All posts by Bozho

Пет подвеждащи твърдения за машинното гласуване

2022-11-19 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3987

Тези дни се наслушах на неистини и подвеждащи твърдения за машините. Когато мога, ги опровергавам на момента (напр. в комисия или от трибуната). Но ето списък:

„никъде в Европа не се гласува с машини“ – невярно, в Белгия се гласува с машини и то със същите
„германският конституционен съд ги обяви за ненадеждни“ – първо, българският конституционен съд има значение, не германският, а той е обявил действащия кодекс за отговарящ на Конституцията. А Германският, ако прочетем решението, казва, че по принцип не изключва машинното гласуване, но в конкретния им случай е нямало разписка, с която да се провери как машината отчита подадения глас и това е било проблем.
„машините на Мадуро“ – основателите на компанията са венецуелци, а машините са ползвани във Венецуела и секционните комисии са добявяли гласове накрая на изборния ден. Това нарушение е обявено именно от Смартматик, които след това се изтеглят оттам. То не е манипулация на машината. С хартиена бюлетина става същото – пускат се бюлетини от името на негласували избиратели. Машината обаче пази информация за това кога е вкарана картата за гласуване, така че за разлика от на хартия, тук това е откриваемо нарушение. Затова ние предложихме да се публикува журналът на събитията. ГЕРБ, ДПС и БСП не го подкрепиха.
„дневникът е подправен показва манипулация“ – точно обратното, това показва, че ако има каквото и да било разминаване във флашките (дали заради дефектирала флашка или заради опит за слагане на манипулирана флашка), машината открива това и спира изборния ден. Това съобщение ни казва, че машината се пази от манипулации.
„техните машини“ – това го коментирах вчера. Министерският съвет на ГЕРБ гласува да купи машини. ЦИК в предишен състав, доминиран от ГЕРБ, БСП и ДПС и с председател от квотата на ГЕРБ ги поръча.

Съзнателното създаване на недоверие в машините не е просто дребно политиканстване. То създава недоверие в изборния процес и в резултата, съответно в излъчените управления. И е безотговорно.

Материалът Пет подвеждащи твърдения за машинното гласуване е публикуван за пръв път на БЛОГодаря.

Десет електронни законопроекта

2022-11-11 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3975

От началото на 48-мото Народното събрание от Демократична България внесохме няколко законопроекта, които са свързани с електронното управление и информационните технологии. Тук ще направя кратък списък с описание на проектите (ЗИД значи Закона за изменение и допълнение, а ЗД е закон за допълнение):

ЗИД на Закона за електронното управление – този закон го писахме с екипа ми в Министерство на електронното управление. Той урежда мерки по Плана за възстановяване и устойчивост, отпадането на удостоверенията (на които гражданите са куриери в момента) и на задължението за ползване на квалифициран електронен подпис. Въвежда пълна електронизация на регистрите, електронно връчване на актове и фишове, напомняне за изтичащи документи и др.
ЗИД на Закона за движението по пътищата. Първата цел на проекта е да направим стъпки към ограничаване на рецидивистите на пътя. С пълното разбиране, че е нужна пълна реформа на административното наказване, предлагаме две неща: от една страна, задължение за МВР да спира на пътя всички автомобили, чиито собственици имат пет или повече невръчени фиша, а от друга страна задължение за публикуване на индивидуални анонимизирани данни за всички нарушения (което бях поискал от МВР като министър). Така обществото ще следи дали МВР изпълнява задължението си. Втората цел е намаляване на административната тежест и улесняване на добросъвестните водачи. Премахване на всички стикери от предното стъкло, премахване на синия талон и въвеждане на възможност за електронно плащане на фишове, без да ходим до КАТ да ни ги връчат. Затрудняваме редовните нарушители и улесняваме мнозинството добросъвестни. И повишаваме прозрачността на работата на МВР.
ЗД на Закона за обществените поръчки – целта е да се постигне максимална прозрачност и с който да се прекратят схемите с т.нар. „инженеринг“. Въвежда се задължение за публикуване на отворени данни по международен стандарт (Open contracting data standard), публикуване на договорите, които са сключени без проведени процедури (защото са изключения по закон), публикуване на заявки по рамкови договори, както и разкриване на принадлежност към ДС на членове на органите на фирми, които печелят над половин милион от обществени поръчки.
ЗИД на Закона за корпоративното подоходно облагане – въвеждане на електронни ваучери за храна. Нещо толкова просто (на пръв поглед), което се „точи“ като тема от 2015 г, най-накрая намира законодателно изражение
ЗД на Изборния кодекс – предвиждаме достъп до кода без ограничение във времето, публичен план за провеждане на изборите, извадкови проверки и задължително публикуване на криптографска информация. Така ще се елиминират опорките за ‘пипане’ на машини, а процесът ще е по-добре планиран, предвидим и вдъхващ повече доверие.
ЗИД на Гражданския процесуален кодекс – въвежда се електронно заповедно производство, като това е инструмент за облекчаване работата на свръхнатоварените съдилища, за сметка на ненатоварените.
ЗИД на Търговския закон – освен създаване на изцяло нов вид дружество с променлив капитал, подходящ за стартиращи компании, набиращи инвестиции, предвиждаме и отпадане на спесимена на подписа при регистрация на дружество за български граждани (вместо това той да се извлича от МВР).
Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения – законопроектът предвижда цялостна уредба на защитата на лицата, подаващи сигнали (whistleblowers), но в конкретния случай на сигнали за корупция, предвиждаме полу-анонимни сигнали – предлагаме сигналите да се анонимизират в момента на подаване по електронен път, с криптографски средства, като антикорупционната комисия да не може да вижда кой е подател, но данните да могат да се деанонимизират от съда, ако е нужно завеждане на дело за вреди.
ЗИД на Закона за юридическите лица с нестопанска цел – предвижда нещо дребно, но улесняващо голям брой неправителствени организации – провеждане на заседания по електронен път на управителните им органи.
ЗД на Закона за електронната търговия – въвеждаме мерки, с които големите онлайн платформи (напр. Фейсбук) да ограничат ефектна на троловете (фалшивите акаунти, които се използват с пропагандна цел), да са по-прозрачни с това кой извършва модерацията и да позволят обжалване на некоректно блокиране на профили. Т.е. на практика увеличаваме защитата на свободата на словото с процес по извънсъдебно обжалване, като същевременно не позволяваме удавянето на свободното слово в море от пропаганда.

