Aplikacja ProteGO Safe nie działa. Czas zatrzymać tę inwestycję.

Teza niniejszego artykułu jest prosta: ProteGO Safe nie działa i najbardziej racjonalną decyzją będzie natychmiastowe zatrzymanie prac nad nią, by zaoszczędzone pieniądze wydać na “ręczne” śledzenie kontaktów osób zarażonych. Kilka miesięcy temu wielu z nas wierzyło, że aplikacje do śledzenia interakcji mogą pomóc w ograniczeniu propagacji koronawirusa. Spróbowaliśmy, aplikacja powstała, dziś mamy już dowód, że jest całkowicie nieskuteczna.

Niniejszy wstępniak piszę wieczorem 10 lipca 2020. ProteGO Safe nie dystrybuuje obecnie ani jednego klucza pozwalającego użytkownikom dowiedzieć się, że przebywali w pobliżu osoby z potwierdzoną diagnozą koronawirusa. Powód? W ciągu minionych dwóch tygodni ani jeden z 4000 nowych nosicieli SARS-CoV-2 nie wysłał do serwera ProteGO Safe informacji o swoich kontaktach społecznych. Aplikacja za grubo ponad dwa miliony złotych nie spełnia swojej roli, czas uciąć dalsze bezcelowe wydatki.

Aplikacja nie jest używana nawet przez tych, którzy ją zainstalowali

Przypomnijmy sobie, jak działa protokół Exposure Notification: telefony użytkowników z aplikacją do śledzenia kontaktów stale rozgłaszają losowe identyfikatory kanałem radiowym modułu Bluetooth. Jednocześnie prowadzą też nasłuch a każdy cudzy identyfikator jest zapamiętywany, bo to oznacza, że drugie urządzenie znajduje się w odległości kilku-kilkunastu metrów. W ten sposób urządzenia rejestrują, że się “usłyszały”. Nadawane identyfikatory są losowe i zmieniają się co kwadrans, więc właściciele tych urządzeń pozostają anonimowi.

Gdy użytkownik aplikacji zostanie zdiagnozowany jako nosiciel koronawirusa, wraz z diagnozą dostanie kod PIN który pozwoli mu wysłać swoje “identyfikatory chorego” na serwer ministerstwa. Stamtąd automatycznie ściągną je telefony pozostałych użytkowników. U nich aplikacja sprawdzi, czy pobrane “identyfikatory chorego” występują na liście identyfikatorów usłyszanych w ciągu minionych dwóch tygodni. Jeśli tak, użytkownik zostanie powiadomiony o wcześniejszym kontakcie z kimś, kto został zdiagnozowany pozytywnie.

Co poszło nie tak w aplikacji ProteGO Safe? Od 23 czerwca do 14 lipca “identyfikatory chorego” trafiły na serwer jedynie 7 razy. Co więcej – po dwóch tygodniach od wydania wersji 4.1 (która korzysta z protokołu Exposure Notification) spodziewalibyśmy się, że osoby o potwierdzonej diagnozie będą wysyłać pełną dwutygodniową historię swoich identyfikatorów. Tak nie było – w przypadku ProteGO Safe mieliśmy 4 wysyłki identyfikatorów z jednego dnia zaś rozmiar największej paczki nie przekroczył 10 dni.

Cztery wysyłki po jednym kluczu. Taka statystyka sugeruje, że te osoby tak naprawdę nie używały aplikacji ProteGO Safe przed otrzymaniem diagnozy. Moja spekulacja: osoby te instalowały aplikację w dniu pobrania wymazu a następnego dnia wraz z diagnozą odbierały numer PIN i wysyłały informację o zarażeniu. Oczywiście takie użycie aplikacji nikomu nie pomoże, bo osoba podejrzewana o bycie nosicielem raczej nie ma już styczności z przypadkowymi ludźmi – siedzi na kwarantannie lub leży w szpitalu.

Jest i druga możliwość – może ktoś zainstalował sobie ProteGO Safe wcześniej, ale z jakiegoś powodu nie włączył procesu rozgłaszania?

Czy użytkownicy ProteGO Safe aktywowali Exposure Notification?

Do statystyk użycia jeszcze wrócimy, na razie przyjrzyjmy się komunikatom Ministerstwa Cyfryzacji. Na stronach aktualności oraz stronie aplikacji widzimy komunikaty:

• “Aplikacja nie wymaga od nas żadnych dodatkowych działań. Wystarczy ją pobrać, zainstalować i uruchomić, a później tak naprawdę możemy o niej zapomnieć.”
• “pobierz i zapomnij”
• “Pobranie i instalacja ProteGO Safe trwa 2-3 minuty. To nic nie kosztuje, a może nam bardzo pomóc.”
• “Zachęć znajomych do pobrania, zainstalowania i korzystania z aplikacji.”

