Korzystanie z mObywatela podczas wyborów jest bezpieczne

Podczas wyborów prezydenckich pierwszy raz w historii możliwa będzie identyfikacja tożsamości wyborców poprzez mDowód dostępny w aplikacji mObywatel. Według instrukcji opublikowanej w maju przez Państwową Komisję Wyborczą (PKW), członkowie komisji będą posiadali kartkę z wydrukowanym kodem QR, którą mają skanować obywatele.

„Osoba, która będzie chciała posłużyć się mDowodem podczas wyborów, będzie mogła zeskanować ten kod QR i na ekranie wyświetlą się dane, które będzie mógł potwierdzić członek obwodowej komisji wyborczej” – wskazał Maćkiewicz. To dodatkowa metoda weryfikacji, przygotowana przez COI specjalnie na wybory.

Podkreślił, że w przypadku jakichkolwiek wątpliwości, czy podejrzeń co do autentyczności mDowodu, członkowie obwodowych komisji wyborczych będą mogli skorzystać z pozostałych metod weryfikacji, które umożliwia mObywatel. Wyjaśnił, że „w mObywatelu jest zaimplementowana kryptograficzna weryfikacja autentyczności mDowodu” tzw. urządzenie do urządzenia, najbardziej rekomendowana przez COI.

Jak wskazał, metoda ta polega na tym, że osoba, która chce udostępnić swoje dane do weryfikacji, prezentuje w aplikacji mObywatel kod QR lub sześciocyfrowy kod. Następnie kod weryfikuje druga osoba: poprzez stronę internetową "weryfikator.mobywatel.gov.pl" lub poprzez aplikację mObywatel na swoim urządzeniu. "Ta metoda jednoznacznie, w 100 procentach, potwierdza autentyczność mDowodu" – podkreślił Maćkiewicz. Dodał, że nie będzie jednak ona używana w pierwszej kolejności przez członków komisji, z uwagi na możliwości techniczne i organizacyjne PKW i Krajowego Biura Wyborczego.

"W przypadku wątpliwości lub stwierdzenia fałszywego mDowodu członkowie komisji mają prawo poinformować o tym odpowiednie organy, ponieważ jest to przestępstwo" – zaznaczył szef ośrodka.

Przekazał też dalsze plany rozwoju aplikacji mObywatel. "Dostosowujemy aplikację do potrzeb użytkowników, na podstawie badań, które prowadzimy na bieżąco. Wynika z nich, że dla obywateli najważniejsze jest łatwe i bezpieczne korzystanie z dokumentów tożsamości, takich jak dowód osobisty i paszport. Dlatego w najbliższym tygodniach w aplikacji pojawi się możliwość składania wniosków o wydanie tych dokumentów" – przekazał. Dodał, że usługa będzie dostępna dla dzieci i dorosłych.

Centralny Ośrodek Informatyki pracuje też nad nową aplikacją: „mObywatel Junior”, skierowaną dla dzieci i młodzieży, opartą o e-legitymację szkolną – podał Maćkiewicz. COI chce ją uruchomić we wrześniu tego roku.

"Chcemy, żeby dzieci i młodzież uczyły się bezpiecznie i mądrze korzystać z urządzeń cyfrowych i aby mObywatel Junior był wprowadzeniem do cyfrowego świata" – wskazał Maćkiewicz. Dodał, że w mObywatel Junior znajdą się materiały edukacyjne dotyczące higieny cyfrowej, dezinformacji, bezpiecznego korzystania z Internetu, czy przemocy cyfrowej.

Maćkiewicz pytany, kiedy nastąpi publikacja kodu źródłowego aplikacji mObywatel wskazał, że zgodnie z nowelizacją ustawy o mObywatelu, "prace trwają". "Zgodnie z prawem musimy posiadać opinię CSIRT GOV, CSIRT MON i CSIRT NASK. Wystąpiliśmy o opinie kilka miesięcy temu, mamy też szereg spotkań z odpowiednimi instytucjami. Teraz czekamy na informację zwrotną, czy i w jakim zakresie możemy taki kod źródłowy upublicznić, bo pojawia się wiele głosów, że wiąże się to ze zbyt dużym ryzykiem dla bezpieczeństwa naszych systemów" - wskazał szef COI.