Има още много закони, които имат нужда от осъвременяване. Съвесем скоро ще внесем изменения в Кодекса на труда за въвеждане на електронна трудова книжка, например. Но смятам, че с тази законодателна програма, облекчаваме гражданите и бизнеса, модернизираме администрацията и правим разходването на публични средства по-прозрачно.

Материалът Десет електронни законопроекта е публикуван за пръв път на БЛОГодаря.

Ден трети от избора на председател и ролята на Демократична България

2022-10-22 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3970

За председател е избран е Вежди Рашидов, като най-възрастен народен представител. Възрастта беше единственият критерий, събрал подкрепа. От ДБ нямаше как да подкрепим Рашидов, по ред причини. На председателски съвет сондирахме възможността наша кандидатура да събере подкрепа. Отговорът беше „не“. Бяхме разумни, конструктивни и направихме възможното. Сега парламентът може да започне работа.

Но има една критика към Демократична България за изминалите три дни – че не сме издигнали наш кандидат за председател.

Общата причина за това е, че се фокусирахме върху търсене на решение на безпрецедентен проблем, а не в това да покажем колко подходящи хора имаме за председател.

След като ГЕРБ бяха неспособни да съберат мнозинство, на третия ден нещата бяха зациклили и кандидатура на ДБ може би е изглеждала като възможен изход. Затова тя беше обсъдена на засесание на парламентарната група и Христо Иванов отиде на председателски съвет, където да го предложи. ГЕРБ и БСП са били твърдо против. Т.е. подкрепа нямаше.

Паралелно с това в кулоарите разговаряхме с депутати от ПП и обсъдихме рисковете и плюсовете на наш кандидат, след което Кирил Петков влезе на председателския съвет, за да повдигнв същия въпрос. Втори път е последвал отказ от ГЕРБ и БСП. Т.е. подкрепа стабилно нямаше.

А защо нямаше подкрепа? Защото всеки избор извън този по технически критерий като възраст ще изглежда политически и ще очертае мнозинство. И щяха да последват резонни реакции от типа на „Ее, прегърнаха се“. Ако подкрепата беше само от ГЕРБ (освен от нас и ПП) – „ето я евроатлантическата коалиция“.

Ако и БСП се бяха включили, те пък трябваше да обясняват на своите избиратели защо подкрепят председател, който ще вкара точката за модернизация на армията и оръжие за Украйна и ще блокира връщането на хартиените бюлетини.

Ако въпреки ясната липса на подкрепа бяхме предложили кандидат в зала той очаквано не беше събрал подкрепа, щяхме да нарушим трайното си поведение на конструктивният субект, който в сложна ситуация не търси нищо за себе си и своя тяснопартиен интерес и не прави пиарски ходове, които усложняват ситуацията. А и щяхме да изхлеждаме нелепо.

Тезата, че ГЕРБ и БСП са щели да размислят в зала, като видят какъв хубав кандидат издигаме е наивна и игнорира три дни разговори във всякакви формати. И по-важното – игнорира реалността, че политически избор беше избгяван на всяка цена. Сега мнозинството, избрало Рашидов може да твърди, че е временно мнозинство, което просто е следвало духа на конституцията.

Грешно е да сглобяваме политически (а не технически) мнозинства в такава ситуация, а наш кандидат би довел такъв наратив – и поради това той не би събрал подкрепа.

В този смисъл, поведението на ДПС и ГЕРБ, които само при мириса на мнозинство се озлобиха и започнаха да газят правилника, е грешка – те превърнаха техническото мнозинство в политическо и колкото и да мажат сега, че с предложението за избор на технически критерий Хтисто Иванов, видиш ли, бил предложил Рашидов, грешката е налице и мнозинството им изглежда повече от техническо.

Демократична България, с 20 депутати, през цялото време беше (като каза Цветанка Ризова) перпетуум мобиле за консенсусни предложения. И поставихме работата на парламента и решаването на кризисната ситуация над партийния интерес и пиарските ходове. Защото целта на политиката не са фейсбук лайкове, а постигане на резултати.

Разбирам неудовлетворението от избора на Рашидов. Затова и от ДБ имаше 20 гласа „против“. Но сложната, фрагментирана среда произведе това. Сега предстои в същата тази среда, обогатена от тридневната сага, да опитаме да намираме решения на по-трудни въпроси.

Материалът Ден трети от избора на председател и ролята на Демократична България е публикуван за пръв път на БЛОГодаря.

Резюме на първия парламентарен ден

2022-10-20 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3961

За следящите с половин ухо парламентарните драми, нека обясня какво се случи вчера.

По Конституция на първото заседание трябва да бъде избран председател на Народното събрание. 4 партии бяха заявили, че ще издигнат кандидат – ГЕРБ (Росен Желязков), ПП (Никола Минчев), БСП (Крисриян Вигенин) и Възраждане (Петър Петров).

Процедурните правила, ползвани в предишни парламенти, бяха внесени и сега и предвиждат ако никой не събере повече от половината гласове, двамата кандидати с най-много да отидат на балотаж, и там който е събрал повече – става председател.

На балотажа Желязков събра 103 (ГЕРБ и ДПС), Минчев 97 (ПП, ДБ и БСП). Възраждане и Възход се въздържаха. Обаче Конституцията не позволява решение с по-малко от 50%+1, така че избран председател нямаше.

Трябваше да се направи втора процедура, около която имаше дебати. ГЕРБ казваха на ПП „Вие хем искате да се опозиция, хем да имате председател“, казваха на ДБ „вие защо не ни подкрепите, за да тръгне това Народно събрание, оставете ги тия ПП“.

Ние на това отговорихме, че изборът на председател е сигнал за формиране на мнозинство, а ние с ГЕРБ мнозинство няма да формираме и затова няма как да очакват подкрепа.

Изборът се повтори (на втория път ДПС издигнаха Йордан Цонев), но логично никой нямаше 121 гласа. Така се оттеглихме на почивка за вечерта, а заседанието ще продължи днес.

В ДБ се събрахме и отчетохме реалностите – мнозинство няма и съответно никой не може да има председател, ако следваме трайната политическа логика. Липсата на председател, обаче, блокира парламента. Първото засесание не може да приключи и нищо друго не може да бъде гласувано.

А тъй като дори без кабинет, НС трябва да гласува важни неща – бюджет, закони по Плана за възстановяване, в т.ч. за разследване на главния прокурор, не може просто да се саморазпуснем. А и ще излгежда несериозно и ще срине допълнително доверието в парламентарната демокрация.

