От няколко месеца egov.bg е (отново) подновен. Това е трето правене от нулата, доколкото ми е известно. Но за това друг път. Тъй като вече старата версия не функционира, проблемът, който ще опиша, няма да засегне никого.
А именно – всички документи в целия портал бяха достъпни за всеки. Документите съдържат лични данни – ЕГН-та, номера на лична карта, адреси, телефони. И бяха достъпни за сваляне от всеки „хакер“, който не е умствено изостанал.
Един абзац и за техническото описание. Всяко заявление за услуга е документ в системата. Гражданите имаха възможност да свалят на компютъра си XML-оригиналът на документа (системата работеше вътрешно с обмен на XML документи). Това ставаше, като с javascript браузърът беше насочен към нещо от сорта на /document?eDocId=XXX, където XXX беше… Base64-encoded пореден номер на документа. Само че не се правеше проверка дали текущо-логнатият потребител е собственик на даден документ, съответно всеки потребител можеше да изтегли всеки документ, стига да може да чете javascript и да знае какво е Base64. А изтеглянето на всички документи е улеснено от факта, че номерата им са последователни.
Като цяло – безкрайно лаическа грешка, която дава достъп до личните данни на всички, ползващи портала. За щастие не много хора го ползваха, защото почти нямаше електронни услуги. Тук може би трябва да отбележа, че аз не разполагам с никакви чужди документи. Експериментирах с мой документ (но без да съм логнат), а дори да съм правел експерименти с други документи, е било само за да проверя хипотезата за поредността на номерата на документите. (Т.е. не съм нарушил никакви закони)
И като един white-hat-wanna-be („добри хакери“, които помагат за решаването на проблемите, вместо да ги използват за собствена облага) докладвах за проблема. На всички възможни email-и на портала и на дирекцията към министерство на транспорта, която се занимаваше с електронното правителство. 1-во нямах отговор. След известен брой напомняния за проблема (вкл. веднъж писах и до министъра), получих отговор, че техните „експерти проактивно не успяха да репродуцират проблема“. Те проактивно опитали да изпълнят 1 елементарна стъпка – да отворят URL-a на моя личен документ, и да осъзнаят, че това, че успяват да го свалят и да ми видят личните данни, е проблем.
След това писах до омбудсмана (a.k.a. арменския поп). От там след известно време ми отговориха, че не могат да направят нищо по въпроса, да се обърна към съответната администрация. Oh, really? Даже вече не помня писах ли след това на министерството, че разкажа на медиите за проблема. Не го направих, защото се появи новата версия на egov.bg и поне този проблем изчезна автоматично.
Но защо „експертите“ в министерството бяха решили, че проблем няма, при положение, че той беше очевиден? Аз имам хипотеза – защото нищо не могат да направят. Предишният портал беше изработен от фирма – подизпълнител на фирмата, спечелила търга (доколкото помня – Сименс). Подробности по договорите не знам, но допускам, че процедурата по отстраняване на проблеми е много бюрократично-тежка – министерството трябва да каже на изпълнителя, който да намери подизпълнителя, и ако той все още съществува (защото често това са малки фирмички), да вземе да оправи бъга. Само че за целта трябва да има съответните договори за поддръжка, а минаха доста години от пускането на портала. Та договорите може и да са изтекли и просто нищо да не може да се направи.
Изводите: в държавната администрация нямат капацитет да адресират проблеми с електронното правителество, колкото и нищожни да са размерите му към момента; процесът е бюрократично-тежък; фирми, които нямат нито един програмист в България печелят поръчки, и после ги дават на малки фирми да ги реализират, без да има никакъв контрол на качеството след това – нито от страна на фирмата-изпълнител, нито от администрацията.
A нито едно от тези неща не е променено, доколкото знам. С две думи: електронно правителство през крив макарон. А то е изключително важно, за да може администрацията да функционира бързо, ефективно, некорумпирано и да е от полза. Татко каза, че ще имаме електронно правителство, ама друг път…аман от идиоти.
This web site definitely has all the information I wanted concerning this subject and didn’t know who to ask.
Горният коментар е спам.
Иначе egov.bg не е достъпен и в момента.