Накъде с електронното управление?

Краткият отговор е „не знам“. Индикациите от служебния кабинет са сравнително положителни – нямат намерение да спират започнатото. Но това ще е така до април. След това…зависи. Тъй като не съм писал по темата откакто не съм съветник (средата на декември), исках поне да напиша и тук докъде е стигнал процесът и как може да продължи. През ноември на OpenFest разказах (на английски) какво е било свършено, след което публикувахме отчет в по-приятен вид от „30 страници doc файл“. Накратко: Основното необходимото законодателство е прокарано – Закон за електронната идентификация, изменения в Закона за електронното управление (в т.ч. създаване на държавна агенция и изискване за отворен код), измененията в Закона за българските лични документи, с които се въвежда електронната лична карта (от 2018-та), изменения в Закона за достъп до обществена информация, с които се регламентират „отворените данни“, и изменения в Изборния кодекс, които да предполагат дистанционно електронно гласуване. Подзаконовата нормативна уредба е прокарана – Правилника за прилагане на закона за електронната идентификация, в който се уреждат всички технически специфики на процеса (не питайте как го гледаха юристите този правилник), както и изцяло нова наредба към Закона за електронно управление, с която се въвеждат изисквания към всеки софтуер, който се прави оттук нататък – например да има уеб-услуги за интеграция с други системи, да пази одитна следа на всяко действие, и т.н. Включено е и шаблонно задание, което всички администрации трябва да ползват за софтуерните си проекти – в него са включени изисквания, които досега администрациите не винаги са се сещали да искат, но без които системите не са устойчиви (справка – ОПАК. Много малка част от проектите по тази програма са „живи“ днес) Основните проекти са подготвени и предадени на Управляващия орган (който одобрява финансирането по оперативна програма) – това са проекти за надграждане на основни регистри и системи. Най-важните:

Чип в личните карти – разяснения

През декември парламентът прие измененията в Закона за българските лични документи, които бяхме внесли през април. Ще пробвам да внеса разяснения, с малко закъснение. Накратко, целта на измененията е да даде на всеки български гражданин средство, с което да се идентифицира електронно пред администрацията и да заявява електронни услуги, като така се реши проблема на електронното управление с „кокошката или яйцето“ – няма достатъчно електронни услуги, защото много малко хора имат как да ги ползват (квалифицираният електронен подпис беше горе-долу единственото средство досега), а малко хора имат квалифициран електронен подпис, защото няма достатъчно услуги, с които могат да го ползват. Със Закона за електронната идентификация въведохме „електронна идентичност“, което отваря вратата към търсената масовост на средство за използване на системите на електронното управление. Промяната влиза в сила от 2018-та, като ако МВР не се справи с всички процедури за обществена поръчка (включително заради политическата нестабилност), това може да бъде отложено малко. Тъй като измененията в ЗБЛД засяга личните карти – т.е. нещо, което всеки е длъжен да има, ще опитам да отговоря на най-често задаваните въпроси. В: Ще трябва ли да си сменям личната карта? О: Само ако желаете. Няма задължителна смяна. Ако изрично не поискате да си смените личната карта, то ще получите новата карта с чип след като личната ви карта изтече. В: Задължително ли получавам електронна идентичност? О: Не. Удостоверението за електронна идентичност се записва в чипа по подразбиране, но при подаване на заявлението имате възможност да се откажете. Защо избрахме този принцип на изричния отказ – за да постигнем масовост на електронното управление, трябва възможно най-много хора да разполагат със средство за сигурно електронно идентифициране пред държавни органи, дори да нямат непосредствена нужда от това. Така следваме примера на Естония, които въвеждат задължителната електронна лична карта, но започват да „жънат“ плодовете от нея досега години след

Биометрична идентификация [презентация]