Затова в този блокаж обмислихме как да действаме и предложихме ротационно председателство (такова има в Европейския парламент, а механиката как да стане това у нас няма да я обсъждам тук, но тя включва както официални решения на НС, така и разбирателство, обявено пред хората, което никой няма интерес дс наруши).

Такъв подход прескача темата за мнозинствата, каквито няма. Решава техническия въпрос, без да сме избрали председател нито от ГЕРБ, нито от ПП, макар формално един от двамата в даден момент да бъде с функцията на председател и има позитивния аспект, че най-големите партии ще са начело.

Заедно с решаване на техническия въпрос, можем да вземем решение за бързо формиране на комисии, приоритизиране на законопроекти, деприоритизиране на други (напр. че няма да се връща хартията в Изборния кодекс) и да започнем работа по това, за което са ни избрали.

Снощи ПП оттеглиха Никола Минчев, което допълнително ще покаже и затвърди това, което отвътре беше очевидно вчера – дори само Желязков да беше кандидат, ГЕРБ нямат мнозинство. На практика ще зависят от Възраждане, но те едва ли биха подкрепили нещо различно от своя кандидат.

Надявам се след това да влезем в алтернативни, „технически“ сценарии за избиране на председател, за да разблокираме парламента. Нашето предложение е един такъв вариант, но има и други. Плюсът е, че липсата на мнозинство предполага, че никой няма монопол над дневния ред.

Фрагментираният парламент изисква разговори, но не необявени договорки. Изисква компромиси, но не в нарушение на принципи. Но можеше да спестим вчерашния ден на българските граждани. ГЕРБ знаят, че нямат мнозинство и вместо да са назидателни от трибуната, можеше днешните предстоящи разговори да са се случили онзи ден, а вчера да обясним на хората, че тъй като в обичайната хипотеза не можем да изберем предсесател, за да отключим работата на парламента, предлагаме определен компромис.

Предстои ден втори от първото заседание на може би най-трудния парламент в новата ни история.

За следящите с половин ухо парламентарните драми, нека обясня какво се случи вчера.

На изказванията на ДПС, че такава била традицията – да се избира председател от най-голямата партия, отговорът е, че такава ситуация е нямало, че да има традиция. Имало е управляващо мнозинство без първия (2013) и „опозиционно мнозинство“ (2021). Но сега ме сме в нито една от тези хипотези.

Предстои ден втори от първото заседание на може би най-трудния парламент в най-новата ни история.

Материалът Резюме на първия парламентарен ден е публикуван за пръв път на БЛОГодаря.

Отговор на Тома Биков за машинното гласуване

2022-10-14 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3955

Днес Тома Биков беше в Нова, да ми отговори за машините. Вчера казах, че няма индикации за манипулация, а ГЕРБ не са дошли да анализират сорс кода в законоустановения за това момент.

Нека да ползвам „право на дуплика“ по всички твърдения на г-н Биков. Като няма да влизам в реториката „вие къде бяхте, когато…“, защото сигурно е омръзнала – ДБ и аз лично от години предлагаме мерки за подобряване на процеса, а ГЕРБ са против. Но да приемем, че вече не са.

Биков твърди, че оспорвам правото им да се съмняват. Ни най-малко. Длъжни сме да се съмняваме всички и да правим институционални действия за подобрение на процеса. Но да излезе председателя на ГЕРБ и да каже „100% машините са пипани“ не е изразяване на съмнение, а поредното безотговорно внушение.
„не сме получили покана“ – на имейлите за контакт МЕУ изпращаше покани за всяко едно събитие. Колегата от ТУ, излъчен от ГЕРБ беше на първите три, по спомен. Покана сме получили останалите две формации (ДБ и ПП), та бих препоръчал да си проверите пак имейла. Но да, не е това най-важното.
„1 час не стига“- така е. Но не беше един час. Никой не ме изгони, но прецених, че базовите сценарии, които могат да се проверят в рамките на деня, съм ги покрил. Напомням, че ние затова обжалвахме решението на ЦИК, искайки повече време. Представителите на ГЕРБ в ЦИК какво отношение взеха по жалбата? Дали са нужни два месеца – не мисля, но не вреди. Кодът е много добре покрит с автоматизирани тестове, а аз проверих всички места, които пишат по файловата система (и как се стига до тях). Затова за краткото време имам степен на увереност, че в кода „шашми“ няма.
предложенията за подобрения на Изборния кодекс ги приветствам по принцип, но в случая има риск да са „капан“, и като се отвори темата, ГЕРБ да предложат връщане на хартията. Което г-н Биков не отрече (още не били взели решение, ама предния път били за връщане). Затова нека ЦИК да предложи допълнително споразумение към договора (сключен от предния ЦИК, доминиран от ГЕРБ), с което да договори допълнителни варианти за достъп на експерти след изборния ден. Не вярвам Смартматик да откажат, то е и в техен интерес.
Има твърде много гласове „Не подкрепям никого“. Да, има. Защото това са 4-ти поредни избори и има много разочаровани хора. А и да върнем лентата към 2017 г (където активността все пак беше доста по-висока) – там също има 87 хиляди „не подкрепям никого“.
„колкото по-висок резултат има ГЕРБ, толкова повече гласове „не подкрепям никого“ има“- това е базово неразбиране на това как работи статистиката. Водещите хванаха този проблем в графиката – естествено, че колкото по-голям е избирателния район, толкова повече гласове за ГЕРБ и съответно повече гласове „не подкрепям никого“. Направихме си труда да направим реално сравнение на процентите, а не на абсолютните стойности и не – няма никаква корелация между резултата на ГЕРБ и „не подкрепям никого“ (прилагам графика)
г-н Биков твърди, че докато съм бил министър, не съм свършил нищо за прозрачността на машинното гласуване. Реалността е друга – дотолкова друга, че медии, приближени до ГЕРБ, ме обвиниха, че съм се месил на ЦИК, тъй като от МЕУ сме изпратили проект на правила за достъп до кода. Така че да решат кое е – че съм работил с ЦИК и съм изпращал документи, или че нищо не съм направил.

Да, трябва да подобрим процесите около машинното гласуване и трябва да повишим доверието. Твърдения, като тези на ГЕРБ, че „машините са пипани“, не правят това. Съмненията са задължителни, подобренията – също, но внушенията са безотговорни.

