Rządowa aplikacja ma być w każdym telefonie. "Więcej pytań niż odpowiedzi"

Rządowe Centrum Legislacji opublikowało projekt nowelizacji ustawy o ochronie ludności oraz o stanie klęski żywiołowej autorstwa resortu spraw wewnętrznych i administracji. Przewiduje on m.in. likwidację Rządowego Centrum Bezpieczeństwa. To ono rozsyłało do obywateli SMS-y dotyczące bezpieczeństwa – ostrzegało przed gwałtownymi zjawiskami pogodowymi, ale też np. informowało o zmianie standardu nadawania telewizji czy przypominało o wyborach prezydenckich.

Zadania RCB ma przejąć Regionalny System Ostrzegania (RSO), który również będzie uprawniony do wysyłania alertów SMS. Jak jednak zaznacza „Dziennik Gazeta Prawna”, projekt zakłada także obowiązek instalowania przez sprzedawców telefonów komórkowych instalowania mobilnych aplikacji. Poza aplikacją RSO miałby to być także Alarm112.

Programy Ministerstwa Spraw Wewnętrznych i Administracji mają znaleźć się w każdym telefonie, który trafi do dystrybucji, a odpowiedzialni za ich instalację mają być autoryzowani sprzedawcy. MSWiA przekazało dziennikowi, że aplikacje będą mogły być odinstalowane przez użytkowników, a sam projekt (w poniedziałek trafił do konsultacji) jest realizacją unijnych wymogów.

Więcej pytań niż odpowiedzi

- Cały projekt powoduje więcej pytań, niż daje odpowiedzi - mówi w rozmowie z Wirtualnemedia.pl Adam Haertle, specjalista ds. bezpieczeństwa informatycznego, twórca i redaktor naczelny serwisu Zaufanatrzeciastrona.pl. - Po co nam kolejna aplikacja? Czy nie można zintegrować jej z mObywatelem? Po co instalować każdemu Alarm112, skoro użytkownikami tej aplikacji są głównie osoby niesłyszące? Czy RSO ma zastąpić wysyłane dzisiaj SMS-y? Kim są autoryzowani sprzedawcy? Niestety tego wszystkiego na razie nie wiemy. Wiemy za to, że raczej nikt takiej aplikacji nie doda do telefonów Apple, a zainstalowana na telefonach z Androidem po paru tygodniach nieużywania może stracić swoje uprawnienia (to mechanizm bezpieczeństwa wdrożony przez Google) – podkreśla.

Zdaniem eksperta, autorzy projektu „z dużą dozą optymizmu założyli, że obywatele zaufają swojemu rządowi”. - Na tyle, by dzielić się z nim swoją lokalizacją (bo bez tego aplikacja nie będzie mogła różnicować ostrzeżeń geograficznie) i innymi informacjami (nie wiemy, nawet, jakie informacje aplikacja będzie z naszego telefonu zbierała). Czy autoryzowani sprzedawcy z ustawy to operatorzy telekomunikacyjni? To chyba jedyny podmiot na polskim rynku, który do tej pory masowo preinstaluje różne aplikacje. Nie wyobrażam sobie, by mieli do tego zostać zmuszeni inni sprzedawcy telefonów, a przecież takich nie brakuje. Krótko mówiąc jedno zdanie z ustawy na razie robi mnóstwo zamieszania i nie widać wartości, które ta planowana zmiana ma nam dostarczyć – podsumowuje Haertle.

„Projekt wyraża pewne życzenie, które może będzie realizowane, a może nie”

- To z pewnością pomysł mało przemyślany – ocenia Marcin Maj z serwisu Niezbezpiecznik.pl. On również zwraca uwagę na luki w projekcie. - Po pierwsze, nie bardzo wiem, kto według ustawy ma być zobowiązany do preinstalowania aplikacji (brakuje mi wyraźnej definicji autoryzowanego sprzedawcy). Ponadto w ocenie skutków regulacji nie zawarto ani jednego słowa na temat kosztów wdrożenia takiego pomysłu oraz jego wpływu na „autoryzowanych sprzedawców”. Jednym słowem ktoś sobie wymyślił, że fajnie byłoby preinstalować aplikację na telefonach, ale w ogóle nie pomyślał o tym, że może to powodować różne problemy organizacyjne. Nie wiem też, czy na przykład producenci dostaną kod źródłowy aplikacji, czy będą mogli ją we własnym zakresie modyfikować i tak dalej. Projekt wyraża pewne życzenie, które może będzie realizowane, a może nie – podkreśla Maj.

- Osobną rzeczą jest skuteczność w osiąganiu celów, którym ta aplikacja miałaby służyć. Chodzi o kanał informacyjny, który ludzie powinni traktować poważnie, któremu powinni ufać. Tymczasem idea instalowania jakiejkolwiek rządowej aplikacji bez uprzedniej zgody obywatela to świetny przepis na zrażenie wielu ludzi i raczej sposób na podkopanie tego zaufania. Wielu ludzi traktuje telefon jako coś bardzo osobistego. To nie jest telewizor, który się tylko ogląda. Telefonu używamy do załatwiania wielu, bardzo osobistych spraw. Jeśli rząd ogłasza, że chce wejść w ten obszar bez pytania o zgodę, to będzie tym budził zniechęcenie i opór – uważa Maj.

