Състоянието на киберсигурността в администрацията и пътят напред

През седмицата темата с киберсигурността получи фокус покрай детайлите около атаката срещу пощите. В няколко интервюта описах общата картина, но ми се иска да направя малко по-пълно описание на това какво сме имали, какво сме направили за тези месеци и какво предстои. Започвам със забележката, че ще използвам „киберсигурност“, макар че правилният термин в повечето случаи е „мрежова и информационна сигурност“. Правомощията на министъра на електронното управление са именно за „мрежова и информационна сигурност“ и то само в администрацията и част от операторите на съществени услуги. Български пощи не е в този обхват към момента. Защитата на мрежовата и информационна сигурност е комплекс от технически и организационни мерки, които изискват добро планиране, приоритизиране, изпълнение и контрол в мащаба на държавната администрация (и в по-широк смисъл – на целия обществен сектор). Действаме с бързи стъпки, доколкото ни позволява наличният човешки ресурс. 1. Какво намерихме? Към началото на мандата състоянието на информационните ресурси (т.е. хардуер, софтуер, мрежово оборудване, лицензи) беше силно незадоволително. Липсва адекватна, централизирана картина къде какво има, на какъв етап е от своя технологичен живот и какви са политиките по неговото подновяване. Има администрации с компютри на по 10 години, напр. Има системи без поддръжка (заради неплащани лицензи или по други причини). Всичко това са проблеми и за киберсигурността – в стари и излезли от поддръжка от производителите системи често има уязвимости. Всичко това го докладвах на Министерския съвет преди месец в рамките на годишния доклад за състоянието на информационните ресурси. Преди 4 години от Демократична България публикувахме план за действие след срива на Търговския регистър. Половината от мерките са изпълнени, но със спорно качество – напр. регистърът на информационните ресурси е почти безполезен, резервните копия се правят централизирано от твърде малко администрации (с бавна скорост и липса на някои ключови функционалности), а на държавни облак му липсват важни процедури

Continue reading

Какво прави държавата срещу дезинформацията?

Днес участвах в представяне на инициативата “Българска коалиция срещу дезинформацията”, подкрепено от Европейската комисия. Нека да го използвам като повод, за да разкажа какво се случва по тази много важна и много деликатна тема. Ще започна със следното уточнение – няма държавен орган, който да е натоварен официално с политиката за защита от хибридни заплахи, в т.ч. насочената дезинформация, която се лее през социалните мрежи. Министерство на електронното управление, с проекта си на устройствен правилник, припознава темата по линия на политиките за информационното обществено и на киберсигурността, но функциите са изцяло аналитични. Нека да разделим темата на две – кампании за всяване на паника (каквито виждаме в последния месец) и фонова дезинформация. Кампаниите за паника са кратковременни събития, които рязко набират скорост и създават ефекти в реалния свят. На тях може да се противодейства комуникационно, в правилния момент, с т.нар. „стратегически комуникации“. Фоновата дезинформация е това, което залива потребителите на социални мрежи с добре оформени пропагандни наративи за упадъчния запад, за великия Путин, за украинските агресори и др. А допреди месец – за лошите ваксини и несъществуващия COVID. „Какво прави държавата“ е въпрос, който получавам многократно. И знам, че „нямаме правомощия“ не е отговор. Затова искам да дам отговор по същество. Първо, организирахме директна връзка с Мета (Фейсбук), които са най-голямата социална мрежа в България, за да посочим какви проблеми виждаме и какви решения те могат да предложат. Имаме регулярна кореспонденция с тях относно блокираните профили на интелектуалци, осъждащи руската агресия, относно активизиране на тролски фабрики, както и относно общия подход на Фейсбук за идентифициране на дезинформация. Малко повече детайли – по-надолу. Второ, по моя инициатива ще бъде създадено аналитично звено, което да следи за дезинформационни наративи и кампании и да информира своевременно заинтересованите страни (органи на власт, частни организации, медии). Трето, след като разгледахме добрите практики в други страни

