Regionalny System Ostrzegania (RSO) to bezpłatna aplikacja mobilna powstała jeszcze w 2018 r. przy współpracy Ministerstwa Spraw Wewnętrznych i Administracji z Telewizją Polską S.A.

Aplikacja jest elementem szerszej usługi informowania społeczeństwa o zagrożeniach na terenie Polski za pośrednictwem różnych kanałów informacyjnych, w tym SMS-ów wysyłanych przez operatorów Wojewódzkich Centrów Zarządzania Kryzysowego na zlecenie Rządowego Centrum Bezpieczeństwa. Do tej pory, dobrowolnie, pobrało ją 100 tys. użytkowników.

Z kolei aplikacja mobilna Alarm 112 uruchomiona została w styczniu 2020 roku. Umożliwia przekazanie informacji o zagrożeniu życia, zdrowia, mienia, środowiska, bezpieczeństwa i porządku publicznego do Centrum Powiadamiania Ratunkowego. Przede wszystkim przez osoby, które nie mogą wykonać połączenia głosowego, czyli głównie osoby głuche i niedosłyszące. Pobrało ją 10 tys. osób.

Czytaj w LEX: Stosowanie aplikacji mobilnych podczas pandemii COVID-19 z perspektywy ochrony danych osobowych >>>

Rząd chce wprowadzić obowiązek preinstalacji

Rząd chce, aby obie aplikacje były powszechnie stosowane w telefonach komórkowych. Przekonuje, że to poprawi bezpieczeństwo ludności. Dlatego w art. 64 projektu ustawy o ochronie ludności oraz stanie klęski żywiołowej z 31 sierpnia wskazał, że autoryzowany sprzedawca, o ile jest to techniczne możliwe, obowiązany jest do preinstalacji aplikacji mobilnej RSO na telekomunikacyjnych urządzeniach końcowych sprzedawanych użytkownikom. Podobny obowiązek określił odnośnie aplikacji Alarm 112 w przepisach nowelizujących ustawę o systemie powiadamiania ratunkowego.

Eksperci zarzucili, że tak naprawdę nie wiadomo na kim ten obowiązek miałby spoczywać: czy na sprzedawcy końcowym czy autoryzowanym dystrybutorze. Polska Izba Komunikacji Elektronicznej wskazywała, że telekomunikacyjnym urządzeniem końcowym może być nie tylko telefon komórkowy (smartphone), lecz również telefon stacjonarny, laptop, komputer stacjonarny, nawet odbiornik cyfrowy - dekoder.

Sprawdź też: Krasuski Andrzej "Prawa i obowiązki abonentów usług telekomunikacyjnych" >>>

Rząd przerzuca obowiązek na operatorów ruchomej publicznej sieci telekomunikacyjnej

W nowej wersji projektu ustawy z 8 listopada, MSWiA nie wycofuje się z pomysłu. Zmodyfikowało jedynie przepis wskazując, że operator ruchomej publicznej sieci telekomunikacyjnej w rozumieniu przepisów ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne, o ile jest to technicznie możliwe, obowiązany jest do preinstalacji aplikacji mobilnej RSO na telekomunikacyjnych urządzeniach końcowych sprzedawanych użytkownikom  w autoryzowanych punktach sprzedaży. 

Resort uznał wiec, że skoro w Polsce największymi dystrybutorami nowych telefonów są operatorzy telekomunikacyjni to oni powinni zająć się tym obowiązkiem, choć jednocześnie zastrzegł „Jeśli to technicznie możliwe”.  Łukasz Jachowicz, specjalista ds. cyberbezpieczeństwa w firmie Mediarecovery zajmującej się m.in. informatyką śledczą  wskazuje, że w przypadku wielu współczesnych telefonów nie jest możliwe zainstalowanie oprogramowania przed aktywacją na nich konta klienta końcowego. Dzięki temu kupujący telefon może mieć względną pewność, że żaden z pośredników w sprzedaży urządzenia nie zainstalował na nim złośliwego oprogramowania naruszającego jego bezpieczeństwo lub prywatność. W innych telefonach, techniczna możliwość instalacji dodatkowego oprogramowania jest, ale wymaga współpracy z producentem lub indywidualnego rozpakowywania i uruchamiania pojedynczych egzemplarzy telefonu.

