fbpx
Kategorie
Administracja publiczna Android Bezpieczeństwo iOS Publicystyka

Dlaczego MSWiA nie zainstaluje wszystkim swojej aplikacji

Tak więc doczekaliśmy kolejnej próby obowiązkowego instalowania aplikacji rządowej w smartfonach Polaków. A dokładniej – próby osadzenia tej aplikacji w fabrycznie nowych telefonach, zanim jeszcze trafią do rąk użytkowników. W rzadkim przypływie realizmu ustawodawca dodał do projektu ustawy zastrzeżenie „o ile jest to technicznie możliwe”. Niniejszy artykuł objaśnia, dlaczego możliwości techniczne nie zawsze przystają do rzeczywistości geopolitycznej.

Operację „preinstalacji” miałby przeprowadzać „autoryzowany sprzedawca”, terminu tego jednak nie sprecyzowano. Kim miałby on być? Kogo i w jaki sposób może naciskać polski rząd, aby wymusić ową preinstalację? Dlaczego takie zamierzenia są skazane na porażkę? Zapraszam do lektury!

Kategorie
Administracja publiczna Publicystyka

Transparentność SLPS – duży krok do przodu, dwa małe kroki w tył [akt.]

Systemowi Losowego Przydziału Spraw poświęciłem kilka krytycznych tekstów, miło dla odmiany napisać coś pozytywnego. W Portalu Informacyjnym Sądów Powszechnych pojawiła się „Wyszukiwarka raportów z SLPS” której jeszcze kilka dni temu na pewno tam nie było. Czyżbyśmy wreszcie mieli nieskrępowany dostęp do raportów z wszystkich losowań? Byłoby to świetną wiadomością – każdy chętny mógłby sprawdzić, czy nie pojawiają się tam jakieś nieprawidłowości.

Niestety, Ministerstwo Sprawiedliwości wdrożyło w wyszukiwarce mechanizm utrudniający zautomatyzowane pobranie kompletu raportów. Co gorsza, rolę tę pełni reCAPTCHA od Google, co oznacza tak naprawdę, że polski obywatel pragnący pobrać dokument wytworzony przez polskie ministerstwo a przechowywany na serwerze w Polsce, musi poprosić o taką możliwość… amerykańską megakorporację.

Kategorie
Administracja publiczna Publicystyka

Poznaliśmy algorytm losowania SLPS czyli… co dokładnie?

Fundacja Moje Państwo od roku 2017 walczy ze zmiennym szczęściem o ujawnienie algorytmu stojącego za Systemem Losowego Przydziału Spraw, programem komputerowym rozdzielającym sprawy sądowe między składy sędziowskie. Ministerstwo przez lata odmawiało jego publikacji, jednak w połowie września 2021 nagle poddało się – na stronie gov.pl umieszczono dokument o nazwie Algorytm_losowania_utworzony_na_podstawie_dokumentacji_analitycznej_v111.pdf, dostępny pod ścieżką Ministerstwo Sprawiedliwości → O ministerstwie → Informacje publiczne → Algorytm SLPS.

Czy rzeczywiście Ministerstwo ujawniło komplet informacji niezbędnych do odtworzenia sposobu działania kluczowego modułu systemu? A może ustępstwo było pozorne a my dostaliśmy zestaw niekompletnych i niespójnych informacji, które grają rolę listka figowego skrywającego nieprzejrzystość SLPS? Zapraszam do lektury mojej analizy dokumentu!

Kategorie
Administracja publiczna Publicystyka

O algorytmach dla prawników

Kopciuszek nie podał Dobrej Wróżce specyfikacji karety, zaprzęgu, sukni ani pantofelków, wystarczyło Marzenie. Dobra Wróżka nie potrzebowała algorytmu opisującego kolejność transformacji flory i fauny w dwuślad z rzędem i fiakrem, miała Zaklęcie. Odległe echo takiego podejścia odnajdujemy w Regulaminie urzędowania sądów powszechnych, gdzie zamiast algorytmów działania SLPS mamy jedynie zarysy kształtu i okruchy specyfikacji. Niestety, życie to nie bajka, kobiety żyjące z uprawiania magii nie zniżają się do realizacji projektów IT – zamiast karety mamy więc furmankę z dyszlem z tyłu. Niby da się jechać, ale nie uciekniemy od pytania „gdzie był opis wymagań tego czegoś”.

