Какви са проблемите на системата за преброяването?

Проблемите на НСИ са сложни и многопластови и не могат да се обяснят просто с посочване на някого с пръст. Трябва, обаче, да търсят дългосрочни решения, а не оправдания. Струва ми се, обаче, в ИТ общността си представя нещата малко по-просто, отколкото са. Това не е „един уебсайт“, на който просто трябва да сложиш достатъчно хардуер, за да работи. Ето няколко публично известни факта, които да помогнат интерпретацията: НСИ е направил поръчка за готова система за преброяване, а не за разработка на такава. Като цяло разумно решение. Местният партньор на шведската фирма „производител“ е СкейлФокус, които е трябвало да направят инсталация, конфигурация и поддръжка. Много често компании предпочитат да имат местни партньори, при които отива процент от продажбата, т.нар. two tier (или понякога three tier) distribution model. Цената е за лиценз, инсталация и конфигурация и като цяло не изглежда скандална. Функционалностите са доста повече от онлайн форми (на който му е интересно, техническото задание, предложението и договорът са на сайта на НСИ) DDoS атаката е сериозна – ако наистина 250 гигабита в секунда са се „изсипали“ срещу системата, то на чисто софтуерно ниво няма какво да се направи – „тръбата“ се запушва, дори приложението да може да обработи данните. Засега няма причина да смятаме, че тази информация е грешна, най-много да е малко преувеличена, но дори да е наполовина, пак е значителна. Не съм съгласен, че „какво толкова сложно има да се защити една система“ – това не е софтуерен проблем, а мрежови. И няма прости и евтини решения. НСИ не са били подготвени за такава атака, а е трябвало. Ползването на CloudFlare е недостатъчна мярка за критичността и репутационните щети. Обикновено проблемът с CloudFlare е не самият CloudFlare, а това, че по други данни (исторически и настоящи DNS записи и просто логическо мислене) може да се прескочи CloudFlare. Тук

Continue reading

Коалиция, плаващи мнозинства, кадруване, отговорност – изясняване на базовата политическа терминология

Напоследък срещам доста фриволни тълкувания на думи като „мнозинство“, „постове“, „отговорност“ и др. И ми се ще да изясня значенията на тези думи, защото в семантиката понякога се крият важни отговори. Парламентарна подкрепа за управление е гласовете, чрез които минават всички важни промени. Гласовете, с които минава бюджетът, с които минават реформи в съдебната система, и почти всяко нещо. Когато решите да оправите някоя система (напр. здравната или социалната) се сблъсквате с нуждата да се променят закони. И достатъчно големи лобита, които са доволни от настоящата ситуация. За да управлявате (вместо просто да стоите в едни кабинети по министерства и да ходите със служебната кола до Министерски съвет всяка сряда), ви трябва увереност, че ще можете да прокарате тези изменения. Затова за едно управление е важно да има парламентарна подкрепа. Коалиция е формулата, по която се осигурява тази подкрепа. Няколко партии се разбират предварително, че за определени въпроси (приоритети) ще гласуват заедно. Няма по всички теми да гласуват заедно, но по много на брой важни неща – ще. Коалиция не значи, че ще се делят министри (по формула 3-5-8 или каквото е съотношението), не значи, че на някой му се полагат или дължат постове. Разбирателството кои реформи ще се подкрепят заедно се оформя често като коалиционно споразумение. В него може да има формула и за министри и заместник-министри, а може и да няма. Заради Тройната коалиция думата „коалиция“ стана мръсна, но тя е просто един политически инструмент. Плаващите мнозинства са начин на прокарване на законодателни промени без ясна структура и ангажименти. За бюджета се разбираш да гласуваш с тези, за реформата на съдебната власт – с онези, за пенсионната реформа – с третите, а за електронното управление – с другите. Това е рецепта за пазарлъци. „ти на мене (тоя закон), аз на тебе (тоя закон)“. Или тая комисия. Или „за