-  Nie istnieje aplikacja działająca na każdym współczesnym telefonie. W sklepach znajdziemy nie tylko urządzenia z iOS czy Androidem, ale również telefony służące po prostu do dzwonienia. Z tego powodu systemy ostrzegania ludności powinny bazować nie na dodatkowych aplikacjach, które mogą nagle przestać działać, zostać odinstalowane lub nigdy nieaktywowane, lecz na komunikatach tekstowych wysyłanych przez operatora sieci – mówi Łukasz Jachowicz.

Preinstalacja telefonu może zmniejszyć jego bezpieczeństwo

Ekspert z Mediarecovery wskazuje, że każda aplikacja na telefonie może obniżać bezpieczeństwo. Aplikacje, których instalacja jest narzucana przez prawo, powinny przechodzić wnikliwe testy bezpieczeństwa, a ich kod źródłowy powinien być powszechnie dostępny by zwiększyć pewność, że w danym programie nie ma dodatkowej, ukrytej funkcjonalności.

- Dodatkowo trzeba pamiętać, że modyfikacja telefonu po jego wyjściu z fabryki może zmniejszać jego bezpieczeństwo. Po pierwsze, zmniejszamy czujność klientów przyzwyczajając ich do nowych telefonów zawierających nieoryginalne oprogramowanie, po drugie, udany atak na punkt instalacji dodatkowego oprogramowania może spowodować zainstalowanie złośliwego oprogramowania na tysiącach telefonów dystrybuowanych później do niczego niepodejrzewających użytkowników – podkreśla Łukasz Jachowicz.

Przeczytaj także: Polska przed Europejskim Trybunałem Praw Człowieka w sprawie inwigilacji

Pegasus poderwał zaufanie

Eksperci wskazują, że w tle jest wciąż niewyjaśniona sprawa szpiegującego oprogramowania Pegasus. I to rodzi obawy, co do naruszenia zasady prywatności. 

- Uzasadnione są też pytania dotyczące inwigilacji: preinstalowana rządowa aplikacja to prosty kanał ataku – wystarczy, że ktoś wpadnie na pomysł, żeby z niego skorzystać - wskazuje Wojciech Klickiego, z Fundacji Panoptykon, broniącej prywatności i wolności w świecie cyfrowym.

Na te niebezpieczeństwa wskazuje Michał "Rysiek” Woźniak, specjalista od bezpieczeństwa informacji, współpracujący z Fundacją Panaoptykon. Zwraca uwagę, że pierwszym krokiem przy włamywaniu się na jakiekolwiek urządzenie jest uzyskanie możliwości uruchomienia złośliwego kodu w kontekście jakiejkolwiek aplikacji. To jeszcze nie wystarcza do przejęcia kontroli nad urządzeniem, ale jest koniecznym pierwszym krokiem. Pegasus na przykład wykorzystywał do tego luki w iMessage.

- Czy te potencjalnie obowiązkowe aplikacje będą wystarczająco dobrze zabezpieczone, by nie dało się ich wykorzystać w takim pierwszym kroku? Czy rząd, który już pokazał, że chętnie wykorzystuje Pegasusa do szpiegowania opozycji, nie skusi się na uproszczenie sobie przyszłych włamań, poprzez umieszczenie w tych aplikacjach funkcji pozwalających taki pierwszy krok we włamaniu wykonać bez konieczności przełamywania zabezpieczeń innej aplikacji? Nie musi przy tym umieszczać tych funkcji dziś, może je dodać przed aktualizacją, kiedy będą „potrzebne”.

Ustawowy nakaz nie zachęci do korzystania z apki

Także PIKE zauważa, że ministerstwo powinno zejść z obranej drogi. Z doświadczeń izby wynika, że wymuszenie ustawą preinstalacji wskazanych aplikacji nie spowoduje diametralnego wzrostu liczby osób korzystających z tych aplikacji. O tym bowiem nie decyduje nakaz ustawowy, ale użyteczność aplikacji. I tylko taka będzie pobierana i używana.