Spójrzmy też na reklamę wideo. Nigdzie nie ma informacji, że po pierwszym włączeniu aplikacji trzeba jeszcze wyrazić zgodę na rozpoczęcie rozgłaszania przez Bluetooth. Na stronach ministerstwa brak jakiekolwiek obrazkowej instrukcji przejścia przez ekrany początkowe.

Postanowiłem sprawdzić, przez ile ekranów trzeba przejść w wersji 4.2.1 (najnowszej dostępnej), by aktywować owo rozgłaszanie. Oto rezultat z Androida, zrzuty ekranu robione przed każdym naciśnięciem klawisza ekranowego:

Na coś takiego nie byłem gotów. Aktywacja protokołu Expose Notification możliwa była po tym, gdy użytkownik przeszedł przez SZESNAŚCIE ekranów, następnie zauważył mały napis, kliknął go i wyraził zgodę na aktywację. Taki proces wygląda jak najgorszy koszmar projektanta interfejsów użytkownika i jest na dobrą sprawę gwarancją, że do osiemnastego obrazka doczołga się kilka procent użytkowników.

W tym miejscu byłem gotów wytoczyć najcięższe działa, oburzyć się, zacytować mędrców UI/UX, sięgnąć po statystyki pokazujące procent odpadnięć na kolejnych krokach ankiety, zagrzmieć o kompletnym niezrozumieniu imperatywów i innych mądrych słów, ale… na wszelki wypadek uruchomiłem aplikację na jeszcze jednym telefonie. I okazało się, że tam trzy pierwsze ekrany wyglądają o tak:

Mamy więc do czynienia z usterką, która przynajmniej na części telefonów z Androidem sprawi, że aktywacja rozgłaszania Bluetooth na samym początku zostaje pominięta i pojawi się mimochodem kilkanaście ekranów później. Łatwo zgadnąć, że wielu użytkowników, którzy aplikację “zainstalowali i zapomnieli”, nigdy nie dotrze do tego ekranu – wymaga to sporej dozy cierpliwości i dociekliwości. Na pozostałych urządzeniach też nie jest dobrze, bo środkowy ekran pojawia się tylko jeden raz, przy pierwszym uruchomieniu programu – potem nie jest pokazywany już nigdy.

Ministerstwo, mamy problem!

Dla porządku sprawdziłem jeszcze kilka urządzeń, do których miałem dostęp i poprosiłem o to samo czytelników mojego Twittera i Facebooka.

Moi drodzy, to jest ważne. Potrzebuję Waszej pomocy w weryfikacji dziwnego zjawiska. Gdy po raz pierwszy instalujecie ProteGO Safe na Androidzie (albo skasujecie i zainstalujecie apkę), to jaki ekran pojawi się jako DRUGI? Taki jak u góry (A) czy dołu (B)? Odp albo priv, dzięki! pic.twitter.com/n6jINUCsov

— Informatyk Zakładowy (@InfZakladowy) July 13, 2020

Statystyki: osobiście sprawdziłem pięć telefonów, czytelnicy jeszcze dziewięć. Tylko na JEDNYM z nich propozycja aktywacji rozgłaszania pojawiła się na drugim ekranie po uruchomieniu – był to zrootowany Nexus 5X ze stockowym oprogramowaniem Android 8.1. Oznacza to, że znakomita większość użytkowników musi pokonać 16 ekranów (lub 9, jeśli pominą test oceny ryzyka) aby MIEĆ SZANSĘ na włączenie funkcji rozgłaszania mało widocznym przyciskiem. Przypomnijmy narrację Ministerstwa Cyfryzacji: “pobierz i zapomnij”.

Wniosek: istnieje bardzo duże prawdopodobieństwo, że spora część użytkowników ProteGO Safe na systemie Android nie aktywowała funkcji rozgłaszania losowych identyfikatorów przez Bluetooth.

W typowym “biznesowym” projekcie mobilnym mielibyśmy zaimplementowane funkcje śledzenia i telemetryczne statystyki pozwalające na bieżąco wyłapać anomalie, ale w przypadku szczególnym, jakim jest ProteGO Safe, takie raportowanie nie wchodzi w grę.

Czy można było zapobiec takiej usterce? Tak. Jedna z metod to przygotowanie automatycznych testów regresji, które pozwalają upewnić się, że zmiana w jednym miejscu nie psuje czegoś gdzie indziej. Przygotowanie takich testów to oczywiście dodatkowy koszt, ale zdecydowanie warto było objąć nimi działanie przynajmniej tych kilku krytycznych ekranów ścieżki nowego użytkownika.

Czy istnieje sposób na sprawdzenie skali problemu?

