Kod mObywatela nie będzie publiczny? Obawy COI, opinie CSIRT-ów i „kuluarowe rozmowy”

Artykuł 82 Ustawy z dnia 26 maja 2023 r. o aplikacji mObywatel brzmiał następująco:

„Minister właściwy do spraw informatyzacji po raz pierwszy udostępni kod źródłowy aplikacji mObywatel w Biuletynie Informacji Publicznej na swojej stronie podmiotowej w terminie 12 miesięcy od dnia wejścia w życie niniejszej ustawy”.

Wspomniany akt prawny wszedł w życie 14 lipca 2023 roku. Kod nie został upubliczniony, ponieważ 1 lipca 2024 roku (13 dni przed ustawową koniecznością publikacji) weszła w życie Ustawa z dnia 15 maja 2024 r. o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz niektórych innych ustaw. Artykuł 11 wspomnianej ustawy uchylił przytoczony wcześniej art. 82 Ustawy o mObywatelu, zastępując go art. 81a o następującej treści:

„Minister właściwy do spraw informatyzacji, po uzyskaniu opinii CSIRT GOV, CSIRT MON i CSIRT NASK, o których mowa w art. 2 pkt 1–3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913 i 1703), udostępni w Biuletynie Informacji Publicznej na swojej stronie podmiotowej kod źródłowy aplikacji mObywatel w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel”.

Po upływie 10 miesięcy nadal nie ujrzeliśmy kodu mObywatela.

Stan na styczeń 2025 roku

W sierpniu 2024 r. dowiedzieliśmy się, że CSIRT MON i CSIRT GOV nie uzyskały prośby od Ministerstwa Cyfryzacji o sporządzenie stosownej opinii. W styczniu br. CSIRT-y nadal nie dostarczyły stosownych dokumentów, na które oczekuje resort Krzysztofa Gawkowskiego. Podkreślono przy tym, że opinie nie będą jawne.

Niewykluczone, że CSIRT-y i Ministerstwo Cyfryzacji wraz z COI prowadzą intensywne prace ku publikacji kodu – nie znamy szczegółowych działań tych instytucji. Jednak za kulisami miały paść ważne słowa ze strony ministra,

„Kod źródłowy aplikacji mObywatel nie zostanie upubliczniony”

28 i 29 kwietnia miała miejsce konferencja „The Future is Data. Przyszłość to dane”, zorganizowana przez Ministerstwo Cyfryzacji w ramach polskiej prezydencji w Radzie Unii Europejskiej. Sieć Obywatelska Watchdog w artykule poświęconym wydarzeniu przekazała:

W kuluarach minister Gawkowski potwierdził, że pomimo wcześniejszych deklaracji i zobowiązań prawnych, kod mObywatela nie zostanie upubliczniony. Powodem mają być względy bezpieczeństwa, w tym niespokojny krajobraz cyberwojny.
Sieć Obywatelska Watchdog

Oczywiście nie jest to oficjalne stanowisko Ministerstwa Cyfryzacji, lecz pozostaje mocno niepokojące pod kątem dostępu obywateli do kodu mObywatela. Pytania dotyczące tego aspektu wysłaliśmy do Ministerstwa Cyfryzacji – odpowiedzi zamieścimy w kolejnym artykule.

COI ma obawy

W pesymistycznym tonie wypowiadał się również Radosław Maćkiewicz, dyrektor Centralnego Ośrodka Informatyki (COI). W rozmowie z Polską Agencją Prasową stwierdził:

„Zgodnie z prawem musimy posiadać opinię CSIRT GOV, CSIRT MON i CSIRT NASK. Wystąpiliśmy o opinie kilka miesięcy temu, mamy też szereg spotkań z odpowiednimi instytucjami. Teraz czekamy na informację zwrotną, czy i w jakim zakresie możemy taki kod źródłowy upublicznić, bo pojawia się wiele głosów, że wiąże się to ze zbyt dużym ryzykiem dla bezpieczeństwa naszych systemów”.

Jedna awaria kodu niebezpiecznym nie czyni

W dalszej części depeszy PAP możemy przeczytać:

„Dodał (Dyrektor COI – przyp. red.), że w Ukrainie, gdzie na otwartym kodzie działa aplikacja Diia, „doszło do złamań dostępu do systemów rządowych”, a COI „zastanawia się”, czy mogło mieć na to wpływ opublikowanie kodu źródłowego”.

W grudniu 2024 roku rosyjska grupa XakNet zaatakowała NAIS (ukraiński Narodowy System Informacyjny), co pozwoliło na przeniknięcie do infrastruktury Ministerstwa Sprawiedliwości Ukrainy. Incydent skutkował zaprzestaniem działania wielu usług oraz wyciekiem danych setek tysięcy Ukraińców, co opisywaliśmy na naszym portalu.