Материалът Отговор на Тома Биков за машинното гласуване е публикуван за пръв път на БЛОГодаря.

Колекция от опорки

2022-10-05 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3952

Колекционирам си опорни точки на опоненти и тролове. Ето някои от тях, които редовно изплуват, вкл. в следизборни пресконференции:

„искате просто да смените Гешев с ваш човек, това не е съдебна реформа“. Не, този опит за омаловажаване на позоцията ни се ползва отдавна, но няма общо с реалността. Да, Гешев трябва да си ходи, като олицетворение на всичко изгнило в съдебната система, но реформата е много повече – отчетност, премахване на безконтролността и възможността за чадъри (отказ от разследване). Имаме проект на изменение на Конституцията и там не пише „Гешев“.
„Подкрепихте Радев, виновни сте за избора му“ – никога нито Демократична България, нито Да, България е подкрепяла явно или тайно Радев. Имахме свой кандидат, а на балотажа нашите избиратели гласуваха по съвест, без партийни инструкции, каквито така или иначе не можем да им даваме
„коленичихте пред Радев и му палихте свещи“ – този злощастен флашмоб в близост до президентството беше иницииран от граждански активисти, които обясниха след това мотивите и те нямаха общо с Радев. При всички случаи не ми е известно някой от ДБ да е бил тази вечер там, камо ли да го е организирал.
„Демократична България вече е била е коалиция с ГЕРБ“ – полуистините (или в този случай – 1/14 истини) са типичен пропаганден инструмент. Реформаторският блок беше в коалиция с ГЕРБ. ДСБ (1 от 7 партии) излязоха в опозиция след оставката на Христо Иванов след първата година. ДСБ е 1 от 3 партии в ДБ, но Реформаторския блок се разпадна именно заради тази коалиция. А Да, България беше създадена отчасти като отговор на този разпаднал се блок, с изцяло нови лица.
„Реформата на Христо Иванов беше приета, какво повече искате“. Не, не беше, затова той подаде оставка. С типична за ГЕРБ и ДПС процедурна врътка, внесена и гласувана в последния момент от най-малкия партньор тогва – АБВ – основата на реформата беше променена, за да може главният прокурор запази влиянието си във ВСС и така да остане безконтролен.

„Опорките“ няма да спрат, но тяхното опровергаване може да ги отслаби.

Материалът Колекция от опорки е публикуван за пръв път на БЛОГодаря.

10 бюрократични пречки, чието премахване започнахме

2022-09-22 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3947

В рамките на предходна кампания публикувах списък с бюрократични пречки, за чието отпадане ще работя. Ето ревизирана версия, с прогреса, който постигнахме за седем месеца:

1. Удостоверенията – голяма част от обикалянето по гишета е събирането на удостоверения и бележки за данни, които администрацията има за вас. Тя е длъжна да ги събира по електронен път, служебно, но се оправдава, че не го прави, защото „нашият закон е специален“ и „нямаме техническа възможност“. Подготвихме и приехме на Министерски съвет изменения в Закона за електронното управление, което приравнява служебните справки на предоставено удостоверение, като по този начин елиминираме оправданието с „нашия специален закон“. На първия ден на Народното събрание този закон ще бъде внесен.

2. Печатите – Имахме готов законопроект, който дадох на работна група, която създадох. Стигнахме до извода, че за да е трайна и системна реформата, трябва изцяло нов закон, който да урежда работата с документи и печати, като по този закон вече се работи. Никой няма да има право да ви върне, защото на нещо някъде липсва печат.

3. „Тук не е информация“ – отношението към гражданите, че те трябва сами да си знаят всички бюрократични процедури, трябва да спре. Закон забраняващ „тук не е информация“ е комично да има, но може да има ясни правила за „дизайн на услугите“ както в дигиталната, така и във физическата среда, които да правят омразния надпис „Тук не е информация“ излишен. В края на мандата изготвихме проект на изменение на наредба, с която се въвежда забрана за надписи с отрицание, вкл. „Тук не е информация“. В следващ кабинет ще има време да мине обществено обсъждане и да бъде приета.

4. „Това не може по електронен път, елате на място“ – по закон всичко трябва да може да се прави по електронен път. Докато бях министър, получих редица сигнали за такива откази и ги разпределих на отговорните за контрола, които да съставят актове на нарушаващите администрации.

5. Разпечатването на платежни – дори електронизирани към момента услуги изисква прикачване на платежно (макар нормативната уредба, създавана с мое участие преди години, да го забранява). В рамките на мандата присъединихме много нови институции към системата за електронни плащания, което да елиминира тези проблеми, а заедно с МФ инструктирахме администрациите да позволят плащане и с чуждестранни карти и иновативни платежни услуги, така че онлайн плащанията да се все по-достъпни.

6. Сканираните PDF-и – всички документи се създават в електронен вид. След това, заради аналоговото мислене в администрацията, се разпечатват, подписват, подпечатват и сканират. Това ги прави (почти) невъзможни за търсене и индексиране. Отпадането на печатите ще реши и този проблем. В МЕУ сканирани документи нямаше.

7. Трудовата книжка – по-предното редовно правителство предложи смяна на дизайна на трудовата книжка. Крайно време е този документ да отпадне. Създадох работна група, която предостави пълен анализ на данните от трудовата книжка и нормативните актове, в които те са уредени и предложения за пълна електронизация.

8. Медицинския картон – единният (електронен) здравен запис, до който има всеки лекар при нужда, трябва да замени парцалите, които разнасяме по лекари (или които сме загубили много отдавна). МЗ, в сътрудничество с МЕУ и Информационно обслужване, въведе изцяло електронна рецепта, която е важна стъпка към пълнотата на здравния запис, а аз изисках от НЗОК да спазят закона, като предоставят данните си на Министерсетво на здравеопазването.

9. Подписване с електронен подпис – Java вече (почти) не е проблем, но електронните подписи са неудобни. Затова стартирахме приоритетно проекта за електронна идентификация, който ще е готов в началото на следващата година, и чрез който ще могат да се заявяват услуги без електронен подпис (след като минат и измененията в Закона за електронното управление, които подготвихме)

10. Хартиените ваучери за храна – тези ваучери са полезни, но администрирането им е ужасно бюрократично – по-големите вериги строят отделни складове за хартиените ваучери, напр. Подготвихме електронизирането им с наредба, като нужните изменения в Закона за корпоративното подоходно облагане ще ги внесем в първия ден народното събрание.

