Накъде с електронните подписи

От около година подписвам електронни документи през демонстрационното приложение на Европейската комисия за електронно подписване (DSS, open source проект, доста читав). Защото Adobe Reader се счупи и не мога да го оправя. Т.е. не мога да подписвам PDF-и освен с DSS + NexU. Търговския регистър и услугите на НАП ползвам през Хром, защото под Firefox (който е основния ми браузър) драйверите нещо не тръгват. Ако обаче объркам с кой от двата сертификата да вляза, трябва да рестартирам браузъра (личния или фирмения сертификат, който по принцип не трябва да съществува, ама защото държавата и общините не познават нормативната уредба, съществува). За НАП трябва да пускам приложението за подписване през конзолата, защото имам доста Джави на компютъра, а то не тръгва с по-новите. Проблемът с ползваемостта на електронните подписи е сериозен и за него не са виновни само институциите и фирмите, правили софтуера им, а и производителите на смарткарти, и стандартизиращите организации. И сигурно пропускам някого. За съжаление сигурността на хардуерния носител се сблъсква с десетките проблеми на неговото удобство, което пречи на масовата му употреба. Затова трябва да преминем, поне за физическите лица, към други начини на заявяване на услуги – чрез удостоверенията за електронна идентичност, които могат да се използват и като средства за създаване на усъвършенствани електронни подписи. А квалифицираните електронни подписи ще стават все повече облачни, с ключове споделени между HSM-и и сигурни модули в телефоните. А смарткартите, колкото и да са хубави на теория, ще трябва да залязат. И за това ще са виновни основно производителите им. В личните карти пък ще трябва да има рядко използван чип, който да можем да използваме чрез NFC, за да „вържем“ телефона си с електронната ни идентичност.

Continue reading

За скандала с Pegasus и следенето на журналисти

Тази сутрин по БНР обсъдихме шпионския софтуер Pegasus, използван за следене на журналисти и опозиционери в режими по света, в т.ч. в Унгария. Ето накратко: софтуерът влиза през отваряне на злонамерен линк или през компрометирано приложение и получава пълен достъп до телефона, благодарение на уязвимости на операционните системи оправданието винаги е „борба с тероризма“. Обаче никога няма данни за реално предотвратени атентати. само „добрите“ правителства ще имат достъп е наивен аргумент и не работи. Всяко правителство може да се изкуши, а може и от некадърност да „изпусне“ софтуера в по-лоши ръце NSO (компанията, която разработва и продава Pegasus) казват, че не знаят как клиентите им го ползват. Но някак знаят, че се ползва за борба с тероризма. Последно? наличието на обобщен списък от следени номера може да значи, че компанията всъщност знае кои са следените с нейния софтуер. Това е още по-голям проблем. имам призив към ИТ сектора: имаме лукса да отчитаме етичните аспекти на предлаганата ни работа, защото добре платена работа има много. Нека не избираме да създаваме кибероръжия. Това във връзка с факта, че NSO има българска дъщерна компания – Circles, в която (вероятно) се работи по продуктите им. много е важен демократичният (парламентарен и не само) контрол върху службите. Засега няма индикации България да е ползвала този софтуер, но следва съответната парламентарна комисия да провери имало ли е транзакции към NSO или нейни свързани дружества. трябва да се помисли за забрана на търговията с уязвимости и произтичащ от тях софтуер – от това се възползват репресивни режими и чужди служби и няма легитимна пазарна стойност. Всеки път трябва да си припомняме, че няма как да гарантираме, че само „добрите“ имат достъп до дадена технология. Както при дебатите около отслабване на криптирането, така и при използването на spyware.

Continue reading

Въпроси и отговори за следизборните сглобки

Чета коментари и анализи на следизборната обстановка и доста въпроси и обвинения към Демократична България. Ето ги накуп и техните кратки отговори. Искате ли постове? Не. И много пъти сме казвали изрично, че постове не ни интетесуват и не са условие за подкрепа. А защо искате да се консултира с вас състава на кабинета? За да има гаранции, че съставът ще отговаря на приоритетите ни и на очакванията на избирателите и да посочим навреме кои са неприемливи. Например когато лустрацията е приоритет, не може вътрешният министър да е агент на ДС. Не обявихте ли бланкетна подкрепа в предния парламент и в кампанията, защот сега поставяте условия? Никога не сме обявявали бланкетна подкрепа. Условията винаги са били 12-те ни приоритета. Обявявали сме пълна готовност за разговори, не пълна готовност за подкрепа. Христо Иванов иска ли да е министър или главен прокурор? Не. Христо Иванов е политик, а политици не трябва да са главни прокурори. Бил е министър и е подал оставка – ако целта му беше просто да е министър, щеше да си стои. Отричате ли правото на първия да състави кабинет? Не, те имат пълното право да го направят. Но ако очакват подкрепа за този кабинет, не може предложението да е „всичко или нищо“. Подкрепящите го трябва да имат уверение какво точно ще прави този кабинет, така че подкрепата да е на база на общи цели. Говорите само за ДПС, забравихте ли Борисов? Не. Но ДПС изоставя Борисов и търси нов „гостоприемник“. Борисов не трябва повече да управлява, но ние искаме смяна на Д(П)С модела, а не просто на последното му проявление. Ако нямате доказателства за връзки с ДПС, защо поставяте условия? За да гарантираме, че наистина няма да има зависимост от „златния пръст“ на ДПС. Комисиите за Росенец и ТЕЦ Варна биха били неприемливи за Доган. Защо с 34

Continue reading

Следизборно

Финалните резултати още не са обявени, но по всичко изглежда, че малко не ми достига за влизане в Народното събрание. По-точно – 194 гласа. Това може и да е разочароващо, но далеч не толкова, че да ме демотивира дори минимално. Винаги съм казвал, че отвън мога да върша много работа, за която дори „вътре“ няма да ми остава време от процедури и прожектори. Все пак е минус, че няма да имам възможност отвътре да убеждавам и обяснявам, да изграждам консенсус по темата „модернизация“. Благодаря на всички 2614 души, които гласуваха лично за мен. Това е значителна и изключително задължаваща подкрепа и стимул за работа, без значение дали достъпът ми до Народното събрание ще бъде с депутатска карта или с карта на експерт към парламентарната група, както го правих и в предходния парламент. Депутатството е само инструмент, а не титла или награда. Благодаря на Демократична България и особено на доброволците на Да, България от 24-ти МИР. За съжаление, с оглед на създалата се вчера политическа обстановка, смятам, че в Народното събрание няма да има добра среда за бърза модернизация на публичния сектор. Дано все пак това се промени към по-добро в следващите седмици. Още веднъж – благодаря за цялата подкрепа и доверие. Ще ги приведа в действие и резултат.

Continue reading

Технически въпроси и отговори относно машините за гласуване

Днес бях на среща с представител на ЦИК, Държавна агенция „Електронно управление“, БИС и БИМ относно процеса по удостоверяването на съответсвието на машините за гласуване с изисквания на Изборния кодекс и техническата спецификация. Форматът беше презентации от трите институции, участващи в удостоверяването, последвано от въпроси от експертите (четиримма, в това число аз, от участниците в изборите и един от международен наблюдател). Аз зададох петнайсетина въпроса, като ще ги опиша тук, заедно с отговорите, които получих. Предупреждавам, че са доста технически и изискват доста контекст. Важното нещо, което стана ясно, е че за тези избори ще се използва същият софтуер, като на изборите през април. Системният образ ще бъде този, направен за предните избори (проверимо с хеша му) и нов няма да се прави. Така всякакви опити да бъдат дискредитирани изборите, защото „някой пипа кодовете“, стават несъстоятелни. В: В презентацията се споменаваше, че смарткартите имат чип на Infineon – проверено ли е дали тези модели са засегнати от уязвимостта ROCA, открита преди няколко години О: Да, проверено е и няма тази уязвимост В: В презентацията се спомена, че машините имат тестови режим и реален режим. Може ли една машина, участваща в реалния изборен процес, да бъде пусната в тестови режим? О: Тестовият режим ползва различен build (системен образ) и съответно би имала различен хеш. Секционните комисии трябва да проверяват хеша и да сигнализират при несъответсвие. В: Колко време издържа мастилото върху хартията на разпечатания протокол? О: Мастилото и хартията са удостоверени, че издържат 5 години. В: Кой извършва инсталирането и персонализирането на машините в складовете? О: Доставчикът (Сиела-Норма) В: Могат ли да бъде предоставен публичен достъп до разписките, които се генерират от машинтие при инсталиране и персонализиране на машините О: Това е от компетенцията на ЦИК, които поискаха писмено да им бъдат изпратени въпроси, за да могат да отговорят по същество.

Continue reading

7 принципа на електронното управление

Нека да опиша няколко основни принципа, на които трябва да стъпва електронното управление. Знам, че може да звучат общо, но без да се водим от тях, няма нищо да постигнем: еднократно събиране на данни – ако държавата вече има данни за вас, няма право да ги изисква отново (нито да ги въвеждате и декларирате, нито да ги доказвате с удостоверения) оперативна съвместимост – системите трябва да говорят на „един език“, т.е. да представят по един и същи начин общи структури от данни като „адрес“, „имот“, „професия“ и др. сигурна електронна идентичност – всеки гражданин трябва да има лесен и удобен начин да се идентифицира пред държавни органи (и не само) с цел използване на електронни услуги. конфиденциалност – когато толкова много наши данни са в електронен вид, съхранявани от държавата, трябват сериозни гаранции срещу злоупотреби. За всичките ни данни трябва да има информация кой има право да ги чете и кой реално ги е чел и с каква цел. Да получаваме известия, когато някой прочете наши данни и да няма изключения от това правило (в момента системата RegiX поддържа такива лоове, но писането в тях може да бъде заобикаляно) интегритет – никой не трябва да може да подменя данни (както в момента се подменят документи с корупционна цел). Никой не трябва да може да смени кръвната група в здравното ви досие, собствеността ви, данните за фирмата ви, офертата ви в процедура по ЗОП и др. В Естония използват технология, подобна на блокчейн за целта. Нужно е и у нас да има такава криптографска защита от подмяна (хубавото е, че има достатъчно open source блокчейн решения, които можем да използваме) наличност – не трябва да има никакъв риск от загуба на данни. При срива на Търговския регистър бяхме на една крачка от това, което щеше да значи хаос. Нужно е данните

Continue reading

10 бюрократични пречки, за чието премахване ще работя

Кандидатурата ми за народен представител изисква конкретика – не просто „ще бъде хубаво като има електронно управление“, а за какви точно изменения планирам да работя. В тази публикация ще споделя десет неща, които трябва да отпаднат, за да бъде улеснен живота на гражданите и бизнеса. Удостоверенията – голяма част от обикалянето по гишета е събирането на удостоверения и бележки за данни, които администрацията има за вас. Тя е длъжна да ги събира по електронен път, служебно, но се оправдава, че не го прави, защото „нашият закон е специален“ и „нямаме техническа възможност“. Първото може да бъде коригирано в парламента, а второто – чрез внедряване на вече съществуващи инструменти в администрацията. Печатите – Демократична България вече внесе законопроект за отпадане на печатите в предното Народно събрание, ще го направи и в следващото. Никой няма да има право да ви върне, защото на нещо някъде липсва печат. „Тук не е информация“ – отношението към гражданите, че те трябва сами да си знаят всички бюрократични процедури, трябва да спре. Закон забраняващ „тук не е информация“ е комично да има, но може да има ясни правила за „дизайн на услугите“ както в дигиталната, така и във физическата среда, които да правят омразния надпис „Тук не е информация“ излишен. „Това не може по електронен път, елате на място“ – по закон всичко трябва да може да се прави по електронен път. Оправданието да не се случва е същото като по-горе, така че с редакция на редица закони да отпаднат тези оправдания. А технологични средства за приемане на електронни заявление има, вкл. електронна поща в краен случай. Разпечатването на платежни – дори електронизирани към момента услуги изисква прикачване на платежно (макар нормативната уредба, създавана с мое участие преди години, да го забранява). Чрез анализ на действащите услуги и контрол на изпълнителната власт това нормативно изискване трябва

Continue reading

Защо „електронно управление“ и как ще работя за него в Народното събрание

На изборите на 11 юли съм на избираемото трето място в листата на Демократична България в 24 МИР (София) и ми се ще да направя ясна заявка за какво смятам, че ще съм полезен в парламента. На предните избори мотивирах участието си в листата (макар и по-назад), но сега трябва да направя следващата стъпка – да кажа защо смятам, че ще бъда полезен в парламента. Известно е, че моята тема е „електронно управление“. За него съм писал десетки статии през годините, участвал съм в подготовката на законодателни изменения и стратегически документи, а в публикацията си „Визия за електронно бъдеще“ изреждам някои конкретни цели, но нищо от това не дава отговор на въпроса, на който трябва да бъде даден отговор в една предизборна кампания – „Защо електронно управление“? Дигиталната трансформация на публичния сектор (каквото всъщност представлява електронното управление) често се възприема като технократско клише. Оптимизация на процеси, електронизация на хартиени документи, прозрачност, ефективност и т.н. скучни думи. Иска ми се да обясня защо това не е просто клише и защо можем да имаме една дигитална мечта за България, колкото и това да звучи пресилено на пръв поглед. Електронното управление е политическо средство, а не цел. То е средство за по-високо качество на живот и за спокойствие за бъдещето. С електронното управление държавата няма да виси на врата на гражданите и бизнеса и да ги тормози с всевъзможни удостоверения, бележки, свидетелства и други хартии, които (задължително с печат!) трябва да носите от една администрация до друга, понякога в рамките на различни населени места. Тази бюрокрация убива време, но убива и мотивация и нерви. С електронното управление ще имаме по-качествено здравеопазване, с по-малко изтичащи пари по фиктивни пътеки и свръхнадценени лекарства, с по-малко лекарски грешки и пропуски (защото системата автоматично ще проверява дали например нямате алергия към изписано лекарство, която докторът не е

Continue reading

Какво ще се промени с нови избори?

Аргументът „защо пак нови избори, нищо няма да се промени“ се среща често. Срещаше се и 2013г, когато протестирахме срещу кабинета на БСП и ДПС. И в двата случая, това е аргумент на тези, които се притесняват от избори. И е неверен по няколко причини. Вече е ясно, че ГЕРБ няма да управлява – на предишните избори не беше ясно – много хора мислеха, че ще има пак някой трик, някое тайно съглашение по нощите и че щяхме да осъмнем с кабинет Борисов 4 или в най-добрия случай ГЕРБ 4 с Борисов, раздаващ задачи от „зайчарника“. Партиите в парламента удържаха обещанието си и без да формират управленска коалиция помежду си, не дадоха власт на ГЕРБ. Това е много значително, защото хората, които гласуват по принцип за победителя и/или за това да има управление, вече нямат причина да гласуват за ГЕРБ, защото те са в изолация и е ясно, че няма да управляват. Това води със себе си освен директно загубените гласове, и косвено загубените от корпоративните мрежи, които са чакали държавни пари по линия на управлението и затова са насочвали ресурс към ГЕРБ – ако те нямат такива гаранции, няма причина да наливат контролираните от тях гласове в празната каца на ГЕРБ. Не казвам, че ще мигрират към други партии, но може да се снишат. Опозиционните партии показаха принципност и конструктивност – Демократична България, Има такъв народ и Изправи се! показаха, че макар да имат фундаментални различия по много теми, могат да бъдат конструктивни по общи цели (т.нар. „тематични мнозинства“) и че не ги влече управлението на всяка цена. При ДБ и ИТН (слагам ДБ на първо място, защото съм част от тази коалиция) това според мен ще донесе допълнителни гласове. ИСМВ имат проблеми с кохерентността на групата си, които могат да нулират позитивите от тези няколко седмици. Промените в

Continue reading

Кратък наръчник на законодателя

ЦИК обяви кои ще са новите депутати. Аз не съм между тях, но искам и тук, както във Фейсбук, да благодаря на всички гласували за мен – макар да нямам депутатска карта, можете да ме считате за депутат, а с експертизата си ще помагам на парламентарната група. И именно от тази гледна точка ми се щеше най-накрая де публикувам нещо, което отдавна ми се струва важно – кратък списък с добри законодателни практики, основно с оглед на електронното управление, но не само. Защо аз, без нито един ден като депутат, мога да говоря за законодателство? Ами написал съм немалко законодателни изменения, а и подзаконови актове. Но по-важното – следя кои са нормативните пречки пред въвеждането на електронно управление и те с както в стари закони, така и в нови, защото просто депутатите невинаги си дават сметка какви са практическите последствия от гласуваните текстове. Такава публикация има на пръв поглед твърдя тясна аудитория, но качеството на законодателството е тема от широк интерес, която дори сме обсъждали с избиратели и заинтересовани групи в предизборната кампания. Така че ето кратък списък с добри практики: Не трябва да се въвеждат изисквания за удостоверения – законите създават права и задължения. Когато в закон пише „заявителят представя удостоверение за Х“, то задължението за това е негово. Администрацията може да приложи Закона за електронното управление и вместо да го иска от гражданина, да го събере служебно и да му го представи за потвърждение, но това е заобиколен начин да се изпълни законовото изискване, и поради това не много го правят – а всеки закон се явява специален спрямо Закона за електронното управление и администрацията казва „ами то може в ЗЕУ да пише, че трябва да съберем служебно, ама в НАШИЯ закон пише вие да го представите“. Затова удостоверяването на обстоятелства трябва да е задължение на администрацията, напр.

Continue reading