Jedną z niedostępnych usług była Diia, lecz to nie ona była celem ataku – jej działanie zostało wstrzymane wskutek ataku na inny podmiot. W artykule The Kyiv Independent możemy przeczytać:

„Ministerstwo Sprawiedliwości poinformowało, że wszystkie państwowe rejestry są już gotowe do pracy, jednak dostęp do części z nich pozostaje ograniczony, ponieważ dane wymagają jeszcze aktualizacji. Dostęp do usług rządowych poprzez aplikację Diia będzie możliwy w niedalekiej przyszłości – przekazało ministerstwo 20 stycznia”.

Ofiarą tzw. defacementu w 2022 roku była strona diia.gov.ua, lecz nie sama aplikacja. SBU na łamach BBC potwierdziło, że wówczas nie doszło do wycieku danych. Ministerstwo Cyfryzacji Ukrainy zaprzeczyło również rzekomemu wyciekowi danych z aplikacji, który miał mieć miejsce w 2022 roku – informacje miały być zlepkiem różnych baz danych.

Obecnie nic nie wskazuje bezpośrednio na to, że otwarcie kodu źródłowego Diia miało wpływ na cyberataki na systemy rządowe Ukrainy. Miejmy nadzieję, że wspomniana kwestia nie będzie dominować w narracji o upublicznieniu kodu mObywatela – choć oczywiście analiza zagrożeń jest potrzebna.

Pytania dotyczące tego aspektu wysłaliśmy do COI – odpowiedzi zamieścimy w kolejnym artykule. Wierzymy, że Centralny Ośrodek Informatyki nie miał złej woli, powołując się na wydarzenia w Ukrainie, lecz kwestia otwartoźródłowego kodu wymaga doprecyzowania.

Społeczność wspiera Diia

Możemy znaleźć ogólnodostępne przykłady tego, że społeczność wspiera Diia. Kod aplikacji dostępny jest na GitHubie - oczywiście okrojony z pewnych elementów (m.in. związanych z szyfrowaniem), co związane jest z bezpieczeństwem aplikacji.

Prostym przykładem zmian może być np. poprawienie błędów językowych w interfejsie aplikacji. Oczywiście zmiany kosmetyczne nie są jedynymi poprawkami.

Przykładowo, 22 marca 2024 r. użytkownik EvgenyKarkan zauważył wyciek pamięci (ang. memory leak) w aplikacji na IOS. Na GitHubie zawarto informację, że stosowna poprawka zostanie wdrożona w kolejnej wersji aplikacji.

Niepublikowanie kodu nie równa się tajemnicy

Można pomyśleć, że brak publikacji kodu źródłowego oznacza, że żadne informacje o działaniu aplikacji nie ujrzą światła dziennego. Takie podejście jest błędne, co udowodnił Informatyk Zakładowy we wpisie na X. W odpowiedzi na bardzo interesujący artykuł Bezpieki o mObywatelu wykazał, że funkcja do potwierdzania naszej tożsamości podczas wyborów była dostępna już w połowie kwietnia.

Podejście „security by obscurity” (tłumaczone m.in. jako „bezpieczeństwo przez niejawność”) w tym przypadku nie spełniło swojej roli. Choć ryzyko masowego fałszowania wyborów przez wspomnianą funkcjonalność mObywatela jest nikłe, warto mieć świadomość, że ekran z potwierdzeniem danych był możliwy do odtworzenia na długo przed głosowaniem.

W oczekiwaniu na kod

Wciąż nie znamy daty publikacji kodu mObywatela. Szkoda, ponieważ aplikacja jest bardzo przydatna w codziennym życiu wielu obywateli, zaś opublikowanie kodu mogłoby zwiększyć zaufanie do aplikacji oraz Państwa.

Otwarty kod nie gwarantuje stuprocentowego bezpieczeństwa, co pokazała zeszłoroczna podatność w xz. Jest jednak krokiem w dobrym kierunku, a dodatkowo – jest to wymagane obecną wersją Ustawy o mObywatelu.

Warto przytoczyć wpis na X wiceministra cyfryzacji Michała Gramatyki z maja 2024 roku, który opowiadał się za publikacją kodu na zasadach podobnych do ukraińskiej Diia. Niestety – po roku dalej nie zobaczyliśmy kodu aplikacji. Miejmy nadzieję, że ten stan rzeczy niedługo się zmieni, nawet jeśli poznamy jedynie okrojoną wersję kodu.

Wysłaliśmy pytania o publikację kodu mObywatela do Ministerstwa Cyfryzacji, COI i CSIRT-ów poziomu krajowego. Odpowiedzi na pytania zamieścimy w kolejnym artykule.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]