Бюрокрацията пречи на гражданите, на бизнеса и на администрацията. Нейното отпадане е трудно, защото „винаги така сме го правили“, но задължително. Ще продължим започнатото по всички тези теми.

#25

Материалът 10 бюрократични пречки, чието премахване започнахме е публикуван за пръв път на БЛОГодаря.

Пронлемите на тол системата и техните решения

2022-09-06 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3940

Вчера пътувах до Ловеч за откриване на кампанията. Пътният знак за „винетка“ и предизборният билборд на ГЕРБ с водач – бившият министър на регионалното развитие и благоустройството Николай Нанков се преплитоха в една тема – тол системата, с която проблемите са твърде много. И смятам че е важно да ги разкажа, както на избирателите в ловешкия избирателен район, така и на всички останали, които пътуваме по републиканската пътна мрежа.

Проблемите са поне четири:

Първият, който засяга гражданите пряко, е липсата на елементарни функционалности на сайта за онлайн винетки на пътната агенция (АПИ). Той не ни известява, когато ни изтече винетката. Трупат ни се глоби за едно и също нарушение, ако сме забравили да си купим нова. И за тях не получаваме известия, макар че сме си оставили имейла. Сайтът работи бавно, а понякога не работи.

За тези проблеми, като министър, изпратих писмо до АПИ още през февруари, за да добавят тези прости, но важни за гражданите функционалности. Оттам обещаха, че ще заявят към изпълнителя това да бъде реализирано. За да сме сигурни, че няма да има такива пропуски в никоя система, в проекта на Закон за електронното управление задължаваме всички администрации да уведомяват гражданите за изтичащи документи – не само за винетки, а за лични документи, разрешителни, лицензи и др.

Вторият проблем са грешките (съзнателни или от некомпетентност) при възлагането – сметната палата в свой доклад до Народното събрание установи, че възлагането на втората поръчка е станало в нарушение на Закона за обществените поръчки. Изпълнителят е избран без търг с аргумент, че никой друг не може да поддържа системата. Ако това е вярно, то първият договор не е бил изпълнен, тъй като там има изрични изисквания изходният код да бъде предоставен на АПИ. Това, обаче, не се е случило, а под ръководството на министър Нанков системата е приета, в ущърб на държавата, обвързвайки ни с Капш завинаги.

При първия договор за тол системата има и друг проблем – той е анексиран, с анекс, който не беше публикуван, заради вратичка в ЗОП, чието затваряне предложихме, но не стигна времето да бъде прието. В анекса двете страни се договарят, че от първоначалният обхват ще отпаднат дейности, като за тяхна сметка се добавят други, уж на същата стойност. Липсва обаче остойностяване на отпадналото, като е напълно възможно държавата да е била ощетена и при този анекс – отпада прокарване на оптична свързаност до ГКПП-та, както и известен брой рамки.

Третият проблем е с модела на посредниците, които прибират 7% комисионна от всяка винетка. В доклада на Световната банка, на база на който е изградена тол системата, изрично се казва, че не е целесъобразно посредници (т.нар. НДУ) да продават винетки. Въпреки това, политическото ръководство на МРРБ при ГЕРБ в лицето на министър Нанков променя този модел и посредниците не само продават винетки онлайн, а благодарение на google реклама излизат преди сайта на АПИ (а АПИ не си плаща за реклама). Съответно държавата губи милиони (по оценка на предходен служебен кабинет, около 25 милиона годишно). Самите условия за посредничество са излишно тежки, така че дори телекомите, които имат технически капацитет да изградят връзка с тол системата, минават през трета страна, като така губят част от собствената си комисионна.

На заседание на Министерски съвет веднъж взех думата и казах, че посредниците при продажба на винетки онлайн са напълно излишни и не добавят стойност. Да, пунктове за продажба като бензиностанции, интегрираните мобилни приложения на телекомите и подобни добавят удобство за гражданите и там има смисъл. Но няма никакъв смисъл от няколко сайта за винетки, освен, че едни милиони „отичат“ към частни фирми.

Четвъртият проблем е липсата на технически капацитет в тол управлението. Извън няколкото ИТ експерта, там за толкова години не е изградена достатъчен капацитет за да управлява тол системата. Пример за това е, че въпреки мое изрично писмо като министър, все още в публичния регистър на мрежите (RIPE DB), мрежата на тол управлението се води, че се управлява от единия от подизпълнителите на Капш.

ГЕРБ са направили почти всички възможни грешки при изграждането на тол системата. И правни, и технически, и организационни.

Похарчени са милиони, ежегодно изтичат милиони към посредници, гражданите не получават удобна услуга, а капацитет за нейното поддържане няма. За седемте месеца в управлението, съвместно с МРРБ и АПИ, проведохме няколко срещи, установихме в дълбочина проблемите, предложихме законодателни изменения за част от тях, и предприехме първи стъпки за това онлайн винетките да станат по-удобни за гражданите и да гарантираме устойчивост и независимост от един софтуерен доставчик.

След изборите ще продължим с решаването на тези проблеми, за да спестим главоболия на шофьорите и за да спестим милиони на бюджета.

Материалът Пронлемите на тол системата и техните решения е публикуван за пръв път на БЛОГодаря.

Електронно управление срещу корупцията

2022-09-02 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3938

„Корупцията“ звучи абстрактно. И предвид, че на практика няма осъдени за корупция, можем да си вадим заключенията от слухове и от журналистически разследвания.

Много пъти съм казвал, че електронното управление е силен инструмент срещу корупцията. Но как?

Като не могат да се подменят документи (напр. страници в договори или букви в тефтерчета), защото електронният подпис защитава от промени.

Като не могат да се създават документи със задна дата, защото квалифицираните времеви печати защитават от антидатиране.

Като не могат да изчезват документи, защото ги има в деловодна система, която не позволява „хвърляне в кошчето“.

Като всяко плащане е регистрирано (в СЕБРА) и публично, за да има проследимост къде отиват парите ни.

Като човешкият фактор в много задачи е автоматизиран, за да премахнем възможността за корумпиране.

Като не може плик с оферта за поръчка или търг да бъде отворен преди крайния срок, за да няма предимство подставен кандидат.

Като връзките между фирми, поръчки, имоти и публични личности са в електронен вид, за да може разследващите органи и журналисти да откриват корупционни практики.