Wbrew temu, jak można było zrozumieć pierwszą, kwietniową wersję dokumentu opisującego Exposure Notification (“no data will be shared by the system with public health authority apps unless […]”), “identyfikatory chorych” są przechowywane na serwerach Ministerstwa Cyfryzacji. Trudno powiedzieć, czy koncepcja Apple i Google zmieniła się podczas prac na protokołem, czy też pierwotny plan nie był przedstawiany czytelnie – ja zorientowałem się dopiero z wydaniem ProteGO Safe w wersji 4.1.

Jeśli więc sądziliście, drodzy czytelnicy, że jako pasywni użytkownicy ProteGO Safe nie zdradzacie rządowi RP faktu instalacji apki – spójrzcie w lustro i powiedzcie do siebie “nie przeczytałem polityki prywatności, paragraf 2, punkt 9; ani regulaminu, paragraf 2, punkt 15”. Tam jest wszystko napisane.

Dzięki temu jednak twórcy aplikacji mogą sprawdzić, ile aktywnych instalacji raportują sklepy Google Play i AppStore oraz z ilu różnych numerów IP przychodzą zapytania o nowe “identyfikatory chorych”. To pozwoli im oszacować, u ilu użytkowników aplikacja niczego nie nadaje, i być może jakoś zaradzić temu problemowi.

Ocena skuteczności aplikacji ProteGO Safe

Wróćmy do liczb. Liczby nie kłamią. Nie wtedy, gdy ja je prezentuję. Aplikacja w wersji 4.1, wyposażona w rozgłaszanie Bluetooth w standardzie przygotowanym przez konsorcjum Apple i Google, została wydana na obu platformach w pierwszym tygodniu czerwca. Rządowa kampania informacyjna ruszyła 9 czerwca, od tego dnia możemy więc liczyć szeroką dostępność docelowej wersji ProteGO Safe (we wcześniejszych wersjach działał jedynie moduł samooceny stanu zdrowia).

Jeśli ktoś zainstalował aplikację 9 czerwca i aktywował w niej rozgłaszanie, to w razie zakażenia koronawirusem 16 czerwca będzie mógł wysłać na serwery swoje “identyfikatory chorego” (klucze diagnostyczne, po angielsku Diagnosis Keys) z siedmiu minionych dni. Jeśli otrzyma diagnozę 23 czerwca lub później – będzie mógł wysłać klucze diagnostyczne z 14 dni.

Dane z pierwszej połowy czerwca są zaśmiecone kluczami datowanymi na końcówkę maja, prawdopodobnie są to pozostałości po testowym rozruchu części serwerowej. Przyjrzyjmy się więc okresowi od 23 czerwca do 14 lipca. Są to trzy tygodnie, podczas których ProteGO Safe działało pod pełną parą:

23 czerwca	brak nowych kluczy
24 czerwca	brak nowych kluczy
25 czerwca	brak nowych kluczy
26 czerwca	3 jednodniowe klucze od 3 osób, wszystkie klucze z 25 czerwca
27 czerwca	brak nowych kluczy
28 czerwca	brak nowych kluczy
29 czerwca	brak nowych kluczy
30 czerwca	brak nowych kluczy
1 lipca	brak nowych kluczy
2 lipca	brak nowych kluczy
3 lipca	brak nowych kluczy
4 lipca	brak nowych kluczy
5 lipca	brak nowych kluczy
6 lipca	brak nowych kluczy
7 lipca	brak nowych kluczy
8 lipca	brak nowych kluczy
9 lipca	brak nowych kluczy
10 lipca	zestaw 10 kluczy: od 26 do 30 czerwca oraz od 3 lipca do 9 lipca (dwie osoby? jedna wyłączająca na dłużej telefon?)
11 lipca	1 klucz z 10 lipca, od 1 osoby
12 lipca	brak nowych kluczy
13 lipca	brak nowych kluczy
14 lipca	zestaw 7 kluczy: od 7 do 13 lipca, jedna osoba

Podsumowanie: w czasie trzech tygodni ProteGO Safe dystrybuowało w sumie 21 kluczy wysłanych przez 6 lub 7 osób.

Chciałem w tym miejscu rzucić bonmocik, że więcej osób wygrało w tym czasie milion w Lotto, ale to by była nieprawda, bo totolotkowych milionerów przybyło wówczas raptem czworo.

Żarty na bok, utrwalmy sobie fakty

Fakt 1: system kosztujący miliony złotych – o tym za chwilę – uzyskał po okresie rozruchu sprawność zbierania i rozsyłania informacji o kontaktach społecznych JEDNEJ zarażonej osoby dziennie. Średnio, bo wartość ta wahała się od zera do trzech osób.

Fakt 2: masz szansę 1 na 38 milionów, że spotkasz osobę która używa ProteGO Safe, jest zainfekowana koronawirusem, dowie się o tym w ciągu najbliższych dwóch tygodni i wyśle na serwer zestaw swoich kluczy dziennych uwzględniających wasze spotkanie (masz też szansę 1 na 14 milionów, że trafisz szóstkę w Lotto).

