Archive for февруари, 2017

Накъде с електронното управление?

3

Краткият отговор е „не знам“. Индикациите от служебния кабинет са сравнително положителни – нямат намерение да спират започнатото. Но това ще е така до април. След това…зависи.

Тъй като не съм писал по темата откакто не съм съветник (средата на декември), исках поне да напиша и тук докъде е стигнал процесът и как може да продължи.

През ноември на OpenFest разказах (на английски) какво е било свършено, след което публикувахме отчет в по-приятен вид от „30 страници doc файл“. Накратко:

  • Основното необходимото законодателство е прокарано – Закон за електронната идентификация, изменения в Закона за електронното управление (в т.ч. създаване на държавна агенция и изискване за отворен код), измененията в Закона за българските лични документи, с които се въвежда електронната лична карта (от 2018-та), изменения в Закона за достъп до обществена информация, с които се регламентират „отворените данни“, и изменения в Изборния кодекс, които да предполагат дистанционно електронно гласуване.
  • Подзаконовата нормативна уредба е прокарана – Правилника за прилагане на закона за електронната идентификация, в който се уреждат всички технически специфики на процеса (не питайте как го гледаха юристите този правилник), както и изцяло нова наредба към Закона за електронно управление, с която се въвеждат изисквания към всеки софтуер, който се прави оттук нататък – например да има уеб-услуги за интеграция с други системи, да пази одитна следа на всяко действие, и т.н. Включено е и шаблонно задание, което всички администрации трябва да ползват за софтуерните си проекти – в него са включени изисквания, които досега администрациите не винаги са се сещали да искат, но без които системите не са устойчиви (справка – ОПАК. Много малка част от проектите по тази програма са „живи“ днес)
  • Основните проекти са подготвени и предадени на Управляващия орган (който одобрява финансирането по оперативна програма) – това са проекти за надграждане на основни регистри и системи. Най-важните: национална схема за електронна идентификация (т.е. софтуерната инфраструктура за новите лични карти, но и за други носители на е-идентичност), нов регистър на ГРАО за населението, подобряване на Търговски и Имотния регистър (особено потребителския им интерфейс), създаване на базов регистър – т.е. „регистър като услуга“ – вместо всеки законово-възложен регистър да се прави или „от нулата“, или да се води на Ексел или хартия, да има една „облачна“ система, в която да могат да се конфигурират нови регистри (с всички изисквания за сигурност, отчетност и прозрачност към тях), пилотният проект за дистанционно електронно гласуване, и още няколко проекта.

Процесът е бавен – подготовката и одобрението на всички тези неща отне близо две години и то с активната политическа подкрепа на вицепремиера Бъчварова. Но „следващите“ ще имат добра основа и ако имат желание, ще може да имаме осезаемо е-управление (а не само нормативна и проектна рамка) до…2 години (1 до започването на издаването на новите лични карти и 1, за да навлязат и да има достатъчно услуги, които да са интегрирани с тях).

В момента Държавна агенция „Електронно управление“ бавно набира скорост и започва да върши това, за което беше създадена – да бъде експертният орган, който знае какво е „електронно управление“ и има капацитета да го „бута напред“, без значение кой е на власт. Разбира се, има значение кой е на власт – ако дойде някой следващ Орешарски и каже пак „Електронно управление няма да правим“, агенцията изведнъж ще олекне и никой няма да я слуша, въпреки, че има силни законови правомощия.

Какво следва да се направи оттук нататък, освен да се напишат проектите, да се внедрят и да заработят? В събота представих програмата на Да, България за е-управление, последната (но не по важност) част от програмата за „Добро управление“. Няколко акцента:

