerunek.
Następstwem wycieku danych obywateli może być między innymi: publikacja lub ujawnienie danych osobowych obywateli w celu naruszania ich dóbr osobistych; zagrożenie nękaniem lub szantażem przy wykorzystaniu ujawnionych danych; narażenie na wzmożone ataki phishingowe; działania zmierzające do wyłudzenia dodatkowych danych osobowych; podjęcie przez osoby trzecie prób uzyskania na szkodę obywatela pożyczek w instytucjach pozabankowych, realizowanych bez konieczności okazywania dokumentu tożsamości; podjęcie przez osoby trzecie prób uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o stanie zdrowia; wykorzystanie danych osobowych celem korzystania z praw obywatelskich, np.
poprzez oddanie głosu w głosowaniach powszechnych; wykorzystanie danych osobowych przez osoby trzecie do ukrycia swojej tożsamości, np. w celach dokonywania ataków dywersyjnych; zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może służyć do celów przestępczych oraz sabotażowych; wytworzenie fałszywych kopii dowodów osobistych, tzw. dowodów kolekcjonerskich zawierających skradzione kompletne dane osobowe i za ich pośrednictwem dokonywanie szeregu przestępstw oraz działań sabotażowych.
W aktualnej sytuacji geopolitycznej, wobec realnych zagrożeń atakami sabotażowymi oraz infiltracją obcych służb, wyciek tak dużej ilości danych polskich obywateli jest szczególnie niepokojący. Możliwość posługiwania się skradzionymi tożsamościami, w szczególności osób zajmujących kluczowe stanowiska w strukturach państwa oraz strategicznych gałęziach gospodarki, rodzi ogromne ryzyko destabilizacji i może być elementem ataków hybrydowych. Ze względu na specyfikę usług świadczonych przez EuroCert sp. z o.o. klientami tej firmy były osoby zajmujące kluczowe funkcje w państwie oraz biznesie, co dodatkowo zwiększa zagrożenie.
W 2019 roku Polska jako jeden z pierwszych krajów Unii Europejskiej wprowadziła do obiegu nowy rodzaj dowodu osobistego wyposażonego w warstwę elektroniczną (e-dowód). Celem tego przedsięwzięcia było upowszechnienie cyfrowych narzędzi autoryzacji i przyspieszenie transformacji cyfrowej. Dodatkowo wydanie e-dowodu miało na celu wyeliminowanie możliwości posługiwania się skradzionymi lub sfałszowanymi dowodami osobistymi w relacjach obywatela z państwem, gdyż nie ma technicznej możliwości spreparowania e-dowodu z fałszywą warstwą elektroniczną. Ta funkcjonalność w obecnej sytuacji nabiera szczególnego znaczenia.
Zapisy ustawy z dnia 6 sierpnia 2010 roku o dowodach osobistych m.in. w art. 32f wprost wskazują konieczność każdorazowej weryfikacji warstwy elektronicznej dowodu osobistego podczas czynności potwierdzania tożsamości obywatela. Ma to na celu potwierdzenie autentyczności dokumentu oraz sprawdzenie jego ważności. Dodatkowo dowód osobisty został wyposażony w pakiet kluczy kryptograficznych, które ograniczają możliwość posługiwania się skradzionym dowodem osobistym oraz możliwość elektronicznego podpisywania dokumentów. Certyfikaty zostały wydane bezpłatnie każdemu polskiemu obywatelowi.
Po sześciu latach nowym dowodem osobistym posługuje się ponad połowa obywateli. Aktualnie wydaje się zasadnym podjęcie zdecydowanych działań mających na celu wprowadzenie obligatoryjnej kontroli warstwy elektronicznej e-dowodu co najmniej we wszystkich instytucjach państwowych. Uniemożliwi to posługiwanie się fałszywymi oraz skradzionymi dowodami osobistymi, co w konsekwencji przyczyni się do uszczelnienia systemu i będzie dodatkowym utrudnieniem dla działań dywersyjnych i szpiegowskich czy nielegalnej migracji. Wobec powyższego, działając na podstawie art. 14 ust.
Poseł pyta o powody utajnienia dokumentów dotyczących projektowanych zakupów w ramach pożyczki SAFE, argumentując, że brak jawności jest nieakceptowalny, gdyż posłowie i obywatele powinni mieć wgląd w działania finansowane z publicznych środków. Żąda wyjaśnienia, kiedy rząd zamierza zdjąć klauzulę tajności z tych dokumentów.
Poseł Jarosław Zieliński pyta o niejasności związane z finansowaniem Niepublicznej Szkoły Podstawowej Montessori w Jabłońskich, której uczniowie w większości realizują edukację domową i pochodzą spoza gminy Augustów, co generuje wysokie koszty dla gminy. Poseł kwestionuje zasadność i sposób wyliczenia dotacji dla tej szkoły oraz brak weryfikacji zgodności dokumentacji ze stanem faktycznym.