Dodał, że w Ukrainie, gdzie na otwartym kodzie działa aplikacja Diia (odpowiednik mObywatela – PAP), "doszło do złamań dostępu do systemów rządowych", a COI "zastanawia się", czy mogło mieć na to wpływ opublikowanie kodu źródłowego.

Maćkiewicz pytany o budowanie suwerenności cyfrowej, czyli niezależności od wielkich firm technologicznych, w oparciu o polskie i europejskie rozwiązania, np. chmurowe, wskazał, że „do dynamicznego rozwoju nowych technologii w Polsce potrzebna jest współpraca publiczno-prywatna”.

Jako przykład takiej współpracy podał rozmowy z twórcami polskich modeli językowych i czerpanie od nich dobrych praktyk związanych z wprowadzaniem sztucznej inteligencji w firmach, co można przenieść na wdrożenia w AI w instytucjach państwowych.

Szef COI zaznaczył, że proces podejmowania współpracy musi być zgodny z ustawą, która definiuje w jaki sposób budować partnerstwa publiczne i prywatne. „Musimy przede wszystkim poruszać się w ramach reguł prawnych określonych w ustawie prawo zamówień publicznych” – podkreślił.

„Możemy dostarczyć komponent polskiego rozwiązania, natomiast zawsze będziemy potrzebowali do niego infrastruktury, procesorów czy mocy obliczeniowej, których nie produkuje jednak żadna polska ani europejska firma” – wskazał.

Zaznaczył przy tym, że Centralny Ośrodek Informatyki, dbając o rejestry państwowe i usługi, które są budowane na ich podstawie, „w zdecydowanej większości” korzysta z własnej infrastruktury.

„Robimy to z kilku powodów. Przede wszystkim wiele komponentów jest wydzielonych specjalnie na potrzeby rejestrów państwowych, i tutaj bezpieczeństwo absolutnie gra pierwszą rolę. Natomiast w przypadku rozwiązań testowo-deweloperskich, czyli tam, gdzie usługi chmurowe mogą być tańsze, w porównaniu do tego, co tworzymy samodzielnie, korzystamy z usług chmury publicznej” – wskazał szef COI. Dodał, że przy wyborze dostawcy „istotna jest też kwestia ceny”.

Według definicji opublikowanej na stronie rządowej Publiczne Chmury Obliczeniowe (PChO) to usługi chmury publicznej świadczone przez dostawców komercyjnych. Muszą one spełniać wymagania m.in. w zakresie poufności, funkcjonalności i bezpieczeństwa informacji.

Publikacja kodu źródłowego aplikacji mObywatel to obowiązek spoczywający na ministrze właściwym ds. informatyzacji (obecnie funkcję tę pełni Krzysztof Gawkowski) na podstawie ustawy o mObywatelu. Nowelizacja ustawy o pomocy obywatelom Ukrainy z maja 2024 roku wprowadziła wymóg uzyskania opinii CSIRT GOV, CSIRT MON i CSIRT NASK przed udostępnieniem kodu. CSIRT-y to inaczej Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego. Pierwotne brzmienie ustawy o mObywatelu w art. 82 zakładało udostępnienie kodu w ciągu roku od wejścia w życie ustawy, co miało miejsce 14 lipca 2023 r. W ubiegłym roku Ministerstwo Cyfryzacji wskazało, że nie opublikuje całości kodu, a jego fragmenty, powołując się na kwestie bezpieczeństwa.

Otwarty kod (oprogramowanie open source), według definicji zamieszczonej na stronie rządowej, to ogólnodostępny kod z którego zbudowano program. Z takiego oprogramowania można legalnie korzystać, rozpowszechniać i modyfikować na warunkach określonych w licencji - wskazano. "Ideą open source jest właśnie to, aby każdy mógł je rozwijać i udoskonalać, z poszanowaniem praw autorskich" - podkreślono.

Centralny Ośrodek Informatyki (COI) jest jednostką sektora finansów publicznych, powołaną w 2010 r. i specjalizującą się w realizacji projektów IT dla sektora publicznego. Realizuje zadania wyznaczane przez Ministerstwo Cyfryzacji, dotyczące m.in. mObywatela, e-Doręczeń, ePłatności czy Systemu Rejestrów Państwowych.

Monika Blandyna Lewkowicz (PAP)

mbl/ malk/ mhr/