Tajemniczy mąż braku zaufania

Autor: Sylwester Oracz - Fundacja Odpowiedzialna Polityka

O budowaniu systemów wyborczych, zaufaniu i tajemnicy przedsiębiorstwa kilka słów więcej.

Może jestem wybiórczy w badaniu jawności, bo rzeczywiście interesuje mnie ona głównie w kontekście polityki i wyborów. Czasem jednak nawet tak wąska ścieżka prowadzi do wielodyscyplinarnych rozstajów, niespodziewanych rozwiązań i jeszcze silniejszego przekonania, że sytuacja jest gorzej niż zła, a papier, jak wiadomo, cierpliwy i wszystko przyjmie.

Historia zaczyna się dwa lata temu…

Jest 22 grudnia 2022 roku. Do laski marszałkowskiej wpływa propozycja przepisów m.in. w sprawie utworzenia „usługi” umożliwiającej przesyłanie zarejestrowanych materiałów przez obserwatorów wyborów i mężów zaufania. To dla mnie zaskoczenie, bo jako osoba koordynująca kwestie techniczne w jednej z organizacji obserwujących wybory nigdy wcześniej nie spotkałem się z taką potrzebą. Ryzyka i brak precyzji tej koncepcji aż biją po oczach. Uzasadnienie? Obserwatorzy przechowują zdjęcia na smartfonach, dyskach Google, a czasem, nie daj Boże, wrzucają filmy na YouTube. Fakt, mam setki zdjęć z komisji wyborczych. Zakujcie mnie w kajdany, bo jest tam zdjęcie karty wyjętej z urny (nie żartuję – kiedyś wezwana policja badała, dlaczego robię zdjęcie kart wysypanych z urny na podłogę)! Tak czy inaczej, parlament przepchnął ustawę, prezydent podpisał, minister wdrożył. Koniec historii? Wręcz przeciwnie.

Zważywszy że „usługa” może przetwarzać dane obserwatorów, preferencje polityczne (mężowie zaufania są kierowani przez komitety wyborcze), a w prace zaangażowany jest premier (wówczas jednocześnie odpowiedzialny za resort cyfryzacji), od początku chciałem mieć pewność, że wszystko jest robione zgodnie ze sztuką. Jednak oficjalnie nic się nie stało przez kilka miesięcy. Aż tu nagle – na początku kampanii – minister Cieszyński (na którego formalnie scedowano zadanie, a który od początku je propagował) ogłasza w wywiadzie, że system jest prawie gotowy… i znowu cisza. Zastanawiam się, czy to typowe przechwałki kampanijne i system się nie pojawi. Tymczasem aplikacja „Mąż zaufania” (nazwa wyjątkowo nietrafiona dla tej usługi) nagle trafia do App Store i Google Play na 2 tygodnie przed wyborami. Instaluję ją, gdy tylko się o tym dowiaduję – i od razu widzę, że wiele rzeczy się nie zgadza.

Dzwonię do Ministerstwa Cyfryzacji i po wielu przekierowaniach (nikt nic nie wie) w końcu rozmawiam z menadżerem projektu. Po bardzo rzeczowej rozmowie dostaję nawet SMS-y o poprawkach i zapewnienie, że ostateczna wersja będzie dostępna w niedzielę o północy w dniu głosowania. Wrażenie „projektu studenckiego robionego na kolanie” jednak pozostaje.

Po wyborach… co tam się stało?

Dzień po głosowaniu rozeznaję, czy ktoś użył aplikacji. Okazuje się, że w jednej sytuacji rzeczywiście sam będę to robić (zaprzyjaźniony obserwator międzynarodowy nie ma koniecznego do rejestracji polskiego Profilu Zaufanego).

Po kilku tygodniach rozpoczynam maraton jawności: kto, co, kiedy i za ile? Nowa ekipa z początku nie wykazuje się większą transparentnością niż poprzednicy, ale udaje się przełamać polityczną bezwładność. W grudniu dowiaduję się, że aplikacji użyło raptem osiem osób, a koszt umowy z Centralnym Ośrodkiem Informatyki (COI) wyniósł blisko 2 mln złotych.

W międzyczasie zadaję te same pytania nowemu ministrowi cyfryzacji, który zwleka z odpowiedzią aż do momentu, gdy wysyłam ponaglenie. Zupełnym zbiegiem okoliczności, niedługo później wiceminister Standerski ogłasza aferę „wydano dwa miliony złotych, skorzystało całe osiem osób”. Szkoda, że umknęło mu, iż kwota ta dotyczyła jedynie COI, a ja w tym czasie zdążyłem już zdobyć informacje o łącznych, wyższych kosztach – 4 mln (wydatki rosną na tyle szybko, aby osiągnąć pułap 9.5 mln po eurowyborach). Okazało się, że zadawanie krzyżowych pytań różnym zaangażowanym podmiotom jest skuteczniejszą metodą, która w tej historii jeszcze okaże się przydatna.