Continue reading

Проект за мобилна електронна идентификация

Електронната идентификация е ключът към електронното управление. Без нея, използването на електронни услуги е ограничено и трудно. Именно затова, паралелно с устройствената работа (законови изменения и устройствени правилници), в Министерство на електронното управление подготвихме техническа спецификация за мобилна електронна идентификация и я качихме за обществено обсъждане. Не е практика за технически спецификации да се търси широко обществено обсъждане, но тъй като тази система е много важна, смятам, че е редно да дадем пример за прозрачност от първия ден. Още при номинирането ми за министър на електронното управление дадох това обещание и ще направя каквото е необходимо този екип продължава да дава този пример. Разчитам на професионалистите във всички области да дадат своята експертна и конструктивна обратна връзка и препоръки. Тази прозрачност ще продължи и на етапа на изпълнение (вкл. с изискването за отворен код на разработката). Резултатът от проекта ще бъде мобилно приложение (за Android и iOS), с което да се идентифицираме за ползването на всички електронни услуги, т.е. държавата да знае кой стои отсреща, когато ползва услугите. До момента това се извършва с електронен подпис, с ПИК, с ПИН и др. Тези средства няма да отпаднат веднага, но малко по малко ще бъдат замествани с електронната идентификация. След първоначалната регистрация, от гледна точка на потребителя, процесът ще бъде следния: отваря портал за електронни услуги избира „вход с eID“ и потвърждава с мобилния си телефон (или друго мобилно устройство) подава заявления за услуги, които са с предварително попълнени данни (тъй като системата вече знае кой стои отсреща) подписване на заявлението чрез повторно потвърждение с мобилния телефон Проектът предвижда първа фаза за проекетиране, тъй като трябва да бъдат взети специфични технологични решения. Например дали потвърждението с телефона да стане с т.нар. push-нотификация или чрез сканиране на QR код от екрана (съответно с deep link, в случай, че потребителят използва мобилния телефон

Continue reading

Министър на електронното управление

В понеделник ще бъда предложен на Народното събрание за министър на електронното управление. Отговорността и очакванията са огромни, а задачите – неизброими. Ще започнем с електронната идентификация, с отпадането на удостоверения и с оптимизираме и електронизиране на ключови процеси. Ще трябва паралелно с това да създадем и министерство. Целта е да премахнем бюрокрацията и да спестим време и нерви на гражданите и бизнеса. Благодаря на всички за продължаващата подкрепа.

Continue reading

Представителна история за една шофьорска книжка

Миналата година на мой близък човек му изтече шофьорската книжка. И решихме да пробваме да бъде заявена новата онлайн. Тогава още я нямаше обновената система на МВР за е-услуги, така че свалихме бланката, попълнихме я и я изпратихме през системата за сигурно електронно връчване, подписана с КЕП, вкл. с прикачено необходимото медицинско. Влизането с КЕП също не беше тривиално, защото инсталирането на софтуера за подписване имаше някои неочевидни настройки. Последва дежурното обаждане (от пътна полиция към СДВР) „то не може“, предадено към мен – настоях за правно основание за отказа, тъй като Законът за електронно управление ги задължава да приемат заявлението и да изпълнят услугата. Казаха, че пак ще звъннат. Не звъннаха. Потърсихме ги отново, като в отговор потвърдиха, че не – няма да издадат така книжката. Подадохме сигнал до Държавна агенция „Електронно управление“, аргументирайки се, че мълчаливият (към онзи момент) отказ противоречи на Закона за електронното управление. Отговорът на ДАЕУ беше да се съгласят мотивите от изричния отказ на МВР, получен няколко дни след това. А той е абсурден. Според Закона за българските лични документи, МВР предоставя електронни услуги за лични документи през централизирана система за услуги. В правилния за прилагане на закона се изреждат услугите, включени в портала. Но издаване на шофьорска книжка липсва (тъй като към онзи момент не се поддържа). Да, Законът за електронното управление казва следното: (2) Административните органи, лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги, са длъжни да предоставят всички услуги в рамките на своята компетентност и по електронен път, освен ако закон предвижда особена форма за извършване на отделни действия или издаване на съответни актове. Обаче МВР казва „нашият подзаконов акт дерогира (отменя) закона, защото нашият специален закон делегира детайлите на нашия подзаконов акт, а той не казва нищо за тая конкретна услуга“. Абсурдна теза, граничеща с тази на РИК Стара

