Każdy będzie mógł pogrzebać w kodzie mObywatela. Polska idzie na całość
Po ponad dwóch latach spekulacji, obaw i przeciągających się konsultacji między instytucjami, Ministerstwo Cyfryzacji ogłosiło oficjalnie: 29 grudnia zostanie opublikowany pełny kod źródłowy aplikacji mObywatel.
Wiceminister cyfryzacji Dariusz Standerski przekazał tę wiadomość Polskiej Agencji Prasowej podkreślając, że publikacja spełnia wszystkie wymogi ustawowe oraz rekomendacje zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) działających przy ABW, MON i NASK. Resort ma już w ręku komplet certyfikacji bezpieczeństwa - to oznacza, że formalne przeszkody zostały usunięte.
Długa droga do przejrzystości
Historia tej decyzji zaczęła się w lipcu 2023 r., gdy weszła w życie ustawa o aplikacji mObywatel. Zobowiązywała ona ministerstwo do ujawnienia kodu źródłowego w ciągu roku - najpóźniej do połowy lipca 2024.
Czytaj też:
Szybko jednak pojawił się zwrot akcji. Nowelizacja związana z ustawą o pomocy obywatelom Ukrainy wprowadziła dodatkowe warunki: publikacja mogła nastąpić dopiero po uzyskaniu opinii CSIRT GOV, CSIRT MON i CSIRT NASK, i to wyłącznie w zakresie, który nie zagraża bezpieczeństwu aplikacji ani jej użytkowników. Proces wydłużył się o kolejne miesiące.
We wrześniu bieżącego roku resort poinformował, że wszystkie opinie zostały dostarczone. W listopadzie pojawiły się pierwsze potwierdzenia harmonogramu. Teraz mamy datę graniczną: 29 grudnia.
Dlaczego kod źródłowy ma znaczenie?
mObywatel to aplikacja, z której korzysta już ponad 14 mln Polaków. To cyfrowy portfel najważniejszych dokumentów: dowodu osobistego, prawa jazdy, e-recept, danych medycznych. Nic dziwnego, że każda wzmianka o jej bezpieczeństwie budzi emocje.
Latem dyskusję rozpaliły informacje o szerokich uprawnieniach aplikacji - dostępie do lokalizacji, aparatu czy możliwości nagrywania ekranu. Pojawiły się pytania: czy to naprawdę konieczne? Czy aplikacja nie staje się narzędziem nadzoru?
Ministerstwo odpowiadało, że wszystkie funkcje zostały certyfikowane w Google Play i App Store. Ale zapewnienia to jedno, a kod źródłowy - drugie. Kod to dowód. Kod to fakty. Przykład Ukrainy pokazuje, jak wiele można zyskać dzięki transparentności. Kod aplikacji Diia jest publicznie dostępny, każdy może go analizować i proponować zmiany. Dzięki temu Diia stała się eksportowym produktem cyfrowym - wdrożonym w Estonii, testowanym w Afryce i Ameryce Łacińskiej.
Polska ma szansę pójść podobną drogą. Otwarcie kodu mObywatela to nie tylko większe bezpieczeństwo krajowych użytkowników, ale też potencjalna wizytówka polskiej cyfryzacji na świecie.
Wyzwania otwartego kodu
Transparentność ma jednak drugą stronę. Kod open source oznacza, że luki bezpieczeństwa mogą być odkrywane szybciej - przez wszystkich, także przez osoby o złych intencjach.
Badania pokazują, że błędy w oprogramowaniu open source są zwykle mniej poważne niż w kodzie zamkniętym, ale tempo ich naprawy jest kluczowe. Społeczność może działać szybciej niż pojedynczy zespół deweloperów pod warunkiem że rząd będzie gotowy na publiczną krytykę i otwartą komunikację.
Ministerstwo zapowiada, że kod zostanie ujawniony w zakresie niezagrażającym bezpieczeństwu aplikacji i jej użytkowników. To może oznaczać, że część fragmentów zostanie ukryta. I choć ma to chronić system to rodzi pytania o pełną transparentność.
Co się zmieni 29 grudnia?
Dla przeciętnego użytkownika - niewiele. Aplikacja będzie działać tak jak dotąd. Ale dla ekspertów, studentów informatyki, startupów i mediów technologicznych będzie to ważny dzień. Już kilka godzin po publikacji możemy spodziewać się pierwszych analiz kodu, raportów i komentarzy. Czy znajdą się luki? Zapewne tak - każde oprogramowanie je ma. Czy potwierdzą się praktyki bezpiecznego kodowania? To właśnie okaże się w praktyce. Najważniejsze jest jedno: rozpocznie się dyskusja oparta na faktach, a nie na domysłach.
mObywatel to jeden z największych sukcesów polskiej administracji cyfrowej. 14 mln użytkowników to masa krytyczna, która pokazuje, że rozwiązanie działa i jest potrzebne. Teraz rząd ma szansę wzmocnić ten sukces zaufaniem - nie deklaratywnym, lecz opartym na dowodach. Publikacja kodu może stać się inspiracją dla innych projektów państwowych. Jeśli uda się w przypadku mObywatela, dlaczego nie w kolejnych systemach? To właśnie tego powinniśmy oczekiwać od nowoczesnego państwa: odwagi, transparentności i zaufania budowanego na dowodach.
