Aplikacja ProteGO Safe śledzi każdy Twój krok. Teoretycznie ma chronić przed Covid-19

Maciej Czerniak
Maciej Czerniak
Zebrane dane mogą posłużyć do celów innych niż troska o zdrowie publiczne, takich, jak na przykład egzekwowanie prawa
Zebrane dane mogą posłużyć do celów innych niż troska o zdrowie publiczne, takich, jak na przykład egzekwowanie prawa pixabay
Pyta o kontakty, czynności higieniczne, zwyczaje i nawyki. Na ministerialny serwer przesyła dane o łączeniu przez bluetooth z innymi użytkownikami. Tak działa polska „apka” na koronawirusa. Dotarliśmy do programisty, który opiniował program, ale wycofał się z prac nad nim. Dlaczego?

Przeanalizowaliśmy twoje odpowiedzi. Wynik testu kwalifikuje cię do grupy: Niskie ryzyko infekcji. Często myj ręce, zasłaniaj usta i nos, kiedy kaszlesz lub kichasz. Zachowaj bezpieczną odległość (2 m), unikaj dotykania oczu, nosa i ust. #ZostańWDomu” - to diagnoza, którą wystawiła autorowi tego artykułu aplikacja ProteGO Safe napisana na zlecenie ministerstwa cyfryzacji. Pracowała i nadal pracuje nad jego udoskonaleniem koalicja polskich firm informatycznych we współpracy z GovTech Polska, pod nadzorem Głównego Inspektoratu Sanitarnego.

- Aby aplikacja w tej i kolejnych wersjach spełniała swoją rolę potrzebujemy kilku czynników. Przede wszystkim - solidarności, odpowiedzialności i samodyscypliny. Dlatego tak ważne jest, aby korzystało z niej możliwie najwięcej osób - podkreśla szef resortu cyfryzacji Marek Zagórski mówiąc o narodowej „apce”.

Dotarliśmy do jednego z programistów, którzy opiniowali kod aplikacji na czesnym etapie jej tworzenia. - Odradzam instalowanie aplikacji ProteGO Safe i innych aplikacji służących do śledzenia kontaktów w bieżącej ich formie - zdecydowanie mówi Szymon Teżewski, który swoje uwagi na temat programu zamieścił we wpisie na Jasisz Blog.

Czytaj także

To platforma, na której uwagami na temat programów wymieniają się specjaliści z dziedziny IT. Kiedy na hostingowym serwisie GitHub zamieszczono kod źródłowy przygotowywanego programu, Teżewski próbował przekazać swoje uwagi zleceniodawcy, czyli resortowi cyfryzacji.

- Przyglądałem się temu projektowi i brałem aktywny udział w dyskusjach o tym, jak mogłaby wyglądać taka aplikacja, która byłaby możliwie bezpieczna i szanowała prywatność użytkowników. Z kuriozalnych aspektów - musiałem podpisać oświadczenie dla Ministerstwa Cyfryzacji o licencji kodu i podpisać je profilem zaufanym.

Programista nie mógł wyjść ze zdziwienia, kiedy otrzymał odpowiedź od resortu. - Dostałem podziękowania, w których pojawiła się pełna lista e-maili osób, które podpisały podobne oświadczenie - zaznacza.

„Aplikacja” - pisze na swoim blogu - „wbrew temu, co było początkowo pisane, nie została wcale stworzona przez podobnych mi pasjonatów czy specjalistów, którzy stworzyliby ją z altruistycznych pobudek. Pierwsza ekipa stwierdziła, że należy poczekać aż pojawi się zapowiadane rozwiązanie od Google i Apple i porzuciła projekt, który przejęła inna ekipa”.

Program od 20 kwietnia jest dostępny w sieci. Po zainstalowaniu w smartfonie informuje, np. o tym, że przebywaliśmy w pobliżu osoby, która mogła być zakażona koronawirusem. Kwalifikuje użytkowników do grup ryzyka. Zakwalifikowanie do grupy średniej oznacza zalecenia pozostania w domu, a do wysokiej - pilny kontakt ze specjalistą.

Google ostrzega. Masz te aplikacje w swoim telefonie? Zobacz...