Drogi Czytelniku, zapewne zastanawiasz się, czy to dużo, czy mało. Aplikacja służy temu, żeby zgrać zdjęcia i oddać organowi władzy, co z podobną efektywnością można zrobić na pendrajwie. Cenę jednostkową pendrajwa 32GB w przetargach szacuje się na ok. 25 zł. Za kwotę 9.5 mln zł można było wyposażyć każdą komisję w 12 pendrajwów. Oczywiście, można było te środki przeznaczyć też na coś bardziej zbożnego – np. porządne wyszkolenie członków komisji.

Z korespondencji wynika, że minister nie uznał za stosowne skonsultowania projektu z Państwową Komisją Wyborczą, a tym bardziej z bezpośrednio zainteresowanymi obserwatorami czy partiami politycznymi. COI nie posiada wiedzy o jakichkolwiek testach bezpieczeństwa, ale przyznaje, że zaangażowano Polską Wytwórnię Papierów Wartościowych S.A. (która ma raczej dobrą reputację w zakresie tworzenia bezpiecznych rządowych aplikacji, ale słabą, jeśli chodzi o jawność). Można więc poczuć się „uspokojonym”. Po kolejnych wyborach zwracam się ponownie o dane statystyczne, by udokumentować dalszy przebieg przedsięwzięcia, ale temat wydaje się wyczerpany.

Kwestia “Męża zaufania” nabiera nowej prędkości na konferencji, podczas której przedstawiam starania o jawność tego systemu i spotykam twórców oprogramowania do głosowania elektronicznego m.in. pracowników włoskiego odpowiednika PWPW. Opowiadają o swoim projekcie z zadziwiającą otwartością. Inspiruje mnie to do skierowania pytań do PWPW (choć przyznaję, że nie miałem wielkich nadziei). 

PWPW po ponad dwóch miesiącach udziela częściowej odpowiedzi, a w pozostałym zakresie odmawia dostępu do informacji, powołując się na tajemnicę przedsiębiorstwa. Załączam te dokumenty.

Pomijając fakt, że tą decyzją odmawia się dostępu m.in. do informacji, które mi przecież podano, skupmy się na uzasadnieniu. Argumentacja w przypadku tajemnicy przedsiębiorstwa opiera się na dwóch filarach: materialnym i formalnym. Pierwszy zakłada, że dana informacja ma dużą wartość dla przedsiębiorstwa, a jej ujawnienie mogłoby przynieść wymierne szkody. Drugi wymaga, by przedsiębiorca podjął proporcjonalne kroki w celu ograniczenia dostępu do tych danych.

Moja zawodowo skrzywiona odporność na argument: „chronimy to dzięki papierkowi od prezesa” od razu każe mi krytycznie podejść do tłumaczeń PWPW. Co więcej, dokument, na który się powołują, powstał dopiero po podpisaniu umowy – czy wcześniej te dane były w ogóle chronione? Gorzej, że „papierkowa ochrona” staje się argumentem do odmowy ujawnienia informacji… o które nie pytałem. Przykładem może być rzekoma tajemnica raportów z testów bezpieczeństwa – choć ja wnosiłem jedynie o potwierdzenie, czy takie testy w ogóle przeprowadzono. O ile zgadzam się, że szczegóły raportów należy chronić, aby dać czas twórcom na wprowadzenie poprawek, to informacje o tym, że przeprowadzono testy aplikacji wykorzystywanej w wyborach powinny być standardem. Utrzymywanie w tajemnicy wyników przez 2 lata w tej sytuacji wydaje się jednak grubą przesadą.

Do odmowy udostępnienia treści umowy PWPW wykorzystuje klauzulę poufności, która obejmuje jednak tylko jej realizację. Nie wiemy jednak, w jaki sposób PWPW urzeczywistnia decyzje prezesa, czyli jakie środki techniczne i proceduralne stosuje. Dla tych, którzy uważają, że tego nie można ujawniać — standardem (w ścisłym tego słowa znaczeniu), zwłaszcza w organizacji, która pragnie zdobyć zaufanie (a niewątpliwie drukarnia pieniędzy, fabryka dowodów osobistych i wystawca certyfikatów cyfrowych taką powinna być), jest publikowanie podobnych deklaracji i wyników audytów! Oczywiście, odbywa się to na pewnym poziomie ogólności, ale można to sformułować np. tak: „Dokumenty objęte klauzulą ISC są specjalnie cyfrowo oznaczane. Przechowywanie ich i tranzyt odbywają się w postaci zaszyfrowanej, a otwarcie, również poza systemami firmy, jest odnotowywane w zabezpieczonym przed zmianami cyfrowym dzienniku zdarzeń. Dodatkowo przechowywana jest historia zmian”. Dla niedoświadczonych wyjaśniam znaczenie powyższego: „Wiemy, co się dzieje z supertajnym dokumentem”. Na marginesie, zdaje się, że jednak PWPW nie przyjęło właściwych środków ochrony, bo dokumenty z oznaczeniem “Informacja Szczególnie Chroniona PWPW S.A.” są dostępne w Internecie i ciężko uznać za wiarygodne, by PWPW nie mogła latami wyegzekwować ich usunięcia ze strony… Fundacji PWPW.