Continue reading

Избран съм за народен представител

ЦИК обяви резултатите. Избран съм за народен представител. Благодаря на всички за подкрепата. За мен лично, за Демократична България и за посоката на промяна. Няма да спестя клишето, че тя е задължаваща. И че гледам на депутатството не като „награда“, а като на отговорност. Ще работя за модернизация на държавата. И за това всички затлачвани дейности и замитани проблеми да бъдат поправени. Не самоцелно, а за да не бъде държавата в тежест на гражданите и бизнеса, да не пилее парите ни с неефективността си. Ще приемам предложения, ще приемам и критики. Ще опитвам да обяснявам решенията си и политиките, които прокарвам. Ще опитам да бъда „представител“ в истинския смисъл. И ще се постарая да имаме перспективно, прозрачно и добро управление, което да бъде в ярък контраст с предишните. Още веднъж – благодаря.

Continue reading

Кратък следизборен анализ

Благодаря на всички, гласували за Демократична България и за мен лично. Да, Демократична България реализира значителен спад в получените гласове. И със сигурност е имало какво да направим по-добре и по-правилно. Но нека обясня причините за това, както ги виждам през многото данни, които минаха през ръцете ми. ГЕРБ, БСП и ДПС са „изпилени“ до ядрата си – с малки изключения никой не може да вземе глас от тях и те не могат да вземат глас от никого. Остават другите, които искат промяна. Техните гласове два пъти отидоха за ДБ, ИТН и ИБНИ, но поради хаотичните и неадекватни действия на ИТН, това не доведе до резултат. Негативът от това се понесе и от трите партии. В началото на кампанията ДБ загуби част от избирателите си в посока Продължаваме промяната, най-вече по линията „Радев“. След това започна бавно да си ги „връща“, докато не дойде необяснимата атака на подкрепения от ДБ кандидат за президент. Това, според мен, счупи най-важното – усещането за стабилност и предвидимост в ДБ. Не че самата стабилност и предвидимост ги няма, но тези необясними действия в този електорален терен казаха на част от избирателите „тука има нещо особено, можете да ходите другаде“. Според екзит половете в крайна сметка над 1/3 от гласовете на ДБ през юли са отишли към ПП. Това далеч не е единственият фактор, разбира се. И тези избиратели не принадлежат на никого. Факторът „новост“ комбиниран с умората от 3-ти поредни избори на останалите партии, комбиниран с неуспеха в предния парламент, комбиниран с одобрението на Радев, комбиниран с добрата им кампания донесе този успех на Продължаваме промяната, които „изсмукаха“ трудно спечелените избиратели от ДБ през тази година. Можеше ли нещо друго да се направи? Нито можехме да бъдем нов субект след 2 кампании, нито след 2 кампании можехме да сменим рязко посланията, нито имаше откъде

Continue reading

Рискове и мерки за защита на машинното гласуване

Тези дни ескалираха съмненията в машинното гласуване. Тази ескалация е с политически мотив, но няма да правя политически коментар, а експертен, с който да обясня къде всъщност са рисковете за машинното гласуване и какви са мерките, които трябва да вземем, за да бъде то защитено. Ще опитам да обясня и защо допълнителни машини по никакъв начин не помагат за компрометирането на системата, ако Сиела биха искали да я компрометират. Тук е важно да отбележа, че не твърдя, че някой иска да манипулира резултата – нито Сиела, нито ЦИК, нито Информационно обслужване. Но една добра система трябва да бъде отворена и прозрачна и да може всяка заинтересована страна да се убеди, че тя работи правилно, без да разчита на някой доверен участник. Т.е. дори да вярваме на Сиела, ЦИК и Информационно обслужване, сме длъжни да имаме система, която не разчита на доверието към тях. Машинното гласуване не е просто една машина, то е процес. Процесът има следните стъпките: Доставка на празни машини Получаване на изходния код Компилиране на изходния код до системен образ Електронно подписване на системния образ Записване на подписания системния образ на флашка Инсталиране на системния образ на всички машини (отключване на машините, в случай, че на тях е бил инсталиран друг системен образ, подписан с други ключ) Провизиране на данните за конкретния избор върху машината (кандидатски листи, номер на секция, номер на машина) Генериране на ключове върху смарт-карти (тези белите, с които секционните комисии подписват) Комплектоване на смарт-картите и техните ПИН-кодове Транспортиране на машините и смарт-картите до РИК, съответно до секциите Стартиране на изборния ден Гласуване Приключване на изборния ден и подписване на протокола (както на хартия, така и електронно) Транспортиране на хартиения протокол, смарт-картите и флаш-паметите с машинния протокол Проверка на протокола и въвеждането му в системата за машинна обработка Сумиране и обявяване на резултата На почти