Continue reading

Накъде с електронните подписи

От около година подписвам електронни документи през демонстрационното приложение на Европейската комисия за електронно подписване (DSS, open source проект, доста читав). Защото Adobe Reader се счупи и не мога да го оправя. Т.е. не мога да подписвам PDF-и освен с DSS + NexU. Търговския регистър и услугите на НАП ползвам през Хром, защото под Firefox (който е основния ми браузър) драйверите нещо не тръгват. Ако обаче объркам с кой от двата сертификата да вляза, трябва да рестартирам браузъра (личния или фирмения сертификат, който по принцип не трябва да съществува, ама защото държавата и общините не познават нормативната уредба, съществува). За НАП трябва да пускам приложението за подписване през конзолата, защото имам доста Джави на компютъра, а то не тръгва с по-новите. Проблемът с ползваемостта на електронните подписи е сериозен и за него не са виновни само институциите и фирмите, правили софтуера им, а и производителите на смарткарти, и стандартизиращите организации. И сигурно пропускам някого. За съжаление сигурността на хардуерния носител се сблъсква с десетките проблеми на неговото удобство, което пречи на масовата му употреба. Затова трябва да преминем, поне за физическите лица, към други начини на заявяване на услуги – чрез удостоверенията за електронна идентичност, които могат да се използват и като средства за създаване на усъвършенствани електронни подписи. А квалифицираните електронни подписи ще стават все повече облачни, с ключове споделени между HSM-и и сигурни модули в телефоните. А смарткартите, колкото и да са хубави на теория, ще трябва да залязат. И за това ще са виновни основно производителите им. В личните карти пък ще трябва да има рядко използван чип, който да можем да използваме чрез NFC, за да „вържем“ телефона си с електронната ни идентичност.

Continue reading

За скандала с Pegasus и следенето на журналисти

Тази сутрин по БНР обсъдихме шпионския софтуер Pegasus, използван за следене на журналисти и опозиционери в режими по света, в т.ч. в Унгария. Ето накратко: софтуерът влиза през отваряне на злонамерен линк или през компрометирано приложение и получава пълен достъп до телефона, благодарение на уязвимости на операционните системи оправданието винаги е „борба с тероризма“. Обаче никога няма данни за реално предотвратени атентати. само „добрите“ правителства ще имат достъп е наивен аргумент и не работи. Всяко правителство може да се изкуши, а може и от некадърност да „изпусне“ софтуера в по-лоши ръце NSO (компанията, която разработва и продава Pegasus) казват, че не знаят как клиентите им го ползват. Но някак знаят, че се ползва за борба с тероризма. Последно? наличието на обобщен списък от следени номера може да значи, че компанията всъщност знае кои са следените с нейния софтуер. Това е още по-голям проблем. имам призив към ИТ сектора: имаме лукса да отчитаме етичните аспекти на предлаганата ни работа, защото добре платена работа има много. Нека не избираме да създаваме кибероръжия. Това във връзка с факта, че NSO има българска дъщерна компания – Circles, в която (вероятно) се работи по продуктите им. много е важен демократичният (парламентарен и не само) контрол върху службите. Засега няма индикации България да е ползвала този софтуер, но следва съответната парламентарна комисия да провери имало ли е транзакции към NSO или нейни свързани дружества. трябва да се помисли за забрана на търговията с уязвимости и произтичащ от тях софтуер – от това се възползват репресивни режими и чужди служби и няма легитимна пазарна стойност. Всеки път трябва да си припомняме, че няма как да гарантираме, че само „добрите“ имат достъп до дадена технология. Както при дебатите около отслабване на криптирането, така и при използването на spyware.

Continue reading

Въпроси и отговори за следизборните сглобки

Чета коментари и анализи на следизборната обстановка и доста въпроси и обвинения към Демократична България. Ето ги накуп и техните кратки отговори. Искате ли постове? Не. И много пъти сме казвали изрично, че постове не ни интетесуват и не са условие за подкрепа. А защо искате да се консултира с вас състава на кабинета? За да има гаранции, че съставът ще отговаря на приоритетите ни и на очакванията на избирателите и да посочим навреме кои са неприемливи. Например когато лустрацията е приоритет, не може вътрешният министър да е агент на ДС. Не обявихте ли бланкетна подкрепа в предния парламент и в кампанията, защот сега поставяте условия? Никога не сме обявявали бланкетна подкрепа. Условията винаги са били 12-те ни приоритета. Обявявали сме пълна готовност за разговори, не пълна готовност за подкрепа. Христо Иванов иска ли да е министър или главен прокурор? Не. Христо Иванов е политик, а политици не трябва да са главни прокурори. Бил е министър и е подал оставка – ако целта му беше просто да е министър, щеше да си стои. Отричате ли правото на първия да състави кабинет? Не, те имат пълното право да го направят. Но ако очакват подкрепа за този кабинет, не може предложението да е „всичко или нищо“. Подкрепящите го трябва да имат уверение какво точно ще прави този кабинет, така че подкрепата да е на база на общи цели. Говорите само за ДПС, забравихте ли Борисов? Не. Но ДПС изоставя Борисов и търси нов „гостоприемник“. Борисов не трябва повече да управлява, но ние искаме смяна на Д(П)С модела, а не просто на последното му проявление. Ако нямате доказателства за връзки с ДПС, защо поставяте условия? За да гарантираме, че наистина няма да има зависимост от „златния пръст“ на ДПС. Комисиите за Росенец и ТЕЦ Варна биха били неприемливи за Доган. Защо с 34

