НАП, ПИК и електронната идентификация

НАП (Национална Агенция за Приходите) активно въвежда използването на ПИК (персонален идентификационен код) за своите електронни услуги. Т.е. ако искаме да подадем данъчна декларация онлайн или да направим онлайн справка за внесените от работодателя ни осигуровки, ни е нужен ПИК. Всъщност, към момента ПИК се ползва само за справки, а за подаване на декларация трябва електронен подпис, но това е на път да се промени – НАП има желание да разшири използването на ПИК. За съжаление, ПИК-ът е едно недоразумение. Да започнем стъпка по стъпка. Как получавате ПИК? Отивате в офис на НАП, където служител ви го дава, разпечатан на лист А4, след като проверява самоличността ви. В работно време, разбира се. Т.е. в добрия случай ви отнема обедната почивка. В лошия случай, постоянният ви адрес е в друг град, защото, да кажем, живеете под наем в София, а НАП не издава ПИК по настоящ адрес. Само по постоянен. Защо – остава мистерия. Отговорът им на мое запитване беше, че е от съображения за сигурност – ако бъде издаван в друг офис от този по постоянен адрес, това щяло да значи, че повече служители на НАП ще видят кода. Това дали 1 или 5 служителя ще го видят не прави кода по-малко компрометиран, но дори да е така, то при една обмислена система кодът просто би бил издаван на гишето, използвайки централизирана система. Но явно „обмислена“ не е подходящо прилагателно. Така, в крайна сметка, получаването на ПИК може да ви струва и цял ден път до офис на НАП по постоянен адрес. За да може да правите електронни справки. Чудесно! Но да оставим ползваемостта настрана и да поговорим за сигурността. Дори само един служител да види кода ви, това вече е лошо. Но може би по-лошо е това, че е хвърчащ лист А4, който всеки, който ви дойде на гости,

Continue reading

Предложение за архитектура на електронното правителство

От една страна, имам добра представа за това какво трябва да се направи от технологична гледна точка, за да станат процесите в държавната администрацията безхартиени (както казва естонският премиер – в естонската администрация хартия се ползва само в тоалетната). От друга страна съм напълно наясно, че проблемите в дигитализирането на администрацията (и „правителството“) са само 10% технологични, и 90% социални, правни и административни. И въпреки че имам представа от правната рамка и от административните процеси, не съм експерт и няма да коментирам тази част. Но пък съм софтуерен инженер, и поради това си позволих да напиша предложение за архитектура, решаваща 10-те процента от проблема с електронното правителство. Защо цяла архитектура, при положение, че преди 5 години писах, че съществуват прилични основи? Защото с тях все още нищо не се случва, а дори да са надградени, до широката публика информация за това не е достигнала (освен някоя и друга „отрязана лентичка“), въпреки интереса ни да се ровим из правителствени сайтове. Целта на архитектурата е да направи комуникацията между различни администрации автоматична, така че никой да не се налага да праща хартиена поща, съдържаща формални заявления с двуседмичен срок, само за да получи проста информация за някой гражданин. В един имагинерен пример, ако ви наемат на работа, компания трябва да уведоми приходната агенция, която на свой ред трябва да провери дали не сте съден, дали сте физически здрав за работата и дали нямате задължения към държавата (напр. като управител на фалирала фирма). В най-лошия случай тази информация ще бъде поискана от работника, който ще трябва да отиде до съда, до личния лекар и до търговския регистър, за да си извади съответните удостоверения, които да предостави. В малко по-добрия случай, приходната агенция ще изпрати хартиени писма до трите други администрации, искайки съответната информация за вас. А в най-добрия случай, софтуерът в агенцията автоматично

Continue reading

Отворен код в държавата

Софтуерът на държавата е…зле (извинете обикновената дума). Толкова зле, че немалка част от него на практика не върши работа. Толкова зле, че вместо случайно да разпределя дела, дава възможност съдиите за всяко дело да се избират от жена с парола 111111. Сайтовете са с дизайн и ползваемост от миналото хилядолетие, порталите са със сигурност на курсов проект и всеки може да извлече от там лични данни, а вътрешните системи често не вършат работа и се изоставят. Защо е толкова зле? По много причини. Но една от основните е, че целият този софтуер е черна кутия. Платено е с „нашите пари“, а след това ние нямаме думата дали ни харесва резултатът. Ето защо се появи иницитивата на Общество.бг за отворен код. И ето защо говорих на OpenFest именно за това – как се прави софтуер в държавата, и как може да се прави по прозрачен и ефективен начин – като цялата разработка е отворена. Ето видео на презентацията (с малко изрязване на 2 точки от слайд поради технически дефект). Ето и слайдовете. (Но колкото и да ни харесва идеята, само с едно „супер“ няма да се реализира. Трябва да „тормозим“ администрацията и политиците с това наше желание)