I przypomina, że to już trzecie podejście państwa do uczynienia jakiejś aplikacji „obowiązkową”. - Pierwsza była „Kwarantanna domowa”, która okazała się zagrożeniem dla prywatności (można było przy jej pomocy sprawdzić, czy znajomy lub ktoś z rodziny jest w kwarantannie). Później był taki moment, gdy Ministerstwo Rozwoju chciało luzować limity wpuszczania ludzi do sklepów w zależności od tego, czy mają one aplikację Protego Safe (później Stop COVID). W tym przypadku chęć promocji aplikacji była większa niż rozsądek, bo rząd był gotów zwiększyć zagęszczenie ludzi w sklepach (czyli prawdopodobieństwo zakażenia) byle tylko wymusić instalowanie aplikacji. Na szczęście pomysł porzucono – dodaje Maj.

Specjalista z Niebezpiecznika zastanawia się, czy problemu nie dało się rozwiązać inaczej niż poprzez próbę „wepchnięcia Polakom rządowej aplikacji”. I dodaje, że aplikację RSO jak do tej pory pobrano jedynie 100 tys. razy ze sklepu Google Play, podczas gdy mObywatel został ściągnięty stamtąd 5,5 mln razy. - Dlaczego? Bo mObywatel rozwiązuje pewne problemy i daje ludziom realną wartość. Rozwój aplikacji RSO był niefortunny. Przez pewien czas jej funkcjonalność blokowały nawet pewne kwestie prawne. Były niedoróbki techniczne (sam dostawałem komunikaty o treści „test”). Pytanie, czy dałoby się inaczej zwiększyć jej popularność? Może popatrzmy na ePUAP i Profil Zaufany. Kiedyś nie dało się nim zrobić nic, a założenie Profilu Zaufanego wymagało wizyty w urzędzie. Czy należałoby go wtedy uczynić obowiązkowym? Nie. Trzeba było ulepszyć ten produkt, udostępnić nowe usługi, rozdzielić ePUAP i PZ. I to zrobiono. Dziś więcej osób używa Profilu Zaufanego, bo jest to lepszy produkt. Gdyby był nadal obowiązkowy i nijaki, nie zyskalibyśmy nic – ocenia Maj.

Czy rząd nie dostanie narzędzia, dzięki któremu będzie mógł w większym stopniu inwigilować obywateli? - Moim zdaniem wszelkie rządowe aplikacje powinny mieć otwarty kod źródłowy. Niezależnie od tego jestem pewien, że wielu badaczy przyjrzy się teraz tej aplikacji i mam nadzieję, że nikt nie okaże się tak głupi, aby spróbować czegoś nieodpowiedniego – mówi Maj.

Czy nowe przepisy nie są mnożeniem bytów, skoro obecnie dostajemy SMS-y w ramach Alertu RCB? - Nie mam nic przeciwko temu, aby państwo udostępniało różne kanały informacyjne. Niektóre osoby wolą SMS, inne wybiorą aplikację. My w Niebezpieczniku w ramach swojej działalności też mamy serwis, aplikację, newslettery i inne kanały, to jest ok. Problem zaczyna się wtedy, gdy ktoś chce komuś wepchnąć kanał „obowiązkowy” na urządzenie, które jest wyjątkowo osobiste – powtarza Maj. - Cenię sobie bezpieczeństwo, ale nie kupiłbym mieszkania, w którym ktoś zainstalował mi ekran, na którym rząd w dowolnej chwili może wyświetlić swoje komunikaty. Bo mieszkanie to mój, bardziej prywatny obszar. Analogicznie każdy z nas postrzega swój telefon – zaznacza.

Nowa forma Pegasusa?

- Pomysł dobry i może w miarę nowoczesny, ale z góry kojarzy się jednoznacznie z Pegasusem przy obecnej niewyjaśnionej z nim sytuacji. Wgrywanie komuś na siłę czegoś do telefonu automatycznie przywodzi na myśl, że ktoś chce mieć na dzień dobry zainstalowaną inną formę Pegasusa. Tak nie powinno być – twierdzi Marcin Samsel, ekspert ds. bezpieczeństwa z Wyższej Szkoły Administracji i Biznesu im. Eugeniusza Kwiatkowskiego w Gdyni. - Nie jestem również zwolennikiem likwidacji RCB, a wręcz rozszerzenia jego kompetencji i zmiany struktury. Wsadzenie RCB do MSWiA upolityczni tę organizację, a w niej powinni być bezpartyjni fachowcy. Również system smsowego powiadamiania powinien być poprawiany i dostosowywany do sytuacji. Co z ludźmi, którzy będą mieć komórki zarejestrowane z zagranicznymi kartami? Nie będą dostawać informacji o zagrożeniu? - pyta Samsel.

Donald Tusk o sprawie Pegasusa: wszystko wskazuje, że popełniano poważne przestępstwa

- Tego typu aplikacje powinny być dobrowolne i nikt nie powinien móc ingerować, co mamy zainstalowane na telefonach – podkreśla ekspert. Nie dziwią go zapowiedzi ludzi, którzy po kupnie nowego telefonu będą zaczynać od pełnej reinstalacji, łącznie z wgraniem nowego oprogramowania. - Żeby mieć czyściutki telefon - mówi Samsel.

- Każda z tych aplikacji ma też autolokalizator. Żeby coś takiego wprowadzać, musi być olbrzymie zaufanie do instytucji państwa. Jako obywatel chcę wiedzieć, że moje dane są bezpieczne i nikt ich nigdy nie wykorzysta w sposób niezgodny z prawem. Jeżeli do tej pory nie wyjaśniono afery z Pegasusem - a, przestańmy kłamać, on był używany w niewłaściwy sposób, koniec, kropka – powoduje to niechęć ludzi do rządowych aplikacji - podkreśla ekspert.