Етикет: електронна идентификация

Електронната идентификация, както много пъти съм писал, е ключова стъпка за постигане на широко използване и развитие на електронното управление. В последната година има доста детайли и развития, включително с мое участие. За съжаление, все още няма краен резултат, затова нека разкажа какво се случва и какво да очакваме. Предисторията накратко: през 2016 г., с мое експертно участие, а подготвен и приет Закона за електронната идентификация. След това в много кратък срок (3-4 месеца) написахме и правилник за прилагане на закона, и съвместно с Информационно обслужване подготвихме техническа спецификация, по която МВР да проведе процедура за възлагане на обществена поръчка, с която да се изгради цялата софтуерна инфраструктура. МВР обяви поръчката в началото на 2017 г. и след няколко странни и фиктивни жалби я прекрати в средата годината. Точно 1 година по-късно МВР обяви „голяма“ процедура за новите лични документи, като електронната идентификация беше включена в тази процедура като отделна дейност. Това, според мен, беше грешка и всички последващи събития го показват. Процедурата беше по особен ред по Закона за обществените поръчки със секретни елементи (заради личните документи), с няколко етапа, което доведе до това изпълнител да бъде избран чак през пролетта на 2020 г. За съжаление, методиката за оценка имаше една голяма недомислица, която позволяваше с висока цена по една дейност да се субсидира друга дейност с цел получаване на по-висока оценка (при прогнозна стойност за eID от около 19 милиона, избраният участник е оферирал около 80 милиона). Отчасти поради това, а и заради големия материален интерес, решението беше обжалвано от загубилия кандидат. Обжалването мина през КЗК и Върховния административен съд, но той, вместо да вземе решение, изпрати преюдициално запитване до Съда на Европейския съюз, за да бъде изтълкувана директивата за обществени поръчки. Заради забавянето на това решение през 2021 г от ДБ зададохме въпрос на служебния министър-председател дали

Електронната идентификация е ключът към електронното управление. Без нея, използването на електронни услуги е ограничено и трудно. Именно затова, паралелно с устройствената работа (законови изменения и устройствени правилници), в Министерство на електронното управление подготвихме техническа спецификация за мобилна електронна идентификация и я качихме за обществено обсъждане. Не е практика за технически спецификации да се търси широко обществено обсъждане, но тъй като тази система е много важна, смятам, че е редно да дадем пример за прозрачност от първия ден. Още при номинирането ми за министър на електронното управление дадох това обещание и ще направя каквото е необходимо този екип продължава да дава този пример. Разчитам на професионалистите във всички области да дадат своята експертна и конструктивна обратна връзка и препоръки. Тази прозрачност ще продължи и на етапа на изпълнение (вкл. с изискването за отворен код на разработката). Резултатът от проекта ще бъде мобилно приложение (за Android и iOS), с което да се идентифицираме за ползването на всички електронни услуги, т.е. държавата да знае кой стои отсреща, когато ползва услугите. До момента това се извършва с електронен подпис, с ПИК, с ПИН и др. Тези средства няма да отпаднат веднага, но малко по малко ще бъдат замествани с електронната идентификация. След първоначалната регистрация, от гледна точка на потребителя, процесът ще бъде следния: отваря портал за електронни услуги избира „вход с eID“ и потвърждава с мобилния си телефон (или друго мобилно устройство) подава заявления за услуги, които са с предварително попълнени данни (тъй като системата вече знае кой стои отсреща) подписване на заявлението чрез повторно потвърждение с мобилния телефон Проектът предвижда първа фаза за проекетиране, тъй като трябва да бъдат взети специфични технологични решения. Например дали потвърждението с телефона да стане с т.нар. push-нотификация или чрез сканиране на QR код от екрана (съответно с deep link, в случай, че потребителят използва мобилния телефон

