Przekonaj się sam!
Pozostaw wiadomość, a skontaktuje się z Tobą nasz dedykowany doradca.
Wyślij nam wiadomość
0/10000
mObywatel i fasadowa transparentność
Opublikowano: 17:43 31.12.2025
Cyberbezpieczeństwo
Wyobraźcie sobie, że kupujecie samochód. Producent obiecuje pełną transparentność i pozwala zajrzeć pod maskę. Otwieracie ją, a tam… zdjęcie silnika wydrukowane na kartonie. Mniej więcej tak czuje się społeczność IT w Polsce po wydarzeniach z 29 grudnia 2025 roku.
Po latach zapowiedzi i legislacyjnych przepychanek Ministerstwo Cyfryzacji w końcu to zrobiło: opublikowało kod źródłowy aplikacji mObywatel. To flagowy produkt cyfrowego państwa, z którego korzysta 11 milionów Polaków. Teoretycznie powinniśmy otwierać szampana. Praktycznie – otwieramy debuggery i przecieramy oczy ze zdumienia.
To, co wydarzyło się w ostatnich dniach roku, to fascynujące studium przypadku zderzenia nowoczesnych oczekiwań społecznych z wojskową doktryną "bezpieczeństwa przez niejawność". Przyjrzyjmy się temu, co tak naprawdę zobaczyliśmy (i czego nie zobaczyliśmy) w kodzie mObywatela.
Złośliwe posłuszeństwo, czyli GitHub na miarę BIP-u
Pierwsze, co rzuca się w oczy, to forma publikacji. W świecie inżynierii oprogramowania standardem jest repozytorium (np. GitHub), gdzie widać historię zmian, autorów i strukturę projektu. Co zrobił polski rząd? Opublikował statyczne pliki HTML na stronie Biuletynu Informacji Publicznej.
To klasyczny przykład "malicious compliance" – złośliwego posłuszeństwa. Urzędnicy spełnili ustawowy wymóg ("kod został opublikowany"), ale zrobili to w sposób maksymalnie utrudniający jego analizę.
Wisienką na torcie były zabezpieczenia rodem z lat 90.: blokada prawego przycisku myszy i zaznaczania tekstu. W świecie, gdzie mObywatel ma być dowodem nowoczesności państwa, zastosowanie skryptów, które każdy junior developer obejdzie w 30 sekund, zakrawa na ironię. Społeczność zareagowała błyskawicznie – w sieci pojawiły się narzędzia "czyszczące" kod z rządowych "zabezpieczeń", a repozytoria o wymownych nazwach (jak mobywatel-shitcode) zaczęły żyć własnym życiem.
Pokaż mi swój dowód, a pozwolę ci sprawdzić błędy
To chyba najbardziej niepokojący i kontrintuicyjny aspekt tej sprawy. Aby w ogóle zobaczyć udostępniony kod mObywatela, musisz się zalogować Profilem Zaufanym.
Państwo tworzy rejestr osób zainteresowanych analizą kodu rządowego. W optyce służb (CSIRT MON), każdy kto analizuje kod, jest potencjalnym zagrożeniem.
To całkowite zaprzeczenie idei Open Source. Bezpieczeństwo otwartego oprogramowania opiera się na anonimowym tłumie ekspertów (tzw. white hats), którzy szukają dziur, by je łatać. Wymuszając logowanie z imienia i nazwiska (i numeru PESEL), państwo wywołuje efekt mrożący. Uczciwy badacz zastanowi się dwa razy, czy chce trafić na listę "ciekawszych obywateli". Przestępca? Użyje kradzionego konta i sprawdzi kod bez przeszkód.
Fasada bez fundamentów
Kiedy już przebrniemy przez logowanie i blokady, okazuje się, że "król jest nagi". Udostępniony kod to w 75% Kotlin (Android) i w 24% Swift (iOS), ale obejmuje głównie warstwę wizualną. Widzimy kolory, ikonki, ułożenie przycisków.
Czego brakuje? Wszystkiego, co istotne. Nie ma logiki biznesowej, nie ma mechanizmów komunikacji z serwerem, nie ma backendu. Nie jesteśmy w stanie zweryfikować, czy aplikacja mObywatel nie wysyła "tylnymi drzwiami" naszych danych lokalizacyjnych czy historii aktywności.
Eksperci porównują to do pokazania farby na elewacji budynku, podczas gdy obywatele chcieli sprawdzić solidność fundamentów. Bez wglądu w to, jak aplikacja przetwarza dane i jak komunikuje się z bazami państwowymi, audyt bezpieczeństwa jest fikcją. Otrzymaliśmy "transparentność fasadową".
Paradoks licencyjny
Sytuacja prawna kodu mObywatela to gotowy materiał na doktorat z absurdu. Z jednej strony kod został udostępniony na licencji MIT – jednej z najbardziej liberalnych na świecie, pozwalającej na kopiowanie, modyfikowanie i rozpowszechnianie. Z drugiej strony – zastosowano techniczne blokady kopiowania i ograniczono dostęp tylko dla obywateli RP.