Odnosząc się do materialnego aspektu tajemnicy – czy ma ona sens? Budżet na projekt “Mąż zaufania” jest znany, podobnie jak roczne wyniki finansowe PWPW. Nawet w najgorszym scenariuszu, gdyby PWPW całkowicie straciło projekt i poniosło pełne koszty, mówimy o stracie 2-3 mln zł. To kropla w morzu przy budżecie sięgającym 800 mln zł i monopolistycznej pozycji PWPW w niektórych obszarach. Tajemnicą objęto także okres obowiązywania umowy, rzekomo, by zapobiec działaniom konkurencji. Przyznaję, że dla firmy możliwość zarobienia 3 mln zł w trzy tygodnie może brzmieć atrakcyjnie, ale nie zmienia to faktu, że gdy minister ogłaszał rychłą gotowość aplikacji, umowa nawet nie była podpisana i społeczeństwo nie powinno się dowiadywać o tym po 2 latach.

W innym zaś miejscu PWPW uzasadnia, że zataja, skąd są eksperci bezpieczeństwa badający aplikację, żeby nie stali się celem ataku… Z moich doświadczeń wynika jednak coś przeciwnego: firmy zajmujące się testami bezpieczeństwa zwykle chętnie chwalą się takimi zleceniami i ich wynikami, szczególnie jeśli dotyczą one podmiotów takich jak PWPW. To zazwyczaj zleceniodawcy decydują o tym, czy coś ma pozostać tajemnicą.

Przełom

Pełny obraz sytuacji zyskuję, gdy to COI przekazuje całą umowę 285/C/DTC/23 z PWPW (krzyżowe pytania!). System rzeczywiście stworzyło PWPW i wspierało go do listopada 2024 roku. Po wygaśnięciu umowy firma nie chciała się do tego przyznać. Sama umowa nie kryje większych niespodzianek – jest typowa dla branży IT, choć mało mówi o założeniach projektu. Wyjątkiem jest jedno: minister Cieszyński wiedział, że aplikacja nie będzie udostępniana na wybory uzupełniające, co narusza przepisy Kodeksu wyborczego, które sam napisał. Za niedoróbki ciężko winić też COI czy PWPW – umowa została podpisana na ostatnią chwilę, więc praca „na kolanie” była wkalkulowana przez zleceniodawcę.

Technicznie rzecz biorąc, cała ta aplikacja wygląda jak narzędzie do przesyłania zdjęć do chmury Google. Innymi słowy, za miliony złotych osiem osób (w tym ja) dostało gorszy odpowiednik Dysku Google – tylko że pod kluczem u ministra.

Jednocześnie treść umowy pokazuje, że PWPW nie miała powodów, żeby zasłaniać się tajemnicą, może poza przedstawieniem rzeczywistych kosztów, które poniosła. Pozostałe informacje nie tylko nie miały większej wartości, ale dodatkowo zleceniodawcy nie uznali ich za na tyle ważne, by utrzymywać je w tajemnicy (a kto, jeśli nie właściciel usługi, wie, czy warto ją chronić, czy nie?).

Czy wyciągniemy z tego lekcję?

Tymczasem część klasy politycznej i coraz więcej technicznie obytych obywateli chce wprowadzenia cyfryzacji do wyborów pełną parą. Prawdą rzeczywiście jest, że stanowczo bardziej restrykcyjnie trzeba podchodzić do kwestii głosowania elektronicznego, pewnie niektóre sprawy byłyby zupełnie inaczej w takim przypadku zaplanowane i wyegzekwowane. Tylko czy skoro nie potrafimy jako państwo zrobić stosunkowo prostej aplikacji, to czy powinniśmy się brać za bardziej wymagające pomysły? Moim zdaniem “Mąż zaufania” pokazuje jak w soczewce problemy cyfryzacji, zwłaszcza systemów wyborczych, szczególnie rozrost schematów w 3 dziedzinach: wybory jako przedsięwzięcie organizacyjne i fenomen społeczny, prawo i technologię. Ciężko te schematy zmienić, więc trzeba je chociaż ze sobą “zazębić”. 

