„Żołnierz RP” dla Wojska Polskiego. MON: nie ma obaw o bezpieczeństwo aplikacji

Na początku grudnia 2022 roku swoją premierę w Sklepie Play oraz App Store miała aplikacja „Żołnierz RP”, która została stworzona przez Wojsko Polskie, a konkretnie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC). 

Jak informowaliśmy, apka ma stanowić narzędzie informacyjne, gdzie zebrane są „wszystkie informacje dotyczące służby”, w tym np. kalkulatory uposażeń czy mieszkaniowy. Chodziło o stworzenie bezpiecznego i rzetelnego kanału komunikacji między resortem obrony a żołnierzami oraz osobami zainteresowanymi służbą. Dzięki temu aplikacja ma także pełnić funkcję instrumentu do walki z dezinformacją. 

Apkę może pobrać każdy ze Sklepu Play lub App Store, lecz nie do wszystkich jej opcji będziemy mieć dostęp. „Żołnierz RP” zawiera dodatkowe opcje, które są dedykowane wyłącznie dla zalogowanych członków Wojska Polskiego. 

Warto podkreślić, że przedstawicielom Sił Zbrojnych RP z automatu założono konta, dzięki czemu od samego początku mogą korzystać z pełnej funkcjonalności aplikacji. 

Skąd pomysł na aplikację?

Inicjatywa opracowania aplikacji wyszła z Centrum Operacyjnego MON (CO MON). Jak udało nam się ustalić, impulsem do jej stworzenia były zmiany geopolityczne oraz wejście w życie ustawy o obronie Ojczyzny. Chodziło o rozbudowę systemu komunikacji wewnętrznej MON. 

„CO MON wyszło z inicjatywą, aby funkcjonujący w systemach wewnętrznych portal informacyjny rozbudować o ogólnodostępną aplikację, w której każdy żołnierz może znaleźć rzetelne i sprawdzone informacje oraz interpretacje przepisów, a także ciekawe narzędzia przydatne żołnierzom w służbie” – mówi nam Centrum, które wypowiada się również w imieniu DKWOC. 

Drugim ważnym celem było stworzenie rozwiązania, „będącego poręcznym pakietem użytecznych narzędzi żołnierza”. MON chciał wyjść naprzeciw potrzebom tych, którzy „na co dzień służą w jednostkach, ćwiczą na poligonach i nie mają łatwego dostępu do wewnętrznych systemów resortowych”. 

Biorąc pod uwagę powyższe uwarunkowania, zdecydowano o opracowaniu aplikacji, która będzie dostępna na urządzeniach osobistych przedstawicieli Sił Zbrojnych RP. Efektem podjętych wysiłków jest właśnie „Żołnierz RP” (apki nie należy mylić z innym narzędziem „Zostań żołnierzem RP” dla kandydatów do wojska). 

Zadanie DKWOC

Pierwsze pomysły związane ze stworzeniem tego typu apki pojawiły się „wiele miesięcy temu”. Do pierwszych rozmów doszło na przełomie sierpnia i września 2022 r. Wtedy też projekt stworzenia aplikacji został zlecony DKWOC. Tak zaczęły się prace nad narzędziem komunikacyjnym dla żołnierzy. 

W działania zaangażowano grono ekspertów. „W Centrum Operacyjnym Ministra Obrony Narodowej był to zespół składający się z kilku osób z Wydziału Komunikacji Wewnętrznej. Natomiast ze strony DKWOC nad projektem pracował interdyscyplinarny zespół specjalistów IT i CYBER składający się z kilkunastu osób z różnych obszarów specjalizacji od inżynierii oprogramowania po testy penetracyjne” – wyjaśnia na naszych łamach CO MON. 

Jednak to aplikację pod kątem technicznym budowali wyłącznie eksperci DKWOC w oparciu o wykorzystanie posiadanych przez resort obrony zasoby (oprogramowanie, usługi, infrastrukturę). 