Aplikacja działa na zasadzie dziennika aktywności i zachowań zdrowotnych, a także przy użyciu technologii bluetooth. To rozwiązanie na wzór jednej z pierwszych takich aplikacji powstałych w Singapurze. Polski program prześwietlili ostatnio również spece z prestiżowego MIT Technology Review. ProteGO Safe znalazł się tam wśród 25 różnych aplikacji z całego świata. Zaznaczono, że powstał na bazie modelu singapurskiego.

Według niezależnych specjalistów z dziedziny bezpieczeństwa IT i polska aplikacja ProteGO Safe nie daje użytkownikom gwarancji anonimowości. Minister zaprzecza, ale zaufanie trudno odbudować. Nie umilkły jeszcze echa afery z systemem Pegasus.

Zastosowanie połączenia bezprzewodowego bluetooth w programie pozwala na zlokalizowanie w pobliżu innego smartfona z zainstalowaną aplikacją.

ProteGO Safe to program typu „contact tracing”, czyli służący do badania ścieżek rozprzestrzeniania się epidemii. „Aplikacja nie inwigiluje, nie zbiera i nie udostępnia danych użytkowników. Informacje o napotkanych urządzeniach nie zawierają żadnych danych o ich właścicielach, są anonimowe i zakodowane, a do tego przechowywane tylko w telefonie, przez dwa tygodnie. Później są usuwane. Jeśli nie wierzycie, można to sprawdzić w kodzie źródłowym” - informuje resort cyfryzacji.

Według działaczy fundacji Panoptykon badających stan inwigilacji w Polsce, te zapewnienia nie wytrzymują konfrontacji z opiniami niezależnych specjalistów. Używanie programu może, m.in. nieść „ryzyko deanonimizacji i odtworzenia mapy powiązań społecznych” - czytamy w analizie przygotowanej przez Katarzynę Szymielewicz, Annę Obem, Tomasza Zielińskiego i Wojciecha Klickiego. Iluzoryczna anonimowość użytkowników programu miałaby się wiązać z tym, że aplikacja jest hybrydą w części scentralizowaną (informacje przetwarzane na centralnym serwerze), a w części rozproszoną (operator sam nie może ustalić tożsamości użytkownika).

- Jeśli aplikacja pozostanie przy założeniach modelu scentralizowanego, to nie ma możliwości zabezpieczenia przed wykorzystaniem danych na serwerach Ministerstwa Cyfryzacji do innych celów, na przykład śledzenia lokalizacji i kontaktów między osobami zdrowymi - ocenia cytowany przez Panoptykon Jarek Potiuk, Principal Software Engineer, Open Source Committer.

Specjaliści z MIT Technology Review, czasopisma Massachusetts Institute of Technology ocenili polski program w rankingu 25 aplikacji stosowanych w innych państwach. Zaznaczono, że aplikacja powstała na bazie modelu jednego z pierwszych takich kodów wykorzystanych w Singapurze.

Polski program dostał cztery punkty na pięć. Pod uwagę brano, m.in. to, czy zainstalowanie aplikacji jest obowiązkowe; czy dane są późnej usuwane z systemu; czy program minimalizuje zakres zbieranych danych; czy władze publikują kod źródłowy do publicznej wiadomości. Ostatnią z kategorii jest ta dotycząca ograniczeń w zbieraniu danych o użytkownikach. W tym aspekcie autorzy raportu MIT Technology Review nie przyznali punktu programowi.

Czytaj także

„Czy określono sposoby wykorzystania danych? Czasem mogą posłużyć do celów innych niż troska o zdrowie publiczne, takich jak, np. egzekwowanie prawa. Ich zbieranie może trwać dłużej, niż sama epidemia Covid-19” - czytamy.

Lepiej ocenione zostały programy z Austrii (Stop Corona), Czech (eRouska), Islandii (Ranking C-19) i Singapuru właśnie (Trace Together). Najgorsze noty otrzymały: chińska (Chinese Health Code System), francuska (Stop Covid), irańska (Mask.ir) i irlandzka (HSE Covid-19 App).

