Krótko i na temat, ale to jest w sumie znaczące: ponieważ nadchodzi pierwsza rocznica wejścia w życie ustawy o aplikacji mObywatel, a więc powinien zbliżać się dzień, w którym upubliczniony zostanie jej kod źródłowy — ale może też się zdarzyć, że udostępnienie kodu źródłowego aplikacji mObywatel nie nastąpi nigdy.
Stosowna nowelizacja przepisów zaszyta została w ustawa z 15 maja 2024 r. o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz niektórych innych ustaw (Dz.U. z 2024 r. poz. 854) — to właśnie jedna z tych „niektórych innych ustaw” — a mianowicie, bez skrótów:
- obowiązujący jeszcze tekst przepisów o aplikacji mObywatel jest jasny i klarowny: kod źródłowy tego arcywygodnego oprogramowania powinien zostać udostępniony w Biuletynie Informacji Publicznej ministra d/s informatyzacji nie później niż w ciągu 12 miesięcy od wejścia w życie ustawy;
- ustawa o mObywatelu weszła w życie 14 lipca 2023 r., zatem najpóźniej do tego dnia stosowne dane powinny zostać opublikowane, a następnie aktualizowane, wraz z wdrożeniem każdej nowej wersji oprogramowania;
- jakby ktoś nie zrozumiał: chodzi właśnie o bezpieczeństwo naszych danych, tj. możliwość zweryfikowania, czy aby rząd nie zaszył w oprogramowaniu jakiegoś backdoora, dzięki któremu wie o nas jeszcze więcej, niż kiedykolwiek chciałby wiedzieć (jako dość świeży użytkownik macOS łączę się w bólu z innymi użytkownikami tego „uniksopodobnego” systemu operacyjnego, por. „Ubuntu w pracy prawnika (już od 10 lat!)”);
- ale, ale: już za dwa lata mObywatel ma być kompatybilny z europejskim portfelem tożsamości cyfrowej, a przecież rozporządzenie eIDAS2 wyraźnie mówi, że kod źródłowy każdego EDIW ma być nie tylko ujawniany, ale także publikowany na otwartej licencji — oprócz elementów, których upublicznienie jest wykluczone ze względu na np. bezpieczeństwo publiczne;
- i teraz właśnie mamy najświeższą akcję polskiego prawodawcy: przepisu nakazujący bezwarunkowe udostępnienie w BIP kodu źródłowego aplikacji mObywatel zostaje uchylony — zamiast niego pojawia się norma pozwalająca ujawnić kod oprogramowania, jednak wyłącznie po uzyskaniu opinii CSIRT GOV, CSIRT MON i CSIRT NASK…
art. 81a ustawy o aplikacji mObywatel
1. Minister właściwy do spraw informatyzacji, po uzyskaniu opinii CSIRT GOV, CSIRT MON i CSIRT NASK, o których mowa w art. 2 pkt 1-3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, udostępni w Biuletynie Informacji Publicznej na swojej stronie podmiotowej kod źródłowy aplikacji mObywatel w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel.
2. Minister właściwy do spraw informatyzacji ogłasza w Dzienniku Urzędowym „Monitor Polski” komunikat określający dzień udostępnienia kodu źródłowego aplikacji mObywatel.
- …oraz nie ujawnić tego kodu (nie wydaje mi się, by moja presumpcja była błędna), jeśli minister, choćby na podstawie opinii w/w instytucji, dojdzie do przekonania, iż zagrażałoby to bezpieczeństwu aplikacji, jej użytkowników lub też całego systemu mObywatel;
- nie wiadomo nawet czy i kiedy się tego wszystkiego dowiemy: jak dotąd ustawa wyznaczała ścisły termin, tak po nowelizacji dzień udostępnienia kodu źródłowego oprogramowania zostanie ogłoszony w magicznym komunikacie, który może będzie kiedyś opublikowany w Monitorze Polskim — może kiedyś, bo jak widać tym razem termin promulgacji owego komunikatu nie został w żaden sposób zakreślony;
- dla jasności: znowelizowana ustawa o aplikacji mObywatel wchodzi w życie 1 lipca 2024 r. — więc jedyna opcja jest taka, że minister Gawkowski rzutem na taśmę zdecyduje się upublicznić ten kod źródłowy do końca czerwca ;-)
Zamiast komentarza: ja się oczywiście nie znam, ale wydaje mi się, że podejście security through obscurity w rozwiązaniach teleinformatycznych skompromitowało się dość dokumentnie?