Етикет: електронна идентификация

Електронна идентификация. Или „как да ползваме е-услуги по начин, по който да докажем онлайн кои сме по удобен и сигурен начин“. Историята на тази битка е дълга и за съжаление 8 години след като имаха готова техническа документация, МВР все още няма готов продукт. Проектът за мобилно приложение, който стартирах като министър, също беше спрян след края на мандата ми, не без помощта на МВР. След множеството ми въпроси и срещи по темата, нямам очакване, че в края на годината МВР ще покаже добър продукт, вкл. защото 8 години по-късно той е поостарял. Затова ще предложим въвеждане на национален цифров портфейл, в изпълнение на новия европейски регламент, но с допълнителни възможности. Един позиивен елемент е, че приехме законова промяма, с която изрично казваме, че квалифициран електронен подпис не се изисква за подписване на заявленията, за да премахнем тази бариера и позването на е-услуги ще е възможно с мобилното приложение. Освен, че ще можем да се идентифицираме за всички услуги, вкл. в други държави-членки, ще можем в същото приложение да виждаме цялата информация, която държавата има за нас, да получаваме глоби, писма от администрацията и да го ползваме като входна точка за всички е-услуги. Това най-накрая ще направи електронното управление достъпно за много повече хора и неговите ползи ще започнат да се усещат не само от ентусиастите.

Получих отговор от МВР, че изходният код на системата за електронна идентификация нямало да е публично достъпен ако изпълнителят не разреши и те нямали задължение да спазват Закона за електронното управление. Нищо, че в договора и в техническата спецификация има задължение системата да се разработва като софтуер с отворен код. На друг мой въпрос, МВР отговарят, че чакат изпълнителят да отговори за въвеждане на съвременни функционалности на планираното в далечната 2016 мобилно приложение. Т.е. чакаме изпълнителят да каже дали ще можем да ползваме телефона за идентификация без да трябва задължително всеки път да допираме лична си карта (и то след като я сменим). Това са индикации за проблеми, свързани както с работата на МВР, така и с работата на Министерство на електронното управление – МЕУ е органът, натоварен с политиката по електронна идентификация и фактът, че не е упражнен контрол и не е наложена съвременна визия, води до риск отново да нямаме адекватна електронна идентификация. Ще ползвам тези проблеми да обърна внимание и на това, което като цяло се случва в Министерството на електронното управление. При избора на правителството написах, че смятам, че министър Йоловски ще се справи и че има моята подкрепа. Към онзи момент това беше именно така. Оттогава съм опитвал да помагам на министерството в поставените задачи в правителствената програма и по други текущи проблеми, с целия си опит и знания – включително проведохме тристранна среща с министър Стоянов за развитието електронната идентификация, по моя инициатива. За съжаление, с течение на времето, виждах все повече, че министърът на електронното управление няма необходимия фокус и нещата не вървят добре. Като започнем от абдикацията на МЕУ от електронната идентификация (илюстрирано от отговорите на МВР), от прозрачността (напр. на данните за плащанията в СЕБРА), от хибридните заплахи; минем през не докрай обмисленото съгласуване на процесите с електронните бележки и рецепти,

Електронната идентификация, както много пъти съм писал, е ключова стъпка за постигане на широко използване и развитие на електронното управление. В последната година има доста детайли и развития, включително с мое участие. За съжаление, все още няма краен резултат, затова нека разкажа какво се случва и какво да очакваме. Предисторията накратко: през 2016 г., с мое експертно участие, а подготвен и приет Закона за електронната идентификация. След това в много кратък срок (3-4 месеца) написахме и правилник за прилагане на закона, и съвместно с Информационно обслужване подготвихме техническа спецификация, по която МВР да проведе процедура за възлагане на обществена поръчка, с която да се изгради цялата софтуерна инфраструктура. МВР обяви поръчката в началото на 2017 г. и след няколко странни и фиктивни жалби я прекрати в средата годината. Точно 1 година по-късно МВР обяви „голяма“ процедура за новите лични документи, като електронната идентификация беше включена в тази процедура като отделна дейност. Това, според мен, беше грешка и всички последващи събития го показват. Процедурата беше по особен ред по Закона за обществените поръчки със секретни елементи (заради личните документи), с няколко етапа, което доведе до това изпълнител да бъде избран чак през пролетта на 2020 г. За съжаление, методиката за оценка имаше една голяма недомислица, която позволяваше с висока цена по една дейност да се субсидира друга дейност с цел получаване на по-висока оценка (при прогнозна стойност за eID от около 19 милиона, избраният участник е оферирал около 80 милиона). Отчасти поради това, а и заради големия материален интерес, решението беше обжалвано от загубилия кандидат. Обжалването мина през КЗК и Върховния административен съд, но той, вместо да вземе решение, изпрати преюдициално запитване до Съда на Европейския съюз, за да бъде изтълкувана директивата за обществени поръчки. Заради забавянето на това решение през 2021 г от ДБ зададохме въпрос на служебния министър-председател дали

