Ministerstwo Cyfryzacji opublikowało fragmenty kodu źródłowego mObywatela. Działanie miało być gestem transparentności, ale eksperci nie zostawili na resorcie suchej nitki. Przede wszystkim: po 2,5 roku prac, pokazano bezużyteczny kod.
Publikacja kodu źródłowego aplikacji to działania mające zwiększyć zaufanie wobec programu, a do tego zaproszenie dla niezależnych ekspertów od bezpieczeństwa by wykryli potencjalnie niebezpieczne luki. Ci przyjrzeli się i nie kryją, że zamiast transparentności wyszła porażka i działanie wyłącznie do spełnienia obowiązków ustawowych.
Co jest nie tak z kodem mObywatela?
W kontekście wykrywania luk bezpieczeństwa w aplikacji zawierającej nasze najważniejsze dokumenty, na powyższe pytanie nie znajdziemy odpowiedzi. Ponieważ opublikowano jedynie elementy odpowiedzialne za… wizualną stronę aplikacji.
"Opublikowano element formy, a nie tego, jak działa aplikacja. To tak, jakby ujawnić kolor maski samochodu bez jej otwierania z zapowiedzią inspekcji silnika" – powiedział Łukasz Olejnik z Departament of War Studies King’s College London, cytowany przez PAP. Jego wnioski potwierdzili inni specjaliści od cyberbezpieczeństwa. Adam Haertle z Zaufana Trzecia Strona dodał, że takie same fragmenty kodu mObywatela można już wydobyć z pobranej aplikacji za pomocą darmowych narzędzi. Dla zawodowców są bezużyteczne.
Działanie ministerstwa nie rozwieje więc wątpliwości użytkowników, obawiających się o zagrożenia związane z np. śledzeniem lokalizacji. Do tego skrytykowano poziom transparentności, ponieważ fragmenty kodu opublikowano w biuletynie informacji publicznej resortu cyfryzacji. Do ich zobaczenia potrzeba było potwierdzić swoją tożsamość przez np. Profil Zaufany. Utrudniało to przeglądanie kodu… który i tak wylądował później na platformie dla programistów GitHub. Złożony proces podglądu nie służył więc niczemu.
"Kpina z obywateli"
Wedle informatyków, nic nie stało na przeszkodzie, aby rząd zataił jedynie fragmenty kodu o krytycznym znaczeniu dla bezpieczeństwa państwa, zostawiając publikację reszty. Dlatego forma publikacji, z jaką rzucono jedynie odpowiednik kolorowej folii z opakowania, wygląda jak chybione działanie albo po prostu odhaczenie ustawowego obowiązku. Ich zdaniem to wywołuje efekt odwrotny od zamierzonego, czyli obniża zaufanie wobec państwa.
Pierwotnie publikacja kodu miała nastąpić w połowie lipca 2024 roku, co zostało przesunięte ustawą o pomocy obywatelom Ukrainy, zmieniającą niektóre przepisy o mObywatelu. Co oznacza, że na przygotowanie tej publikacji było 2,5 roku.
"Biorąc to pod uwagę, działanie resortu jest kpiną z obywateli, a Minister Cyfryzacji zwyczajnie zignorował ciążący na nim obowiązek" – ocenił dla PAP Tomasz Zieliński, specjalista od cyberbezpieczeństa i twórca bloga Informatyk Zakładowy.
Zobacz także
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!