Kod źródłowy mObywatela. Tylko NASK nie przekazał opinii

Pierwotnie kod mObywatela miał być opublikowany w przeciągu roku od wejścia w życie Ustawy z dnia 26 maja 2023 r. o aplikacji mObywatel. Art. 82 tekstu ogłoszonego brzmi następująco:

„Minister właściwy do spraw informatyzacji po raz pierwszy udostępni kod źródłowy aplikacji mObywatel w Biuletynie Informacji Publicznej na swojej stronie podmiotowej w terminie 12 miesięcy od dnia wejścia w życie niniejszej ustawy”.

Wspomniany akt prawny wszedł w życie 14 lipca 2023 r. Po roku nie poznaliśmy kodu źródłowego aplikacji, ponieważ 1 lipca 2024 r. zaczęła obowiązywać Ustawa z dnia 15 maja 2024 r. o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz niektórych innych ustaw, która uchyliła art. 82 Ustawy o aplikacji mObywatel, zastępując go art. 81a o następującym brzmieniu:

„Minister właściwy do spraw informatyzacji, po uzyskaniu opinii CSIRT GOV, CSIRT MON i CSIRT NASK, o których mowa w art. 2 pkt 1–3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913 i 1703), udostępni w Biuletynie Informacji Publicznej na swojej stronie podmiotowej kod źródłowy aplikacji mObywatel w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel”.

Losy opinii CSIRT-ów

Artykuł 81a ustawy o mObywatelu nie precyzuje tego, kiedy kod źródłowy aplikacji zostanie opublikowany. Nie nakłada również na CSIRT-y obowiązku sporządzenia opinii w określonym czasie.

Na początku sierpnia 2024 r. CSIRT GOV (prowadzony przez ABW) i CSIRT MON (prowadzony przez DKWOC) nie otrzymały prośby o sporządzenie stosownej opinii. Dzięki COI wiemy jednak, że 20 sierpnia odbyło się spotkanie Ministerstwa Cyfryzacji z wymienionymi podmiotami.

„Każda rzetelna analiza kwestii związanych z bezpieczeństwem wymaga czasu. Z tego względu Ustawa (o aplikacji mObywatel – przyp. red.) nie nakłada na ministra cyfryzacji terminu publikacji kodu” – przekazał nam wówczas Centralny Ośrodek Informatyki.

Pod koniec grudnia ubiegłego roku opinie CSIRT ABW oraz CSIRT NASK były w przygotowaniu. Dowiedzieliśmy się jednak, że dokumentom nadano klauzulę tajności, wobec czego ich treść nie będzie publicznie znana.

Kontrowersje wokół kodu

7 maja 2025 roku Sieć Obywatelska Watchdog opublikowała relację z konferencji „The Future is Data. Przyszłość to dane”, zorganizowanej przez Ministerstwo Cyfryzacji, w ramach polskiej prezydencji w Radzie Unii Europejskiej. Zawarto w niej następujące stwierdzenie:

W kuluarach minister Gawkowski potwierdził, że pomimo wcześniejszych deklaracji i zobowiązań prawnych, kod mObywatela nie zostanie upubliczniony. Powodem mają być względy bezpieczeństwa, w tym niespokojny krajobraz cyberwojny.
Sieć Obywatelska Watchdog

Obawy dotyczące potencjalnych zagrożeń związanych z publikacją kodu mObywatela na przykładzie aplikacji Diia, ukraińskiego odpowiednika mObywatela, wyrażał również dyrektor COI Radosław Maćkiewicz. Sprawę szerzej opisaliśmy w odrębnym artykule.

19 maja br. wysłaliśmy pytania do wyżej wymienionych instytucji. Do momentu publikacji niniejszego artykułu nie dostaliśmy odpowiedzi. Gdy otrzymamy stanowiska Ministerstwa Cyfryzacji i Centralnego Ośrodka Informatyki, opublikujemy je na naszych łamach.

Przekazane opinie

Zapytaliśmy CSIRT-y poziomu krajowego o to, czy przekazały opinie dotyczące publikacji kodu źródłowego do Ministerstwa Cyfryzacji. Zespół Prasowy ABW poinformował nas, że CSIRT GOV 15 stycznia 2025 roku przesłał do resortu opinię dotyczącą możliwości publikacji kodu źródłowego aplikacji. ABW ponownie podkreśliło, że opinia ma niejawny charakter.

Rzecznik Dowództwa Komponentu Wojsk Obrony Cyberprzesterzeni ppłk Przemysław Lipczyński również zapewnił, że „CSIRT MON przygotował wskazaną w pytaniu opinię oraz przekazał ją do Ministerstwa Cyfryzacji”. Jak dodał, z chwilą przekazania opinii jej dysponentem stał się resort Krzysztofa Gawkowskiego.

NASK i opinia o kodzie mObywatela

Nie wszystkie opinie zostały przekazane Ministerstwu Cyfryzacji. Zespół Public Relations i Komunikacji Zewnętrznej NASK przekazał nam, że opinia o publikacji kodu źródłowego mObywatela „jest w przygotowaniu” - nie została do tej pory przekazana do resortu.

Kwestie dotyczące m.in. treści opinii są objęte klauzulą niejawności, podobnie jak w przypadku dokumentów opracowanych przez pozostałe CSIRT-y.

„Piłka” po stronie NASK-u

Przysłowiowa „piłka” jest obecnie po stronie NASK – to od uzyskania opinii CSIRT NASK zależy przyszłość kodu mObywatela. Miejmy nadzieję, że Instytut nie będzie zwlekał z przekazaniem stosownych dokumentów do resortu Krzysztofa Gawkowskiego.

Opublikowanie kodu mObywatela jest ważne, m.in. dla budowania zaufania do państwa, szczególnie potrzebnego wobec ostatnich wydarzeń wokół emisji kontrowersyjnych spotów na platformie od Meta, którym poświęcono ostatnie posiedzenie sejmowej Komisji Cyfryzacji.

Otwartoźrodłowy kod ma wiele zalet, choć oczywiście nie jest wolny od zagrożeń, co opisali dla nas eksperci w maju 2024 roku. Nie bez powodu jego upublicznienie jest wymogiem ustawowym.

Zakres kodu „niezagrażający bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel” dałby specjalistom możliwość na rzetelną i obszerną analizę. Ministerstwo Cyfryzacji najprawdopodobniej nie udostępni kodu na GitHubie, co pozwoliłoby m.in. sugerowanie poprawek.

Będziemy bacznie przyglądać się sprawie publikacji kodu mObywatela.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].