  • потвърждаване на въвеждането на електронната лична карта – това, че го пише в закона, далеч не значи, че изпълнителната власт ще го изпълни, ако няма натиск (и дори помощ) това да се случи. Личната карта няма да е единственото средство за е-идентификация, но ще е водещото.
  • трансформиране на удостоверителните услуги (над 60% от транзакциите) във вътрешни за администрацията – т.е. без повече разнасяне на удостоверения. Това има три аспекта – технологичен (който с новите регистри ще бъде възможен), нормативен (който засега на законово ниво е уреден) и организационен – да бъдат приведени вътрешните правила в съответствие със закона и администрацията да бъде обучена как да използва новите възможности. За това се изисква политическа воля, обаче.
  • Поддържането и засилването на Държавната агенция „Електронна управление“ като инструмент за правене на политика в сферата. Защото без да имаш хора, които реално да подготвят и изпълнят всичките проекти и нормативни промени, които да налагат санкции за неизпълнение и да следят за спазването на правилата, електронно управление не става.
  • Реализиране на секторни политики – е-данъци (подобряване и разширяване на услугите на НАП), е-полиция, е-здраве (така чаканите електронни направления и електронни рецепти), изцяло електронни обществени поръчки
  • Електронна антикорупция – използване на технологиите за превенция на корупцията – случайно разпределение на всички проверки от контролни органи (защото в момента проверки се правят често с цел натиск над определен малък или среден бизнес, или за да се вземе подкуп), както и случайно разпределение на всички вписвания в регистър – за да не зависи дали вписването ви ще мине от конкретен служител, с който имате контакт. Електронните обществени поръчки с типови задания освен, че ще улеснят процеса, ще направят „нагласените“ обществени поръчки доста по-трудни (не казвам невъзможни, защото все ще се намери някой „майстор“)
  • Отворени данни – в последните 2 години дръпнахме много, до водещите места в ЕС и дори в света (според OKFN), но останалите страни също се движат и ако спрем с отварянето на данни, бързо ще изостанем. Но тук целта не е някакви класации, а реално повече прозрачност (т.е. думата да спре да бъде клише) и по-качествени данни, които да се извеждат в реално време от самите информационни системи, без да разчитат служител да ги качи някъде ръчно.
  • Дистанционно електронно гласуване – през 2019-та Народното събрание ще трябва да потвърди този метод на гласуване (като го включи в тялото на кодекса), с оглед проведените тестове. През 2019-та трябва да има адекватни хора в парламента, които да вземат информирано решение.

В програмата са включи и общи послания относно единния цифров пазар – т.е. възможността български IT (стартиращи и не само) компании да се възползват от единен европейски пазар. Това звучи логично, но има доста пречки (правни и практически), по отстраняването които в момента работи Европейската комисия. В съгласие с коалиционните партньори сме включили и защитата на личната свобода – т.е. без „следене по интернет“, с право на криптиране и други дигитални права.

Както написах по-горе, основната правна рамка е прокарана, но в една бележка си водя всички допълнителни нормативни изменения, за да заработи едно или друго нещо – например Закона за счетоводството, с изискването си за поставяне на печат, в момента в известен смисъл спира възможността от автоматично подаване на годишен финансов отчет на едно място, в машинно-четим вид. Общо взето всеки закон трябва да бъде гледан с „компютърни очи“, за да се оправи хартиения му уклон.

Това, освен че е партийна програма, е и начина, по който виждам електронното управление в следващите 1-2-3 години. Не е „ракетна наука“, не звучи сложно, но в администрация от 120 хиляди души, е предизвикателство.

Share Button

Проблемите с машинното гласуване

8

Тези дни темата с машинното гласуване получи доста медийно отразяване. ЦИК реши да не спази закона и да сложи машини само в 500 секции, Петър Славов и Мартин Димитров сезираха ВАС, който каза, че ЦИК Трябва да спази закона. А законът казва, че трябва да има машини във всички около 12500 секции.

Електронното гласуване от дистанция винаги ми е било доста по-интересно от машинното, поради което се бях фокусирал да помагам с частта от законодателството, свързана с електронното, а не с машинното. Но ето, че машините се оказаха проблемни.

Проблемът идва от там, че народните представители гласуваха пълното въвеждане на машините, без да са налице няколко предпоставки: готовност на ЦИК да осигури толкова на брой машини; адекватен анализ на експериментите с машинно гласуване; анализ на риска.

Проблемите са основно два:

  • Логистично-организационен проблем – как за два-три месеца ЦИК може да се сдобие с 12500 машини, които да разпредели по секции и да обучи секционните комисии да ги използват
  • Потенциален проблем със сигурността – как гарантираме, че машините не са компрометирани и как всеки избирател може да бъде сигурен, че това наистина е така.

Логистично-организационният проблем е свързан отчасти със сроковете по Закона за обществените поръчки, но не само. Не е ясно дали има фирма, която да има налични 12500 машини, които да даде под наем или да продаде. Всъщност това е важен елемент – досега машините са давани под наем, за сравнително висока цена – 1700 лева.

Изглежда доставчикът на машините за предишни избори – Сиела-Норма (в консорциум със Смартматик) обмисля опция машини, собственост на Филипините, да бъдат докарани до България.

Ако смятаме да имаме машинно гласуване, машините трябва или да бъдат купени (цената им няма причина да бъде много по-висока от тази за наема, честно казано), или трябва да има споразумение за дългосрочно даване под наем на последна версия машини, при доста по-ниски цени.

Дори машините да бъдат доставени навреме, и дори цената им да не е 20 милиона (т.е. приблизително колкото останалите разходи за изборите), секционните комисии няма да могат да бъдат обучени за работа с машините (помним, че преди години имаха проблеми с принтерите).

Следва обаче за мен по-сериозният проблем – проблемът със сигурността. Изборният кодекс има много бегли споменавания на темата. Позволен е одит, но той далеч не е задължителен, а и няма конкретни изисквания към него.