Електронната идентификация е ключът към електронното управление. Без нея, използването на електронни услуги е ограничено и трудно. Именно затова, паралелно с устройствената работа (законови изменения и устройствени правилници), в Министерство на електронното управление подготвихме техническа спецификация за мобилна електронна идентификация и я качихме за обществено обсъждане. Не е практика за технически спецификации да се търси широко обществено обсъждане, но тъй като тази система е много важна, смятам, че е редно да дадем пример за прозрачност от първия ден. Още при номинирането ми за министър на електронното управление дадох това обещание и ще направя каквото е необходимо този екип продължава да дава този пример. Разчитам на професионалистите във всички области да дадат своята експертна и конструктивна обратна връзка и препоръки. Тази прозрачност ще продължи и на етапа на изпълнение (вкл. с изискването за отворен код на разработката). Резултатът от проекта ще бъде мобилно приложение (за Android и iOS), с което да се идентифицираме за ползването на всички електронни услуги, т.е. държавата да знае кой стои отсреща, когато ползва услугите. До момента това се извършва с електронен подпис, с ПИК, с ПИН и др. Тези средства няма да отпаднат веднага, но малко по малко ще бъдат замествани с електронната идентификация. След първоначалната регистрация, от гледна точка на потребителя, процесът ще бъде следния: отваря портал за електронни услуги избира „вход с eID“ и потвърждава с мобилния си телефон (или друго мобилно устройство) подава заявления за услуги, които са с предварително попълнени данни (тъй като системата вече знае кой стои отсреща) подписване на заявлението чрез повторно потвърждение с мобилния телефон Проектът предвижда първа фаза за проекетиране, тъй като трябва да бъдат взети специфични технологични решения. Например дали потвърждението с телефона да стане с т.нар. push-нотификация или чрез сканиране на QR код от екрана (съответно с deep link, в случай, че потребителят използва мобилния телефон

Национална схема за електронна идентификация още няма, по ред причини, както съм описал тук. Но в даден момент следващата или по-следващата година все ще стане – изпълнителят ще изгради нещо по заданието, ще достави и лични карти, те ще имат чип и на чипа ще се записва удостоверение за електронна идентичност. Само че когато това стане, няма автоматично да имаме лесно и удобно средство за електронна идентификация и електронното управление да тръгне по мед и масло. Това е едно от трудните неща в електронното управление – че като пуснеш поръчката, след две години не режеш лента, а хората не могат да видят ползите веднага. А в допълнение, някои грешки в изпълнението могат да значат пълен провал, а не просто нужда от закърпване. Затова тези дни се замислих и реших да обобщя нещата, с които трябва да се внимава при изпълнението, за да не получим накрая едни безполезни пластики и всичко да трябва да започне отначало. Да, има детайлно техническо задание, но проблемите по-долу не са функция само на техническата реализация. Четенето на личната карта – чипът трябва да може да бъде прочетен, иначе картата е безполезна. Би трябвало чиповете да позволяват контактен и безконтактен достъп – контактен, за използване на всички налични четци на електронни подписи тип „карта“ (които мисля са все по-малко), и безконтактен. Контактното четене е доста неудобно (макар в Естония да е било успешно благодарение на добра кампания за разпространяване на четци, сега сме в друга технологична „ера“) и поради това трябва да се обърне внимание на безконтактното като най-масовия начин за използване на картата. В Правилника за прилагане на Закона за електронната идентификация бяхме включили текстове, които да предвиждат идентификация чрез безконтактно четене на телефон, докато потребителят заявява услуга на компютър (или на телефона, разбира се). Трябва изпълнителят да реализира този процес удобно, със стандартни приложения