Виждали сме „по филмите“ как врати се отварят само след прочитане на пръстов отпечатък или сканиране на ирис. И там изглежда сигурно и футуристично. Всъщност не е нито едното от двете. Не е футуристично, защото отдавна скенери за отпечатъци се използват за достъп в някои фирми и дори администрации, а смартфоните позволяват отключване с пръстов отпечатък, а все повече и след сканиране на ириса. Паспортите ни пък от 5-6 години съдържат пръстовите ни отпечатъци, за да може при гранична проверка, проверяващият да сравни (автоматично) нашите отпечатъци с тези, записани в паспорта, за да е сигурно, че това наистина сме ние и че паспортът е бил издаден именно на нас. А не е сигурно, защото проблемите с тези биометрични подходи за идентификация са доста. Всъщност толкова големи, че преди 10-тина години японски учен реконструира пръстов отпечатък, използвайки желирани бонбони и успява да заблуди скенери, а Брус Шнайер (известен експерт по информационна сигурност) коментира, че това е достатъчно всички доставчици на технология за идентификация с пръстови отпечатъци трябва да си събират нещата и да си ходят. Проблемите в това да използваш отпечатък или друга биометрична характеристика с в това, че не подлежат на промяна и че не са тайни. Веднъж някой да получи достъп до отпечатъка (а бази данни с отпечатъци изтичат постоянно), може да се представя навсякъде за нас. А след като смартфоните се отключват по този начин, то включително интернет банкирането ни е изложено на риск – използваме телефона си често за „2-ри фактор“ при вход в различни системи. Паспортите ни също съдържат отпечатъци, които „уж“ са защитени от безконтролно четене и само гранични терминали могат да ги четат. Това на практика обаче не е съвсем така – има доста потенциални проблеми с протоколите, стандартизирани от ICAO. (Поради тази неяснота относно сигурността на стандарта, за новите лични карти предложихме биометрични

Каква е разликата между електронната идентификация и електронния подпис?

С приемането на Закона за електронната идентификация все по-често срещан въпрос (и неразбиране) е каква е разликата между електронната идентификация и електронния подпис. И двете могат да бъдат на смарткарта (карта с чип), в личната карта, на „флашка“ (USB dongle). И двете могат да участват в електронни административни услуги, а и в електронно гласуване. Та, каква е разликата? И защо ни е нужна електронна идентификация, като имаме електронен подпис, и обратно? Разликата е най-видна, когато вземем еквивалентите им във физическия свят: Идентификацията е, когато представим документ за самоличност и чрез него длъжностно лице се увери, че ние сме наистина този, за когото се представяме Подписът е, когато подпишем някой документ, с което правим волеизявление – потвърждаваме, че това, което пише в документа, е нашата воля. Двете действия са съществено различни – полагането на подпис има правни последици (стартират се процедури, текат срокове), докато идентификацията – не (в общия случай). Технологично наистина двете могат да бъдат реализирани еднакво. Съществуват различни варианти за електронна идентификация, но решението, което ще използваме за българската национална схема, ще използва X.509 сертификат, също както електронния подпис. Сходството (напр. извършване на комуникация с държавата онлайн) води до това двете теми са обект на един и същи европейски регламент (910/2014). В България регламентът се пояснява и допълва от два закона – за електронната идентификация и за електронния документ и електронния подпис (който скоро ще бъде преименуван и изменен, съгласно регламента). Сходството в технологията и опита ни с електронните административни услуги поставят въпроса – за какво ще се ползват двете? До момента електронният подпис се е ползвал с функция и на двете. Функцията на подпис е била реализирана с технологичния смисъл на „електронен подпис“ (криптиране с частен ключ, като така авторството може да бъде проверено със съответния публичен), а функцията по идентификация е била реализирана чрез записване на ЕГН-то

Идентичност в дигиталния свят

„Идентичността“ е набор от характеристики, които позволява еднозначното идентифициране на лице или разграничаването му от други лица. Това звучи просто, но всъщност има доста сложни аспекти в съвременния, свързан и глобален свят. Идентичността в днешно време се удостоверява от правителствата. Човек е никой ако правителство не е потвърдило, че той наистина е някой. Процедурите в различните държави са различни, но след като човек се роди, му се издава акт за раждане, и името му (заедно с номер понякога) се вписват в база данни (централизирана или децентрализирана). Оттам нататък човек има „идентичност“, която може след това да докаже, използвайки някакъв документ (лична карта, паспорт, шофьорска книжка, номер на социална осигуровка и т.н.). Всъщност, на български има и дума „самоличност“, която в някои контексти е синоним, а в други – идентичността е начинът трета страна да се увери в нечия самоличност (чрез сравнение дали някой документ е идентичен с характеристиките на лицето, стоящо пред него). Не че правителството притежава идентичността ни, защо ние сме много повече от една лична карта, но някои характеристики от идентичността ни се записват от правителството, които след това то сертифицира, че това сме именно ние (чрез документ и вписване в съответната база данни). Тези характеристики (или атрибути) включват имена, които пък са били използвани да идентифицират хора от хилядолетия, адрес, снимка, височина, цвят на очите. Евентуално пръстови отпечатъци и ирис, но ще засегнем биометрията малко по-надолу. Защо това има значение? С изключение на малки, изполирани племена, в които най-вероятно дори няма нужда от имена за идентифициране на хората, в т.нар. „цивилизован свят“ има нужда от разграничаване на един човек от друг по ред причини. Шофьорът способен ли е да управлява кола, пилотът способен ли е да управлява самолет – те могат да покажат сертификат, но те ли са наистина тези, които са били сертифицирани? („Хвани ме ако