Национална схема за електронна идентификация още няма, по ред причини, както съм описал тук. Но в даден момент следващата или по-следващата година все ще стане – изпълнителят ще изгради нещо по заданието, ще достави и лични карти, те ще имат чип и на чипа ще се записва удостоверение за електронна идентичност. Само че когато това стане, няма автоматично да имаме лесно и удобно средство за електронна идентификация и електронното управление да тръгне по мед и масло. Това е едно от трудните неща в електронното управление – че като пуснеш поръчката, след две години не режеш лента, а хората не могат да видят ползите веднага. А в допълнение, някои грешки в изпълнението могат да значат пълен провал, а не просто нужда от закърпване. Затова тези дни се замислих и реших да обобщя нещата, с които трябва да се внимава при изпълнението, за да не получим накрая едни безполезни пластики и всичко да трябва да започне отначало. Да, има детайлно техническо задание, но проблемите по-долу не са функция само на техническата реализация. Четенето на личната карта – чипът трябва да може да бъде прочетен, иначе картата е безполезна. Би трябвало чиповете да позволяват контактен и безконтактен достъп – контактен, за използване на всички налични четци на електронни подписи тип „карта“ (които мисля са все по-малко), и безконтактен. Контактното четене е доста неудобно (макар в Естония да е било успешно благодарение на добра кампания за разпространяване на четци, сега сме в друга технологична „ера“) и поради това трябва да се обърне внимание на безконтактното като най-масовия начин за използване на картата. В Правилника за прилагане на Закона за електронната идентификация бяхме включили текстове, които да предвиждат идентификация чрез безконтактно четене на телефон, докато потребителят заявява услуга на компютър (или на телефона, разбира се). Трябва изпълнителят да реализира този процес удобно, със стандартни приложения

Електронна идентификация (по-конкретно националната схема за електронна идентификация), която е и кокошката, и яйцето на електронното управление, все още я няма. Ето кратка хронология: В края на 2016 г. е готово всичко – има закон, правилник, осигурено европейско финансиране, техническа спецификация и документация по ЗОП (Закона за обществените поръчки). Процедурата е пусната… и спряна в края на лятото на 2017 г (в следствие на няколко фалшиви обжалвания пред КЗК от фирми, чиято дейност няма нищо общо с поръчката). Август 2018 (1г по-късно) електронната идентификация е пусната като част от голямата поръчка за личните карти. Поради избора на усложнена процедура свързана с класифицирането на части от поръчката (на две стъпки – одобрение на кандидати, и след това поръчка), изпълнител е избран в края на април тази година. Към момента доколкото знам тече процедура по обжалване на решението. Очаква се до края на годината (ако обжалванията паднат) да бъде сключен договор с изпълнителя и той да започне работа Сроковете за eID по спомен са между 12 и 18 месеца, т.е. в средата или края на 2022 г. ще имаме система. Чиято спецификация е писана 6 години и половина по-рано и вече не е напълно актуална (напр. вече е достатъчно сигурно да се записва частен ключ в мобилен телефон с Android или iOS; през 2016 г. не беше). Защо е толкова важна електронната идентификация (за която съм писал доста)? Дългият отговор е в тази 40-минутна презентация от 2016г. Краткият отговор е: защото гражданите нямат налично и удобно средство да се идентифицират онлайн пред държавата. Електронните подписи, които в преходния период (удължен от „2 години“ на „докато стане“) трябва да вършат тази работа имат редица проблеми. Първо – те са средство за подписване, не за идентификация и като такива нямат възможността в реално време да предоставят актуална информация за лицето извън записаната в удостоверението.

Преди месец изнесох презентация във Велико Търново и Варна на тема „Електронна държава“. Идеята беше да разкажа какво има, какво трябва да стане съгласно заложените в закони и стратегии идеи, какво не е станало и защо. И също така – какво е електронното управление и защо е важно. Слайдовете можете да разгледате тук: В общи линии, нещата се случват по-бавно отколкото би ми се искало, а някои ключови (и отключващи) проекти – като електронната идентификация и системата за създаване на регистри – се отлагат и бавят твърде много. Основната ми теза в крайна сметка е, че електронното управление не е просто улеснение за разглезени жълтопавтници, нито е просто оптимизация на процесите в администрацията. Електронното управление е средство, чрез което държавата да стане по-прозрачна, по-некорумпирана и по-малко натрапваща се в живота на гражданите със своята бюрокрация. И не на последно място – по-ориентирана към бъдещето.