Електронна идентификация (по-конкретно националната схема за електронна идентификация), която е и кокошката, и яйцето на електронното управление, все още я няма. Ето кратка хронология: В края на 2016 г. е готово всичко – има закон, правилник, осигурено европейско финансиране, техническа спецификация и документация по ЗОП (Закона за обществените поръчки). Процедурата е пусната… и спряна в края на лятото на 2017 г (в следствие на няколко фалшиви обжалвания пред КЗК от фирми, чиято дейност няма нищо общо с поръчката). Август 2018 (1г по-късно) електронната идентификация е пусната като част от голямата поръчка за личните карти. Поради избора на усложнена процедура свързана с класифицирането на части от поръчката (на две стъпки – одобрение на кандидати, и след това поръчка), изпълнител е избран в края на април тази година. Към момента доколкото знам тече процедура по обжалване на решението. Очаква се до края на годината (ако обжалванията паднат) да бъде сключен договор с изпълнителя и той да започне работа Сроковете за eID по спомен са между 12 и 18 месеца, т.е. в средата или края на 2022 г. ще имаме система. Чиято спецификация е писана 6 години и половина по-рано и вече не е напълно актуална (напр. вече е достатъчно сигурно да се записва частен ключ в мобилен телефон с Android или iOS; през 2016 г. не беше). Защо е толкова важна електронната идентификация (за която съм писал доста)? Дългият отговор е в тази 40-минутна презентация от 2016г. Краткият отговор е: защото гражданите нямат налично и удобно средство да се идентифицират онлайн пред държавата. Електронните подписи, които в преходния период (удължен от „2 години“ на „докато стане“) трябва да вършат тази работа имат редица проблеми. Първо – те са средство за подписване, не за идентификация и като такива нямат възможността в реално време да предоставят актуална информация за лицето извън записаната в удостоверението.

Преди месец изнесох презентация във Велико Търново и Варна на тема „Електронна държава“. Идеята беше да разкажа какво има, какво трябва да стане съгласно заложените в закони и стратегии идеи, какво не е станало и защо. И също така – какво е електронното управление и защо е важно. Слайдовете можете да разгледате тук: В общи линии, нещата се случват по-бавно отколкото би ми се искало, а някои ключови (и отключващи) проекти – като електронната идентификация и системата за създаване на регистри – се отлагат и бавят твърде много. Основната ми теза в крайна сметка е, че електронното управление не е просто улеснение за разглезени жълтопавтници, нито е просто оптимизация на процесите в администрацията. Електронното управление е средство, чрез което държавата да стане по-прозрачна, по-некорумпирана и по-малко натрапваща се в живота на гражданите със своята бюрокрация. И не на последно място – по-ориентирана към бъдещето.

Краткият отговор е „не знам“. Индикациите от служебния кабинет са сравнително положителни – нямат намерение да спират започнатото. Но това ще е така до април. След това…зависи. Тъй като не съм писал по темата откакто не съм съветник (средата на декември), исках поне да напиша и тук докъде е стигнал процесът и как може да продължи. През ноември на OpenFest разказах (на английски) какво е било свършено, след което публикувахме отчет в по-приятен вид от „30 страници doc файл“. Накратко: Основното необходимото законодателство е прокарано – Закон за електронната идентификация, изменения в Закона за електронното управление (в т.ч. създаване на държавна агенция и изискване за отворен код), измененията в Закона за българските лични документи, с които се въвежда електронната лична карта (от 2018-та), изменения в Закона за достъп до обществена информация, с които се регламентират „отворените данни“, и изменения в Изборния кодекс, които да предполагат дистанционно електронно гласуване. Подзаконовата нормативна уредба е прокарана – Правилника за прилагане на закона за електронната идентификация, в който се уреждат всички технически специфики на процеса (не питайте как го гледаха юристите този правилник), както и изцяло нова наредба към Закона за електронно управление, с която се въвеждат изисквания към всеки софтуер, който се прави оттук нататък – например да има уеб-услуги за интеграция с други системи, да пази одитна следа на всяко действие, и т.н. Включено е и шаблонно задание, което всички администрации трябва да ползват за софтуерните си проекти – в него са включени изисквания, които досега администрациите не винаги са се сещали да искат, но без които системите не са устойчиви (справка – ОПАК. Много малка част от проектите по тази програма са „живи“ днес) Основните проекти са подготвени и предадени на Управляващия орган (който одобрява финансирането по оперативна програма) – това са проекти за надграждане на основни регистри и системи. Най-важните:

