БЛОГодаря

Проблемите на НСИ са сложни и многопластови и не могат да се обяснят просто с посочване на някого с пръст. Трябва, обаче, да търсят дългосрочни решения, а не оправдания. Струва ми се, обаче, в ИТ общността си представя нещата малко по-просто, отколкото са. Това не е „един уебсайт“, на който просто трябва да сложиш достатъчно хардуер, за да работи. Ето няколко публично известни факта, които да помогнат интерпретацията: НСИ е направил поръчка за готова система за преброяване, а не за разработка на такава. Като цяло разумно решение. Местният партньор на шведската фирма „производител“ е СкейлФокус, които е трябвало да направят инсталация, конфигурация и поддръжка. Много често компании предпочитат да имат местни партньори, при които отива процент от продажбата, т.нар. two tier (или понякога three tier) distribution model. Цената е за лиценз, инсталация и конфигурация и като цяло не изглежда скандална. Функционалностите са доста повече от онлайн форми (на който му е интересно, техническото задание, предложението и договорът са на сайта на НСИ) DDoS атаката е сериозна – ако наистина 250 гигабита в секунда са се „изсипали“ срещу системата, то на чисто софтуерно ниво няма какво да се направи – „тръбата“ се запушва, дори приложението да може да обработи данните. Засега няма причина да смятаме, че тази информация е грешна, най-много да е малко преувеличена, но дори да е наполовина, пак е значителна. Не съм съгласен, че „какво толкова сложно има да се защити една система“ – това не е софтуерен проблем, а мрежови. И няма прости и евтини решения. НСИ не са били подготвени за такава атака, а е трябвало. Ползването на CloudFlare е недостатъчна мярка за критичността и репутационните щети. Обикновено проблемът с CloudFlare е не самият CloudFlare, а това, че по други данни (исторически и настоящи DNS записи и просто логическо мислене) може да се прескочи CloudFlare. Тук

Напоследък срещам доста фриволни тълкувания на думи като „мнозинство“, „постове“, „отговорност“ и др. И ми се ще да изясня значенията на тези думи, защото в семантиката понякога се крият важни отговори. Парламентарна подкрепа за управление е гласовете, чрез които минават всички важни промени. Гласовете, с които минава бюджетът, с които минават реформи в съдебната система, и почти всяко нещо. Когато решите да оправите някоя система (напр. здравната или социалната) се сблъсквате с нуждата да се променят закони. И достатъчно големи лобита, които са доволни от настоящата ситуация. За да управлявате (вместо просто да стоите в едни кабинети по министерства и да ходите със служебната кола до Министерски съвет всяка сряда), ви трябва увереност, че ще можете да прокарате тези изменения. Затова за едно управление е важно да има парламентарна подкрепа. Коалиция е формулата, по която се осигурява тази подкрепа. Няколко партии се разбират предварително, че за определени въпроси (приоритети) ще гласуват заедно. Няма по всички теми да гласуват заедно, но по много на брой важни неща – ще. Коалиция не значи, че ще се делят министри (по формула 3-5-8 или каквото е съотношението), не значи, че на някой му се полагат или дължат постове. Разбирателството кои реформи ще се подкрепят заедно се оформя често като коалиционно споразумение. В него може да има формула и за министри и заместник-министри, а може и да няма. Заради Тройната коалиция думата „коалиция“ стана мръсна, но тя е просто един политически инструмент. Плаващите мнозинства са начин на прокарване на законодателни промени без ясна структура и ангажименти. За бюджета се разбираш да гласуваш с тези, за реформата на съдебната власт – с онези, за пенсионната реформа – с третите, а за електронното управление – с другите. Това е рецепта за пазарлъци. „ти на мене (тоя закон), аз на тебе (тоя закон)“. Или тая комисия. Или „за