Continue reading

Държавен CIO

Електронното управление в България не върви. То крета, и за съжаление не в права посока, а някъде встрани. И проблемите изобщо не са технологични (технологичните са около 10% може би). Останалите са „правно-административни“. Общата картина е хаос, в който дори някой да се е ориентирал, няма правото да направи нищо. В този абзац ще опитам да опиша част от хаоса. Има среда за обмен на документи. Но има и среда за комуникация между регистри. Не могат ли регистрите да си комуникират през 1-вата, или пък информационните системи на администрациите през втората? Може би да, може би не. Има системи за документооборот. Някои от тях са вързани с една от горните системи, други не са. Има електронни услуги, които или са публичен интерфейс на документооборотните системи, или са разработени отделно, с включен документооборотен модул, или са просто отбиване на номера. В някои общини има по няколко информационни системи с почти припокриващи се функции, поръчани или от различни ръководства, или дори от някоя (някои) централна администрация. Не само, че има толкова разнородни и несъвместими системи, ами никоя от тях не дошла с промяна на процесите. Те просто описват в дигитален вид хартиения процес. Информацията може да я има в база данни, но 4-те стъпки, в които някой служител извлича информацията и я прилага като документ, остават. Много от тези процедури са в нарушение на закони и дори на вътрешни разпоредби. Защото законите се осъвременяват, но процедурите – не. Защото никой не знае, че някой си закон се е сменил. Освен това, почти никой главен секретар на „учреждение“ няма техническите познания и „визията“ за да дигитализира своята администрация. И така нататък, и така нататък. Чудесно, имаме сериозни проблеми в администрацията, хаос, липса на координация, и нищо не работи. Какво правим? Решението, както се сещате, не е техническо. Дори да направим (или да вземем)

Continue reading

Кръгла маса на тема „Електронно гласуване“

Днес участвах на кръгла маса на тема „Електронно гласуване“, по покана на г-жа Гергана Паси, Дигиталната Национална Коалиция и Информационно Обслужване. Участвах като представител на Общество.бг, и ето и краткият ми „доклад“, който ще напиша и тук, с някои уточнения. Имаше представители на МВР, МВнР, МТИТС, БАИТ, БАСКОМ, ИО, Scytl (испанска компания, занимаваща с електронно гласуване) и други. Ето и репортажът на БНТ. Дискусията вървеше в няколко направления, като заключенията са следните: няма технологична пречка пред реализирането на електронно гласуване на всички са ясни ползите от електронно гласуване – спестяват пари и време, увеличават избирателната активност, позволяват на българите в чужбина да упражнят гласа си от МВР изразиха неувереност, че електронното гласуване ще реши проблемите с купения и контролиран вот, но достатъчно хора се обединиха около позицията, че то няма за цел да решава този проблем, няма и да го влоши. Николай Недялков изтъкна дори механизми, по които може да го облекчи В МВР се притесняват, че електронното гласуване ще отвори врата за киберпрестъпления; теза, която остана неаргументирана в моите очи проф.Емилия Друмева, бивш конституционен съдия и настоящ съветник на премиера сподели, че няма конституционна пречка пред електронното гласуване. Отхвърлянето на кодекса „Фидосова“ не означава принципно отхвърляне на електронното гласуване. Нужно е просто то да бъде вписано правилно в кодекса. Най-важното, около което имаше и най-много дискусии, беше „чипът“ в личната карта – т.е. дали да има електронна идентификация в документа за самоличност (моя любима тема). По темата се изказаха от МВР, като тезата им беше, че има „много плюсове и много минуси, и се търси правилното решение“. От Борика-Банксервиз щрихираха тяхното решение, разработено съвместно с МТИТС eID, базирано на австрийския опит. То може и да е подходящо (ако поддържа anonymous credentials, които позволяват гарантирането на тайната на вота, и едновременно с това – чрез linkable credentials – гласът на