Niniejszy artykuł inspirowany jest wieloletnim sporem sądowym Fundacji Moje Państwo o dostęp do kodu źródłowego i algorytmu działania Systemu Losowego Przydziału Spraw (o którym pisałem tutaj i tutaj). Zastanowimy się, czy rzeczywiście algorytm zawsze oderwany jest od kodu źródłowego oprogramowania, czy zawsze algorytm zostanie prawidłowo przełożony na kod, i wreszcie – w jaki sposób spełnić takie żądanie, gdy… spójna specyfikacja algorytmu nigdy nie powstała, zaś wyprodukowane oprogramowanie zawiera fundamentalne błędy. Mam nadzieję, że informacje zawarte w tekście przydadzą się prawnikom – wraz z cyfryzacją usług publicznych podobnych tematów będzie raczej przybywać niż ubywać.

Kategorie
Administracja publiczna Android Epidemia iOS

Co zawierają QR-kody w Unijnym Certyfikacie Covid i jak to sprawdzić?

Za niecałe dwa tygodnie Unia Europejska zacznie stosować Unijne Certyfikaty Covid zwane także paszportami covidowymi albo unijnymi cyfrowymi zaświadczeniami Covid (EU Digital COVID Certificates). Co jest zapisane w QR-kodzie, który znajduje się w tym dokumencie? Jak możemy to sami sprawdzić? W tym artykule rozbieramy temat na czynniki pierwsze. Roześlijcie link znajomym, którzy obawiają się zaświadczeń i panikują, że zawartość jest zakodowana, nieczytelna a rząd na pewno coś ukrywa.

Dzięki certyfikatom covidowym, zgodnym z rozporządzeniem Parlamentu Europejskiego, od początku lipca 2021 osoby zaszczepione, przetestowane i ozdrowiałe będą mogły przemieszczać się po Unii Europejskiej bez konieczności odbywania izolacji i kwarantanny. Jest to coś zupełnie co innego, niż wycofane z użycia rodzime zaświadczenia o szczepieniach. Tym razem nie ma mowy o częściowej anonimizacji danych, certyfikat covidowy zawiera imię, nazwisko i datę urodzenia. Co jeszcze powinniśmy wiedzieć?

Kategorie
Administracja publiczna Publicystyka

Ministerstwo zawarło umowę z Twitterem nawet, gdy o tym nie wie

Nikogo nie dziwi, że kupno mieszkania czy samochodu wiąże się ze sporządzeniem pisemnej umowy. Umowa sprzedaży zostaje jednak zawarta również wtedy, gdy sprzedającemu i kupującemu wystarcza forma ustna, np. przy kupnie pieczywa czy lodów Ekipa (jest się na czasie, a co!). Relacja prawna pojawi się i w przypadku aktywności innego rodzaju – przy wynajęciu fachowca od remontów, rozpoczęciu podróży pojazdem komunikacji publicznej albo zakładaniu konta w serwisie społecznościowym.

W dwóch ostatnich przypadkach treść umowy nie jest negocjowana między stronami, lecz wynika z regulaminu, stanowiącego wzorzec umowy. Możesz tego nie wiedzieć, ale jeśli masz konto w Facebooku i Twitterze, jesteś stroną umowy z irlandzkimi spółkami reprezentującymi tych gigantów w Unii Europejskiej. Niewiedza nie dziwi – od kilkudziesięciu lat klikamy bezrefleksyjnie wszystkie okienka dialogowe wyposażone w przycisk „Zgadzam się” lub „Akceptuję”.

Gorzej, gdy nie wiedzą tego przedstawiciele polskiej administracji – oni akurat powinni byli starannie przestudiować treść proponowanego regulaminu. Czy to zrobili? Ha! Nie mam dobrych wiadomości.

Kategorie
Administracja publiczna Publicystyka

NIK o SLPS: Nie osiągnięto celów całego przedsięwzięcia

W grudniu 2020 pisałem, w jaki sposób system informatyczny Ministerstwa Sprawiedliwości mógłby posłużyć do manipulacji losowanymi składami sędziowskimi. Pokazałem, że temat losowości w komputerze jest bardzo trudny a mechanizm do ręcznego sterowania wybranymi losowaniami dałoby się przygotować tak, by w razie odkrycia wyglądał jak błąd niekompetentnego programisty.

Miesiąc później opublikowano raport Najwyższej Izby Kontroli opisujący m.in. System Losowego Przydziału Spraw. Czytamy w nim: „na chwilę obecną w systemie SLPS brak jest mechanizmów zabezpieczających przed ewentualnymi, intencjonalnymi działaniami ograniczającymi „losowość” przydziału spraw referentom. […] W konsekwencji możliwe jest dowolne dopasowanie raportów skróconych z losowania (zawierających wyłącznie informację o wylosowanym referacie) do innej dowolnej sprawy z tej samej kategorii.