- Rozwiązanie do śledzenia kontaktów jest dalece niedoskonałe - mówi Teżewski. - Jest scentralizowane, więc pozostaje ufać, że po stronie serwera wszystko jest tak jak mi napisało ministerstwo, bo jest to kluczowy element działania aplikacji, ale jednocześnie nie mam żadnej możliwości sprawdzenia, czy tak jest naprawdę. „Może być odpalony kod, który odpowiedź na kluczowe pytanie, czy miałem kontakt z zakażonym, losuje sobie z kapelusza” - programista zaznacza w swoim blogu.

- Sama idea aplikacji takich jak ProteGo nie jest zła - mówi Marcin Maj, z Niebezpiecznika.pl. - Pierwotnie w tej idei chodzi o to, aby urządzenie rejestrowało fakt zbliżania się do innych urządzeń i aby gromadziło informacje na ten temat w celu ich ewentualnego wykorzystania, gdyby osoba okazała się zakażona. Informacje powinny być zbierane na urządzeniu i nie powinny być przekazywane nigdzie bez zgody użytkownika. Istotne jest też, aby aplikacja pozostawała dobrowoln,a bo jeśli pojawi się jakikolwiek nacisk na jej stosowanie, to cała idea się sypie.

Czytaj także

Choć aplikacja ma otwarty kod - zaznacza Maj - to jednak kontrolowanie jej rozwoju staje się trudniejsze z powodu tych dodatkowych niepotrzebnych funkcji. - Nie wiem po co w tej aplikacji wprowadzono „Dziennik Zdrowia” albo „Test oceny ryzyka”. Rozumiem, że aplikacja miała śledzić kontakty, natomiast - moim zdaniem - nie powinniśmy jej traktować jako narzędzia diagnostycznego i nie powinniśmy zachęcać ludzi do przekazywania komukolwiek swoich danych zdrowotnych w taki sposób - mówi ekspert.

W ubiegłym roku wybuchł skandal związany rzekomym zakupem przez CBA izraelskiego systemu do inwigilowania Pegasus. Na jego trop wpadli kontrolerzy Najwyższej Izby Kontroli. Dopatrzyli się dziwnego transferu 25 mln zł z Funduszu Sprawiedliwości na konto Centralnego Biura Antykorupcyjnego. Pegasus pozwala w sposób nieograniczony śledzić użytkowników urządzeń elektronicznych.

- Brakuje instytucji, która mogłaby kontrolować, czy służby zgodnie z prawem wykonują swoje obowiązki - mówił Wojciech Klicki.

Częste kontrole i kary za brak maseczek

Wideo

Komentarze

Komentowanie artykułów jest możliwe wyłącznie dla zalogowanych Użytkowników. Cenimy wolność słowa i nieskrępowane dyskusje, ale serdecznie prosimy o przestrzeganie kultury osobistej, dobrych obyczajów i reguł prawa. Wszelkie wpisy, które nie są zgodne ze standardami, proszę zgłaszać do moderacji. Zaloguj się lub załóż konto

Nie hejtuj, pisz kulturalne i zgodne z prawem komentarze! Jeśli widzisz niestosowny wpis - kliknij „zgłoś nadużycie”.

Podaj powód zgłoszenia

Nikt jeszcze nie skomentował tego artykułu.
Dodaj ogłoszenie

Wykryliśmy, że nadal blokujesz reklamy...

To dzięki reklamom możemy dostarczyć dla Ciebie wartościowe informacje. Jeśli cenisz naszą pracę, prosimy, odblokuj reklamy na naszej stronie.

Dziękujemy za Twoje wsparcie!

Jasne, chcę odblokować
Przycisk nie działa ?
1.
W prawym górnym rogu przegladarki znajdź i kliknij ikonkę AdBlock. Z otwartego menu wybierz opcję "Wstrzymaj blokowanie na stronach w tej domenie".
krok 1
2.
Pojawi się okienko AdBlock. Przesuń suwak maksymalnie w prawą stronę, a nastepnie kliknij "Wyklucz".
krok 2
3.
Gotowe! Zielona ikonka informuje, że reklamy na stronie zostały odblokowane.
krok 3