Continue reading

България ще бъде различна

В последната година и половина в България се промениха много неща. Те не са очевидни в ежедневнието, но са значителни и са важно начало. Ще опитам да дам моя „вътрешен“ поглед на ситуацията и по-важното – какво предстои. Смятам, че има четири етапа не тези промени. До средата на 2020 г. всичко изглеждаше монотонно и предрешено – ГЕРБ щеше да спечели още един мандат, социологията от май месец даваше сравнително високо доверие за Борисов и кабинета, а на хоризонта нямаше алтернатива. Тогава се случи събитие, което „разбърка“ нещата. Росенец. На Росенец Христо Иванов и съмишленици осветиха преплитането на власт, икономически и лични интереси; осветиха влиянието и безнаказаността на ДПС и демаскираха зависимостите на ГЕРБ. Тогава написах, че Росенец е начало. И макар в момента много хората да опитват да омаловажат това събитие, мисля, че историците след много години ще го анализират и ще му отдадат необходимата важност. След Росенец последва неизбежния отговор на президента заради подопечната му НСО, в който той атакува ДПС, Доган и Борисов. Последва и контраатака на зависимата от ДПС прокуратура, която влезе в президентството. Двете събития доведоха до протести, които промениха коренно картината и макар да не свалиха Борисов, предвещаха края на управлението му. Росенец даде началото на първия етап. Вторият етап започна с парламентарните избори през април. До тях много хора все още не вярваха, че ГЕРБ няма да управлява и че няма да бъде отпусната тяхната хватка над властови и икономически влияния. Но изборният резултат и последващата твърдост на „партиите на протеста“ размагьоса избирателите – вече беше ясно, че ерата „Борисов“ свършва. ГЕРБ се сви до едно ядро избиратели, което е много различно от това, което ги държа на власт толкова време. Изборите дадоха начало на отпускането на властовите инструменти от ГЕРБ и ДПС, доведоха до служебно правителство, което разрови доста схеми, за които

Continue reading

Защо не трябва да се броят 100% от контролните разписки от машинното гласуване?

Демократична България обжалва решението на ЦИК за 100% преброяване на контролите разписки (по партии/коалиции) и вписването на този резултат в отделни протоколи. Аргументите са изложени в детайли в жалбата, ето „накратко“: ЦИК няма право да дописва така Изборния кодекс. В Изборния кодекс не се казва нищо такова, ЦИК си измисля правила. И то същия ЦИК, който преди 2 седмици каза „щом не пише изрично, че може с електронен подпис, значи не може“. Само че разликата в случая с разписките е, че няма общ ред, който да важи. Разписките не са бюлетини – те се броят по-трудно (с по-дребен шрифт са, не се сгъват еднакво, а това допринася за повече грешки. Изначално, идеята за машините е да спестят многото човешки грешки; сега ЦИК иска да ги върне „на стероиди“. Тук има и един друг аспект – бюлетините имат поредни номера и защитни механизми; разписките нямат. Всеки може да фалшифицира разписка и да я пусне заедно със своята. Или вместо своята, ако реши да саботира изборите. Единственият начин да се провери, че една разписка е истинска е чрез QR кода, само че в методическите указания такава проверка липсва, а секционните комисии не са длъжни да имат смартфон с приложение за четене и интерпретиране на тези QR кодове. протоколите от ръчното преброяване не подлежат на проверка с автоматизирани контроли при приемането им в РИК, на каквато подлежат протоколите при броене на хартиени бюлетини. Т.е. нито РИК, нито Информационно обслужване ще проверяват дали не пише пълни глупости в този протокол – просто ще го сканират и ще го качат с грешките. световната практика никога не е да се броят 100% от разписките. Винаги се брои извадка – колко да е тя е отделен въпрос, но е абсолютно безсмислено да се хвърля усилие за 100% с всички рискове, изброени по-горе. Досега винаги (и в България,

Continue reading