Като има проследимост и случайно разпределение за всяка проверка, за да не може контролните органи да рекетират бизнеса.

Електронното управление пречи на корупцията. И затова трябва да продължим с бързото му въвеждане навсякъде, за да имаме институции, чисти от корупция.

Материалът Електронно управление срещу корупцията е публикуван за пръв път на БЛОГодаря.

Отново ще участвам в изборите

2022-09-01 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3935

Листите за предстоящите избори са внесени и за мен е чест да бъда в два района:

Водач в Ловеч, където ще помогна коалицията да реализира мандат. Там съм по мое предложение – баба ми и нейният род са от Троян и околните махали. Имам ярки спомени от детството по баирите около Троян, а в мазето още има от сливовата ракия на прадядо ми. Там имаме силен местен кандидат на второ място – Свилен Андреев, с когото на практика сме съ-водачи на листата и който се надявам да влезе в парламента за втори път.

Също така съм в 23-ти район (София), плътно след две силни жени – Надежда Йорданова и Кристина Петкова. Изборът в 23-ти район ще е труден, но се радвам, че даваме на избирателите толкова добри опции, между които да се чудят. Преференциите винаги са били инструмент на демократичната общност.

Листите ни са обновени спрямо предните избори и смятам, че са добра отправна точка за силна кампания, в която да убедим повече хора, че системният ни опит да изградим силни институции, които да решават проблемите на хората, е най-важната задача.
Институции, които могат ефективно, а не ефектно да се борят с корупцията; институции, които повишават здравето, а не сметката за лекарства; които дават образование, а не просто диплома; които си вършат бюрократичната работа, а не я пренасят върху гражданите и бизнеса.

Кампанията започва на втори септември. Ще бъда на улицата, сред хората, в София, Ловеч, Троян, Луковит, Тетевен и другите населени места в района.

Материалът Отново ще участвам в изборите е публикуван за пръв път на БЛОГодаря.

The Lack Of Native MFA For Active Directory Is A Big Sin For Microsoft

2022-08-24 Bozho

Post Syndicated from Bozho original https://techblog.bozho.net/the-lack-of-native-mfa-for-active-directory-is-a-big-sin-for-microsoft/

Active Directory is dominant in the enterprise world (as well as the public sector). From my observation, the majority of organization rely on Active Directory for their user accounts. While that may be changing in recent years with more advanced and cloud IAM and directory solutions, the landscape in the last two decades is a domination of Microsoft’s Active Directory.

As a result of that dominance, many cyber attacks rely on exploiting some aspects of Active Directory. Whether it would be weaknesses of Kerberos, “pass the ticket”, golden ticket, etc. Standard attacks like password spraying, credential stuffing and other brute forcing also apply, especially if the Exchange web access is enabled. Last, but not least, simply browsing the active directory once authenticated with a compromised account, provides important information for further exploitation (finding other accounts, finding abandoned, but not disabled accounts, finding passwords in description fields, etc).

Basically, having access an authentication endpoint which interfaces the Active Directory allows attackers to gain access and then do lateral movement.

What is the most recommended measures for preventing authentication attacks? Multi-factor authentication. And the sad reality is that Microsoft doesn’t offer native MFA for Active Directory.

Yes, there are things like Microsoft Hello for Business, but that can’t be used in web and email context – it is tied to the Windows machine. And yes, there are third-party options. But they incur additional cost, and are complex to setup and manage. We all know the power of defaults and built-in features in security – it should be readily available and simple in order to have wide adoption.

What Microsoft should have done is introduce standard, TOTP-based MFA and enforce it through native second-factor screens in Windows, Exchange web access, Outlook and others. Yes, that would require Kerberos upgrades, but it is completely feasible. Ideally, it should be enabled by a single click, which would prompt users to enroll their smart phone apps (Google Authenticator, Microsoft Authenticator, Authy or other) on their next successful login. Of course, there may be users without smartphones, and so the option to not enroll for MFA may be available to certain less-privileged AD groups.

By not doing that, Microsoft exposes all on-premise AD deployments to all sorts of authentication attacks mentioned above. And for me that’s a big sin.

Microsoft would say, of course, that their Azure AD supports many MFA options and is great and modern and secure and everything. And that’s true, if you want to chose to migrate to Azure and use Office365. And pay for subscription vs just the Windows Server license. It’s not a secret that Microsoft’s business model is shifting towards cloud, subscription services. And there’s nothing wrong with that. But leaving on-prem users with no good option for proper MFA across services, including email, is irresponsible.

The post The Lack Of Native MFA For Active Directory Is A Big Sin For Microsoft appeared first on Bozho's tech blog.

Open APIs – Public Infrastructure in the Digital Age

2022-08-03 Bozho

Post Syndicated from Bozho original https://techblog.bozho.net/open-apis-public-infrastructure-in-the-digital-age/

When “public infrastructure” is mentioned, typically people think of roads, bridges, rails, dams, power plants, city lights. These are all enablers, publicly funded/owned/managed (not necessarily all of these), which allow the larger public to do business and to cover basic needs. Public infrastructure is sometimes free, but not always (you pay electricity bills and toll fees; and of course someone will rightly point out that nothing is free, because we pay it through taxes, but that’s not the point).

In the digital age, we can think of some additional examples to “public infrastructure”. The most obvious one, which has a physical aspects, is fiber-optic cables. Sometimes they are publicly owned (especially in rural areas), and their goal is to provide internet access, which itself is an enabler for business and day-to-day household activities. More and more countries, municipalities and even smaller communities invest in owning fiber-optic cables in order to make sure there’s equal access to the internet. But cables are still physical infrastructure.

Something entirely digital, that is increasingly turning into public infrastructure, are open government APIs. They are not fully perceived as public infrastructure, and exist as such only in the heads of a handful of policymakers and IT experts, but in essence they are exactly that – government-owned infrastructure that enables businesses and other activities.