Aplikacja w trzy miesiące

Zanim „Żołnierz RP” został wydany do użytku, przeszedł testy funkcjonalne i bezpieczeństwa. Na początkowym etapie projektu resort obrony udostępnił prototyp w ramach wewnętrznej sieci i na wybranych telefonach zarządzanych przez ministerstwo. W ten sposób pierwsze wersje aplikacji trafiły na urządzenia pracowników CO MON i przedstawicieli DKWOC. 

Według naszych źródeł w strukturach armii aplikacja miała być skończona już w listopadzie 2022 r. Taki stan rzeczy potwierdza nam resort obrony, wskazując, że odłożono oficjalną premierę do grudnia ze względu na konieczność przeprowadzenia testów bezpieczeństwa.

„Pierwsze próbne uruchomienie (kilku etapowa procedura publikacji aplikacji w sklepach aplikacyjnych), w sklepie Google Play miało miejsce 1 grudnia 2022 r. natomiast oficjalna wersja aplikacji dostępna dla szerszego grona została udostępniona 4 grudnia” – podaje CO MON.

Podobna sytuacja miała miejsce w przypadku App Store: pierwsze uruchomienie 3 grudnia, a właściwa premiera – 4 grudnia.

Chmura zewnętrznego dostawcy

Znaczna część elementów potrzebnych do działania aplikacji bazuje na zasobach MON. Chodzi o m.in. serwery aplikacyjne, urządzenia bezpieczeństwa czy bazy danych. Jednak „Żołnierz RP” wykorzystuje również zewnętrzne mechanizmy uwierzytelniania (nie będące bezpośrednio elementem samej aplikacji, ale wykorzystujące uwierzytelnianie federacyjne w postaci usługi). 

„Komponenty związane z tym mechanizmem umieszczone zostały na zasobach chmurowych zewnętrznego dostawcy i w procesie autoryzacji wykorzystują zanonimizowane identyfikatory budowane w oparciu o losowe dane, wymagając kilkuskładnikowego uwierzytelnienia” – podkreśla CO MON. 

Jak deklaruje resort, dodatkowym mechanizmem zabezpieczenia jest to, że dostęp do danych w obszarze zarządzania (włączania, wyłączania kont oraz zmiany haseł) możliwy jest jedynie z wewnętrznych systemów ministerstwa przez administratorów lokalnych. Wszystko ma być ściśle monitorowane. 

Koszty stworzenia aplikacji

Zapytaliśmy CO MON o koszty związane z projektem „Żołnierz RP”. Stwierdzono, że nakłady wiązały się przede wszystkim z czasem „zaangażowanych osób, które ponadprzeciętnie zaangażowały się w projekt i przy bardzo krótkich iteracjach zbudowali prototyp, docelowy system i całe środowisko wdrożeniowe wraz z narzędziami wspierającymi”.

Wskazano, że zaprojektowanie i stworzenie apki nie wiązało się z koniecznością poniesienia dodatkowych kosztów. Praca nad „Żołnierz RP” wpisywała się w obowiązki służbowe żołnierzy DKWOC oraz przedstawicieli CO MON.

„Składowe elementy technologii i usług były dobierane z zasobów własnych oraz posiadanych usług” – wskazuje komórka MON.

Zgodnie z deklaracjami, podczas tworzenia apki starano się zminimalizować koszty związane z technicznym aspektem uruchomienia oraz utrzymania elementów wspierających aplikację, w tym aspektem uwierzytelniania użytkowników. W tym celu zaprojektowano specjalną architekturę i dopasowanie jej do wymogów licencyjnych zastosowanych rozwiązań. „Optymalizacja pozwoliła na zamknięcie kosztów w ramach posiadanych przez resort zasobów licencyjnych i godzin wsparcia technicznego” – mówi nam CO MON. W odpowiedzi na nasze pytania nie padły jednak żadne konkretne kwoty.

