Ministerstwo obiecywało, że pracuje nad w "pełni polskim, bezpiecznym komunikatorem". Nie uwierzycie, co się okazało
Najważniejsze ustalenia
-
Oficjalnie resort i NASK podkreślają, że Polska ma „całkowitą kontrolę” nad danymi, serwerami i cyklem życia oprogramowania, a mSzyfr ma działać w modelu on-premise.
-
W opisie rządowym mSzyfr jest przedstawiany jako komunikator oparty na szyfrowaniu end-to-end, z obsługą wiadomości, połączeń audio/wideo, plików i metadanych.
-
Z analizy opisanej przez Zero.pl wynika jednak, że aplikacja klienta wygląda i zachowuje się bardzo podobnie do Element X, a w kodzie i materiałach instalacyjnych pojawiają się odwołania do element.io.
-
Element jest projektem związanym z Matrixem (otwarty protokół komunikacyjny do bezpiecznego czatu), a jego ekosystem ma jasno opisane zasady licencjonowania, w tym AGPL dla wielu komponentów open source oraz osobne warunki dla wersji enterprise ESS Pro.
Gdzie jest problem?
Najmocniejszy zarzut nie dotyczy samego użycia gotowej technologii, bo to akurat nie jest niczym nadzwyczajnym w sektorze publicznym.
Problem polega na rozbieżności między deklaracją o „100 proc. polskim” rozwiązaniu a sygnałami, że rdzeń systemu może pochodzić z brytyjskiego ekosystemu Element/Matrix.
Ponadto, jeżeli administracja korzysta z kodu objętego AGPL, musi respektować warunki tej licencji, w tym obowiązki dotyczące udostępniania kodu pochodnych modyfikacji w określonych sytuacjach.
Brak publicznie dostępnego kodu źródłowego mSzyfru utrudnia dziś weryfikację, czy projekt jest legalnym wdrożeniem, czy też marketingowo opisanym forkiem.
Czy resort cyfryzacji wie, co robi?
Na obecnym etapie nie ma twardego dowodu, że ministerstwo „na pewno łamie licencję”, ale są mocne podstawy, by pytać o transparentność i zgodność komunikatów z rzeczywistością.
– Rozpoczynamy testy komunikatora narodowego, w którym to Polska ma całkowitą kontrolę nad danymi, infrastrukturą serwerową oraz cyklem życia oprogramowania. Będzie on przeznaczony do bezpiecznej komunikacji w administracji publicznej oraz dla podmiotów KSC – zapewniał 10 kwietnia br. - w oficjalnych komunikatach - Paweł Olszewski, wiceminister cyfryzacji.
Czy mSzyfr jest w pełni „polski”? dostępne źródła raczej pokazują polskie wdrożenie i krajową kontrolę infrastruktury niż całkowicie autorski produkt od zera. Jeśli resort chce obronić narrację o suwerenności, powinien jasno ujawnić, które komponenty są własne, które pochodzą od Element, oraz na jakiej licencji działają.
Oczywiście, sam pomysł państwowego komunikatora ma sens, bo administracja potrzebuje bezpiecznego kanału do poufnej komunikacji i archiwizacji decyzji. Z punktu widzenia bezpieczeństwa i państwowej kontroli użycie sprawdzonego, otwartego ekosystemu może być racjonalne. Trzeba jednak uczciwie pokazać, czy korzystamy z oprogramowania, które jest w pełni naszym, rodzimym produktem czy tylko nadbudową, do której wykorzystano gotowe rozwiązania?
źr. wPolsce24 za Kanał Zero/NASK
Czytaj także