Ja zaś zniesmaczony całą historią tajemniczego zaufanego męża przekazuję potomnym przepis na katastrofę wyborczą*:

Składniki:

  • 1 ambitny minister
  • ćwierć wątpliwego pomysłu
  • 1 klauzula poufności (najlepiej bez jasnych granic)
  • 3 garści technicznych tajemnic
  • 2 szklanki urzędniczej biurokracji
  • garść zatyczek “bo RODO”
  • 2 łyżki proceduralnych dziwactw
  • 1 wywiad
  • 5 łyżek obiecanek bez konkretów
  • szczypta poczucia winy (najlepiej nie do wyczucia)
  • 100 spotkań za zamkniętymi drzwiami i bez ekspertów
  • 1 garść przekonania, że “wszystko da się zrobić na ostatnią chwilę”

Przygotowanie:

  1. Rozpocznij od ambitnego ministra. Upewnij się, że ma wielkie plany i nasącz wizją ćwiartki pomysłu. Upewnij się przy tym, że ma za mało konkretów, by ktokolwiek wiedział, jak je zrealizować. Pomysł najlepiej taki, który nie będzie miał żadnego rzeczywistego wpływu, ale sprawi wrażenie, że coś się dzieje.
  2. Wymieszaj klauzulę poufności. Niech będzie jak najbardziej niejasna — wystarczy, że brzmi poważnie. Daj jej pierwszorzędną rolę, aby przykryć wszystkie pozostałe działania.
  3. Zagotuj techniczne tajemnice. Im bardziej skomplikowane i nowocześnie brzmiące, tym lepiej! Zamiast konkretnych rozwiązań technicznych wrzuć garściami domysły, które mają sprawiać wrażenie, że wszystko jest pod kontrolą.
  4. Dołóż urzędniczą biurokrację. Dwie szklanki powinny wystarczyć, by wszystkie dokumenty zaczęły ginąć w stertach papierów, a proste decyzje były podejmowane tylko po miesiącu lub dwóch.
  5. Dodaj zatyczki “bo RODO”. Oczywiście, to świetny sposób, by uniknąć ujawniania czegokolwiek, a jednocześnie wyjść na odpowiedzialnych i zgodnych z przepisami.
  6. Wymieszaj z procedurami dziwactw. Upewnij się, że każda próba zrozumienia procedur kończy się ścianą biurokratycznych absurdów. To zapewni, że nikt nie zrozumie, kto za co odpowiada.
  7. Dodaj wywiad. Idealnie, jeśli będzie to wywiad, który nic nie wnosi, ale dobrze brzmi w mediach. Może być pełen ogólnych deklaracji i żadnych konkretów.
  8. Posyp obietnicami bez konkretów. Dzięki pięciu łyżkom obiecanek masz pewność, że wszyscy będą czekać na coś, co nigdy się nie wydarzy. To idealny sposób na złudzenie aktywności.
  9. Dopraw szczyptą poczucia winy. Poczucie winy jest ważne, ale najlepiej, by było na tyle niewidoczne, żeby nikt go nie zauważył — chociaż zawsze warto je zasugerować w razie pytań, żeby uczynić danie bardziej strawnym.
  10. Dodaj 100 spotkań bez ekspertów. W tym etapie zadbaj o to, by rozmowy trwały w nieskończoność, nikt kompetentny nie mógł na nie przyjść i nie wnosiły one żadnych konkretnych rozwiązań. Bez ekspertów na pokładzie każdy temat stanie się nie do rozwiązania.
  11. Pod koniec dodaj garść przekonania, że „wszystko da się zrobić na ostatnią chwilę”. Dzięki temu, że nikt nie będzie miał czasu na dokładne sprawdzenie planów, będzie można założyć, że na pewno wszystko się uda… tuż przed terminem. A dla błędów będzie idealne wytłumaczenie – już nie ma czasu na zmiany.
  12. Wstaw na wielką skalę. Najlepiej tuż przed dniem głosowania, gdy emocje sięgną zenitu!

I voilà! Katastrofa wyborcza gotowa do podania w atmosferze skandalu. Bon appétit (choć nie wszyscy będą zachwyceni tym daniem)!

Drodzy politycy! Następnym razem przygotujcie lepsze.

* Przepis napisała AI, może powinna pisać też przepisy ustawy? 😉

Podoba Ci się ten artykuł? Wesprzyj nasze działania darowizną.

Komentarze

  1. PIOTR SITNIEWSKI

    Świetny tekst

    Odpowiedź

Dodaj komentarz

Przed wysłaniem komentarza przeczytaj "Zasady dodawania i publikowania komentarzy".

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *