Z opublikowanych przez Ministerstwo Cyfryzacji (MC) fragmentów kodu źródłowego mObywatela nie możemy stwierdzić, czy aplikacja nie posiada np. funkcji monitoringu, resort nie postąpił w sposób transparentny – skomentowali dla PAP specjaliści ds. cyberbezpieczeństwa: Adam Haertle, Tomasz Zieliński, Beata Zalewa oraz Łukasz Olejnik.
29 grudnia 2025 r. ministerstwo ds. cyfryzacji przekazało informację, że upubliczniło „kod źródłowy aplikacji mObywatel”. Części kodu zostały zamieszczone w biuletynie informacji publicznej MC. By je zobaczyć, należało najpierw zweryfikować swoją tożsamość m.in. za pomocą Profilu Zaufanego, aplikacji mObywatel lub bankowości elektronicznej.
Resort był zobligowany do udostępnienia kodu źródłowego na mocy ustawy o aplikacji mObywatel z 2023 r. Publikacja była w zgodzie z opiniami eksperckimi w tej kwestii, które przedstawiły najważniejsze instytucje krajowego systemu cyberbezpieczeństwa: CSIRT GOV, CSIRT MON i CSIRT NASK.
Pozorna publikacja: Jedynie wygląd, brak funkcjonalności
„Ministerstwo Cyfryzacji pokazało zaledwie parę procent kodu źródłowego aplikacji mObywatel, wybierając fragmenty odpowiedzialne za wygląd aplikacji” – stwierdził dla PAP Adam Haertle, twórca eksperckiego serwisu dotyczącego cyberbezpieczeństwa Zaufana Trzecia Strona. Resort zaprezentował wygląd guzików, pól tekstowych i pozostałych komponentów wizualnych – sprecyzował niezależny konsultant i badacz z Department of War Studies, King's College London Łukasz Olejnik, który – jak zaznaczył – uważa, że publikacja tego kodu „nie jest konieczna”.
Pomimo tego – według niego, tak samo jak i pozostałych specjalistów komentujących temat dla PAP – ministerstwo nie postąpiło w sposób transparentny, udostępniając wspomniane fragmenty. Nie można się z nich dowiedzieć, jak aplikacja funkcjonuje, czy jak chroni nasze dane – zauważył Haertle. "Z perspektywy bezpieczeństwa nic się nie zmieniło” – ocenił i dodał, że udostępnione elementy kodu można było wcześniej odtworzyć, np. poprzez pobranie aplikacji i analizę jej zawartości.
W gruncie rzeczy nie udostępniono źródeł mObywatela (…). Zaprezentowano element formy, a nie tego, jak funkcjonuje aplikacja. To jak ujawnienie barwy karoserii samochodu bez jego otwierania z zapewnieniem o inspekcji silnika – stwierdził Olejnik.
Wątpliwości co do śledzenia i brak rewizji
Z kolei specjalista od cyberbezpieczeństwa i autor bloga Informatyk Zakładowy, Tomasz Zieliński zaznaczył, że mObywatel to bardzo przydatne narzędzie, jednak część użytkowników może obawiać się, czy nie posiada ono niepożądanych funkcji, np. lokalizowania albo potajemnego przesyłania obrazu z kamery telefonu. „Dostęp do kodu źródłowego aplikacji umożliwiłby niezależnym ekspertom potwierdzenie, że nic takiego nie ma miejsca. Byłoby to także działaniem zwiększającym jawność działań administracji rządowej” – podkreślił Zieliński.
„Rzeczywista transparentność to dla mnie możliwość rewizji faktycznej logiki działania, a nie tylko oglądanie efektu wizualnego. Bez całego kodu nie da się w stu procentach stwierdzić, czy aplikacja jest napisana z zachowaniem najwyższych standardów” – podkreśliła ekspertka cyberbezpieczeństwa Beata Zalewa. „Ponieważ aplikacja powstała za publiczne pieniądze, chciałabym mieć możliwość samodzielnego sprawdzenia jej mechanizmów, by mieć pewność, że moje dane są bezpieczne i system nie zawiera ukrytych funkcji monitorujących” – dodała.
Zaznaczyła, że Ministerstwo Cyfryzacji „obwieściło sukces”, informując na platformie X „Udostępniamy kod źródłowy mObywatela”, a kilka linijek dalej w tym samym wpisie przekazało, że „udostępniona została część kodu źródłowego aplikacji mObywatel w zakresie wynikającym z rekomendacji CSIRT-ów”. Jej zdaniem, udostępniono „nieważne elementy” kodu, które można było już wcześniej odtworzyć za pomocą darmowych narzędzi.