But let me elaborate. Open APIs let the larger public access data and/or modify data that is collected and/or centralized and/or monitored by government institutions (central or local). Some examples:

Electronic health infrastructure – the Bulgarian government is building a centralized health record as well as centralized e-prescriptions and e-hospitalization. It is all APIs, where private companies develop software for hospitals, general practitioners, pharmacies, labs. Other companies may develop apps for citizens to help them improve their health or match them with nutrition and sport advice. All of that is based on open APIs (following the FHIR standard) and allows for fair competition, while managing access to sensitive data, audit logs and most importantly – collection in a centralized store.
Toll system – we have a centralized road toll system, which offers APIs (unfortunately, via an overly complicated model of intermediaries) which supports multiple resellers to sell toll passes (time-based and distance-based). This allows telecoms (through apps), banks (through e-banking), supermarkets, fleet management companies and others to offer better UI and integrated services.
Tax systems – businesses will be happy to report their taxes through their ERP automatically, rather than manually exporting and uploading, or manually filling data in complex forms.
E-delivery of documents – Bulgaria has a centralized system for electronic delivery of documents to public institutions. That system has an API, which allows third parties to integrate and send documents as part of more complex services, on behalf of citizens and organizations.
Car registration – car registers are centralized, but opening up their APIs would allow car (re)sellers to handle all the paperwork on behalf of their customers, online, by a click of a button in their internal system. Car part owners can fetch data about registered cars per brand and model in order to make sure there are enough spare parts in stock (based on the typical lifecycle of car parts).

Core systems and central registers with open APIs are digital public infrastructure that would allow a more seamless, integrated state. There are a lot of details to be taken into account – access management and authentication (who has the right to read or write certain data), fees (if a system is heavily used, the owning institution might charge a fee), change management and upgrades, zero downtime, integrity, format, etc.

But the policy that I have always followed and advocated for is clear – mandatory open APIs for all government systems. Bureaucracy and paperwork may become nearly invisible, hidden behind APIs, if this principle is followed.

The post Open APIs – Public Infrastructure in the Digital Age appeared first on Bozho's tech blog.

Отчет за свършената работа като министър на електронното управление

2022-08-03 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3931

За мен беше чест да бъда първият министър на електронното управление. В 99-тото правителство на България.

Важно е тази политика да продължи да бъде представена на най-високо ниво и смятам, че ще има приемственост в служебния кабинет. Усилието за дигитализация на държавата продължава и смятам, че поставихме добри основи и добро темпо.

Тук е публикуван отчет на свършеното (и започнатото) през последните 7 месеца: https://otchet.egov.bg/.

Секция „киберсигурност“ неслучайно е толкова дълга. Както войната, така и изоставането на държавата в тази сфера, наложи спешно да се действа с ограничен капацитет, за да осигурим защитата на институциите и данните на гражданите, които те обработват.

Можеше да свършим и повече. В организации от мащаба на държавата нещата стават бавно, за да има предвидимост и устойчивост. И така трябва да бъде. Но от друга страна имаме години изоставане да наваксваме и съответно е нужно баланс между скорост и устойчивост. Смятам, че такъв баланс имаше и ще има.

Електронната идентификация трябва да заработи в началото на следващата година и това ще отключи достъпа на много граждани до лесно използване на електронни услуги. Дори без нея, в рамките на мандата, използването на е-услуги се е качило двойно. Не че сме пуснали много нови електронни услуги, но самото наличие на министерство и видимостта, която този статут дава, е довел до повече търсене. А с търсенето ще идва и търсене за удобство и там трябва да се намесим.

Предстоят избори, на които ще бъде отново кандидат. Със заявка да продължим нещата оттам, докъдето сме ги оставили и да отидем много по-далеч.

Материалът Отчет за свършената работа като министър на електронното управление е публикуван за пръв път на БЛОГодаря.

Предлагаме изменение на Закона за електронното управление

2022-06-11 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3926

Публикувахме проект на изменение на Закона за електронното управление. С него се решават ключови въпроси, които в момента пречат на въвеждането на реално електронно управление. Ето основните:

електронни услуги ще могат да се заявяват без квалифициран електронен подпис от физически лица – за да ги заявим ще е нужно само да влезем със средство за електронна идентификация с подходящо ниво на сигурност, след което ще подаваме заявлението просто попълвайки онлайн форма, без нужда от флашка, джава, драйвери и др. проблемни неща. Квалифицираните електронни подписи остават и ще работят, но отпадат като стриктно изискване за заявяване.
отпадане на удостоверенията, с чието пренасяне гражданите са куриери на администрацията – това и до момента по общите разпоредби на закона е така, но на практика не се случва по много причини. Въвеждаме правно уеднаквяване на служебно събраната информация с удостоверение, което се изисква по закон, така че администрациите да са спокойни, че са спазили изискванията на специалните закони, по които работят. Паралелно с това осигуряваме гаранции на общините, че приходите от отпадналите удостоверения ще им бъдат възстановени пропорционално от централния бюджет.
електронно връчване на актове, фишове и наказателни постановления – ще можем да посочим в системата за сигурно електронно връчване, че сме съгласни всичко да ни се връчва по електронен път. Това ще спести разходки до администрации, само за да ни бъде връчен акт или фиш.
обща забрана за въвеждане с подзаконов акт на стикери и други физически носители на данни за обекти, които са вписани в регистър. С тази промяна, например, стикерът за годишен технически преглед ще стане незаконен, тъй като е въведен с наредба.
намаляване на таксите за административни услуги, когато те се предоставят по електронен път. Това изменение има два аспекта – първият е, че има допълнителен стимул за използване на електронни услуги, а вторият е, че моделът с посредници при заявяване на услуги ще бъде по-устойчив, тъй като посредникът ще може да приспада разликата в таксата на гише и по електронен път. Посредници могат да бъдат Български пощи, библиотеките и всеки, който има офиси в близост до гражданите, включително в отдалечени населени места. Така дори тези, които не използват информационните технологии ще бъдат улеснени, защото няма да се налага да пътуват до областен град или до другия край на страната, за да заявят административна услуга.
задължение за служебно предоставяне на информация за лица извън администрацията, които участват в административното обслужване. За да може администрацията служебно да проверява наличие на партида за вода или ток, нотариално пълномощно и други документи, които в момента се налага да разнасяме.
задължение за водене на регистри в електронен вид, вкл. чрез система за централизирано управление на регистри – нормата влиза в сила след година и половина, като в този срок системата трябва да е готова, а всички тетрадки, ексели и стари системи да бъдат мигрирани към нея.

С проекта изпълняваме и ангажиментите си по Плана за възстановяване и устойчивост.

Смятам, че измененията са важни, отключващи електронното управление, намаляващи бюрокрацията и помагащи в ежедневието ни, и като такива ще намерят парламентарна подкрепа дори в сложната политическа ситуация.

Материалът Предлагаме изменение на Закона за електронното управление е публикуван за пръв път на БЛОГодаря.

