Co pokazuje opinia CSIRT MON o kodzie mObywatela?

Pierwotne brzmienie ustawy o aplikacji mObywatel zakładało opublikowanie kodu źródłowego w ciągu roku od wejścia w życie tego aktu prawnego (art. 82 tekstu ogłoszonego). Ustawa zaczęła obowiązywać od 14 lipca 2023 r., lecz po upływie roku nie doszło do publikacji kodu aplikacji – 1 lipca 2024 r. weszła w życie… ustawa o pomocy obywatelom Ukrainy, która zmieniła dotychczasowe brzmienie artykułu 82 Ustawy o mObywatelu. Obecnie obowiązujący zapis brzmi następująco:

Minister właściwy do spraw informatyzacji, po uzyskaniu opinii CSIRT GOV, CSIRT MON i CSIRT NASK, o których mowa w art. 2 pkt 1–3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r. poz. 1077), udostępni w Biuletynie Informacji Publicznej na swojej stronie podmiotowej kod źródłowy aplikacji mObywatel w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel.
Art. 81a Ustawy o aplikacji mObywatel

Opinie o kodzie

Na początku sierpnia 2024 roku zarówno CSIRT GOV i CSIRT MON, nadzorowane kolejno przez ABW i DKWOC, nie otrzymały prośby o sporządzenie opinii, co opisywaliśmy na łamach naszego portalu.

We wrześniu ubiegłego roku COI przekazało nam, że 20 sierpnia 2024 r. odbyło się spotkanie z CSIRT-ami poziomu krajowego. Pod koniec grudnia opinie CSIRT ABW oraz CSIRT NASK były w przygotowaniu. Jednocześnie nadano im klauzule tajności.

7 sierpnia 2025 roku w artykule wyborcza.biz poinformowano, że do Ministerstwa Cyfryzacji wpłynęły wszystkie wymagane opinie dotyczące publikacji kodu.

„Ministerstwo Cyfryzacji przekazało Wyborczej.biz, że »dokona wszelkich starań, aby kod źródłowy mObywatela został opublikowany do końca listopada br.«” – stwierdzono wówczas w artykule.

Chwała dociekliwym

24 października br. portal kontrabanda.net opublikował artykuł, będący analizą opinii CSIRT MON, uzyskanej w ramach dostępu do informacji publicznej.

„Ministerstwo Cyfryzacji poinformowało mnie jednak w swojej odpowiedzi, że ekspertyzy CSIRTów GOV oraz NASK zostały uznane za tajemnicę państwową »wskutek zawartego tam materiału«, więc ostatecznie dostałem kopię ekspertyzy tylko od Ministerstwa Obrony Narodowej” – stwierdził Oliwier Jaszczyszyn, redaktor naczelny serwisu.

Co ważne, w artykule zawarto link do opinii CSIRT MON, dzięki czemu każdy może samodzielnie przeanalizować wspomniany dokument, do czego zachęcamy.

Treść opinii

„Jednakże, zdaniem CSIRT MON takie udostępnienie powinno umożliwiać jedynie wgląd w kod (bez możliwości pobierania) oraz zapewnić pełną rozliczalność użytkowników (np. logowanie z wykorzystaniem profilu zaufanego lub potwierdzenia aplikacją mObywatel, a jego dostępność powinna zostać ograniczona tylko do obywateli RP” – stwierdzono w opinii sygnowanej przez ówczesnego szefa CSIRT MON, płk Piotra Socika.

Takie działanie może znaleźć swoich zwolenników, lecz warto przy tym dodać, że umożliwianie wglądu w kod bez możliwości pobierania wydaje się nieco karkołomnym zadaniem.

„Choć jest to technicznie możliwe, to raczej powątpiewałbym w to, że jakikolwiek publicznie dostępny serwis do udostępniania kodu by umożliwiał wyłączenie możliwości jego pobierania. (…) Oznaczałoby to, że Ministerstwo Cyfryzacji, jeżeli chciałoby takie zalecenie wdrożyć w całości w życie, ostatecznie musiałoby się zdecydować na samodzielnie utrzymywany tego typu serwis” – stwierdzono w artykule Kontrabandy.

Co jednak ważne, CSIRT MON wyraził zgodę na publikację kodu. Zaznaczono przy tym konieczność ponownej analizy kodu w celu usunięcia „zbędnych/nadmiarowych informacji”. Stwierdzino również, że pomimo pewnych zagrożeń, publikacja kodu mObywatela może pozytywnie wpłynąć na bezpieczeństwo aplikacji dzięki analizie kodu przez „internuatów”. Podkreślono też aspekt zwiększenia zaufania do aplikacji wśród obywateli.

Zagrożenia

W opinii CSIRT MON wyróżniono konkretne zagrożenia wobec publikacji kodu w obecnej formie, takie jak m.in.:

• informacje o programistach aplikacji frontend;
• informacje dotyczące bibliotek na serwerach backendowych;
• nieużywany kod (dead-code);
• supply-chain attack (atak na łańcuch dostaw);
• atak na twórców aplikacji.

Co dalej?

Szkoda, że opiniom NASK oraz ABW nadano klauzulę tajności wobec jawnej opinii DKWOC-u. Nie pozwala to poznać opinii innych CSIRT-ów, równie ważnych dla kodu mObywatela.

Do planowanej publikacji kodu, według artykułu wyborcza.biz, został maksymalnie nieco ponad miesiąc. Miejmy nadzieję, że Ministerstwo Cyfryzacji wywiąże się z danego słowa. Będziemy czuwać nad procesem publikacji kodu.

Warto dodać, że ukraińska Diia, odpowiednik mObywatela, dostępny jest na GitHubie. Umożliwia to sugerowanie zmian przez każdego zainteresowanego. Kod mObywatela zostanie najprawdopodobniej udostępniony jedynie w BIP.

Idea „public money, public code” powinna uwzględniać określenie licencji, na jakiej zostanie udostępnione oprogramowanie, co podkreślała Nicole Mikołajczyk. Obecnie nie wiemy, czy kod będzie umożliwiał m.in. ponowne użycie.

Kontrowersyjne są również próby rozliczalności dostępu do kodu źródłowego czy ograniczania jego dostępu do obywateli RP. Ciężko znaleźć jednoznaczne przesłanki ku temu, aby otwartoźródłowy kod wymagał jasnego wskazania, że „Jan Kowalski uzyskał dostęp do kodu, dnia 17 stycznia 2029 r. o godz. 21:37”. Z założenia otwartoźródłowy kod jest… otwarty, bez „kontroli wejścia”.

Choć w open-source’owym świecie zdarzają się poważne incydenty, np. zeszłoroczny backdoor w linuksowym xz, nawet CSIRT MON podkreśliło wpływ otwarcia kodu na zaufanie obywateli do aplikacji.

Przy dostatecznie dużej liczbie patrzących oczu, każdy błąd (w programie komputerowym) jest niegroźny.
Eric S. Raymond, Wikicytaty