За обществените поръчки и частните платформи

Вследствие на проверката на КФН в Auxionize, която по същество не мога да коментирам, Ивайло Пенчев каза, че до края на годината ще предостави на държавата безплатно ползване на платформата. Auxionize е платформа за поръчки с цел постигане на най-изгодна цена чрез максимално прозрачно конкуриране в предлагането. Обществените поръчки наистина са „крайъгълният камък“ на корупцията и идеята да получат възможност да ползват платформата звучи добре на пръв поглед. С отварянето на данните от Регистъра за обществени поръчки, направихме прозрачни договорите, но целият процес, включително офертите и критериите за подбор, остават трудно откриваеми. Ако целта е била реклама на Auxionize – постигната е. Ето, и аз пиша за това. Ако предложението е сериозно, имам лоша новина. За съжаление държавните институции не могат просто ей така да започнат да ползват външна платформа. Законът за обществените поръчки (ЗОП), който транспонира европейска директива, в чл. 40, предвижда: „При възлагане на обществени поръчки възложителите използват единна национална електронна уеб базирана платформа.“ Единната национална платформа все още не е готова обаче, макар да е предвидена и в закона, и в пътната карта за електронно управление. Ироничното е, че изграждането ѝ не е започнало, защото първият опит – системата на Агенцията за обществени поръчки, беше спрян в КЗК след обжалване. От беглия ми прочит на решението на КЗК съм по-скоро на страната на АОП, но това е друга тема. Та, освен ако Auxionize не кандидатства и не стане единната система за електронни обществени поръчки, ползването ѝ от държавата едва ли ще се случи. Все пак, има места, където външни платформи могат да намерят своето място. Тъй като новата система ще трябва да спазва Закона за електронното управление, тя ще има уеб интерфейси, с които външни системи ще могат да се интегрират. Така възложителите ще могат да ползват системи като Auxionize като front-end, за да изпращат обявленията си

Да разкараме понятието „постоянен адрес“

Всички имаме постоянен адрес. Това е задължително. Но какво всъщност е постоянният адрес? Чл. 93. (В сила от 1.01.2000 г.) (1) (Изм. – ДВ, бр. 39 от 2011 г., в сила от 20.05.2011 г.) Постоянен адрес е адресът в населеното място, което лицето избира да бъде вписано в регистъра на населението. Т.е. една условност – нещо, с което сме вписани в някакъв регистър. Той не е адресът, на който живеем, не е адресът, на който искаме да получаваме писма, не е нищо конкретно. Той е адрес, с който присъстваме в база данни. В днешния по-динамичен свят, в който младите хора все повече живеят под наем, а доста са и извън страната, много хора реално не живеят на постоянния си адрес. От това следват много неща – че за някои административни услуги трябва да пътуваме, че сме в избирателните списъци само по постоянен адрес (а за гласуване по настоящ трябва да подаваме заявление), което от своя страна изкривява самите избирателни списъци. Наскоро общината по настоящ адрес изпрати писмо до мен на постоянния ми адрес. Сигурно така пише в някой закон. И очевидно е абсурдно. Общо взето, за държавата, ние сме на постоянния си адрес: (5) (Нова – ДВ, бр. 96 от 2004 г., отм. – ДВ, бр. 39 от 2011 г., в сила от 20.05.2011 г., нова – ДВ, бр. 42 от 2012 г.) Постоянният адрес на гражданите е адрес за кореспонденция с органите на държавната власт и органите на местното самоуправление. (6) (Нова – ДВ, бр. 42 от 2012 г.) Постоянният адрес на гражданите служи за упражняване или ползване на права или услуги в случаите, определени в закон или друг нормативен акт. Само че в реалността сме на настоящия си адрес. И съответно от постоянния няма никакъв смисъл. Някога е имал – когато е нямало технологична възможност за обмен на

Накъде с електронното управление?