Poseł Jarosław Zieliński wyraża zaniepokojenie przebiegiem projektowanej linii kolejowej E75 Rail Baltica blisko zabudowy mieszkalnej, co budzi obawy o bezpieczeństwo, hałas i spadek wartości nieruchomości. Pyta ministra o powody przedstawienia tylko jednego wariantu trasy oraz o plany alternatywne i zabezpieczenia dla mieszkańców.
Poseł Jarosław Zieliński pyta Ministerstwo Zdrowia o brak dostępu do leczenia SMA dla dorosłych pacjentów w województwie podlaskim oraz o gwarancje finansowania tego leczenia w przyszłości. Wyraża zaniepokojenie sytuacją pacjentów, którzy po osiągnięciu pełnoletności tracą możliwość kontynuacji terapii w regionie.
Poseł pyta o reakcję rządu na apel Rady Powiatu Hajnowskiego w sprawie wsparcia zrównoważonego rozwoju regionu Puszczy Białowieskiej oraz o konkretne plany wsparcia inwestycji samorządowych. Wyraża zaniepokojenie trudną sytuacją społeczno-gospodarczą regionu wynikającą z ograniczeń ochrony przyrody i sytuacji geopolitycznej.
Projekt ustawy ma na celu deregulację i modyfikację ustawy o systemie teleinformatycznym do obsługi niektórych umów (eUmowy). Zmiany koncentrują się na rozszerzeniu funkcjonalności Systemu eUmowy, umożliwiając obsługę umów związanych z zatrudnieniem i porozumień, a także udoskonaleniu procesów związanych z zawarciem, zmianą i rozwiązaniem umów. Dodatkowo, projekt wprowadza mechanizmy weryfikacji danych oraz przekazywania informacji między różnymi instytucjami, takimi jak ZUS, CEIDG i Krajowa Administracja Skarbowa, w celu usprawnienia obsługi umów. Celem jest digitalizacja i centralizacja procesów związanych z umowami, ułatwiając ich zarządzanie i kontrolę.
Projekt ustawy wprowadza zmiany w ustawie o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustawach. Zmiany dotyczą definicji podmiotów kluczowych i ważnych, obowiązków tych podmiotów związanych z cyberbezpieczeństwem, w tym terminów na uzupełnienie danych w wykazie i wdrażanie systemów zarządzania bezpieczeństwem informacji. Wprowadzono również mechanizmy wsparcia dla jednostek samorządu terytorialnego w zakresie cyberbezpieczeństwa oraz przesunięto termin możliwości nakładania kar pieniężnych za naruszenia przepisów. Dodatkowo doprecyzowano kwestie dotyczące osób realizujących zadania w CSIRT i podmiotach kluczowych oraz ważnych.
Projekt ustawy dotyczy ratyfikacji Umowy między Rzecząpospolitą Polską a Republiką Indonezji o wzajemnej pomocy prawnej w sprawach karnych. Celem umowy jest usprawnienie współpracy prawnej między oboma krajami w zakresie spraw karnych, w tym postępowań przygotowawczych i sądowych. Umowa ma na celu przezwyciężenie trudności w dotychczasowej współpracy, takie jak długotrwałe procedury i konieczność tłumaczeń na język indonezyjski, oraz wprowadza rozwiązania wzorowane na umowach z innymi krajami. Ratyfikacja ma pozytywnie wpłynąć na bezpieczeństwo obywateli i ochronę obrotu gospodarczego.
Projekt ustawy nowelizuje ustawę o krajowym systemie cyberbezpieczeństwa oraz szereg innych ustaw, implementując dyrektywę NIS2 (2022/2555) i częściowo stosując rozporządzenie delegowane Komisji (UE) 2024/1366. Celem jest podniesienie poziomu cyberbezpieczeństwa w Polsce poprzez wprowadzenie nowych definicji, rozszerzenie zakresu podmiotów objętych regulacjami (podmioty kluczowe i ważne) oraz doprecyzowanie obowiązków. Ustawa ma na celu dostosowanie polskiego prawa do wymogów unijnych w zakresie cyberbezpieczeństwa, szczególnie w odniesieniu do infrastruktury krytycznej i usług cyfrowych. Wprowadza także zmiany dotyczące prowadzenia wykazu podmiotów kluczowych i ważnych oraz ich obowiązków w zakresie zarządzania cyberbezpieczeństwem.
Projekt ustawy zakłada utworzenie Uniwersytetu Bezpieczeństwa Narodowego poprzez przekształcenie istniejącej Akademii Sztuki Wojennej. Celem jest stworzenie wiodącego ośrodka rozwoju myśli strategicznej, innowacji technologicznych i interdyscyplinarnych badań nad bezpieczeństwem, zdolnego do kształcenia kadr na najwyższym poziomie. Ustawa przewiduje zachowanie ciągłości działalności dydaktycznej i badawczej, a także praw i obowiązków Akademii. Uniwersytet ma wzmocnić obronność państwa, rozwijać kompetencje cyfrowe i wspierać współpracę międzynarodową.