Краткият отговор е „не знам“. Индикациите от служебния кабинет са сравнително положителни – нямат намерение да спират започнатото. Но това ще е така до април. След това…зависи. Тъй като не съм писал по темата откакто не съм съветник (средата на декември), исках поне да напиша и тук докъде е стигнал процесът и как може да продължи. През ноември на OpenFest разказах (на английски) какво е било свършено, след което публикувахме отчет в по-приятен вид от „30 страници doc файл“. Накратко: Основното необходимото законодателство е прокарано – Закон за електронната идентификация, изменения в Закона за електронното управление (в т.ч. създаване на държавна агенция и изискване за отворен код), измененията в Закона за българските лични документи, с които се въвежда електронната лична карта (от 2018-та), изменения в Закона за достъп до обществена информация, с които се регламентират „отворените данни“, и изменения в Изборния кодекс, които да предполагат дистанционно електронно гласуване. Подзаконовата нормативна уредба е прокарана – Правилника за прилагане на закона за електронната идентификация, в който се уреждат всички технически специфики на процеса (не питайте как го гледаха юристите този правилник), както и изцяло нова наредба към Закона за електронно управление, с която се въвеждат изисквания към всеки софтуер, който се прави оттук нататък – например да има уеб-услуги за интеграция с други системи, да пази одитна следа на всяко действие, и т.н. Включено е и шаблонно задание, което всички администрации трябва да ползват за софтуерните си проекти – в него са включени изисквания, които досега администрациите не винаги са се сещали да искат, но без които системите не са устойчиви (справка – ОПАК. Много малка част от проектите по тази програма са „живи“ днес) Основните проекти са подготвени и предадени на Управляващия орган (който одобрява финансирането по оперативна програма) – това са проекти за надграждане на основни регистри и системи. Най-важните:

През декември парламентът прие измененията в Закона за българските лични документи, които бяхме внесли през април. Ще пробвам да внеса разяснения, с малко закъснение. Накратко, целта на измененията е да даде на всеки български гражданин средство, с което да се идентифицира електронно пред администрацията и да заявява електронни услуги, като така се реши проблема на електронното управление с „кокошката или яйцето“ – няма достатъчно електронни услуги, защото много малко хора имат как да ги ползват (квалифицираният електронен подпис беше горе-долу единственото средство досега), а малко хора имат квалифициран електронен подпис, защото няма достатъчно услуги, с които могат да го ползват. Със Закона за електронната идентификация въведохме „електронна идентичност“, което отваря вратата към търсената масовост на средство за използване на системите на електронното управление. Промяната влиза в сила от 2018-та, като ако МВР не се справи с всички процедури за обществена поръчка (включително заради политическата нестабилност), това може да бъде отложено малко. Тъй като измененията в ЗБЛД засяга личните карти – т.е. нещо, което всеки е длъжен да има, ще опитам да отговоря на най-често задаваните въпроси. В: Ще трябва ли да си сменям личната карта? О: Само ако желаете. Няма задължителна смяна. Ако изрично не поискате да си смените личната карта, то ще получите новата карта с чип след като личната ви карта изтече. В: Задължително ли получавам електронна идентичност? О: Не. Удостоверението за електронна идентичност се записва в чипа по подразбиране, но при подаване на заявлението имате възможност да се откажете. Защо избрахме този принцип на изричния отказ – за да постигнем масовост на електронното управление, трябва възможно най-много хора да разполагат със средство за сигурно електронно идентифициране пред държавни органи, дори да нямат непосредствена нужда от това. Така следваме примера на Естония, които въвеждат задължителната електронна лична карта, но започват да „жънат“ плодовете от нея досега години след

Виждали сме „по филмите“ как врати се отварят само след прочитане на пръстов отпечатък или сканиране на ирис. И там изглежда сигурно и футуристично. Всъщност не е нито едното от двете. Не е футуристично, защото отдавна скенери за отпечатъци се използват за достъп в някои фирми и дори администрации, а смартфоните позволяват отключване с пръстов отпечатък, а все повече и след сканиране на ириса. Паспортите ни пък от 5-6 години съдържат пръстовите ни отпечатъци, за да може при гранична проверка, проверяващият да сравни (автоматично) нашите отпечатъци с тези, записани в паспорта, за да е сигурно, че това наистина сме ние и че паспортът е бил издаден именно на нас. А не е сигурно, защото проблемите с тези биометрични подходи за идентификация са доста. Всъщност толкова големи, че преди 10-тина години японски учен реконструира пръстов отпечатък, използвайки желирани бонбони и успява да заблуди скенери, а Брус Шнайер (известен експерт по информационна сигурност) коментира, че това е достатъчно всички доставчици на технология за идентификация с пръстови отпечатъци трябва да си събират нещата и да си ходят. Проблемите в това да използваш отпечатък или друга биометрична характеристика с в това, че не подлежат на промяна и че не са тайни. Веднъж някой да получи достъп до отпечатъка (а бази данни с отпечатъци изтичат постоянно), може да се представя навсякъде за нас. А след като смартфоните се отключват по този начин, то включително интернет банкирането ни е изложено на риск – използваме телефона си често за „2-ри фактор“ при вход в различни системи. Паспортите ни също съдържат отпечатъци, които „уж“ са защитени от безконтролно четене и само гранични терминали могат да ги четат. Това на практика обаче не е съвсем така – има доста потенциални проблеми с протоколите, стандартизирани от ICAO. (Поради тази неяснота относно сигурността на стандарта, за новите лични карти предложихме биометрични