Електронна идентификация [лекция]

В четвъртък парламентът прие на първо четене закона за електронната идентификация (разяснения) По същото време беше готово видеото от лекцията ми на OpenFest за електронна идентификация, която включва кратко разяснение на закона и какво възнамеряваме да правим: Слайдовете са тук: Дискусията, за която помолих на OpenFest, се случва тук – можете да се включите. Както отбелязвам в лекцията, опитваме да се поучим от опита на останалите, включително от грешките им, и да направим добра схема за идентификация. Надявам се идентификаторът да е и в личните карти (зависи дали парламентът го приеме), за да може всеки да го ползва лесно и да не струва нищо (освен евтин четец).

Закон за електронната идентификация – разяснения

Законът за електронната идентификация (по който работихме през с колеги в кабинета на г-жа Бъчварова) вече е внесен в парламента. Целият текст можете да видите тук. Най-долу в документа са и мотивите, едни от които е създаване на практически правила за приложение на Регламент 910/2014 на Европейския парламент. Но четенето на закони е скучно, дори четенето на мотиви е скучно, затова ще дам малко разяснения с практическа насоченост (които се надявам да са малко по-малко скучни). Какво е електронната идентификация – начин за идентифициране на гражданите в електронна среда. Т.е. когато държавата (или бизнесът) се налага да знае с кого точно си комуникира онлайн, електронната идентификация дава тази възможност. Има две понятия, които често се използват паралелно – „електронна идентификация“ и „електронна идентичност“. Второто звучи страшно, но всъщност значи просто електронното представяне на физическата ни идентичност. Не мисля, че има смисъл да навлизаме във философски разсъждения – важното е, че човек има само една идентичност, а електронната такава е само нейно „огледало“ в електронния свят. А идентификацията е процеса по еднозначното установяване на физическо лице. А юридическите лица се идентифицират чрез законните си представители, които са физически лица. Често „електронна идентификация“ и „електронен подпис“ се бъркат, особено поради факта, че до момента подписът е използван и за идентификация. В хартиения свят идентификацията е аналогична на това да си покажем личната карта на някого, а подписът е саморъчният подпис. Технологично двете могат да бъдат реализирани по един и същи начин, но има съображения, поради които е добре да бъдат разделени. Как ще изглежда електронната идентификация от гледна точка на гражданите. От момента, в който проектът по изграждането на инфраструктурата завърши (около края на лятото догодина), на гражданите ще могат да се издават карти за електронна идентификация на отделен носител. Такива те най-вероятно ще получават срещу символична сума (или безплатно) при подновяване

НАП, ПИК и електронната идентификация

НАП (Национална Агенция за Приходите) активно въвежда използването на ПИК (персонален идентификационен код) за своите електронни услуги. Т.е. ако искаме да подадем данъчна декларация онлайн или да направим онлайн справка за внесените от работодателя ни осигуровки, ни е нужен ПИК. Всъщност, към момента ПИК се ползва само за справки, а за подаване на декларация трябва електронен подпис, но това е на път да се промени – НАП има желание да разшири използването на ПИК. За съжаление, ПИК-ът е едно недоразумение. Да започнем стъпка по стъпка. Как получавате ПИК? Отивате в офис на НАП, където служител ви го дава, разпечатан на лист А4, след като проверява самоличността ви. В работно време, разбира се. Т.е. в добрия случай ви отнема обедната почивка. В лошия случай, постоянният ви адрес е в друг град, защото, да кажем, живеете под наем в София, а НАП не издава ПИК по настоящ адрес. Само по постоянен. Защо – остава мистерия. Отговорът им на мое запитване беше, че е от съображения за сигурност – ако бъде издаван в друг офис от този по постоянен адрес, това щяло да значи, че повече служители на НАП ще видят кода. Това дали 1 или 5 служителя ще го видят не прави кода по-малко компрометиран, но дори да е така, то при една обмислена система кодът просто би бил издаван на гишето, използвайки централизирана система. Но явно „обмислена“ не е подходящо прилагателно. Така, в крайна сметка, получаването на ПИК може да ви струва и цял ден път до офис на НАП по постоянен адрес. За да може да правите електронни справки. Чудесно! Но да оставим ползваемостта настрана и да поговорим за сигурността. Дори само един служител да види кода ви, това вече е лошо. Но може би по-лошо е това, че е хвърчащ лист А4, който всеки, който ви дойде на гости,