Fakt 3: aplikację zainstalowało do tej pory około 250 tysięcy użytkowników (zakładam, że dostałem informację o aktywnych instalacjach). W Polsce żyje ponad 38 milionów ludzi, czyli aplikacja osiągnęła penetrację rzędu 0,66%. Dziennie w Polsce koronawirusa diagnozuje się u około 280 osób, łącznie 5000 osób podczas omawianych trzech tygodni. Spośród tych 5000 osób jakieś 33 osoby mają ProteGO Safe, ale tylko 6-7 z nich wyśle swoje klucze.

Jeśli to nie jest dowodem, że aplikacja się nie sprawdziła, to ja nie wiem, co jest.

Krótka piłka – czas przestać wydawać pieniądze na ProteGO Safe. To nie jest tak, że ułożymy dłonie w serduszko i wyszepczemy, że jeśli uratowaliśmy choć jedno życie to było warto. Zarządzający ochroną zdrowia na poziomie krajowym muszą robić co innego – brać pod uwagę koszt alternatywny. Czy warto dziś wydać milion złotych na promocję, by podwoić lub potroić penetrację aplikacji ProteGO Safe? A może społeczeństwu bardziej przydadzą się dwa łóżka na OIOM-ie albo specjalistyczna karetka dla noworodków albo rok pracy ośmiu lekarzy specjalistów albo 30 operacji serca albo wiele innych rzeczy, które można mieć za milion złotych?

Dla mnie odpowiedź jest jasna – zatrzymujemy inwestycję, anulujemy planowane reklamy prasowe i telewizyjne, wstrzymujemy prace nad tak bezsensownymi wynalazkami jak transgraniczna wymiana kluczy Exposure Notification i wprowadzamy projekt w stan hibernacji. Nie trzeba usuwać aplikacji ze sklepu, będzie z wolna popadać w zapomnienie, jak miliony innych.

Koszty produkcji ProteGO Safe

Ustawa o dostępie do informacji publicznej zadziałała po raz kolejny – z Ministerstwa Cyfryzacji otrzymałem następujące umowy i aneksy:

• umowa nr 7/DRU/2020 o produkcję aplikacji ProteGO Safe z modułem samodiagnozy stanu zdrowia – 123.000 złotych brutto
• umowa nr 12/DRU/2020 o produkcję modułów do śledzenia kontaktów protokołem OpenTrace, modułu do nieszczęsnych QR-kodów, modułu dla operatorów Centrum Kontaktu, testowanie jakości, testy penetracyjne, przygotowanie elementów komunikacji wizualnej itp. – 2.317.320 zł brutto
• aneks do umowy 12/DRU/2020 – wylatują QR-kody, wylatuje OpenTrace, pełna przesiadka na Exposure Notification – cena bez zmian
• aneks którego nie mam bo był później – osadzenie modułu wykonawczego PWA wewnątrz aplikacji zgodnie z tezami mojego artykułu (przekaz wzmocniony przez szerzej czytanych), retesty itp. – dodatkowe 110.700 zł

W sumie ponad dwa i pół miliona złotych. Czy jestem oburzony? Czy wkurza mnie, że kosztorys zawiera takie pozycje jak “stworzenie diagramu przepływu danych w module Open Trace; dostawa w pliku formatu JPG; wycena 20.000 zł +VAT”?

Nie jestem i nie wkurza.

Po pierwsze: tworzenie oprogramowania na zamówienie jest bardzo kosztowne. Pisałem o tym w artykule o kosztach produkcji Kwarantanny Domowej (tak, tam byłem oburzony).

Po drugie: w projekcie programistycznym nie da się tak planować prac, jak np. przy budowie mostu. Mógłbym napisać obszerną blogonotkę, dlaczego tak się dzieje i dlaczego jest to nieuniknione więc dziś pohamuję szarpiącą się dygresję. Jeśli ktoś chciałby o tym przeczytać – zapraszam do napisania komcia. Tak po prostu jest a ta cytowana pozycja kosztorysu była pewnie pojemnikiem na inne pokrewne rzeczy, których nie warto było na przyjętym poziomie szczegółowości wymieniać i wyceniać.

Po trzecie: aplikacja do śledzenia kontaktów jest bytem, który jeszcze kilka miesięcy temu nie istniał. Nie było nikogo, komu można byłoby zlecić produkcję ProteGO Safe wiedząc, że zrobił już ileś podobnych aplikacji więc sobie poradzi. Projekt był więc z definicji skazany na eksperymenty i ładowanie się w ślepe uliczki – z powodu nagłych zwrotów akcji w obszarze technologii (OpenTrace kontra Exposure Notification), polityki (QR-kody) i pewnego nieogarnięcia przez autorów kwestii prywatności (PWA).