„Tak jakby ktoś zakładał, że wśród obywateli nie ma ludzi, którzy pamiętają o tym, co zostało obiecane, ocenią to, co zostało przedstawione i połączą fakty. I którzy będą otwarcie mówić o tym, że nie tak wyglądała umowa. Uważam, że lepiej byłoby rzetelnie przyznać, że pełna publikacja kodu jest niemożliwa, niż serwować kod w takiej formie” – stwierdziła Zalewa.
Kod źródłowy mObywatela tylko dla wybranych
Łukasz Olejnik zauważył, że by przeanalizować fragmenty kodu trzeba było się najpierw uwierzytelnić, a samo przeglądanie – jego zdaniem – było bardzo utrudnione. „Trudno zrozumieć, w jakim celu to zrobiono. Jeśli po to, by utrudnić przeglądanie i pobranie kodu, to na niewiele się to zdało. Kod w ciągu paru godzin trafił na GitHub (platforma dla programistów – PAP)” – powiedział ekspert. Zdaniem Adama Haertle, pobranie udostępnionych fragmentów kodu źródłowego „było utrudnione”, prawdopodobnie ze względu na „dość absurdalną opinię CSIRT MON”.
Jak zaznaczył Tomasz Zieliński, ponad 90 proc. kodu zostało utajnionych na podstawie opinii krajowych CSIRT-ów, których treść także w większości była niejawna. „Opinia CSIRT MON, która jako jedyna z trzech opinii jest publiczna, potwierdza, że otwarcie kodu źródłowego może przynieść społeczne korzyści” – podkreślił Zieliński. Jak wyjaśnił, autorzy opinii podkreślili, że proces taki wymaga przygotowania na poziomie organizacyjnym, np. zadbania, by w komentarzach w kodzie źródłowym nie znalazły się zbędne informacje. Zdaniem Zielińskiego część zaleceń MON, np. postulat, aby zawęzić grono odbiorców tylko do obywateli RP, była dla ekspertów niezrozumiała.
„Informatyk Zakładowy” podkreślił także, że tylko część elementów kodu mObywatela ma kluczowe znaczenie dla bezpieczeństwa państwa, w związku z tym resort mógłby wyłączyć z publikacji wyłącznie te fragmenty. „Nic nie stoi na przeszkodzie, by ujawnić schemat ekranu wyświetlającego dane mDowodu albo procedurę obsługi przycisków dostępnych na tym ekranie” – ocenił.
Zdaniem Łukasza Olejnika udostępnienie fragmentów kodu źródłowego mObywatela 29 grudnia, to „interesujący happening uprzyjemniający przerwę świąteczną”. Jak dodał „bardziej poważnie”, publikacja części kodu w omówionej formie „paradoksalnie może zredukować zaufanie do państwa”.
Beata Zalewa skomentowała formę publikacji fragmentów kodu źródłowego mObywatela, jako „działanie pozorne, mające jedynie symulować otwartość” (tzw. open-washing), a Adam Heartle – jako „teatr bezpieczeństwa”.
„Drwina z obywateli” po 2,5 roku prac
Tomasz Zieliński zaznaczył, że ministerstwo ds. cyfryzacji i Centralny Ośrodek Informatyki, który odpowiada za stronę techniczną mObywatela, miały 2,5 roku na przygotowanie się do publikacji kodu. „Biorąc to pod uwagę, działanie resortu jest drwiną z obywateli, a Minister Cyfryzacji po prostu zignorował ciążący na nim obowiązek” – ocenił ekspert.
Początkowo do publikacji kodu miało dojść w ciągu roku od wejścia w życie ustawy, czyli w połowie lipca 2024 r. Jednak na początku lipca ub.r. weszła w życie ustawa o pomocy obywatelom Ukrainy, która zmieniła niektóre przepisy ustawy o mObywatelu.
W ustawie o pomocy obywatelom Ukrainy wskazano, że do publikacji kodu może dojść po uzyskaniu przez ministerstwo ds. cyfryzacji opinii CSIRT GOV, który jest nadzorowany przez ABW; CSIRT MON i CSIRT NASK, „w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel”.
„Zgodnie z ustawą o aplikacji mObywatel, po otrzymaniu opinii od CSIRT MON, CSIRT ABW i CSIRT NASK, w Biuletynie Informacji Publicznej Ministerstwa Cyfryzacji opublikowana została część kodu źródłowego aplikacji mObywatel w zakresie wynikającym z rekomendacji CSIRTów” – przekazał resort w serwisie X 29 grudnia ub.r.
W Polsce funkcjonują trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (z ang. Computer Security Incident Response Team): CSIRT NASK, CSIRT GOV oraz CSIRT MON. Zostały one ustanowione ustawą o Krajowym Systemie Cyberbezpieczeństwa z 2018 r. Każdy z CSIRT-ów jest odpowiedzialny za koordynację incydentów zgłaszanych przez przyporządkowane zgodnie z ustawą podmioty. Do ich zadań należy również rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo.
Monika Blandyna Lewkowicz (PAP)
mbl/ drag/