Z udostępnionych przez Ministerstwo Cyfryzacji (MC) fragmentów kodu źródłowego mObywatela nie możemy wywnioskować, czy aplikacja nie posiada np. funkcji monitorowania, ministerstwo nie wykazało się przejrzystością – stwierdzili dla PAP specjaliści ds. cyberbezpieczeństwa: Adam Haertle, Tomasz Zieliński, Beata Zalewa oraz Łukasz Olejnik.
29 grudnia 2025 r. resort cyfryzacji ogłosił, że opublikował „kod źródłowy aplikacji mObywatel”. Fragmenty kodu umieszczono w biuletynie informacji publicznej MC. By je obejrzeć, trzeba było najpierw zweryfikować swoją tożsamość m.in. za pośrednictwem Profilu Zaufanego, aplikacji mObywatel lub bankowości internetowej.
Do upublicznienia kodu źródłowego ministerstwo było zobligowane ustawą o aplikacji mObywatel z 2023 r. Publikacja była zgodna z ekspertyzami w tej materii, które przedstawiły najważniejsze instytucje krajowego systemu cyberbezpieczeństwa: CSIRT GOV, CSIRT MON oraz CSIRT NASK.
Pobieżna publikacja: Jedynie wygląd, bez działania
„Ministerstwo Cyfryzacji udostępniło zaledwie parę procent kodu źródłowego aplikacji mObywatel, selekcjonując elementy odpowiadające za prezencję aplikacji” – ocenił dla PAP Adam Haertle, twórca specjalistycznego portalu dotyczącego cyberbezpieczeństwa Zaufana Trzecia Strona. Resort zaprezentował wygląd guzików, pól tekstowych i innych komponentów wizualnych – sprecyzował niezależny doradca i badacz z Department of War Studies, King's College London Łukasz Olejnik, który – jak zaznaczył – uważa, że prezentacja tego kodu „nie jest konieczna”.
Pomimo tego – w jego opinii, podobnie jak i pozostałych ekspertów wypowiadających się dla PAP – ministerstwo nie postąpiło w sposób transparentny upubliczniając wspomniane fragmenty. Nie można z nich się dowiedzieć, jak aplikacja funkcjonuje, czy jak chroni nasze dane – zauważył Haertle. "Z perspektywy bezpieczeństwa nic się nie zmieniło” – ocenił i dodał, że ukazane elementy kodu można było wcześniej odtworzyć, np. poprzez pobranie aplikacji i analizę jej zawartości.
W rzeczywistości nie udostępniono źródeł mObywatela (…). Udostępniono element formy, a nie tego, w jaki sposób działa aplikacja. To tak, jakby zaprezentować kolor karoserii samochodu bez jego otwierania z ogłoszeniem inspekcji silnika – ocenił Olejnik.
Niepokoje odnośnie śledzenia i brak kontroli
Z kolei specjalista od cyberbezpieczeństwa i autor bloga Informatyk Zakładowy, Tomasz Zieliński nadmienił, że mObywatel to bardzo użyteczne narzędzie, jednak niektórzy użytkownicy mogą obawiać się, czy nie posiada ono niepożądanych funkcji, np. namierzania lokalizacji bądź ukrytej transmisji obrazu z kamery smartfona. „Dostęp do kodu źródłowego aplikacji umożliwiłby niezależnym specjalistom potwierdzenie, że nic takiego nie ma miejsca. Byłoby to również działaniem podnoszącym jawność działań administracji rządowej” – zaakcentował Zieliński.
„Rzeczywista transparentność to dla mnie możliwość skontrolowania realnej logiki działania, a nie tylko obserwacja efektu wizualnego. Bez kompletnego kodu nie można w stu procentach określić, czy aplikacja jest napisana z zachowaniem najwyższych standardów” – podkreśliła ekspertka cyberbezpieczeństwa Beata Zalewa. „Skoro aplikacja powstała za środki publiczne, chciałabym móc osobiście zweryfikować jej mechanizmy, by mieć pewność, że moje informacje są bezpieczne i system nie zawiera utajonych funkcji monitorujących” – dodała.
Zaznaczyła, że Ministerstwo Cyfryzacji „obwieściło sukces”, oznajmiając na platformie X „Udostępniamy kod źródłowy mObywatela”, a kilka linijek niżej w tym samym poście poinformowało, że „opublikowana została część kodu źródłowego aplikacji mObywatel w zakresie wynikającym z rekomendacji CSIRT-ów”. Opublikowano – jej zdaniem – „nieważne elementy” kodu, które można było już wcześniej odtworzyć korzystając z darmowych narzędzi.
„Tak jakby ktoś sądził, że wśród obywateli nie ma osób, które pamiętają o tym, co obiecano, ocenią to, co zrealizowano i połączą fakty ze sobą. I które będą głośno mówić o tym, że nie taka była umowa. Sądzę, że lepiej byłoby uczciwie przyznać, że pełne upublicznienie kodu jest niemożliwe, niż dostarczać kod w takim formacie” – stwierdziła Zalewa.