Po czwarte: jako publiczność widzimy aplikację mobilną na dwie platformy, nie widzimy natomiast pracy włożonej w implementację części serwerowej i wdrożenia oprogramowania dla operatorów Centrum Kontaktu (oraz wdrożenia w temat samych operatorów).

Podsumowując – kwestionuję wartość i użyteczność aplikacji ProteGO Safe; nie oburza mnie koszt jej dotychczasowej produkcji; postuluję jednak natychmiastowe wstrzymanie dalszego inwestowania w rozwój i promocję tego produktu.

Czy ten wydatek miał sens?

Minęło raptem kilka miesięcy a już zacierają się wspomnienia tego, jak żyliśmy i co myśleliśmy w marcu i kwietniu Anno Domini 2020. Największy wpływ na nastroje miało zamknięcie szkół 12 marca, niecałe dwa tygodnie później obowiązywały już ograniczenia w przemieszczaniu się, zamknięto restauracje, kina, potem także parki i lasy.

Ponieważ przez długie lata odpowiedzią na niemal każde wyzwanie była dedykowana aplikacja, na całym świecie zaczęło się intensywne zmóżdżanie, jak w walce z COVID-19 może pomóc nowoczesna technologia. Liczne hackatony zaowocowały eksplozją aplikacji mobilnych i webowych, w znakomitej większości należących do dwóch kategorii – samooceny stanu zdrowia lub śledzenia kontaktów społecznych.

Pierwszą i najgłośniejszą aplikacją tego typu był singapurski TraceTogether, wydany już 20-go marca. Wielka metropolia na małej wyspie, skrajnie wysoka gęstość zaludnienia, rekordowo duża popularność aplikacji. Niemal wszystko sprzyjało sukcesowi, z wyjątkiem… telefonów komórkowych, które zbyt często przechodzą w stan uśpienia.

Robimy teraz przeskok do czerwca – Singapur publikuje swój produkt jako Open Source, niektóre rządy (w tym polski) już wtedy inwestują w aplikacje do śledzenia kontaktów. Dzień później Google i Apple zapowiadają powstanie nowego protokołu śledzenia interakcji społecznych, niewrażliwiego na ograniczenia dotykające TraceToghether. Odbija się to szerokim echem także poza branżą IT. Rządy kolejnych krajów deklarują tworzenie własnych aplikacji, aby nie zostać w tyle.

Tutaj jest moment, w którym należało się zatrzymać i powiedzieć: “przeprowadźmy eksperyment, czy to może zadziałać; weźmy kilkadziesiąt telefonów ze średniej półki bo i tak je kupujemy do ministerstwa więc się nie zmarnują, zróbmy w tydzień na brudno i na szybko eksperymentalne oprogramowanie, zaaranżujmy typowe scenki w typowych wnętrzach i zobaczmy, czy Bluetooth rzeczywiście wykryje kontakt z drugim urządzeniem; poprośmy matematyków o określenie potencjalnych korzyści przy różnej penetracji rynku; poprośmy marketingowców specjalizujących się w mobilkach by oszacowali możliwy do osiągnięcia udział” i tak dalej, i tak dalej. To by było fajnie, gdyby rządy prowadziły politykę opartą na wiedzy, prawda? Mam dla was ćwiczenie – powiedzcie na głos zdanie “politycy szanują zdanie naukowców i inżynierów”.

Przestaliście się już śmiać? Idźmy dalej. Polityk działa inaczej, on sobie myśli “jeśli ja nie zlecę produkcji aplikacji a to jednak gdzie indziej zadziała, to będzie ambaras a ja osobiście wpadnę w opały” (domniemany dobór słów). Im większy ogień pod czterema literami tym chętniej wydawane są pieniądze – np. Niemcy wywalili na swoją aplikację ponad 20 milionów Euro a na jej utrzymanie gotowi są wydać do 2022 roku drugie tyle. Kto bogatemu zabroni, na tym tle budżet ProteGO Safe może wręcz uchodzić za ascetyczny.

Choć interesowałem się tematem aplikacji “koronawirusowych”, nigdzie nie znalazłem informacji o eksperymentach mierzących skuteczność śledzenia kontaktów z udziałem aktorów. Autorzy TraceTogether przeprowadzili statyczne testy (pisałem o nich tutaj) z których wynika, że nie jest dobrze i bez Exposure Notification lepiej nie będzie. Naukowcy z Trinity College w Dublinie pokazali z kolei, że z EN też nie będzie za dobrze, bo zmiany w przestrzennej orientacji dwóch smartfonów nawet w idealnych warunkach testowych skutkują znaczącymi różnicami siły odbieranego sygnału. Szacowana odległość telefonów może być przez to zawyżona i niebezpieczny kontakt, choć zarejestrowany, nie będzie skutkował powiadomieniem użytkownika o ryzyku zarażenia. Zwróćmy uwagę, że Google i Apple nie reklamowały swojego rozwiązania jako coś, co będzie działać dobrze, lecz jako coś, co zagwarantuje użytkownikom przyzwoity poziom anonimowości. Motywacje osób kierujących wielkimi korporacjami pozostają nieznane.