Краткият отговор е „не знам“. Индикациите от служебния кабинет са сравнително положителни – нямат намерение да спират започнатото. Но това ще е така до април. След това…зависи. Тъй като не съм писал по темата откакто не съм съветник (средата на декември), исках поне да напиша и тук докъде е стигнал процесът и как може да продължи. През ноември на OpenFest разказах (на английски) какво е било свършено, след което публикувахме отчет в по-приятен вид от „30 страници doc файл“. Накратко: Основното необходимото законодателство е прокарано – Закон за електронната идентификация, изменения в Закона за електронното управление (в т.ч. създаване на държавна агенция и изискване за отворен код), измененията в Закона за българските лични документи, с които се въвежда електронната лична карта (от 2018-та), изменения в Закона за достъп до обществена информация, с които се регламентират „отворените данни“, и изменения в Изборния кодекс, които да предполагат дистанционно електронно гласуване. Подзаконовата нормативна уредба е прокарана – Правилника за прилагане на закона за електронната идентификация, в който се уреждат всички технически специфики на процеса (не питайте как го гледаха юристите този правилник), както и изцяло нова наредба към Закона за електронно управление, с която се въвеждат изисквания към всеки софтуер, който се прави оттук нататък – например да има уеб-услуги за интеграция с други системи, да пази одитна следа на всяко действие, и т.н. Включено е и шаблонно задание, което всички администрации трябва да ползват за софтуерните си проекти – в него са включени изисквания, които досега администрациите не винаги са се сещали да искат, но без които системите не са устойчиви (справка – ОПАК. Много малка част от проектите по тази програма са „живи“ днес) Основните проекти са подготвени и предадени на Управляващия орган (който одобрява финансирането по оперативна програма) – това са проекти за надграждане на основни регистри и системи. Най-важните:

Чип в личните карти – разяснения

През декември парламентът прие измененията в Закона за българските лични документи, които бяхме внесли през април. Ще пробвам да внеса разяснения, с малко закъснение. Накратко, целта на измененията е да даде на всеки български гражданин средство, с което да се идентифицира електронно пред администрацията и да заявява електронни услуги, като така се реши проблема на електронното управление с „кокошката или яйцето“ – няма достатъчно електронни услуги, защото много малко хора имат как да ги ползват (квалифицираният електронен подпис беше горе-долу единственото средство досега), а малко хора имат квалифициран електронен подпис, защото няма достатъчно услуги, с които могат да го ползват. Със Закона за електронната идентификация въведохме „електронна идентичност“, което отваря вратата към търсената масовост на средство за използване на системите на електронното управление. Промяната влиза в сила от 2018-та, като ако МВР не се справи с всички процедури за обществена поръчка (включително заради политическата нестабилност), това може да бъде отложено малко. Тъй като измененията в ЗБЛД засяга личните карти – т.е. нещо, което всеки е длъжен да има, ще опитам да отговоря на най-често задаваните въпроси. В: Ще трябва ли да си сменям личната карта? О: Само ако желаете. Няма задължителна смяна. Ако изрично не поискате да си смените личната карта, то ще получите новата карта с чип след като личната ви карта изтече. В: Задължително ли получавам електронна идентичност? О: Не. Удостоверението за електронна идентичност се записва в чипа по подразбиране, но при подаване на заявлението имате възможност да се откажете. Защо избрахме този принцип на изричния отказ – за да постигнем масовост на електронното управление, трябва възможно най-много хора да разполагат със средство за сигурно електронно идентифициране пред държавни органи, дори да нямат непосредствена нужда от това. Така следваме примера на Естония, които въвеждат задължителната електронна лична карта, но започват да „жънат“ плодовете от нея досега години след

Защита на личното пространство

„Privacy“, на което дълго време търсех адекватен превод, преди да се спра на „(защита на) личното пространство“ е много важен компонент от свободата на индивида и особено интересен с оглед на информационните технологии. Като добавим терористичните заплахи и твърденията, че за да имаме повече сигурност, трябва да дадем малко от свободата си, би трябвало да е доста централна тема. Не е такава, защото е доста абстрактна, но все пак ще опитам да го разгледам от всички аспекти. Личното пространство е защитено, когато можем да изберем да не бъдем идентифицирани, правейки едно или друго нещо, онлайн или офлайн. Значи да можем да отидем на почивка, без държавата да знае. Или да се обадим по телефона на някого, без държавата да знае какво сме си говорили и дори дали сме си говорили. Да можем да посетим уебсайт и държавата да не знае, че сме го посетили. Поради ясни причини, хотелът, мобилният оператор и доставчикът на интернет ще имат тази информация, но те не трябва да могат да я предоставят на трети лица или техни служители да я разглеждат свободно. Субектите, които събират данни за нас можем да ги разделим в две групи – частни и публични. Случва се и частни субекти да предават част от събраната информация на държавата, без това да е регулирано със закон (както в случая с PRISM в САЩ, а и в доста авторитарни режими). От своя страна публичните субекти („държавата“) можем да ги разделим на „администрация“ (всички агенции, министерства, общини) и такива, които са свързани с опазването на реда (МВР, ДАНС). Правната рамка за събирането на данни за действията на гражданите е европейска – основната е регламентът за защита на личните данни, който урежда кой какви данни може да събира и как да ги обработва – да ги държи само, докато има нужда от тях, да не

