Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Kod źródłowy mObywatela. Co z jego publikacją?

Data publikacji kodu źródłowego mObywatela pozostaje nieznana
Data publikacji kodu źródłowego mObywatela pozostaje nieznana
Autor. Pixabay.com

Publikacja kodu źródłowego aplikacji mObywatel to ustawowy obowiązek, spoczywający na ministrze właściwym ds. informatyzacji (ministrze cyfryzacji). Nowelizacja ustawy o pomocy obywatelom Ukrainy z maja 2024 roku wprowadziła wymóg uzyskania opinii CSIRT GOV, CSIRT MON i CSIRT NASK przed udostępnieniem kodu apki. Aktualnie resort nie uzyskał ocen w tej sprawie.

Pierwotne brzmienie ustawy o mObywatelu w art. 82 zakładało udostępnienie kodu w ciągu roku od wejścia w życie ustawy, co miało miejsce 14 lipca 2023 r.

Z kolei 1 lipca 2024 r. weszła w życie ustawa o zmianie ustawy o pomocy obywatelom Ukrainy (z 15 maja 2024 r.), która wprowadziła obowiązek uzyskania opinii uprzednio wymienionych CSIRT-ów (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego), a art. 82 został wykreślony. Obecnie obowiązujący art. 81a ustawy o mObywatelu stanowi:

„1. Minister właściwy do spraw informatyzacji, po uzyskaniu opinii CSIRT GOV, CSIRT MON i CSIRT NASK, o których mowa w art. 2 pkt 1–3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r. poz. 1077), udostępni w Biuletynie Informacji Publicznej na swojej stronie podmiotowej kod źródłowy aplikacji mObywatel w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel.

2. Minister właściwy do spraw informatyzacji ogłasza w Dzienniku Urzędowym „Monitor Polski” komunikat określający dzień udostępnienia kodu źródłowego aplikacji mObywatel.”

Na łamach CyberDefence24.pl informowaliśmy o tym, że nie przewiduje się publikacji kodu uwzględniającej systemy kontroli wersji. Takie rozwiązanie wykorzystuje Diia, ukraińska odpowiedniczka mObywatela, która jest hostowana na GitHubie – dzięki temu każdy zainteresowany może sugerować stosowne poprawki oprogramowania.

Czytaj też

Reklama

Rozwój prac

W sierpniu 2024 r. uzyskaliśmy stanowiska ABW oraz DKWOC w sprawie publikacji kodu źródłowego aplikacji. Wówczas podmioty odpowiedzialne za CSIRT MON i CSIRT GOV przekazały, że dotychczas nie otrzymały prośby od Ministerstwa Cyfryzacji o sporządzenie stosownej opinii.

Czytaj też

Miesiąc później otrzymaliśmy stanowisko Centralnego Ośrodka Informatyki w tej sprawie. COI poinformowało, że 20 sierpnia 2024 r. odbyło się spotkanie Ministerstwa Cyfryzacji z CSIRT-ami, poświęcone publikacji kodu źródłowego mObywatela.

Czytaj też

Stanowisko Ministerstwa Cyfryzacji

Pod koniec grudnia ubiegłego roku Ministerstwo Cyfryzacji odpowiedziało na nasze pytania dot. publikacji kodu źródłowego. Przekazano nam, że ministerstwo „czeka na opinię zespołów CSIRT w sprawie publikacji kodu źródłowego aplikacji mObywatel.” Ministerstwo Cyfryzacji podkreśliło również, że dopiero po otrzymaniu opinii od CSIRT-ów może kontynuować prace.

Resort Krzysztofa Gawkowskiego zaznacza również, że opinie CSIRT-ów nie będą publikowane oraz określenie daty publikacji kodu wymaga uprzednich analiz. „Warto zaznaczyć, że ustawa nie przewiduje publikacji opinii wydanych przez CSIRT-y. Publikacja kodu wymaga odpowiednich analiz i zabezpieczeń, dlatego szczegóły i termin będą ustalane po uzyskaniu opinii od zespołów CSIRT.” – dodaje ministerstwo.

Reklama

Stanowiska NASK i ABW

NASK podkreśla, że opinii nadano klauzulę niejawności oraz trwają nad nią prace. „Opinia CSIRT NASK w zakresie udostępnienia kodu aplikacji mObywatel jest w przygotowaniu (nie została jeszcze przekazana ministrowi cyfryzacji).” - przekazało nam NASK.

Agencja Bezpieczeństwa Wewnętrznego podkreśliła, że również podejmuje działania, których celem ma być przekazanie opinii.

„Trwają prace uzgodnieniowe między Ministerstwem Cyfryzacji a CSIRT GOV” – twierdzi ABW.

Agencja podkreśliła również, że opinia będzie przekazana bezpośrednio do Ministerstwa Cyfryzacji i nie będzie podawana do publicznej wiadomości, ponieważ ma niejawny charakter.

Czytaj też

Podsumowanie

Ustawa nie określa daty publikacji kodu. Miejmy nadzieję, że kod źródłowy ujrzy światło dzienne w jak największym spektrum, ponieważ nowelizacja ustawy zakłada udostępnienie kodu w zakresie „niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel.” Pozostaje wierzyć, że CSIRT-y niezwłocznie przedstawią rzetelne i obszerne opinie.

Otwartoźródłowe oprogramowanie pozwala na wykrywanie wielu różnego rodzaju podatności. Taka sytuacja miała miejsce na przełomie marca i kwietnia 2024 roku, gdy jeden z badaczy odkrył backdoora ukrytego w wielu dystrybucjach Linuksa.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Haertle: Każdego da się zhakować

Materiał sponsorowany

Komentarze

    Reklama

    Czytaj także

    Ransomware-as-a-service stale stanowi zagrożenie
    #CyberMagazyn: Ransomware jako usługa (RaaS). Co to znaczy?
    Szef CERT Polska: W 2025 więcej kampanii z wykorzystaniem głosu i wizerunku
    Wybuch Cybertrucka pod hotelem Trumpa. Ustalono tożsamość ofiary
    USA chcą wprowadzić kolejne regulacje dot. bezpieczeństwa narodowego
    USA chcą zaostrzyć przepisy ws. zagranicznych technologii. Chodzi o drony
    Co robi kierowca w ciągu dnia? Producent auta to wie
    Siri miała podsłuchiwać prywatne rozmowy użytkowników
    Siri nagrywała prywatne rozmowy
    Wyciek zdjęć dotyczy również Polaków
    Zdjęcia twarzy i dokumentów ponad 150 osób trafiły do sieci
    W 2025 nie będzie odpoczynku w cyberbezpieczeństwie