С приемането на Закона за електронната идентификация все по-често срещан въпрос (и неразбиране) е каква е разликата между електронната идентификация и електронния подпис. И двете могат да бъдат на смарткарта (карта с чип), в личната карта, на „флашка“ (USB dongle). И двете могат да участват в електронни административни услуги, а и в електронно гласуване. Та, каква е разликата? И защо ни е нужна електронна идентификация, като имаме електронен подпис, и обратно? Разликата е най-видна, когато вземем еквивалентите им във физическия свят: Идентификацията е, когато представим документ за самоличност и чрез него длъжностно лице се увери, че ние сме наистина този, за когото се представяме Подписът е, когато подпишем някой документ, с което правим волеизявление – потвърждаваме, че това, което пише в документа, е нашата воля. Двете действия са съществено различни – полагането на подпис има правни последици (стартират се процедури, текат срокове), докато идентификацията – не (в общия случай). Технологично наистина двете могат да бъдат реализирани еднакво. Съществуват различни варианти за електронна идентификация, но решението, което ще използваме за българската национална схема, ще използва X.509 сертификат, също както електронния подпис. Сходството (напр. извършване на комуникация с държавата онлайн) води до това двете теми са обект на един и същи европейски регламент (910/2014). В България регламентът се пояснява и допълва от два закона – за електронната идентификация и за електронния документ и електронния подпис (който скоро ще бъде преименуван и изменен, съгласно регламента). Сходството в технологията и опита ни с електронните административни услуги поставят въпроса – за какво ще се ползват двете? До момента електронният подпис се е ползвал с функция и на двете. Функцията на подпис е била реализирана с технологичния смисъл на „електронен подпис“ (криптиране с частен ключ, като така авторството може да бъде проверено със съответния публичен), а функцията по идентификация е била реализирана чрез записване на ЕГН-то

„Идентичността“ е набор от характеристики, които позволява еднозначното идентифициране на лице или разграничаването му от други лица. Това звучи просто, но всъщност има доста сложни аспекти в съвременния, свързан и глобален свят. Идентичността в днешно време се удостоверява от правителствата. Човек е никой ако правителство не е потвърдило, че той наистина е някой. Процедурите в различните държави са различни, но след като човек се роди, му се издава акт за раждане, и името му (заедно с номер понякога) се вписват в база данни (централизирана или децентрализирана). Оттам нататък човек има „идентичност“, която може след това да докаже, използвайки някакъв документ (лична карта, паспорт, шофьорска книжка, номер на социална осигуровка и т.н.). Всъщност, на български има и дума „самоличност“, която в някои контексти е синоним, а в други – идентичността е начинът трета страна да се увери в нечия самоличност (чрез сравнение дали някой документ е идентичен с характеристиките на лицето, стоящо пред него). Не че правителството притежава идентичността ни, защо ние сме много повече от една лична карта, но някои характеристики от идентичността ни се записват от правителството, които след това то сертифицира, че това сме именно ние (чрез документ и вписване в съответната база данни). Тези характеристики (или атрибути) включват имена, които пък са били използвани да идентифицират хора от хилядолетия, адрес, снимка, височина, цвят на очите. Евентуално пръстови отпечатъци и ирис, но ще засегнем биометрията малко по-надолу. Защо това има значение? С изключение на малки, изполирани племена, в които най-вероятно дори няма нужда от имена за идентифициране на хората, в т.нар. „цивилизован свят“ има нужда от разграничаване на един човек от друг по ред причини. Шофьорът способен ли е да управлява кола, пилотът способен ли е да управлява самолет – те могат да покажат сертификат, но те ли са наистина тези, които са били сертифицирани? („Хвани ме ако