Czy więc było warto? Trudno robić rządowi zarzuty, że prace zostały podjęte, ale czas by Ministerstwo Zdrowia oceniło stosunek korzyści do kosztów i podjęło bazującą na faktach, publicznie uzasadnioną decyzję. Czy tak się stanie? Spytajmy doradców ministra Szumowskiego, smutna_panda.jpg

A jak radzą sobie zagraniczne odpowiedniki ProteGO Safe?

Najpierw zastrzeżenie – porównanie skuteczności aplikacji między różnymi krajami nie jest łatwe. Po pierwsze: liczba osób mogących w danym kraju wysłać na serwer swoje klucze będzie zawsze równa lub mniejsza od liczby osób zdiagnozowanych pozytywnie. W Polsce są to setki ludzi dziennie ale w takiej Estonii to raptem jedna lub dwie osoby. Po drugie: liczba mieszkańców też się różni, co utrudnia porównania. Zaradzimy temu biorąc średnią liczbę kluczy aktywnych w dniach od 1 do 14 lipca (czyli ostrzegających o kontakcie z zarażonymi w lipcu) i przyrównując tę wartość do 10 milionów mieszkańców danego państwa.

Spójrzmy na wykres z 15 lipca publikowany przez Financial Times. Widzimy na nim liczbę nowych przypadków koronawirusa w przeliczeniu na milion mieszkańców w następujących krajach: Polska (7.7), Dania (4.3), Niemcy (4.1), Irlandia (3.9), Włochy (3.3), Łotwa (3.3). Dane potwierdzają, że porównujemy państwa zmagające się z podobną skalą problemu.

Informacje o liczbie kluczy w aplikacjach Exposure Notification z poszczególnych krajów pobrałem ze strony internetowej grupy roboczej cytowanych już dublińskich naukowców, dla Niemiec poprawne dane pobrane stąd

Oto metryki skuteczności poszczególnych aplikacji

Polska – 0.26 klucza na 10 mln osób (1 klucz dziennie, 38 milionów mieszkańców)
Włochy – 0.43 klucza na 10 mln osób (2.6 klucza dziennie, 60 milionów mieszkańców)
Łotwa – 6 kluczy na 10 mln osób (1.2 klucza dziennie, 2 miliony mieszkańców)
Niemcy – 11 kluczy na 10 mln osób (92 klucze dziennie, 83 miliony mieszkańców)
Dania – 17 kluczy na 10 mln osób (10 kluczy dziennie, 5.8 miliona mieszkańców)
Irlandia – 24 klucze na 10 mln osób (11 kluczy dziennie, 4.7 miliona mieszkańców)

Metrykę dla Irlandii obliczono na bazie 9 dni, dla Łotwy – 11 dni, reszta krajów – 14 dni lipca

Nie jest jakoś super, prawda? A przynajmniej nie słyszy się, aby ktoś gdzieś był zadowolony ze śledzenia kontaktów społecznych przy użyciu aplikacji. Rzućmy okiem na dane z Niemiec, które przodują w bezwzględnych wartościach aktywnych kluczy (średnio 92 aktywne klucze dziennie). Z całą pewnością wrażenie robi tempo pobierania aplikacji, która w ciągu miesiąca osiągnęła penetrację niemal 20%. Teraz wylosujmy dwóch Niemców – szansa, że obaj mają zainstalowaną aplikację a ich kontakt zostanie zarejestrowany, wynosi już tylko 4%. Matematycy twierdzą, że pierwsze wymierne korzyści z aplikacji dałoby się spostrzec, gdyby używało jej 60% społeczeństwa.

Duża liczba aktywnych instalacji w Niemczech sprawia, że codziennie kilkanaście-kilkadziesiąt osób po otrzymaniu informacji o zarażeniu wysyła swoje klucze

Podobnie, jak w Polsce, tylko jeden na czterech domniemanych zarażonych użytkowników aplikacji Corona Warn-App decyduje się na wysyłkę swoich kluczy (20% penetracji apki kontra 5% zarażonych wysyłających dane na serwer)

Czy na świecie mamy w ogóle jakieś przykłady sukcesu aplikacji do śledzenia kontaktów?