През декември парламентът прие измененията в Закона за българските лични документи, които бяхме внесли през април. Ще пробвам да внеса разяснения, с малко закъснение. Накратко, целта на измененията е да даде на всеки български гражданин средство, с което да се идентифицира електронно пред администрацията и да заявява електронни услуги, като така се реши проблема на електронното управление с „кокошката или яйцето“ – няма достатъчно електронни услуги, защото много малко хора имат как да ги ползват (квалифицираният електронен подпис беше горе-долу единственото средство досега), а малко хора имат квалифициран електронен подпис, защото няма достатъчно услуги, с които могат да го ползват. Със Закона за електронната идентификация въведохме „електронна идентичност“, което отваря вратата към търсената масовост на средство за използване на системите на електронното управление. Промяната влиза в сила от 2018-та, като ако МВР не се справи с всички процедури за обществена поръчка (включително заради политическата нестабилност), това може да бъде отложено малко. Тъй като измененията в ЗБЛД засяга личните карти – т.е. нещо, което всеки е длъжен да има, ще опитам да отговоря на най-често задаваните въпроси. В: Ще трябва ли да си сменям личната карта? О: Само ако желаете. Няма задължителна смяна. Ако изрично не поискате да си смените личната карта, то ще получите новата карта с чип след като личната ви карта изтече. В: Задължително ли получавам електронна идентичност? О: Не. Удостоверението за електронна идентичност се записва в чипа по подразбиране, но при подаване на заявлението имате възможност да се откажете. Защо избрахме този принцип на изричния отказ – за да постигнем масовост на електронното управление, трябва възможно най-много хора да разполагат със средство за сигурно електронно идентифициране пред държавни органи, дори да нямат непосредствена нужда от това. Така следваме примера на Естония, които въвеждат задължителната електронна лична карта, но започват да „жънат“ плодовете от нея досега години след

Виждали сме „по филмите“ как врати се отварят само след прочитане на пръстов отпечатък или сканиране на ирис. И там изглежда сигурно и футуристично. Всъщност не е нито едното от двете. Не е футуристично, защото отдавна скенери за отпечатъци се използват за достъп в някои фирми и дори администрации, а смартфоните позволяват отключване с пръстов отпечатък, а все повече и след сканиране на ириса. Паспортите ни пък от 5-6 години съдържат пръстовите ни отпечатъци, за да може при гранична проверка, проверяващият да сравни (автоматично) нашите отпечатъци с тези, записани в паспорта, за да е сигурно, че това наистина сме ние и че паспортът е бил издаден именно на нас. А не е сигурно, защото проблемите с тези биометрични подходи за идентификация са доста. Всъщност толкова големи, че преди 10-тина години японски учен реконструира пръстов отпечатък, използвайки желирани бонбони и успява да заблуди скенери, а Брус Шнайер (известен експерт по информационна сигурност) коментира, че това е достатъчно всички доставчици на технология за идентификация с пръстови отпечатъци трябва да си събират нещата и да си ходят. Проблемите в това да използваш отпечатък или друга биометрична характеристика с в това, че не подлежат на промяна и че не са тайни. Веднъж някой да получи достъп до отпечатъка (а бази данни с отпечатъци изтичат постоянно), може да се представя навсякъде за нас. А след като смартфоните се отключват по този начин, то включително интернет банкирането ни е изложено на риск – използваме телефона си често за „2-ри фактор“ при вход в различни системи. Паспортите ни също съдържат отпечатъци, които „уж“ са защитени от безконтролно четене и само гранични терминали могат да ги четат. Това на практика обаче не е съвсем така – има доста потенциални проблеми с протоколите, стандартизирани от ICAO. (Поради тази неяснота относно сигурността на стандарта, за новите лични карти предложихме биометрични