- Aplikacje mało użyteczne, jeśli są pre-instalowane na urządzeniu przez producenta, to najczęściej są przez użytkowników odinstalowywanie po pierwszym uruchomieniu i konfiguracji urządzenia – wskazuje przedstawiciel izby. Postuluje więc aby resory zamiast wymuszać preinstalecje RSO i Alamu 112 skupił się na ich promowaniu, a przede wszystkim rozwijaniu.

Analiza ryzyka w ochronie danych osobowych

Andrzej Krasuski, Przemysław Siembida

Sprawdź  

Aplikacja rodzi obawy co do prywatności

Zdaniem Wojciecha Klickiego, z Fundacji Panoptykon kluczowe dla sukcesu aplikacji rządowej nie jest zmuszanie obywateli do ich instalacji, ale takie jej skonstruowanie, by była użyteczna, a jednocześnie budziła zaufanie.
- Jeśli rząd chce uspokoić opinię publiczną, powinien – już na etapie prac legislacyjnych – zasięgnąć opinii UODO i przygotować dla obu aplikacji rzetelną ocenę wpływu na ochronę danych osobowych. To nie tylko dobra praktyka, ale i obowiązek wynikający z RODO, jeśli to rozwiązanie faktycznie miałoby stać się obligatoryjne i co za tym idzie, oznaczałoby przetwarzanie danych na masową skalę - mówi Wojciech Klicki.

Czytaj w LEX: Czynności operacyjno-rozpoznawcze a problem konstytucyjny >>>

Czytaj w LEX: Prawo do ograniczenia przetwarzania danych osobowych >>>

Dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych, nie twierdzi, że funkcjonowanie takich aplikacji jest z gruntu złe i niepotrzebne. Podkreśla jednak, że wprowadzenie obowiązku instalowania takich aplikacji powinno być poprzedzone wykazaniem, że jest to adekwatne i niezbędne w demokratycznym państwie prawnym, jak wymagają tego konstytucyjne gwarancje dla ochrony danych osobowych. Także Uważa, że trzeba już na etapie legislacyjnym powinno się dokonać oceny skutków dla ochrony danych takiego rozwiązania, co z kolei jest uzasadnione wymogami RODO.

- Co się stanie, jeśli operatorzy stwierdzą, że w przypadku przetwarzania danych osobowych za pomocą takiej aplikacji dojdzie do niedającego się usunąć ryzyka naruszenia praw i wolności osób fizycznych -pyta dr Marlena Sakowska-Baryła.  I dodaje argument, że skoro dziś większość obywateli obywa się bez tych aplikacji to należałoby zakładać, że nie są one niezbędne, a jeśli owa niezbędność jednak zachodzi, to wprowadzenie takiego rozwiązania powinno być rzetelnie wykazane i uzasadnione. Rządowa inicjatywa może skończyć się tym, że świadomi niebezpieczeństw obywatele będą używali aparatów kupionych np. za granicą.

Apka jak każda inna

Sprawy nie demonizuje Paweł Litwiński, adwokat, partner w kancelarii prawnej Barta Litwiński Kancelaria Radców Prawnych i Adwokatów przypomina, że Alarm112 wymaga założenia konta, podania danych osobowych i wyrażenia zgody na ich przetwarzanie, czyli  jak ktoś nie zechce, to tego nie zrobi i z apki korzystać nie będzie. RSO nie wymaga podawania żadnych danych

- Po prostu wybieramy to, co nas interesuje i dostajemy powiadomienia, oparte o naszej lokalizacji, bo apka wymaga dostępu do lokalizacji. Z punktu widzenia ochrony danych osobowych, nie widzę żadnego problemu,  może poza tą zgodą w aplikacji Alarm112. Jest to dokładnie taka sama sytuacja, jak w przypadku mnóstwa preinstalowanych nam apek przez producentów smartfonów, czy operatorów sieci – wskazuje mec. Paweł Litwiński.
W jego opinii problem tkwi w zaufaniu do państwa, a raczej w jego braku.

- To było widać niedawno w kontekście pandemii covid19 i braku zaufania do naszej polskiej apki covidowej. To widać choćby po tym, że apkę RSO – Regionalny System Ostrzegania pobrało dobrowolnie ok. 100 tys użytkowników. A co ciekawe, ufamy apkom, które mamy w smartfonach od Google, od Apple, od naszych operatorów – mówi mecenas Litwiński.