Problem w tym, że nie bardzo. Oto stronniczy przegląd prasy złożony z tekstów, na które wpadłem zbierając przez miesiąc informacje do niniejszego tekstu:

11 maja – MIT Technology Review – mimo instalacji przez 40% populacji, islandzka aplikacja przydała się “jedynie w kilku przypadkach”

15 maja – Dagbladet – mimo 700 tysięcy użytkowników, norweska aplikacja nie wskazała ani jednej osoby zarażonej

24 maja – The Guardian – sześć milionów Australijczyków zainstalowało aplikację, ta wskazała jednego nosiciela

15 czerwca – ZDNet – Norweski inspektor ochrony danych osobowych nakazuje wstrzymanie eksploatacji norweskiej aplikacji do śledzenia kontaktów z powodu zbyt dużej ilości danych gromadzonych centralnie bez wystarczającego uzasadnienia

23 czerwca – Techcrunch – francuską aplikację zainstalowało 1.800.000 ludzi, ale wysłała tylko 14 ostrzeżeń

ProteGO Safe to pierwsza poważna aplikacja na otwartej licencji wydana przez polski rząd!

Na koniec fakt, który nie był do tej pory odpowiednio eksponowany – ProteGO Safe to oprogramowanie wydane na otwartej licencji GNU GPL 3.

Jest to model tworzenia i dystrybucji oprogramowania, w którym nie tylko wszyscy mają zagwarantowany dostęp do kodu źródłowego, ale każdy zainteresowany ma prawo do uruchamiania programu, analizowania jak działa, rozpowszechniania kopii oraz dystrybuowania własnych zmian (obowiązkowo pod tą samą licencją). Do najbardziej znanych projektów korzystających z licencji GNU GPL należą: jądro systemu Linux, repozytorium kodu Git, baza danych MySQL czy internetowy system publikacji WordPress.

W przeciwieństwie do wielu krajów, w Polsce nie ma tradycji otwierania źródeł oprogramowania tworzonego za pieniądze publiczne. W przeszłości było jeszcze gorzej – kilkanaście lat temu specyfikację formatu danych wymienianych przez Program Płatnika trzeba było wyrywać z ZUS-u przy pomocy sądu administracyjnego. Dziś dokumentacja tego rodzaju jest jawna zaś lista usług online pozwalających na integrację z własnymi rozwiązaniami systematycznie rośnie.

Aplikacja gromadząca informacje, gdzie i kiedy byliśmy oraz z kim się spotkaliśmy, budzi zrozumiałe obawy, bo przy jej użyciu władze mogłyby popełniać daleko idące nadużycia. Otwarta specyfikacja i dostęp do źródeł redukują przynajmniej część obaw. Choć zwykły użytkownik nie przeprowadzi samodzielnie audytu bezpieczeństwa oprogramowania, to możliwość taką mają organizacje pozarządowe i niezależni specjaliści (jak Wasz uniżony autor). Tym samym więc potencjalni użytkownicy mogą podjąć decyzję w oparciu o wiele źródeł informacji.

Trzeba zauważyć, że dla strony rządowej względnie otwarty model rozwoju aplikacji był trudną lekcją pokory. Dotąd Ministerstwo Cyfryzacji zamawiało oprogramowanie, przedstawiało specyfikację a później odbierało dostarczony projekt – kontrolując cały proces od początku do końca. Podczas prac nad ProteGO Safe okazało się, że społeczność patrzy na ręce i protestuje przeciwko np. obowiązkowemu podawaniu w aplikacji numeru telefonu.

Na dalszych etapach też nie zabrakło kiksów. Plan użycia QR-kodów i preferencji dla posiadaczy apki sprawił, w ciągu kilku godzin media wytoczyły ciężkie działa i rozpoczęły ostrzał. Ministerstwo wycofało się na upatrzone pozycje udając, że nikt nigdy nie planował żadnych QR-kodów. Aha, aha. Zajrzyjcie sobie do umowy nr 12/DRU/2020, strona 35-38, rozdział 2.3 „Etap 3 – wersja aplikacji 3.1 kody QR”. Nieporozumienia powstały też na tle tego, czy moduł wykonawczy ProteGO Safe może być pobierany z sieci – tu także Ministerstwo musiało nagiąć się do opinii ekspertów i zlecić implementację odpowiednich zmian. Po premierze apki odpalono żenującą kampanię, w której konta botów wychwalały w social mediach zalety aplikacji i deklarowały jej natychmiastową instalację.