Continue reading

Новият egov.bg – за черните кутии и отвореността

Предполагам, че само най-заинтересованите в сферата на електронното управление граждани изобщо са чували, че имаме нов портал egov.bg. От около една година. Не говоря за ползване – надали някой го е използвал, но има. Това е поне третият портал (аз помня визуално още два). Първият беше информационен портал, към страниците на който нямаше как да вземеш директен линк. Не че технологията, която бяха избрали (JSF) не го позволяваше, просто или не бяха успели да се оправят, или никой не беше преценил за какво всъщност би се използвал този сайт. Следващият беше грозен, почти толкова безполезен, и със аматьорска дупка в сигурността. Опитах да кажа за тази дупка на администрацията (МТИТС), оптитите ми продължиха над година, но те или не разбраха, че я има, или нямаше какво да направят. За щастие, и този портал вече е в историята. Новият портал беше излязъл с призив за обратна връзка миналия септември. И аз, като съвестен гражданин, дадох такава. Положителното е, че най-очевидните бъгове бяха оправени. Отрицателното е, че нищо друго не е оправено. А това е просто един портал, който няма друга функционалност, освен да събере линкове към електронни услуги на администрации (всяка, разбира се, си ги хоства на свой сървър, и разбира се, със самоподписан сертификат, който вади екран с предупреждение в браузъра) Нямам за цел просто да наплюя поредната неуспешна държавна поръчка за софтуер, но ето кратък списък от проблеми: акаунтите от предишния портал не са мигрирани – който е имал регистрация там, да се регистрира пак. Все още няма достъп с универсален електронен подпис, който е законно средство за идентификация. Има достъп с е-ИД, което наистина е хубава технология, само дето никой не я ползва. Сайтът изобщо не е оптимизиран за мобилни устройства. URL-ите са излишно грозни и безполезни, а и отново не е помислено, че някой може да иска

Continue reading

До премиера Орешарски, за електронното правителство

Г-н премиер, Искам да ви попитам дали наистина сте казали, че е рано за електронно правителство в България, или просто медиите са изкривили думите ви. Не вярвам да сте го мислили наистина – спомням си как при съставянето на кабинета в една пресконференция говорихте малко и за електронно правителство, и тогава изглеждаше, че някакви стъпки ще бъдат направени. А това премиер да си променя мнението на всеки три месеца не ни се е случвало, нали… А защо имаме нужда от електронно правителство. И не просто нужда, а крещяща нужда? Не само защото сме предпоследни в ЕС според индекса на ООН.. Не само защото позицията ни се влошава спрямо останалите страни. А защото колкото по-дигитализирана е администрацията, толкова по-ефективна е тя, толкова по-полезна е за биснеса и гражданите, и толкова по-малко корупция допуска. А по корупция сме първи в ЕС. Повечето бизнеси вече имат информационни системи. Дори магазините и заведенията масово използват информационните технологии. Само държавата още се движи на хартия, където е много по-лесно нещо да се загуби, нещо да се прикрие и да се „размотава“. Смятате, че ще струва прекалено скъпо. Първо, това е необходима инвестиция. Инвестицията в информационни технологии вече не е въпрос на избор. Всеки директор на голяма компания ще ви го каже. И второ, ще бъде скъпо само ако търговете се провеждат както досега, и както повечето търгове в държавата – не с цел да се свърши работа, а с цел да се приберат „едни пари“ от „наши хора“. Работил съм като технически експерт по такива проекти, знам как стоят нещата. Надявам се и вие знаете (иначе погледнете последния абзац). Няма как да не спомена Естония. Страна с история, подобна на нашата – бивша съветска република (ние за щастие не сме успели да станем такава), с преход към демокрация. Днес Естония е инкубатор за високотехнологични компании,

Continue reading

Какъв проблем със сигурността имаше egov.bg

От няколко месеца egov.bg е (отново) подновен. Това е трето правене от нулата, доколкото ми е известно. Но за това друг път. Тъй като вече старата версия не функционира, проблемът, който ще опиша, няма да засегне никого. А именно – всички документи в целия портал бяха достъпни за всеки. Документите съдържат лични данни – ЕГН-та, номера на лична карта, адреси, телефони. И бяха достъпни за сваляне от всеки „хакер“, който не е умствено изостанал. Един абзац и за техническото описание. Всяко заявление за услуга е документ в системата. Гражданите имаха възможност да свалят на компютъра си XML-оригиналът на документа (системата работеше вътрешно с обмен на XML документи). Това ставаше, като с javascript браузърът беше насочен към нещо от сорта на /document?eDocId=XXX, където XXX беше… Base64-encoded пореден номер на документа. Само че не се правеше проверка дали текущо-логнатият потребител е собственик на даден документ, съответно всеки потребител можеше да изтегли всеки документ, стига да може да чете javascript и да знае какво е Base64. А изтеглянето на всички документи е улеснено от факта, че номерата им са последователни. Като цяло – безкрайно лаическа грешка, която дава достъп до личните данни на всички, ползващи портала. За щастие не много хора го ползваха, защото почти нямаше електронни услуги. Тук може би трябва да отбележа, че аз не разполагам с никакви чужди документи. Експериментирах с мой документ (но без да съм логнат), а дори да съм правел експерименти с други документи, е било само за да проверя хипотезата за поредността на номерата на документите. (Т.е. не съм нарушил никакви закони) И като един white-hat-wanna-be („добри хакери“, които помагат за решаването на проблемите, вместо да ги използват за собствена облага) докладвах за проблема. На всички възможни email-и на портала и на дирекцията към министерство на транспорта, която се занимаваше с електронното правителство. 1-во нямах отговор.

Continue reading

alerts.obshtestvo.bg

В едно общество всеки е отговорен (с действието или бездействието си) за проблемите. Съответно всеки е длъжен да прави нещо за решаването им. Някои хора са склонни да отделят повече от личното си време за подобряване на процесите в обществото. Такива хора участваме в групата obshtestvo.bg, където правим софтуерни проекти с цел „да развием гражданска активност и да намалим несправедливостите в България чрез модерни, технологични подходи“ Моят първи принос е проектът alerts.obshtestvo.bg. (с отворен код; благодарности на Владо за помощта; технически подробности) Системата събира документи от държавни институции (засега събира законопроекти, държавен вестник и обществени поръчки). След това потребителите получават известия (по email) ако са се появили нови документи, отговарящи на предварително зададени от тях критерии. Например аз се интересувам от електронно правителство. Създавам си „известие“ с ключови думи „електронно правителство“, и всеки път, когато има законопроект или обществена поръчка за електронното правителство, аз ще разбирам. Каква е ползата от това? Гражданският контрол. Всеки експерт в някаква област ще може да следи какво прави държавата по този въпрос, при това без да отделя почти никакво време да „рови“ и следи какво излиза. И какво като разбере? Ако има нещо нередно, ще пита институциите. Ще повдигне въпросът в социалните мрежи. Ще алармира медиите. Да, някои ще кажат „така не се решават проблемите“. Но промяната идва стъпка по стъпка, и ако критична маса хора са достатъчно критични, проблемите ще намаляват. Гражданските ни задължения не се изчерпват с гласуването на избори. Не се изчерпват и с протести. Нужно е да посочваме проблемите около нас, да „атакуваме“ ненормалното. Надявам се услугата да е полезна и използвана. В момента проектът е в начален етап, сървърът е малък (и има опасност да не му стигат ресурси), функционалността е базова. Така че очаквам предложения за подобрения.

Continue reading

За техническите решения и технически неграмотните хора

Въпросът е обширен и съществува от дълго време. Защо става така, че решения на предимно технически проблеми се вземат от хора без съответната компетентност. Под „технически“ визирам по-скоро експертни, с уклон към информационните технологии, където имам повече наблюдения. Стандартният пример, за който всеки програмист се сеща е: Идва шефът и казва „това трябва да стане така“, въпреки че това „така“ е технически грешно, невъзможно или глупаво. Същото важи за други експертни сфери. Прието е, че мениджърът, или човекът, който взема решенията, не е компетентен в дадена сфера. Той е предимно координатор на хора и ресурси и за това не са му нужни технически умения. Като координатор се очаква, че той има най-много информация за ситуацията, и затова трябва да може да вземе най-балансирано решение. Но това е така само в случаите, в които решението не се налага да разчита на материя, която координаторът не е успял да разбере. А „high-level understanding“ не се брои, защото „дяволът е в детайлите“. Точно поради погрешното схващане, че технически неграмотни хора трябва да вземат решения от техническо естество, се раждат законопроекти като ACTA, SOPA и подобни. Да, предпоставка за тях са лобитата и подкупите, но те не са всичко. Тези мерки целят да оперират върху едно строго техническо поле – интернет. Там важат купища правила, протоколи и технологии, които усложняват решението на проблема, с който наивните законодатели са се захванали. Например за създателите на SOPA домейн името беше равносилно на самия уебсайт, а то е просто един негов псевдоним. За създателите и на двата закона пък убягваха концепциите на p2p технологиите. Те се опитваха да решат проблема с авторското право с повърхностни технологични познания, което очевидно няма как да работи. Основният им фокус беше върху правната и бизнес страната на нещата, поради което и решенията бяха отхвърлени. И една от причините те да бъдат

Continue reading