От около година подписвам електронни документи през демонстрационното приложение на Европейската комисия за електронно подписване (DSS, open source проект, доста читав). Защото Adobe Reader се счупи и не мога да го оправя. Т.е. не мога да подписвам PDF-и освен с DSS + NexU. Търговския регистър и услугите на НАП ползвам през Хром, защото под Firefox (който е основния ми браузър) драйверите нещо не тръгват. Ако обаче объркам с кой от двата сертификата да вляза, трябва да рестартирам браузъра (личния или фирмения сертификат, който по принцип не трябва да съществува, ама защото държавата и общините не познават нормативната уредба, съществува). За НАП трябва да пускам приложението за подписване през конзолата, защото имам доста Джави на компютъра, а то не тръгва с по-новите. Проблемът с ползваемостта на електронните подписи е сериозен и за него не са виновни само институциите и фирмите, правили софтуера им, а и производителите на смарткарти, и стандартизиращите организации. И сигурно пропускам някого. За съжаление сигурността на хардуерния носител се сблъсква с десетките проблеми на неговото удобство, което пречи на масовата му употреба. Затова трябва да преминем, поне за физическите лица, към други начини на заявяване на услуги – чрез удостоверенията за електронна идентичност, които могат да се използват и като средства за създаване на усъвършенствани електронни подписи. А квалифицираните електронни подписи ще стават все повече облачни, с ключове споделени между HSM-и и сигурни модули в телефоните. А смарткартите, колкото и да са хубави на теория, ще трябва да залязат. И за това ще са виновни основно производителите им. В личните карти пък ще трябва да има рядко използван чип, който да можем да използваме чрез NFC, за да „вържем“ телефона си с електронната ни идентичност.

Финалните резултати още не са обявени, но по всичко изглежда, че малко не ми достига за влизане в Народното събрание. По-точно – 194 гласа. Това може и да е разочароващо, но далеч не толкова, че да ме демотивира дори минимално. Винаги съм казвал, че отвън мога да върша много работа, за която дори „вътре“ няма да ми остава време от процедури и прожектори. Все пак е минус, че няма да имам възможност отвътре да убеждавам и обяснявам, да изграждам консенсус по темата „модернизация“. Благодаря на всички 2614 души, които гласуваха лично за мен. Това е значителна и изключително задължаваща подкрепа и стимул за работа, без значение дали достъпът ми до Народното събрание ще бъде с депутатска карта или с карта на експерт към парламентарната група, както го правих и в предходния парламент. Депутатството е само инструмент, а не титла или награда. Благодаря на Демократична България и особено на доброволците на Да, България от 24-ти МИР. За съжаление, с оглед на създалата се вчера политическа обстановка, смятам, че в Народното събрание няма да има добра среда за бърза модернизация на публичния сектор. Дано все пак това се промени към по-добро в следващите седмици. Още веднъж – благодаря за цялата подкрепа и доверие. Ще ги приведа в действие и резултат.

Днес бях на среща с представител на ЦИК, Държавна агенция „Електронно управление“, БИС и БИМ относно процеса по удостоверяването на съответсвието на машините за гласуване с изисквания на Изборния кодекс и техническата спецификация. Форматът беше презентации от трите институции, участващи в удостоверяването, последвано от въпроси от експертите (четиримма, в това число аз, от участниците в изборите и един от международен наблюдател). Аз зададох петнайсетина въпроса, като ще ги опиша тук, заедно с отговорите, които получих. Предупреждавам, че са доста технически и изискват доста контекст. Важното нещо, което стана ясно, е че за тези избори ще се използва същият софтуер, като на изборите през април. Системният образ ще бъде този, направен за предните избори (проверимо с хеша му) и нов няма да се прави. Така всякакви опити да бъдат дискредитирани изборите, защото „някой пипа кодовете“, стават несъстоятелни. В: В презентацията се споменаваше, че смарткартите имат чип на Infineon – проверено ли е дали тези модели са засегнати от уязвимостта ROCA, открита преди няколко години О: Да, проверено е и няма тази уязвимост В: В презентацията се спомена, че машините имат тестови режим и реален режим. Може ли една машина, участваща в реалния изборен процес, да бъде пусната в тестови режим? О: Тестовият режим ползва различен build (системен образ) и съответно би имала различен хеш. Секционните комисии трябва да проверяват хеша и да сигнализират при несъответсвие. В: Колко време издържа мастилото върху хартията на разпечатания протокол? О: Мастилото и хартията са удостоверени, че издържат 5 години. В: Кой извършва инсталирането и персонализирането на машините в складовете? О: Доставчикът (Сиела-Норма) В: Могат ли да бъде предоставен публичен достъп до разписките, които се генерират от машинтие при инсталиране и персонализиране на машините О: Това е от компетенцията на ЦИК, които поискаха писмено да им бъдат изпратени въпроси, за да могат да отговорят по същество.