W wyraźnie niekomfortowej sytuacji znaleźli się programiści realizujący ProteGO Safe czyli – z ich punktu widzenia – kolejne komercyjne zlecenie tworzone według dostarczonej specyfikacji. W dyskusjach na GitHubie (repozytorium kodu i dokumentacji projektu) siłą rzeczy występowali jako reprezentanci zleceniodawcy, choć nie do nich zależało podejmowanie decyzji mających często zabarwienie polityczne. Repozytorium zostało zalane opiniami, dyskutanci spierali się o pryncypia i w wielu przypadkach oczekiwali od wykonawców aplikacji rzeczy niemożliwych (np. z powodu właściwości protokołu Exposure Notification) albo pozbawionych sensu (jak porzucenie części serwerowej i przejście na rozproszony sieciowy system plików). Sytuacja poprawiła się z upływem czasu – najaktywniejszym dyskutantom zeszło ciśnienie a twórcy nabrali dystansu do komentarzy światopoglądowych. Z całą pewnością jednak zabrakło w dyskusjach choć jednej osoby reprezentującej wprost Ministerstwo Cyfryzacji i uzasadniającej podjęte decyzje.

Wszystkie te problemy wiązały się raczej z kontrowersyjną tematyką aplikacji niż modelem jej tworzenia i licencjonowania. Byłoby niedobrze, gdyby pracownicy Ministerstwa Cyfryzacji zapamiętali sobie skojarzenie “otwarte źródła = awantury”. W przypadku ProteGO Safe właściwe jest raczej skojarzenie “otwarte źródła = kilka spornych kwestii dzięki nim w ogóle nie zaistniało”.

Podsumowanie

Od moich pierwszych tekstów o ProteGO Safe i śledzeniu kontaktów przy użyciu telefonów komórkowych minęły ponad trzy miesiące. Produkcyjna wersja aplikacji jest w sklepach od pięciu tygodni, możemy więc pokusić się o ocenę realizacji siedmiu filarów zaufania opisanych przez Fundację Panoptykon:

1. Minimalizacja i poprawność danych – spełniona dzięki prawidłowym decyzjom MC
2. Ograniczenie czasu przechowywania danych – spełnione dzięki protokołowi Exposure Notification, który przechowuje dane o kluczach jedynie przez 14 dni
3. Dane przechowywane na urządzeniu obywatela – spełnione
4. Bezpieczeństwo, szyfrowanie i anonimizacja danych – spełnione
5. Czytelna informacja dla obywateli – spełnione, choć pierwsza reklama wideo była nieco zbyt poetycka, druga jest lepsza
6. Otwartość kodu i przejrzystość algorytmów – finalnie spełnione na poziomie krajowym (rzutem na taśmę, wersja z PWA moim zdaniem nie spełniałaby kryteriów); Google i Apple trzymają swoje kawałki Exposure Notification w sekrecie [dodano 23.07.2020 – Google i Apple opublikowały swoje źródła tutaj i tutaj]
7. Publiczna kontrola nad narzędziami – spełnione w zakresie formalnym (DPIA i inne dokumenty tutaj), nie opublikowano jeszcze wniosków z zewnętrznych testów bezpieczeństwa [dodano 23.07.2020 – raport z zewnętrznych testów bezpieczeństwa jest już dostępny]

Koniec końców aplikacja ProteGO Safe spełniła oczekiwania stawiane przez obrońców prywatności. Zabrakło jednak zaufania społecznego i wiary w skuteczność instytucji państwowych – pisze o tym Sylwia Czubkowska w świetnym artykule na Spider’sWeb+.

Bądźmy szczerzy – gdy dowiadywaliśmy się o chaosie w instytucjach odpowiedzialnych za walkę z koronawirusem a na jaw wychodziły i wychodzą kolejne nadużycia w zakupie środków ochronnych od zaprzyjaźnionych instruktorów narciarstwa i sprzętu medycznego od przechodzącego akurat z tragarzami handlarza bronią, to ciężko uwierzyć, że w przypadku powiązanej tematycznie aplikacji mobilnej wszystko zostało zrobione jak należy.

Statystyki zachorowań w różnych krajach oraz wskazane wyżej metryki skuteczności różnych aplikacji pokazują, że nie ma związku między jednym a drugim. A może używanie ProteGO Safe – produktu bądź co bądź profilaktycznego! – czyni użytkownika bardziej beztroskim i lekkomyślnym? Wówczas większa popularność aplikacji miałaby skutek odwrotny do zamierzonego.

Tego się jednak nie dowiemy.

Aplikacja ProteGO Safe nie działa i najbardziej racjonalną decyzją będzie natychmiastowe zatrzymanie prac nad nią.

---

Dodatek

Kilka linków, do których warto zajrzeć

Jarek Potiuk u Artura Kurasińskiego po raz pierwszy i po raz drugi

Adrian Brzeziński i Szymon Teżewski rozkminiają brzegowe przypadki zachowania EN

Adrian Brzeziński o deanonimizacji użytkowników aplikacji korzystających z EN

New York Times o tym, jak nie organizować ręcznego śledzenia kontaktów na przykładzie Wielkiej Brytanii

Opis singapurskiego urządzenia Trace Together Token do śledzenia kontaktów, które ma zastąpić aplikację na telefony: