Технологиите изпреварват политиките?

(статията е публикувана първоначално в списание „Мениджър“) Технологичното развитие в днешно време е толкова бързо, че законодателството и националните политики по редица въпроси, изглежда, изостават сериозно. Това изоставане има три аспекта. Първият се отнася до вече съществуващи бизнес модели и практики, които биват променяни с развитието на технологиите. Пример за това са таксиметровите и хотелиерските услуги. Uber и Airbnb не са били възможни преди 10-15 години. И съответно законодателството в тези сфери не ги допуска като възможност – такситата трябва да имат таксиметров апарат и да бъдат жълти, а хотелите трябва да са категоризирани и да отговарят на определени изисквания. Новите технологии позволяват създаването на репутационни системи (например за таксита или хотели), базирани на оценката на потребителите, а не на това какво смята държавата. Съответно законодателството изостава от реалностите и трябва да наваксва. Вторият аспект на изоставането е свързан с тези технологии, които изцяло променят обществените отношения. Такава област е например изкуственият интелект, а в известен смисъл и блокчейн и криптовалутите. Те имат потенциал да създадат изцяло нови обществени отношения, като решенията при възникнали казуси много трудно може да се съпоставят с вече съществуващи практики. Третият аспект на изоставащите политики е в електронното управление, т.е. приложението на новите технологии в администрацията. Тъй като проектите имат забавяне от няколко години между идея и реализация, рядко може да бъдат приложени най-новите добри технологични практики. Това обаче не е същественият проблем, тъй като не се прилагат дори и добри практики на по десет години. Всъщност фундаментални технологични промени не се случват чак толкова бързо. Интернет и уеб набраха скорост за повече от десетилетие, а социалните мрежи и смартфоните също ги има над десет години. Т.е. оправданието, че технологиите се изменят твърде бързо, не е напълно приемливо. По-скоро причината за усещането за изоставане на публичните политики е резултат от няколко фактора: инерцията на администрацията,

Накратко за киберсигурността

През уикенда се проведе събитие в рамките на „Български манифест за Европа“ на тема „Европейски съюз за отбрана и сигурност и неговите черноморски измерения“ Тъй като не успях да присъствам, записах кратко видео, с което да обясня какво е и какво не е киберсигурност. Разбира се, 5-минутно видео няма как да обхване сложната тема, но все пак целта беше да дам базова представа. Основната ми теза е, че киберсигурността не е просто активна отбранителна дейност – тя е набор от много мерки, които в голямата си част са пасивни – добри практики, политики за сигурност, квалифициран персонал и то както в публичния, така и в частния сектор. Защото кибератаките не са само атаки по държавните системи (напр. изборни системи, публични регистри, уебсайтове на институции и др.) а и атаки по ключови частни компании – банки, мобилни оператори. Например преди няколко години БОРИКА имаше технически проблем, който доведе до пълно спиране на работа на банкомати и ПОС-терминали в цялата страна. И докато банкоматите не са чак толкова критична инфраструктура, то например електропреносната мрежа е. В случай, че нейни части, управлявани от софтуер, биват „ударени“, това може да значи спиране на електричеството (както предупреждава, например, Washington Post). Да не говорим за оборудване, използване в ядрената енергетика, което може да бъде увредено от вирус (като известният вирус Stuxnet, забавил значително иранската ядрена програма). Но дори да няма реални щети, атаките могат да имат сериозен имиджов ефект. Например при атаките срещу уебсайтове на институции (вкл. ЦИК) преди няколко години реално нямаше нанесени щети – просто сайтовете не бяха достъпни. Но самият факт, че институции бяха атакувани в деня на референдума за електронно гласуване пося (или поля) семето на несигурността от технологиите в изборния процес. И защитата от всички тези атаки изобщо не е тривиална. „Дупки“ в сигурността на най-различни системи се появяват постоянно (а

Критика към анализа на ЦИК за електронното гласуване

Вчера се състоя кръгла маса за дистанционното електронно гласуване, организирана от обществения съвет на ЦИК. Поводът – анализът, който ЦИК изпрати до парламента. Анализът беше разтълкуван като желание от страна на ЦИК да отложи електронното гласуване. Председателят на ЦИК, г-жа Алексиева, се разграничи от такива тълкувания, като каза, че ЦИК просто иска да бъдат синхронизирани срокове в различни закони. В същото време, заданието за системата за електронно дистанционно гласуване ще бъде публикувано за обществено обсъждане съвсем скоро от Държавна агенция „Електронно управление“. Причината, поради която смятам за нужно да пиша отново по тази тема е както самия анализ на ЦИК, така и продължаващото сеене на страх от проф. Михаил Константинов относно информационната сигурност. Да започнем от твърденията на проф. Константинов. Чиповете в картите (на естонците) са пробити и това компрометира гласуването Да, имаше много неприятен бъг в един модел чипове на Infineon, който на практика позволява да се постави електронен подпис (което включва подаване на глас) от ваше име без вие да разберете. Няколко детайла, обаче: Различни статии споменават различни оценки за цената на атаката (варират около 20 хиляди евро), но дори след сериозни оптимизации тя е над няколко хиляди евро. На карта. Това го прави скъпо удоволствие, но все пак възможно Ако се използва двуфакторна автентикация (напр. предварително регистриран телефонен номер), атаката става още по-непрактична за извършване в мащаб, защото освен разбиването на ключа, трябва достъп до телефона Изборният кодекс предвижда правила за спиране на електронното гласуване при узнаване на сериозен проблем със сигурността. Тъй като то е дни преди изборния ден, избирателите просто биват помолени да отидат до секция. Т.е. практичните измерения на такава атака са далеч от „вотът е тотално компрометиран“. Да, би създало риск за доверието в системата, което е основно за изборния процес, но ако повтаряме, че всичко е пробито, правим това недоверие самоизпълняващо се

Визия за електронно бъдеще

Не се имам за визионер. Най-вече защото смятам за нужно да мога да си представя почти всички стъпки, необходими за реализирането на всичко, което предлагам. И тогава то не е точно „визия“, а по-скоро „план“. Но така или иначе, наскоро се замислих какво бих искал да имаме след като реализираме пътната карта за е-управление (която е доста конкретен план). Нещо като … визия за 2025-та. И направих следния списък: Електронно гражданство – това естонците вече го имат, а в заданието за системата за електронна идентификация бяхме заложили гъвкавост в идентификаторите – в момента са само ЕГН и ЛНЧ, но ако законодателството позволи на произволни чужди граждани да се издава електронна идентичност, това да бъде възможно и със съществуващата система. Това би позволило на чужденци да откриват фирми, да плащат данъци и да развиват дигитален бизнес без да са стъпвали в страната. Гъвкава електронна идентификация – в момента електронната идентификация се предвижда на носител (смарткарта). Това не е най-удобното решение, но за желаните нива на сигурност е горе-долу единствената опция. Но след 5-6 години мобилните телефони, а и други преносими устройства ще имат, надявам се, същото ниво на сигурност (в момента са възможни хибридни схеми със split key между телефон + HSM, но да не влизаме в подробности.) Пълен контрол на гражданите върху данните им – всеки да може да определя кой има достъп до данните му, да вижда кога са четени – не само в публичния сектор но и в частния. Това технологично изглежда трудно, но за публичния сектор е напълно постижимо, а за частния – с развитието на криптографията се надявам да има как да управляваме данните си без да се налага да правим „крипто-шаманизми“, които са трудни дори за напреднали. Всички системи да имат програмни интерфейси и да си „говорят“. Това вече е заложено като изискване, но ще

TEDx: Гражданската активност като инвестиция

Бях поканен на TEDxVarna през есента и реших да превърна тази публикация за гражданската активност като инвестиция в презентация/лекция/talk (коя е най-подходящата дума?). Със сигурност форматът на TEDx е нещо, с което не съм свикнал – обикновено лекциите ми са по 40 минути и са технологични, т.е. пълни с недостъпни за широката публика детайли. Целта на TEDx обаче е различна – да се представи сбито информация по достъпен начин, а ако е мотивираща – още по-добре. Ето видеото: С две думи тезата ми е, че гражданската активност никога не е „на вятъра“ и трябва да я разглеждаме като инвестиция, а не като нещо, което трябва да правим само защото институциите не си вършат работата.

Как да допуснем услуги като Uber? [законопроект]

Съдът в Люксембург реши, че Uber е транспортна компания и предоставя таксиметрови услуги. Това е проблем не само за Uber, а за всички по-съвременни начини да предоставяш транспортна услуга, в това число децентрализирани варианти (например чрез блокчейн, въпреки целия ми скептицизъм към публичните такива). За да бъдат допустими на пазара тези бизнес модели – дали Uber, дали Lyft, дали дори TaxiMe и TaxiStars, към които таксиметровите компании проявяват недоверие и се оптиват да ги изтикат за сметка на свои приложения, трябва законодателството да го позволява. Докато преди това решение Uber оперираше в (според тях) сива зона на нерегулиран бизнес, вече е ясно, че това не е така. И макар Uber да е най-популярният пример, те не са най-светлият такъв – компанията е на загуба и съвсем не е „цвете за мирисане“. Така че всичко недолу не би следвало да се разглежда като „как да узаконим Uber“, а как да не ограничаваме транспорта в градовете до „жълти коли с табелки, светлинки и таксиметрови апарати“. Както бях писал преди време – регулациите могат да бъдат правени умно, така че да не ограничават технологични бизнес модели, за които регулаторите не са се сетили. За съжаление, Законът за автомобилните превози е доста остарял и със сигурност не допуска нищо различно от кола с таксиметров апарат с фискална памет, която можеш да си спреш на улицата. Освен това режимът, предвиден в закона е доста утежнен дори за съществуващите превозвачи. Първо, трябва да има регистрация на превозвач. След това всеки шофьор полага изпити и получава удостоверение за водач на таксиметров автомобил. Но това удостоверение на му е достатъчно – трябва да получи и разрешение от общината, която да разгледа удостоверението му и регистрацията на превозвача, чрез който ще осъщестява услугата. Не на последно място, законът предвижда общинските съвети да определят максимален брой таксита, както и разпределението

Има ли проблем с приетия от правителство план за управление на Пирин?

Реших да проверя какво точно са приели вчера за Пирин, защото хората взеха да се мятат на амбразурите в социалните мрежи, а детайлите останаха на заден план. В правителствената информационна система още не са качили документите (обикновено го правят с малко закъснение), но все пак на сайта на правителството има качен проект на решението: ето тук. Правя уговорката, че това не е приетото решение, та може да има корекции в последния момент (случват се такива неща с подмяна на листчета в папки минути преди заседание). Действащият план за управление, който се изменя, е тук (важната част започва от стр. 182). Промените правят общо взето едно нещо: разрешава се строителството на ски писти и съоръжения в т.нар. „зона за строителство“ и „зона за туризъм“, които са 0,6%+2,2% от територията на парка. Строителството става само след екологична оценка (или поне така пише; дали такава няма да бъде правена проформа е друг въпрос) „Зоната за строителство“ до момента е допускала строителство на „сгради, пътища и съоръжения“. Това звучи общо, но ще видим след малко какво значи. Има обаче едно двусмислие в решението – в таблицата на допустимите дейности, строителството става допустима дейност и в „зона за опазване на горските екосистеми и отдих“, която е 45,2% от парка. В съответната точка за тази зона обаче няма промяна, която да позволи строителство там, освен за „водохващане“ (което изглежда оправдано). Дали това обаче не е хитър начин да се скрие нещо – не знам. Според мен таблицата може да се прецизира и 9-ти ред да се разбие допълнително. По-интересното обаче е друго – в чл. 21 от Закона за защитените територии се забранява строителство на почти всичко (с някои изключения). Допуска се само ремонт на „спортни съоръжения“. Допуска се строителство на „съоръжения за нуждите на управлението на парка“, към което реферирах няколко абзаца по-нагоре. С изменението

Политики, основани на данни [презентация]

Преди десетина дни се състоя технологичното събитие „Бъдещето е тук!“. То беше организирано от Да, България, но освен зеленото „Да“, друга тясна партийност трудно можеше да се намери в 4-те презентации. По-скоро идеята беше да се фокусираме върху това как технологиите могат да ни помогнат да просперираме, „да се изтеглим за косата“, да наваксаме изоставането си като държава и какви политики и инициативи биха имали смисъл в бързо променящия се свят. Ако това звучи като клише, или като префърцунено интелектуално забавление тип „вижте ни колко сме технологични“ – не, целта беше друга – технологията никога не е самоцел и колкото и да ми харесва да си „играя“ с технологиите, те придобиват смисъл само когато решават проблеми. Затова и презентацията, която направихме заедно с Калина Цонева беше фокусирана върху това как и защо да използваме данни, за правене на политики. И под политики имам предвид „решения на проблеми“, „откриване на проблеми, които не сме осъзнавали че съществуват“ и „отключване на нови възможности“. Видеото можете да видите тук: А слайдовете – тук: Запис на цялото събитие има тук, в началото Мануела Малеев и Христо Иванов казват по няколко думи, а презентациите започват от около 27-мата минута. Данните (в т.ч. отворените данни) сами по себе си не дават отговори. Но в комбинация с експертно познание и умения за анализ, могат да помогнат за решаването на редица проблеми – от неефективно харчене на пари, през ниско качество на въздуха, до високата смъртност при катастрофи. За целта обаче трябва да бъде осъзната важността на това решения да се вземат на база на данни, а не на гледане в тавана или на „една жена на пазара каза“. Надявам се да сме подбрали подходящи примери, а сравнително абстрактната презентация все пак да може да се използва като отправна точка за правене на политики, основани да данни…в някакво

Пет мита за електронното гласуване

Тази седмица ЦИК ще направи демонстрация на електронно гласуване в рамките на проекта, който преди малко повече от година заложихме в пътната карта за електронно управление. На „дистанционно електронно гласуване“, ако трябва да сме коректни – терминологията не е унифицирана, и често само „електронно гласуване“ може да значи и „машинно“. Та във връзка с раздвижването по темата, по медиите канят знайни и незнайни хора (сред които и уважавани експерти) да коментират. Случват се и разни събития/кръгли маси/конференции по темата, на някои от които присъствам. Това, което чувам са доста неинформирани мнения и разпространяване и преповтаряне на митове. Затова реших да си избера пет мита, които говорещите против електронното гласуване разпространяват. Винаги дяволът е в детайлите, а с една подхвърлена полуистина в ефира се създават настроения в обществото. „Много държави го забраниха или се отказаха“ – тук посланието е „всички се отказват от него, ние къде сме тръгнали“. Разбира се, това е невярно. Половината от държавите, които се изреждат, не са и опитвали дистанционно електронно гласуване, а само машинно. И поради машини „черни кутии“ (със затворен код) и висока цена, наистина се отказват от тях. Но когато говорим за дистанционно електронно гласуване, картинката е по-различна. Експертимент, след който не е пристъпено към реално гласуване, е имало в Норвегия. Причината за да не се пристъпи нататък? В официалния доклад техническият проблем е тривиален – функцията за генериране на случайни числа не е била добра. Но по-важният фактор е, че на власт е дошла опозицията (социалистическата партия) и тя е спряла проекта на предишното правителство. Германският Конституционен съд пък е взел решение – експерименти е нямало, та докато нашия Конституционен съд не вземе такова решение за действащия изборен кодекс, нямаме такъв проблем (има решения за предишни текстове в кодекса, но това е по вина на текстовете – новите адресират мотивите на съда). Холандия

Изхарчени са милиарди за електронно управление?

Излязоха данни на БСК за разходите за електронно управление, сравнени с Естония. Изхарчени са милиарди от 2001-ва до 2016-та. Като цяло данните най-вероятно са верни. Е, Естония не е похарчила само 50 милиона. Всъщност, притеснително е, че БСК не е проверила тези данни и няма източник (Евростат дава разбивка по функции, но там няма е-управление/информационните технологии). Ето един очевиден източник през Google: https://www.nytimes.com/2014/10/09/business/international/estonians-embrace-life-in-a-digital-world.html (Естония харчи 60 милиона годишно за информационните технологии). Но да оставим настрана тази грешка – тя прави нещата по-бомбастични, но не прави останалите наблюдения неверни. Всъщност, в доклада, с който внесохме пакета от реформи през 2015-та, имаше почти същите числа. И тогава, след заседание на парламентарната комисия по транспорт, излязоха новини колко много е похарчено. И пак бяхме недоволни за половин ден, и пак ги забравихме. Всъщност е доста трудно да се измерят парите за „електронно управление“ – централен регистър за проекти и дейности за електронно управление нямаше допреди последните изменения на закона – оценките са „на око“ и никога не са пълни. Но важни са причините – похарченото няма да се върне. До 2016-та нямаше ясни правила и ясна посока за електронно управление, и най-вече – орган, който да преследва, стъпка по стъпка, политиката за е-управление. Да, има стратегии отдавна, има дори закон отдавна, но това всичко са пожелания. Докато не обвържеш разходите на министерствата и агенциите с контрол по същество и оценка на постигнатите резултати, те ще си харчат колкото им дойде за каквото им дойде. И в редките случаи, когато имат доброто желание нещо да направят, няма да имат експертизата да го направят. Другата фундаментална разлика е електронната идентификация. БСК правилно посочват, че естонците имат електронна лична карта от 2001-ва. Според естонският президент това е ключов фактор и без него нищо не става. Затова и прокарахме законови изменения, за да имаме и ние електронна