Gdy pierwszy użytkownik (zgodnie z prawem i licencją MIT) wrzucił kod na GitHuba, wszystkie zabezpieczenia CSIRT MON stały się bezprzedmiotowe. Próba zamknięcia otwartego kodu w klatce narodowych regulacji pokazuje, jak bardzo decydenci nie rozumieją natury cyfrowego świata.
Lekcja z Ukrainy
Dla kontrastu warto spojrzeć na wschód. Ukraińska aplikacja Diia, często stawiana za wzór dla mObywatela, ma swój kod na GitHubie. Jest otwarty dla świata, a rząd w Kijowie zachęca do zgłaszania poprawek. Tam zrozumiano, że zaufanie buduje się poprzez współpracę, a nie poprzez tworzenie cyfrowych twierdzy.
Co dalej?
Grudniowa publikacja to smutny dowód na to, że w polskiej administracji wciąż wygrywa doktryna strachu. Zamiast wykorzystać potencjał tysięcy polskich programistów do darmowego audytu i poprawy bezpieczeństwa narodowej aplikacji, potraktowano ich jak potencjalnych wrogów.
mObywatel stał się de facto naszym dowodem tożsamości. Czy w 2026 roku możemy ufać państwu, które wymaga od nas "cyfrowego ekshibicjonizmu", samo pozostając zasłonięte parawanem biurokracji i technicznej niekompetencji?
Aleksander
źródła:
repozytorium github z upublicznionym kodem przez jednego z uzykowników
komunikat ze strony Ministerstwa Cyfryzacji
FAQ
Dlaczego kod mObywatela opublikowano jako pliki HTML, a nie na GitHubie?
Zgodnie z analizą, jest to przykład "złośliwego posłuszeństwa". Urzędnicy spełnili ustawowy wymóg publikacji, ale wybrali formę (statyczne pliki HTML na BIP), która maksymalnie utrudnia analizę i automatyczne przetwarzanie, zamiast użyć standardu branżowego jakim jest repozytorium git.
Czy udostępniony kod mObywatela jest kompletny?
Nie. Udostępniono głównie warstwę wizualną (frontend) napisaną w językach Kotlin i Swift. W kodzie brakuje kluczowej logiki biznesowej, backendu oraz mechanizmów komunikacji z serwerem, co uniemożliwia pełną weryfikację bezpieczeństwa przetwarzania danych obywateli.
Dlaczego aby zobaczyć kod, trzeba zalogować się Profilem Zaufanym?
Władze wymagają logowania w celu identyfikacji osób pobierających kod. W opinii społeczności IT i ekspertów cyberbezpieczeństwa, tworzy to "rejestr zainteresowanych" i wywołuje efekt mrożący dla niezależnych badaczy (white hats), którzy w obawie przed wpisaniem na listę "podejrzanych" mogą zrezygnować z audytu.
Czy kod mObywatela można legalnie modyfikować i rozpowszechniać?
Teoretycznie tak, ponieważ kod został udostępniony na licencji MIT, która jest bardzo liberalna. Jednak techniczne blokady zastosowane na stronie (np. blokada zaznaczania tekstu) oraz ograniczenie dostępu tylko dla obywateli RP stoją w sprzeczności z duchem i literą tej otwartej licencji.
Gdzie mozna znaleźć kod mObywatela?
Kod jest udostępniony w repozytorium github oraz mozna go pobrać z oficjalnego repozytorium po zalogowaniu się.
O autorze
Aleksander Zębrowski
Dyrektor ds. Technologii w SecurHub.pl
Doktorant z zakresu neuronauki poznawczej. Psycholog i ekspert IT specjalizujący się w cyberbezpieczeństwie.
Powiązane artykuły
Cyberbezpieczeństwo
Jeden adres, by rządzić (cyber)bezpieczeństwem. Co warto wiedzieć o nowym portalu cyber.gov.pl?
Polska cyberobrona to system o dwóch twarzach. Z jednej strony nowa witryna cyber.gov.pl, z drugiej – oficjalne przyznanie się do posiadania ofensywnej cyberbroni. Odkrywamy, jak działa ten dualizm.
12:21 13.12.2025
11 min
Cyberbezpieczeństwo
WormGPT i KawaiiGPT: 5 faktów o mrocznej stronie AI
Sztuczna inteligencja to nie tylko medycyna i ułatwienia. To także wyspecjalizowane, złośliwe modele LLM, które demokratyzują cyberprzestępczość i tworzą idealne oszustwa.
20:21 22.12.2025
9 min
Cyberbezpieczeństwo
Norma ISA/IEC 62443 - 6 Zaskakujących Prawd o Cyberbezpieczeństwie Przemysłu, Które Musisz Znać
Rzeczywistość Przemysłu 4.0 to koniec izolacji fabryk. Dowiedz się, jak norma IEC 62443 wywraca do góry nogami tradycyjne myślenie o ochronie infrastruktury krytycznej.
18:21 22.12.2025
10 min
Komentarze
Ładowanie komentarzy...