Niniejszy artykuł niemal w całości składa się z cytatów z raportu NIK. Jeśli wśród czytelników znajdzie się ktoś pracujący z systemami informatycznymi sądów, uprzejmie proszę o napisanie w komentarzu opinii, czy obserwowane w ostatnich latach metody informatyzacji wymiaru sprawiedliwości idą w dobrym kierunku. Po lekturze raportu trudno o optymizm…

Kategorie
Administracja publiczna Publicystyka

Czy Profil Zaufany mógłby wytrzymywać nieco większe obciążenia? Prosimy?

Ten artykuł jest inspirowany przez Narodowy Prima Aprilis czyli kolejny przypadek, w którym pięć procent obywateli próbuje jednocześnie skorzystać z rządowych usług online a one przyklękają, przewracają się i umierają. Dzieje się to niestety regularnie. Wrzućcie w Google hasło „profil zaufany nie działa” i zerknijcie na liczbę wyników.

Zastanowimy się dzisiaj, jak to jest, że Facebook, Twitter czy Instagram wytrzymują wizytę dziesiątek lub setek milionów użytkowników dziennie a Profil Zaufany ma problem z obsługą setek… tysięcy. W rozważaniach skupimy się na technologiach webowych, bo puste okno lub komunikat błędu w przeglądarce internetowej to pierwszy zwiastun problemów. Bardzo często jest też tak, że inne kanały dostępu – np. apki mobilne – korzystają z tego samego zaplecza serwerowego, więc awaria odcina użytkowników od e-administracji na dobre.

Kategorie
Administracja publiczna Android Epidemia iOS

Zaszczepieni czyli kolejna rządowa apka mobilna i kolejne kontrowersje

„Zaszczepieni” to bezpłatna aplikacja, która umożliwia potwierdzenie, że ktoś jest zaszczepiony przeciw COVID-19. Została wydana na obie platformy mobilne przez Ministerstwo Zdrowia i Centrum e-Zdrowia. Strona internetowa opisuje procedurę jej użycia, ale nie odpowiada na ważkie pytania: po co komu taka aplikacja? W jakich życiowych sytuacjach jej użycie będzie przydatne, w jakich pożądane a w jakich konieczne? Co z ryzykiem podziału społeczeństwa na część uprzywilejowaną (po szczepieniu) i dyskryminowaną (pozostali)?

W niniejszym tekście przyjrzymy się, jak wygląda aplikacja, potem poznamy zasady jej działania. Odkryjemy wówczas, że domniemana anonimizacja danych osobowych (inicjał nazwiska, brak roku urodzenia) jest niewiele warta – w QR-kodzie mamy numer szczepienia, jednoznacznie powiązany z konkretną osobą.

Skąd taka niespodzianka? Ano, wielotygodniowy ping-pong dotyczący zasad prywatności aplikacji ProteGO Safe (vel STOP Covid) niczego nie nauczył strony rządowej. W poniedziałek minister rzuca w eter szczątkowe informacje o planach dotyczących jakiejś nienazwanej aplikacji, dziennikarze próbują cokolwiek zrozumieć i dopasować opis do jednej z istniejących apek, nikt nie ma dość danych by ocenić rzeczywiste skutki społeczne takiego pomysłu, w czwartek apka ląduje w sklepie, koniec pieśni. Przywołajmy korpomądrość „kto sieje ASAP-y, ten zbiera fuckupy”, czas na analizę rozwiązania.

Kategorie
Administracja publiczna Publicystyka

System Pseudolosowego Przydziału Spraw

Niniejszy tekst jest moim wkładem w dyskusję, czy kod źródłowy oprogramowania realizowanego na zlecenie władz powinien wchodzić w zakres informacji publicznej. Otóż: zdecydowanie powinien.

Na przykładzie ministerialnego Systemu Losowego Przydziału Spraw objaśnię prostym językiem pułapki, jakie wiążą się ze ślepą wiarą w poprawność działania systemu komputerowego. Mamy tu bowiem do czynienia z niedostatecznie opisanym algorytmem, niezweryfikowaną implementacją tego algorytmu, wreszcie z wydającym rozporządzenie ministrem, dla którego „generator liczb losowych” jest tym samym co zmienna losowa i którego współpracownicy nigdy nie dotarli na lekcję o rozkładzie prawdopodobieństwa.

Pokażę w jaki sposób możliwe byłoby takie manipulowanie systemem losowania, aby w razie ujawnienia wytłumaczyć je omyłką niekompetentnego programisty. Na końcu zaproponuję metodę losowania, która byłaby w pełni przejrzysta i opierała się na zmiennych o gwarantowanej losowości.