Биометрична идентификация [презентация]

Виждали сме „по филмите“ как врати се отварят само след прочитане на пръстов отпечатък или сканиране на ирис. И там изглежда сигурно и футуристично. Всъщност не е нито едното от двете. Не е футуристично, защото отдавна скенери за отпечатъци се използват за достъп в някои фирми и дори администрации, а смартфоните позволяват отключване с пръстов отпечатък, а все повече и след сканиране на ириса. Паспортите ни пък от 5-6 години съдържат пръстовите ни отпечатъци, за да може при гранична проверка, проверяващият да сравни (автоматично) нашите отпечатъци с тези, записани в паспорта, за да е сигурно, че това наистина сме ние и че паспортът е бил издаден именно на нас. А не е сигурно, защото проблемите с тези биометрични подходи за идентификация са доста. Всъщност толкова големи, че преди 10-тина години японски учен реконструира пръстов отпечатък, използвайки желирани бонбони и успява да заблуди скенери, а Брус Шнайер (известен експерт по информационна сигурност) коментира, че това е достатъчно всички доставчици на технология за идентификация с пръстови отпечатъци трябва да си събират нещата и да си ходят. Проблемите в това да използваш отпечатък или друга биометрична характеристика с в това, че не подлежат на промяна и че не са тайни. Веднъж някой да получи достъп до отпечатъка (а бази данни с отпечатъци изтичат постоянно), може да се представя навсякъде за нас. А след като смартфоните се отключват по този начин, то включително интернет банкирането ни е изложено на риск – използваме телефона си често за „2-ри фактор“ при вход в различни системи. Паспортите ни също съдържат отпечатъци, които „уж“ са защитени от безконтролно четене и само гранични терминали могат да ги четат. Това на практика обаче не е съвсем така – има доста потенциални проблеми с протоколите, стандартизирани от ICAO. (Поради тази неяснота относно сигурността на стандарта, за новите лични карти предложихме биометрични

Каква е разликата между електронната идентификация и електронния подпис?

С приемането на Закона за електронната идентификация все по-често срещан въпрос (и неразбиране) е каква е разликата между електронната идентификация и електронния подпис. И двете могат да бъдат на смарткарта (карта с чип), в личната карта, на „флашка“ (USB dongle). И двете могат да участват в електронни административни услуги, а и в електронно гласуване. Та, каква е разликата? И защо ни е нужна електронна идентификация, като имаме електронен подпис, и обратно? Разликата е най-видна, когато вземем еквивалентите им във физическия свят: Идентификацията е, когато представим документ за самоличност и чрез него длъжностно лице се увери, че ние сме наистина този, за когото се представяме Подписът е, когато подпишем някой документ, с което правим волеизявление – потвърждаваме, че това, което пише в документа, е нашата воля. Двете действия са съществено различни – полагането на подпис има правни последици (стартират се процедури, текат срокове), докато идентификацията – не (в общия случай). Технологично наистина двете могат да бъдат реализирани еднакво. Съществуват различни варианти за електронна идентификация, но решението, което ще използваме за българската национална схема, ще използва X.509 сертификат, също както електронния подпис. Сходството (напр. извършване на комуникация с държавата онлайн) води до това двете теми са обект на един и същи европейски регламент (910/2014). В България регламентът се пояснява и допълва от два закона – за електронната идентификация и за електронния документ и електронния подпис (който скоро ще бъде преименуван и изменен, съгласно регламента). Сходството в технологията и опита ни с електронните административни услуги поставят въпроса – за какво ще се ползват двете? До момента електронният подпис се е ползвал с функция и на двете. Функцията на подпис е била реализирана с технологичния смисъл на „електронен подпис“ (криптиране с частен ключ, като така авторството може да бъде проверено със съответния публичен), а функцията по идентификация е била реализирана чрез записване на ЕГН-то

