Ministerstwo ujawni kod mObywatela. Wtedy się zacznie
Po miesiącach oczekiwania resort cyfryzacji podał datę publikacji kodu źródłowego mObywatela. Zabieg ten umozliwi niezależnym ekspertom weryfikację bezpieczeństwa aplikacji oraz zweryfikowanie oskarżeń o szpiegostwo.
Ministerstwo Cyfryzacji zapowiedziało, że do końca listopada 2025 r. opublikuje kod źródłowy aplikacji mObywatel. To odpowiedź na wielomiesięczne oczekiwania ekspertów ds. cyberbezpieczeństwa i organizacji zajmujących się ochroną prywatności, którzy apelowali o ujawnienie kodu w celu umożliwienia jego niezależnego audytu.
W ciągu trzech miesięcy będziemy w stanie zajrzeć w bebechy mObywatela
Aplikacja mObywatel, z której korzysta już ponad 10 mln Polaków, udostępnia cyfrowe wersje dokumentów - m.in. dowodu osobistego czy prawa jazdy - a także umożliwia korzystanie z usług administracyjnych, takich jak e-recepty czy potwierdzanie tożsamości online. W ostatnich tygodniach w przestrzeni publicznej pojawiły się pytania dotyczące zakresu uprawnień aplikacji oraz sugestie jakoby aplikacja nas szpiegowała. Zaniepokojenie społeczne zostały wywołane przez prośby aplikacji mObywatel o dostęp do uprawnień takich jak używanie aparat, informacje o lokalizacji czy wgląd w pliki na telefonie.
Ministerstwo zapewnia jednak, że zarzuty o rzekome szpiegowanie nie mają potwierdzenia w faktach. Dowodem rządu ma być kod źródłowy aplikacji, który po ponad dwóch latach oczekiwania ma doczekać się publikacji.
Ministerstwo Cyfryzacji przekazało Wyborczej.biz, że "dokona wszelkich starań, aby kod źródłowy mObywatela został opublikowany do końca listopada br."
Według resortu proces publikacji kodu wymagał wcześniejszego uzyskania opinii trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) - działających przy NASK, Ministerstwie Obrony Narodowej i Agencji Bezpieczeństwa Wewnętrznego. Ostatnia z wymaganych opinii, od CSIRT GOV w strukturach ABW, wpłynęła do ministerstwa 1 sierpnia br.
- Publikacja kodu aplikacji mObywatel wymaga dokładnej analizy i weryfikacji w celu zapewnienia bezpieczeństwa danych. Proces ten obejmuje analizę potencjalnych ryzyk oraz wdrożenie odpowiednich zabezpieczeń
Czym jest kod źródłowy i dlaczego jego upublicznienie jest ważne?
Kod źródłowy to zapis programu komputerowego w języku programowania, zrozumiałym tak dla ludzi jak i komputerów, na podstawie którego powstaje działająca aplikacja. Zawiera on instrukcje, algorytmy i mechanizmy, które decydują o tym, jak oprogramowanie działa oraz jakie operacje wykonuje.
Upublicznienie kodu pozwala niezależnym ekspertom przeanalizować działanie aplikacji - sprawdzić, czy realizuje jedynie deklarowane funkcje, czy też wykonuje dodatkowe operacje, np. gromadzenie lub przesyłanie danych w sposób niejawny. Jak tłumaczy na łamach Wyborczej.biz Tomasz Zieliński, ekspert ds. cyberbezpieczeństwa, publikacja kodu "umożliwi audyt i weryfikację, czy aplikacja robi tylko to, co deklarują jej autorzy".
Otwartość kodu może przynieść również inne korzyści. W przypadku, gdyby Ministerstwo Cyfryzacji zdecydowało się dopuścić zewnętrznych programistów do współtworzenia projektu, możliwe byłoby rozwijanie nowych funkcji lub usprawnianie istniejących rozwiązań. Tak działa m.in. ukraińska aplikacja Diia, której kod źródłowy jest dostępny w serwisie GitHub, co pozwala społeczności na zgłaszanie poprawek.
Droga do publikacji jest wyboista niczym stare polskie autorstrady
Obowiązek udostępnienia kodu źródłowego mObywatela został zapisany w ustawie przyjętej w marcu 2023 r., a następnie zmodyfikowany w nowelizacji z maja 2024 r. Wprowadzono wówczas wymóg uzyskania opinii CSIRT-ów przed publikacją. Nowe przepisy zakładają, że kod zostanie opublikowany "w zakresie niezagrażającym bezpieczeństwu aplikacji oraz jej użytkowników".
Resort cyfryzacji podkreśla, że udostępnienie kodu w wyznaczonym terminie będzie poprzedzone analizą i wprowadzeniem ewentualnych zabezpieczeń, aby wykluczyć ryzyko związane z bezpieczeństwem systemu mObywatel.
Więcej na temat mObywatela:
Zdjęcie główne: Milosz Kubiak / Shutterstock