Нека да опиша няколко основни принципа, на които трябва да стъпва електронното управление. Знам, че може да звучат общо, но без да се водим от тях, няма нищо да постигнем: еднократно събиране на данни – ако държавата вече има данни за вас, няма право да ги изисква отново (нито да ги въвеждате и декларирате, нито да ги доказвате с удостоверения) оперативна съвместимост – системите трябва да говорят на „един език“, т.е. да представят по един и същи начин общи структури от данни като „адрес“, „имот“, „професия“ и др. сигурна електронна идентичност – всеки гражданин трябва да има лесен и удобен начин да се идентифицира пред държавни органи (и не само) с цел използване на електронни услуги. конфиденциалност – когато толкова много наши данни са в електронен вид, съхранявани от държавата, трябват сериозни гаранции срещу злоупотреби. За всичките ни данни трябва да има информация кой има право да ги чете и кой реално ги е чел и с каква цел. Да получаваме известия, когато някой прочете наши данни и да няма изключения от това правило (в момента системата RegiX поддържа такива лоове, но писането в тях може да бъде заобикаляно) интегритет – никой не трябва да може да подменя данни (както в момента се подменят документи с корупционна цел). Никой не трябва да може да смени кръвната група в здравното ви досие, собствеността ви, данните за фирмата ви, офертата ви в процедура по ЗОП и др. В Естония използват технология, подобна на блокчейн за целта. Нужно е и у нас да има такава криптографска защита от подмяна (хубавото е, че има достатъчно open source блокчейн решения, които можем да използваме) наличност – не трябва да има никакъв риск от загуба на данни. При срива на Търговския регистър бяхме на една крачка от това, което щеше да значи хаос. Нужно е данните

Кандидатурата ми за народен представител изисква конкретика – не просто „ще бъде хубаво като има електронно управление“, а за какви точно изменения планирам да работя. В тази публикация ще споделя десет неща, които трябва да отпаднат, за да бъде улеснен живота на гражданите и бизнеса. Удостоверенията – голяма част от обикалянето по гишета е събирането на удостоверения и бележки за данни, които администрацията има за вас. Тя е длъжна да ги събира по електронен път, служебно, но се оправдава, че не го прави, защото „нашият закон е специален“ и „нямаме техническа възможност“. Първото може да бъде коригирано в парламента, а второто – чрез внедряване на вече съществуващи инструменти в администрацията. Печатите – Демократична България вече внесе законопроект за отпадане на печатите в предното Народно събрание, ще го направи и в следващото. Никой няма да има право да ви върне, защото на нещо някъде липсва печат. „Тук не е информация“ – отношението към гражданите, че те трябва сами да си знаят всички бюрократични процедури, трябва да спре. Закон забраняващ „тук не е информация“ е комично да има, но може да има ясни правила за „дизайн на услугите“ както в дигиталната, така и във физическата среда, които да правят омразния надпис „Тук не е информация“ излишен. „Това не може по електронен път, елате на място“ – по закон всичко трябва да може да се прави по електронен път. Оправданието да не се случва е същото като по-горе, така че с редакция на редица закони да отпаднат тези оправдания. А технологични средства за приемане на електронни заявление има, вкл. електронна поща в краен случай. Разпечатването на платежни – дори електронизирани към момента услуги изисква прикачване на платежно (макар нормативната уредба, създавана с мое участие преди години, да го забранява). Чрез анализ на действащите услуги и контрол на изпълнителната власт това нормативно изискване трябва