„Łakomy kąsek” dla zagranicznych służb. MON uspokaja

Aplikacja wywołuje ciekawość. Pojawiają się różne głosy dotyczące słuszności stworzenia tego typu rozwiązania dla żołnierzy RP. Nie brakuje również obaw dotyczących bezpieczeństwa użytkowników apki i ich danych. Pod naszym tekstem dotyczącym oficjalnego uruchomienia „Żołnierz RP” można znaleźć wpisy odnoszące się właśnie do tych kwestii. 

„No i już na celownik ruskich i chińskich hakerów wzieliście aplikację która może pomóc w namierzeniu naszych żołnierzy. No lepiej nie można tego rozegrać... (pisownia oryginalna – red.)” – czytamy w jednym z komentarzy naszego czytelnika, który w dalszej części domaga się złożenia od gen. bryg. Karola Molendy, dowódcy polskich cyberwojsk, obietnicy, że „nie dojdzie do przełamania zabezpieczeń i dokonania kompromitacji w ciągu najbliższych lat”. 

W innym wpisie stwierdzono: „Z jednej strony apka potrzebna po wpadce z rozkazami WOT, ale bezpieczeństwo będzie wyzwaniem. Służby wroga już próbują się tam dostać”. 

Zdaniem czytelników aplikacja to „łakomy kąsek” dla służb specjalnych innych państw. Nie ma co się dziwić takiemu myśleniu, ponieważ dane pochodzące z „Żołnierz RP” faktycznie mogą stanowić cenne źródło dla wroga. 

MON jednak deklaruje, że nie ma obaw, ponieważ apka została stworzona z myślą o potencjalnych cyberatakach. „Eksperci DKWOC są świadomi zagrożeń i przyjęte konstrukcje danych autoryzacyjnych były budowane tak, by minimalizować wszelkie ryzyka przejęcia takich zasobów. Były one technologicznie konsultowane w wielu zakresach od początku pracy nad projektem” – zapewnia na łamach naszego portalu CO MON. 

Podjęto decyzję, aby w ramach aplikacji, nie przetwarzać żadnych danych osobowych. W apce nie da się dodawać swoich danych osobowych, a „sam system nie korzysta z żadnych danych poza identyfikatorem logowania użytkownika”.

Co więcej, w „Żołnierz RP” nie wdrożono np. opcji konfiguracji profilu. „Dane do formularzy za każdy razem należy wprowadzać od początku. Jest to zabieg celowy” – mówi CO MON, mając na uwagę, że wpływa to na wygodę użytkowników. 

Priorytetem ma być bezpieczeństwo, m.in. w przypadku zgubienia telefonu przez żołnierza. „Uruchomienie aplikacji przez osobę niepowołaną nie pozwoli na pozyskanie żądnych informacji o żołnierzu” – podkreśla resort obrony na łamach naszego portalu.

Istotną kwestią w tym obszarze jest również to, że apka została stworzona w oparciu o technologie hybrydowe, ograniczając dostęp do wielu funkcji urządzenia mobilnego. 

Jak deklaruje jednostka MON: „Konstruując aplikację, wybierając stos technologiczny, ograniczając również niektóre funkcje, zależało nam na ochronie prywatności użytkowników i możliwości śledzenia ich działań w aplikacji ograniczając się jedynie do statystyk sklepów aplikacyjnych prezentujących parametry zasięgu i popularności aplikacji oraz rejestru ewentualnych błędów”.

Nowa aktualizacja

W ubiegłym tygodniu udostępniono aktualizację aplikacji. W nowej wersji oferuje ona m.in. ulepszone kalkulatory, wojskowe placówki medyczne z aktualnymi danymi kontaktowymi, kalendarz ze świętami państwowymi i wojskowymi.

Zgodnie z deklaracjami usunięto także dotychczasowe błędy zgłaszane przez użytkowników.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].