Kod źródłowy mObywatela tylko dla wybranych
Łukasz Olejnik zauważył, że by przejrzeć fragmenty kodu trzeba było się najpierw zautoryzować, a samo przeglądanie – ocenił – było bardzo utrudnione. „Trudno pojąć, po co to zrobiono. Jeżeli po to, by utrudnić przeglądanie i ściągnięcie kodu, to na niewiele się to zdało. Kod w ciągu paru godzin znalazł się na GitHub (platforma dla programistów – PAP)” – powiedział ekspert. Według Adama Haertle, pobranie upublicznionych fragmentów kodu źródłowego „było utrudnione”, prawdopodobnie z powodu „dość absurdalnej opinii CSIRT MON”.
Jak zauważył Tomasz Zieliński, ponad 90 proc. kodu zostało utajnionych na podstawie opinii krajowych CSIRT-ów, których treść również w przeważającej mierze była tajna. „Opinia CSIRT MON, która jako jedyna z trzech opinii jest jawna, potwierdza, że udostępnienie kodu źródłowego może przynieść korzyści społeczne” – zaznaczył Zieliński. Jak wyjaśnił, autorzy opinii podkreślili, że proces taki wymaga przygotowania na poziomie organizacyjnym, np. zadbania, by w komentarzach w kodzie źródłowym nie znalazły się nadmierne informacje. Zdaniem Zielińskiego część rekomendacji MON, np. postulat, by ograniczyć grono odbiorców jedynie do obywateli RP, była dla ekspertów niezrozumiała.
„Informatyk Zakładowy” podkreślił również, że tylko część elementów kodu mObywatela ma kluczowe znaczenie dla bezpieczeństwa państwa, ministerstwo mogłoby więc wyłączyć z publikacji jedynie te fragmenty. „Nic nie stoi na przeszkodzie, by ukazać szablon ekranu prezentującego dane mDowodu albo procedurę obsługi przycisków dostępnych na tym ekranie” – ocenił.
Według Łukasza Olejnika upublicznienie fragmentów kodu źródłowego mObywatela 29 grudnia, to „interesujący performens urozmaicający przerwę świąteczną”. Jak dodał „bardziej poważnie”, publikacja fragmentów kodu w omówionym formacie „paradoksalnie może zmniejszyć zaufanie do państwa”.
Beata Zalewa oceniła formę upublicznienia fragmentów kodu źródłowego mObywatela, jako „czynność fasadową, mającą jedynie symulować otwartość” (tzw. open-washing), a Adam Heartle – jako „teatr bezpieczeństwa”.
„Drwina z obywateli” po 2,5 roku prac
Tomasz Zieliński zauważył, że ministerstwo cyfryzacji oraz Centralny Ośrodek Informatyki, który odpowiada za stronę techniczną mObywatela, miały 2,5 roku na przygotowanie się do upublicznienia kodu. „Biorąc to pod uwagę, działanie ministerstwa jest drwiną z obywateli, a Minister Cyfryzacji po prostu zlekceważył ciążący na nim obowiązek” – ocenił ekspert.
Początkowo do publikacji kodu miało dojść w ciągu roku od wejścia w życie ustawy, czyli w połowie lipca 2024 r. Jednak na początku lipca ub.r. weszła w życie ustawa o pomocy obywatelom Ukrainy, która zmieniła niektóre regulacje ustawy o mObywatelu.
W ustawie o pomocy obywatelom Ukrainy zaznaczono, że do publikacji kodu może dojść po uzyskaniu przez ministerstwo cyfryzacji opinii CSIRT GOV, który jest nadzorowany przez ABW; CSIRT MON i CSIRT NASK, „w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel”.
„Zgodnie z ustawą o aplikacji mObywatel, po otrzymaniu opinii od CSIRT MON, CSIRT ABW i CSIRT NASK, w Biuletynie Informacji Publicznej Ministerstwa Cyfryzacji opublikowana została część kodu źródłowego aplikacji mObywatel w zakresie wynikającym z rekomendacji CSIRTów” – przekazał resort w serwisie X 29 grudnia ub.r.
W Polsce funkcjonują trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (z ang. Computer Security Incident Response Team): CSIRT NASK, CSIRT GOV oraz CSIRT MON. Powołała je ustawa o Krajowym Systemie Cyberbezpieczeństwa z 2018 r. Każdy z CSIRT-ów odpowiedzialny jest za koordynację incydentów zgłaszanych przez przyporządkowane zgodnie z ustawą podmioty. Do ich zadań należy także rozpoznawanie, prewencja i wykrywanie zagrożeń godzących w bezpieczeństwo.
Monika Blandyna Lewkowicz (PAP)
mbl/ drag/