Кръгла маса на тема „Електронно гласуване“

Днес участвах на кръгла маса на тема „Електронно гласуване“, по покана на г-жа Гергана Паси, Дигиталната Национална Коалиция и Информационно Обслужване. Участвах като представител на Общество.бг, и ето и краткият ми „доклад“, който ще напиша и тук, с някои уточнения. Имаше представители на МВР, МВнР, МТИТС, БАИТ, БАСКОМ, ИО, Scytl (испанска компания, занимаваща с електронно гласуване) и други. Ето и репортажът на БНТ. Дискусията вървеше в няколко направления, като заключенията са следните: няма технологична пречка пред реализирането на електронно гласуване на всички са ясни ползите от електронно гласуване – спестяват пари и време, увеличават избирателната активност, позволяват на българите в чужбина да упражнят гласа си от МВР изразиха неувереност, че електронното гласуване ще реши проблемите с купения и контролиран вот, но достатъчно хора се обединиха около позицията, че то няма за цел да решава този проблем, няма и да го влоши. Николай Недялков изтъкна дори механизми, по които може да го облекчи В МВР се притесняват, че електронното гласуване ще отвори врата за киберпрестъпления; теза, която остана неаргументирана в моите очи проф.Емилия Друмева, бивш конституционен съдия и настоящ съветник на премиера сподели, че няма конституционна пречка пред електронното гласуване. Отхвърлянето на кодекса „Фидосова“ не означава принципно отхвърляне на електронното гласуване. Нужно е просто то да бъде вписано правилно в кодекса. Най-важното, около което имаше и най-много дискусии, беше „чипът“ в личната карта – т.е. дали да има електронна идентификация в документа за самоличност (моя любима тема). По темата се изказаха от МВР, като тезата им беше, че има „много плюсове и много минуси, и се търси правилното решение“. От Борика-Банксервиз щрихираха тяхното решение, разработено съвместно с МТИТС eID, базирано на австрийския опит. То може и да е подходящо (ако поддържа anonymous credentials, които позволяват гарантирането на тайната на вота, и едновременно с това – чрез linkable credentials – гласът на

Обща електронна идентификация в ЕС?

Наближават евроизбори и реших, че е редно да имам някакви изисквания към евродепутата, за когото ще гласувам. Кампанията още не е започнала, но извън партийните предпочитания, реших да поставя един въпрос, който според мен е важен. Подчертавам „според мен“, защото най-вероятно съм в малцинство. Въпросът е „подкрепяте ли стандартизирана европейска електронна идентификация, т.е. стандартен електронен подпис в личните карти на всички европейци, и какво бихте направили, за да се реализира“. Защо това е важно? По много причини. От гледна точка на България най-важната е, че това ще означава електронен подпис в нашите лични карти дори никое правителство да не прояви нужната мисъл, за да го направи – просто ще дойде „отгоре“. От гледна точка на ЕС е важно, защото ще е стъпка в решаването на проблема с бюрокрацията – а той е сериозен. Особено ще е полезно за граждани, които често сменят държавата, в която се намират – дали по работа, дали живеят в пограничен район, дали просто заради туризъм. Обща електронна идентификация ще означава по-лесна синхронизация на процедури, по-лесен достъп на гражданите до услуги в други държави, по-малко документи, които трябва да представиш или получиш, за да работиш в друга държава. За България конкретно електронният подпис в личната карта ще осмисли и ускори електронното правителство, а то (според мен) е твърде важно и наложително, за да се намали корупцията и да се увеличи ефективността на държавния апарат. А не е ли електронната идентификация на няколкостотин милиона души прелюдия към една антиутопия? Не че не може да бъде, но по-скоро няма да бъде – технологичната реализация (anonymous credentials), предпазваща личността от следене, съществува и може да бъде използвана. Т.е. засега поне можем да сме спокойни, че това не е „слагане на чип в мозъка“, а просто важно улеснение, което никой не може да използва неправомерно, дори да иска. Тъй като