Od środy osoby objęte kwarantanną muszą korzystać z udostępnionej przez Ministerstwo Cyfryzacji (MC) aplikacji Kwarantanna Domowa. Odpowiedni przepis znalazł się w tzw. specustawie związanej z koronawirusem.
Szybkie wdrożenie
W „PB” w ubiegłym tygodniu pisaliśmy o kulisach szybkiego udostępnienia aplikacji przez MC, które skorzystało z gotowego rozwiązania spółki TakeTask. Zostało ono szybko dostosowane do potrzeb resortu i w zamyśle miało odciążyć służby. Wśród alternatywnych scenariuszy było stworzenie własnej aplikacji — przez zespoły MC i NASK-PIB, które zajmują się aplikacją mObywatel.
Tempo prac MC i TakeTasku musiało być błyskawiczne — aplikacja została udostępniona 19 marca, a umowę podpisano 18 marca. Zlecenie trafiło do firmy na podstawie przepisów specustawy o COVID-19. Przewidziane wynagrodzenie to 2,5 mln zł plus 0,2 mln zł na usługi dodatkowe. O wyborze zadecydowało kilka czynników.
„Ministerstwo kierowało się dojrzałością rozwiązania, terminem możliwej implementacji oraz łatwością adaptacji do potrzeb przedsięwzięcia. Nie bez znaczenia było też oparcie rozwiązania o model sprawdzony w praktyce oraz możliwość rozbudowy funkcjonalności zadań w aplikacji bez dodatkowych zmian w kodzie aplikacji” — informuje wydział komunikacji MC.
MC nie ma praw autorskich do oprogramowania. Oferowane jest ono w modelu tzw. white-label — przedmiotem umowy jest opracowanie i dostarczenie systemu WWW i aplikacji na urządzenia mobilne dla nieograniczonej liczby użytkowników. Aplikacja od początku zbiera nie najlepsze opinie. Jej ocena w Google Play spadła z 1,7 w ubiegłym tygodniu do 1,4 obecnie przy ponad 1,4 tys. opinii.
— Wygląda na to, że coś jest nie tak w produkcie lub jego skalowalności. Często kod napisany z myślą o tysiącu użytkowników dziennie załamuje się przy 100 tys. użytkowników, bo np. jest zintegrowany z innymi usługami czy serwisami — uważa Tomasz Zieliński, informatyk, pasjonat bezpieczeństwa informatycznego.
Nadzwyczajny tryb uruchomienia usługi ma kilka konsekwencji. Wśród nich taką, że dane ponad 100 tys. osób, które korzystają już z aplikacji, nie są przetwarzane na rządowych serwerach.
„Dane przetwarzane są w bezpiecznym środowisku chmury obliczeniowej Microsoft Azure, które spełnia wymagania unijnego rozporządzenia o ochronie danych osobowych. Ponadto Ministerstwo Cyfryzacji w ramach Government Security Program dysponuje pełnym dostępem do informacji dotyczących bezpieczeństwa środowiska i usług Microsoft Azure” — informuje MC.
MC podaje, że dane przechowywane są jako nieustrukturyzowany zbiór do przeszukiwania po identyfikatorze obywatela, np. po numerze PESEL, i są usuwane z chmury po odbyciu kwarantanny. Zapewnia też, że komunikacja między aplikacją mobilną a serwerem aplikacji jest w pełni szyfrowana, choć nie podało, w jaki sposób.
— Co do zasady znacznie lepiej wszyscy by się czuli, gdyby wszystkie rozwiązania informatyczne oferowane przez państwo były hostowane w Polsce na polskich serwerach. Tutaj ministerstwu zależało na czasie i nie było możliwości, żeby to zrobić inaczej. Nie da się takiego rozwiązania szybko przenieść na serwery ministerstwa, przetestować i zweryfikować — mówi Tomasz Zieliński.
Bezpieczna chmura
Zdaniem ekspertów usługi chmurowe dużych firm są uważane za bezpieczne środowiska dla przetwarzania danych.
— Technicznym cyberbezpieczeństwem tego środowiska specjalnie bym się nie martwił. Same rozwiązania będą tak bezpieczne, jak użytkownik- -deweloper jest w stanie zagwarantować we własnym zakresie, włącznie ze szczegółami przetwarzania danych — mówi dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności.
Dużym dostawcom zdarzają się jednak wpadki. W styczniu Microsoft opublikował komunikat, w którym ujawnił poważny wyciek danych osobowych. Baza danych była zainstalowana w chmurze Microsoft Azure. Są eksperci, którzy zwracają uwagę na takie aspekty chmury, jak brak fizycznego dostępu do serwera, a wiec kontroli, czy obowiązek udostępniania danych służbom USA na mocy obowiązujących tam przepisów.
Do czasu publikacji tekstu nie uzyskaliśmy odpowiedzi od ABW, czy agencja weryfikowała kody źródłowe aplikacji Kwarantanna Domowa.
Sprawdź program konferencji "Bezpieczne i efektywne zarządzanie danymi" >>