„чл. 114. т. 11: [Наблюдателите] извършват одит и проверка на системата за машинно гласуване;“
„чл. 213, ал. 2, т. 17: [Системата за машинно гласуване] позволява одит и проверка от страна на упълномощени органи.

За сравнение, ето текстовете, отнасящи се за дистанционното електронно гласуване:

12. бъде сертифицирана по най-висок ISO стандарт за качество и устойчивост на използвания софтуер и хардуер;
21. е одитирана преди всеки избор, като резултатите от одита се публикуват на интернет страницата на Централната избирателна комисия не по-късно от 10 дни преди началото на дистанционното електронно гласуване;
22. е с публично достъпен изходен код;“
27. отговаря на изискванията за мрежова и информационна сигурност, определени в наредбата по чл. 43, ал. 2 от Закона за електронното управление;
30. отговаря на Приложение III към Препоръка REC (2004)11 на Съвета на Европа за правните, оперативни и технически стандарти за електронно гласуване;

Какво значи това на практика – както отбелязах вчера в бТВ – машините в момента са черни кутии. Аз, като гражданин и специалист, нямам представа каква е тяхната сигурност. Каква е операционната им система, каква е защитата от вкарване на вируси през USB порта (т.е. през флашката, на която се записват резултатите). Каква е гаранцията, че в машината няма код, който казва „в деня на изборите отчитай всеки 4-ти глас за партия X, за партия Y“. Гаранцията е в хартиената следа, която оставят машините, но нея никой не я брои и не я проверява. Дори да не излязат резултатите (а съм чувал за такива случаи при първите експерименти) – дали секция би била касирана? Или целите избори?

Според мен докато не видим кода на машините, и докато няма начин да се уверим, че именно този код се изпълнява, и то по време на изборния ден, нямаме тази сигурност. Машините от последните избори доколкото знам не използват т.нар. E2E-verifiable схеми, като Scantegrity, при които се получава гаранция, че вотът наистина е отчетен правилно.

Комбинацията от двата проблема пък е, че дори машините да се намерят и да бъдат доставени навреме, те едва ли могат да бъдат одитирани на време. „Събрахме се 10 човека за 2 часа и решихме, че машината е сигурна“ не минава.

Не казвам, че машините не са сигурни. Може би са. Сигурно могат да бъдат. Но до 26-ти март едва ли някой ще може да ме убеди в това. Все пак независим одит (както поиска Да, България) е минималната стъпка, която трябва да бъде направена. Но този одит не трябва да бъде на черната кутия – трябва производителят да предостави изходния код.

При така изредените проблеми идва ред да си зададем въпроса – каква е ползата от машинното гласуване? Краткият отговор е: спестяват броенето на част от бюлетините. Машината вади разписка, която комисията преписва в протокола. Това само по себе си не звучи като достатъчна причина за даване на десетки милиони. Още повече, че се е случвало грешки се правят и при преписването.

Може би има дългосрочна полза в това хората да свикват с използването на машинен интерфейс, но това за мен не е достатъчно. Наличието на технологична възможност за нещо не значи, че тя е най-добрата. За сравнение, при дистанционното електронно гласуване (където има дори повече рискове, които трябва да бъдат отчетени), ползите са ясни – гласуване от всяка точка на света, когато човек е в движение; възможност за по-чести избори и референдуми и значително по-ниски разходи (проектът за пилотната система е за милион и половина).

Да се върнем на изборите през март. Невъзможността да се осигурят достатъчно и сертифицирани машини, която ЦИК е подчертала, няма значение за ВАС:

доводите за физическа невъзможност това да стане са неотносими към съдебното производство

Това по принцип е така – ако нямаш възможност да спазиш закона, значи, че законът е лош, не че няма да си в нарушение, ако не го спазиш. Имаме два варианта за изборите:

  • ЦИК успява криво-ляво да осигури машини, но остава въпроса с тяхната сигурност, съответно доверието в изборите е намалено. Има риск от оспорване на изборите на база на този факт
  • ЦИК не се съобразява с решението на ВАС и слага „колкото машини може“. Законът не е спазен, съответно някой може да оспори изборите.

Положението е „Зайо, ‘що си без шапка“. Но за мен вторият вариант е по-приемлив. С неспазването на тази част от закона ЦИК не нарушава равното избирателно право. Между другото, има и други несъответствия между практиката и Изборния кодекс. Това според мен не е основание за оспорване на изборния резултат. „Машини, докарани кой знае от къде, с непроверено функциониране и използвани от необучени комисии“ ми звучи по-рисково. Не че призовавам ЦИК да не спазва закона, просто опитът да го спази на всяка цена може да бъде по-вреден.

А след тези избори е време да помислим за по-адекватна стратегия спрямо машинното гласуване и машинното преброяване. Ако има машинно преброяване, може би машинно гласуване не ни трябва изобщо?

Share Button
Go to Top