България вече има закон за отворения код

Преди около десет дни бяха обнародвани измененията в Закона за електронното управление. Измежду тях е и изискването всяка система, която се разработва по задание от държавата, да бъде с отворен код и да се разработва в публично хранилище на Държавна агенция „Електронно управление“. След като публикувах кратка новина по темата в Medium, тя бързо се разпространи през reddit, hacker news и slashdot и достигна до TechCrunch и TheNextWeb (както и няколко други). Защо новината се оказа толкова голяма за технологичните медии? Защото макар много държави да имат политики и правила за използване на отворен код, и макар Европейският парламент да прави на няколко пъти препоръки за използването му, за първи път при нас това влиза в закон. Съответно ентусиазмът на технологичните общности е голям. Обратно в реалността – какво на практика означава това. В детайли съм обяснил в лекцията си на OpenFest, но първото разяснение, което трябва да се направи е, че това не означава, че държавата няма да може да си купува повече софтуер със затворен код. Операционни системи, офис пакети, бази данни, счетоводни системи и всякакъв друг софтуер, за който се купуват лицензи, а не самия софтуер, ще продължи да действа по същия начин (макар че идеята за вбъдеще е да се поставят и системи с отворен код на масата, тъй като те са реална конкуренция в някои случаи, макар да нямат толкова силни отдели за продажби). Софтуерът, който се разработва по специални изисквания на държавата, обаче, ще бъде публично достъпен. Той и в момента е собственост на държавата, която пък го е платила с данъците на гражданите си, съответно те имат пълното право да го използват както намерят за добре. Плюсовете от това са няколко – по-висока прозрачност за какво се харчат пари, повече възможности външни експерти да наблюдават процеса и да дават конструктивна критика, по-ясен механизъм

Достъп до обществена информация

В края на миналата година парламентът прие промени в Закона за достъп до обществена информация. Какви обаче са тези промени и какво изобщо ни дава този закон? Достъпът до обществена информация е механизмът, по който гражданите могат да питат институциите общо взето всичко (и институциите са длъжни да им отговорят). Процедурата, особено с измененията, е особено опростена – достатъчно е просто да изпратите въпрос и да посочите как да получите отговора. Програма „Достъп до информация“ има практична информация по темата. В момента трябва да намерите институцията, до която се отнася въпроса, нейния email или пощенски адрес, и да изпратите заявлението. А TEDxBG презентацията на Росен Босев обобщава защо този механизъм е полезен и важен. И как той може да се ползва не само за получаване на информация, но и за „сръчкване“ на институциите да си свършат работата: Аз, например, съм използвал този механизъм за да питам държавата всевъзможни неща – от документация за проекти за електронно управление (преди да стана съветник), през информация за честотата на полагане на пътна маркировка и данни за нарушения при паркиране, до данни за изпълнението за стратегията за подобряване на атмосферния въздух в София. Какво точно се променя с новия ЗДОИ можете да видите в детайли на 3-та страница от мотивите към законопроекта. Но двете неща, върху които ще се фокусирам, са портала за отворени данни и платформата за достъп до обществена информация. Порталът за отворени данни съществуваше и преди да бъде регулиран със закон, (даже ни прати на 16-то място в света по отворени данни) но с измененията вече „няма мърдане“. Администрациите са задължени да приоритизират данни и да ги качват в портала периодично. В портала има масиви от данни в машинно-четим вид, които могат да се ползват за анализи, за визуализации, за приложения. В момента там има данни за обществени поръчки, плащания (СЕБРА),

Една година съветник

Тази публикация ще представлява нещо като отчет с елементи на разсъждение, за това, което съм направил за една година като съветник за електронно управление към кабинета на вицепремиера Румяна Бъчварова (макар и на половин щат). За съжаление, то е по-малко отколкото ми иска. „Накратко“: Закон за електронната идентификация – участвах в изпипването на закона от технологична гледна точка – какво да позволим и да забраним в закона, така че да не си затворим вратата за добра техническа реализация. Законът е приет и обнародван, в момента пишем правилник за прилагане, който скоро ще бъде на обществено обсъждане – там има доста технически детайли вече. Когато и правилникът е готов, ще може да се реализира проекта, чрез който ще може гражданите да се идентифицират електронно по сигурен начин. Общо взето това ще бъде „login в държавни сайтове“. Ще могат да се правят справки и да се ползват някои услуги. Важното е, че това ще отключи електронното управление. Всички, с които съм говорил (например естонци) твърдят, че именно електронната идентификация (в личната им карта) е основната причина за това, което е електронното им управление в момента. Склонен съм да им вярвам. ЗИД (закон за изменение и допълнение) на закона за електронното управление – с две думи, създава се държавна агенция „Електронно управление“, която да координира електронното управление. В момента нещата се правят на парче и са с ниско качество, като резултат от липсата на експертиза. Опитваме се да създадем място (заедно с държавното предприятие) където да бъде концентрирана такава. Дали ще стане – ще видим. Но тази структура – държавна агенция – работи в други държави (например, познахте, в Естония). Със закона въвеждаме и изисквания към системите, вкл. отворен код. Адресираме и някои проблеми, които досега са спъвали въвеждането на устойчиви и добри системи. Участието ми е в разписването на някои детайли в