Continue reading

Следизборно

Финалните резултати още не са обявени, но по всичко изглежда, че малко не ми достига за влизане в Народното събрание. По-точно – 194 гласа. Това може и да е разочароващо, но далеч не толкова, че да ме демотивира дори минимално. Винаги съм казвал, че отвън мога да върша много работа, за която дори „вътре“ няма да ми остава време от процедури и прожектори. Все пак е минус, че няма да имам възможност отвътре да убеждавам и обяснявам, да изграждам консенсус по темата „модернизация“. Благодаря на всички 2614 души, които гласуваха лично за мен. Това е значителна и изключително задължаваща подкрепа и стимул за работа, без значение дали достъпът ми до Народното събрание ще бъде с депутатска карта или с карта на експерт към парламентарната група, както го правих и в предходния парламент. Депутатството е само инструмент, а не титла или награда. Благодаря на Демократична България и особено на доброволците на Да, България от 24-ти МИР. За съжаление, с оглед на създалата се вчера политическа обстановка, смятам, че в Народното събрание няма да има добра среда за бърза модернизация на публичния сектор. Дано все пак това се промени към по-добро в следващите седмици. Още веднъж – благодаря за цялата подкрепа и доверие. Ще ги приведа в действие и резултат.

Continue reading

Технически въпроси и отговори относно машините за гласуване

Днес бях на среща с представител на ЦИК, Държавна агенция „Електронно управление“, БИС и БИМ относно процеса по удостоверяването на съответсвието на машините за гласуване с изисквания на Изборния кодекс и техническата спецификация. Форматът беше презентации от трите институции, участващи в удостоверяването, последвано от въпроси от експертите (четиримма, в това число аз, от участниците в изборите и един от международен наблюдател). Аз зададох петнайсетина въпроса, като ще ги опиша тук, заедно с отговорите, които получих. Предупреждавам, че са доста технически и изискват доста контекст. Важното нещо, което стана ясно, е че за тези избори ще се използва същият софтуер, като на изборите през април. Системният образ ще бъде този, направен за предните избори (проверимо с хеша му) и нов няма да се прави. Така всякакви опити да бъдат дискредитирани изборите, защото „някой пипа кодовете“, стават несъстоятелни. В: В презентацията се споменаваше, че смарткартите имат чип на Infineon – проверено ли е дали тези модели са засегнати от уязвимостта ROCA, открита преди няколко години О: Да, проверено е и няма тази уязвимост В: В презентацията се спомена, че машините имат тестови режим и реален режим. Може ли една машина, участваща в реалния изборен процес, да бъде пусната в тестови режим? О: Тестовият режим ползва различен build (системен образ) и съответно би имала различен хеш. Секционните комисии трябва да проверяват хеша и да сигнализират при несъответсвие. В: Колко време издържа мастилото върху хартията на разпечатания протокол? О: Мастилото и хартията са удостоверени, че издържат 5 години. В: Кой извършва инсталирането и персонализирането на машините в складовете? О: Доставчикът (Сиела-Норма) В: Могат ли да бъде предоставен публичен достъп до разписките, които се генерират от машинтие при инсталиране и персонализиране на машините О: Това е от компетенцията на ЦИК, които поискаха писмено да им бъдат изпратени въпроси, за да могат да отговорят по същество.

Continue reading

7 принципа на електронното управление

Нека да опиша няколко основни принципа, на които трябва да стъпва електронното управление. Знам, че може да звучат общо, но без да се водим от тях, няма нищо да постигнем: еднократно събиране на данни – ако държавата вече има данни за вас, няма право да ги изисква отново (нито да ги въвеждате и декларирате, нито да ги доказвате с удостоверения) оперативна съвместимост – системите трябва да говорят на „един език“, т.е. да представят по един и същи начин общи структури от данни като „адрес“, „имот“, „професия“ и др. сигурна електронна идентичност – всеки гражданин трябва да има лесен и удобен начин да се идентифицира пред държавни органи (и не само) с цел използване на електронни услуги. конфиденциалност – когато толкова много наши данни са в електронен вид, съхранявани от държавата, трябват сериозни гаранции срещу злоупотреби. За всичките ни данни трябва да има информация кой има право да ги чете и кой реално ги е чел и с каква цел. Да получаваме известия, когато някой прочете наши данни и да няма изключения от това правило (в момента системата RegiX поддържа такива лоове, но писането в тях може да бъде заобикаляно) интегритет – никой не трябва да може да подменя данни (както в момента се подменят документи с корупционна цел). Никой не трябва да може да смени кръвната група в здравното ви досие, собствеността ви, данните за фирмата ви, офертата ви в процедура по ЗОП и др. В Естония използват технология, подобна на блокчейн за целта. Нужно е и у нас да има такава криптографска защита от подмяна (хубавото е, че има достатъчно open source блокчейн решения, които можем да използваме) наличност – не трябва да има никакъв риск от загуба на данни. При срива на Търговския регистър бяхме на една крачка от това, което щеше да значи хаос. Нужно е данните

Continue reading

10 бюрократични пречки, за чието премахване ще работя

Кандидатурата ми за народен представител изисква конкретика – не просто „ще бъде хубаво като има електронно управление“, а за какви точно изменения планирам да работя. В тази публикация ще споделя десет неща, които трябва да отпаднат, за да бъде улеснен живота на гражданите и бизнеса. Удостоверенията – голяма част от обикалянето по гишета е събирането на удостоверения и бележки за данни, които администрацията има за вас. Тя е длъжна да ги събира по електронен път, служебно, но се оправдава, че не го прави, защото „нашият закон е специален“ и „нямаме техническа възможност“. Първото може да бъде коригирано в парламента, а второто – чрез внедряване на вече съществуващи инструменти в администрацията. Печатите – Демократична България вече внесе законопроект за отпадане на печатите в предното Народно събрание, ще го направи и в следващото. Никой няма да има право да ви върне, защото на нещо някъде липсва печат. „Тук не е информация“ – отношението към гражданите, че те трябва сами да си знаят всички бюрократични процедури, трябва да спре. Закон забраняващ „тук не е информация“ е комично да има, но може да има ясни правила за „дизайн на услугите“ както в дигиталната, така и във физическата среда, които да правят омразния надпис „Тук не е информация“ излишен. „Това не може по електронен път, елате на място“ – по закон всичко трябва да може да се прави по електронен път. Оправданието да не се случва е същото като по-горе, така че с редакция на редица закони да отпаднат тези оправдания. А технологични средства за приемане на електронни заявление има, вкл. електронна поща в краен случай. Разпечатването на платежни – дори електронизирани към момента услуги изисква прикачване на платежно (макар нормативната уредба, създавана с мое участие преди години, да го забранява). Чрез анализ на действащите услуги и контрол на изпълнителната власт това нормативно изискване трябва

Continue reading

Защо „електронно управление“ и как ще работя за него в Народното събрание

На изборите на 11 юли съм на избираемото трето място в листата на Демократична България в 24 МИР (София) и ми се ще да направя ясна заявка за какво смятам, че ще съм полезен в парламента. На предните избори мотивирах участието си в листата (макар и по-назад), но сега трябва да направя следващата стъпка – да кажа защо смятам, че ще бъда полезен в парламента. Известно е, че моята тема е „електронно управление“. За него съм писал десетки статии през годините, участвал съм в подготовката на законодателни изменения и стратегически документи, а в публикацията си „Визия за електронно бъдеще“ изреждам някои конкретни цели, но нищо от това не дава отговор на въпроса, на който трябва да бъде даден отговор в една предизборна кампания – „Защо електронно управление“? Дигиталната трансформация на публичния сектор (каквото всъщност представлява електронното управление) често се възприема като технократско клише. Оптимизация на процеси, електронизация на хартиени документи, прозрачност, ефективност и т.н. скучни думи. Иска ми се да обясня защо това не е просто клише и защо можем да имаме една дигитална мечта за България, колкото и това да звучи пресилено на пръв поглед. Електронното управление е политическо средство, а не цел. То е средство за по-високо качество на живот и за спокойствие за бъдещето. С електронното управление държавата няма да виси на врата на гражданите и бизнеса и да ги тормози с всевъзможни удостоверения, бележки, свидетелства и други хартии, които (задължително с печат!) трябва да носите от една администрация до друга, понякога в рамките на различни населени места. Тази бюрокрация убива време, но убива и мотивация и нерви. С електронното управление ще имаме по-качествено здравеопазване, с по-малко изтичащи пари по фиктивни пътеки и свръхнадценени лекарства, с по-малко лекарски грешки и пропуски (защото системата автоматично ще проверява дали например нямате алергия към изписано лекарство, която докторът не е

Continue reading