On Disinformation and Large Online Platforms

2022-05-25 Bozho

Post Syndicated from Bozho original https://techblog.bozho.net/on-disinformation-and-large-online-platforms/

This week I was invited to be a panelist, together with other digital ministers, on a side-event organized by Ukraine in Davos, during the World Economic Forum. The topic was disinformation, and I’d like to share my thoughts on it. The video recording is here, but below is not a transcript, but an expanded version.

Bulgaria is seemingly more susceptible to disinformation, for various reasons. We have a majority of the population that has positive sentiments about Russia, for historical reasons. And disinformation campaigns have been around before the war and after the wear started. The typical narratives that are being pushed every day are about the bad, decadent west; the slavic, traditional, conservative Russian government; the evil and aggressive NATO; the great and powerful, but peaceful Russian army, and so on.

These disinformation campaign are undermining public discourse and even public policy. COVID vaccination rates in Bulgaria are one of the lowest in the world (and therefore the mortality rate is one of the highest). Propaganda and conspiracy theories took hold into our society and literally killed our relatives and friends. The war is another example – Bulgaria is on the first spot when it comes to people thinking that the west (EU/NATO) is at fault for the war in Ukraine.

Kremlin uses the same propaganda techniques developed in the cold war, but applied on the free internet, much more efficiently. They use European values of free speech to undermine those same European values.

Their main channels are social networks, who seem to remain blissfully ignorant of the local context as the one described above.

What we’ve seen, and what has been leaked and discussed for a long time is that troll factories amplify anonymous websites. They share content, like content, make it seem like it’s noteworthy to the algorithms.

We know how it works. But governments can’t just block a website, because they think it’s false information. A government may easily go beyond the good intentions and do censorship. In 4 years I won’t be a minister and the next government may decide I’m spreading “western propaganda” and block my profiles, my blogs, my interviews in the media.

I said all of that in front of the Bulgarian parliament last week. I also said that local measures are insufficient, and risky.

That’s why we have to act smart. We need to strike down the mechanisms for weaponzing social networks – for spreading disinformation to large portions of the population, not to block the information itself. Brute force is dangerous. And helps the Kremlin in their narrative about the bad, hypocritical west that talks about free speech, but has the power to shut you down if a bureaucrat says so.

The solution, in my opinion, is to regulate recommendation engines, on a European level. To make these algorithms find and demote these networks of trolls (they fail at that – Facebook claims they found 3 Russian-linked accounts in January).

How to do it? It’s hard to answer if we don’t know the data and the details of how they currently work. Social networks can try to cluster users by IPs, ASs, VPN exit nodes, content similarity, DNS and WHOIS data for websites, photo databases, etc. They can consult national media registers (if they exist), via APIs, to make sure something is a media and not an auto-generated website with pre-written false content (which is what actually happens).

The regulation should make it a focus of social media not to moderate everything, but to not promote inauthentic behavior.

Europe and its partners must find a way to regulate algorithms without curbing freedom of expression. And I was in Brussels last week to underline that. We can use the Digital services act to do exactly that, and we have to do it wisely.

I’ve been criticized – why I’m taking on this task while I can do just cool things like eID and eServices and removing bureaucracy. I’m.doing those, of course, without delay.

But we are here as government officials to tackle the systemic risks. The eID I’ll introduce will do no good if we lose the hearts and minds of people to Kremlin propaganda.

The post On Disinformation and Large Online Platforms appeared first on Bozho's tech blog.

Състоянието на киберсигурността в администрацията и пътят напред

2022-05-07 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3910

През седмицата темата с киберсигурността получи фокус покрай детайлите около атаката срещу пощите. В няколко интервюта описах общата картина, но ми се иска да направя малко по-пълно описание на това какво сме имали, какво сме направили за тези месеци и какво предстои.

Започвам със забележката, че ще използвам „киберсигурност“, макар че правилният термин в повечето случаи е „мрежова и информационна сигурност“. Правомощията на министъра на електронното управление са именно за „мрежова и информационна сигурност“ и то само в администрацията и част от доставчиците на съществени услуги (напр. в сектор енергетика). Български пощи не е в този обхват към момента.

Защитата на мрежовата и информационна сигурност е комплекс от технически и организационни мерки, които изискват добро планиране, приоритизиране, изпълнение и контрол в мащаба на държавната администрация (и в по-широк смисъл – на целия обществен сектор). Действаме с бързи стъпки, доколкото ни позволява наличният човешки ресурс.

1. Какво намерихме?

Към началото на мандата състоянието на информационните ресурси (т.е. хардуер, софтуер, мрежово оборудване, лицензи) беше силно незадоволително. Липсва адекватна, централизирана картина къде какво има, на какъв етап е от своя технологичен живот и какви са политиките по неговото подновяване. Има администрации с компютри на по 10 години, напр. Има системи без поддръжка (заради неплащани лицензи или по други причини). Всичко това са проблеми и за киберсигурността – в стари и излезли от поддръжка от производителите системи често има уязвимости. Всичко това го докладвах на Министерския съвет преди месец в рамките на годишния доклад за състоянието на информационните ресурси.

Преди 4 години от Демократична България публикувахме план за действие след срива на Търговския регистър. Половината от мерките са изпълнени, но със спорно качество – напр. регистърът на информационните ресурси е почти безполезен, резервните копия се правят централизирано от твърде малко администрации (с бавна скорост и липса на някои ключови функционалности), а на държавни облак му липсват важни процедури за присъединяване, вградени услуги за киберсигурност и др.

Базови добри практики във връзка с киберсигурността също не се прилагаха. Прости пароли, липса на двуфакторна автентикация, публично видими портове за отдалечен достъп (RDP), за портове за администрация на защитни стени и друг защитен софтуер – всичко това е вектор за атака. На много места липсва оперативно наблюдение на системите във връзка с оглед идентифициране на опити за първоначално проникване. Дори на местата, където има такова, не са свързани достатъчно много източници на информация, така че картината е непълна. Има и фрапиращи случаи, като една администрация, в която всички потребители са били администратори – за по-лесно. В пощите имаше не по-малко фрапиращи лоши практики.

Дирекцията за мрежова и информационна сигурност в Държавна агенция „Електронно управление“ е 16 души. Това е крайно недостатъчно за да покрие правомощията на агенцията (а вече – на министерството) по линия на киберсигурността. Капацитетът по останалите администрации в момента го установяваме в детайли, но общата картина не е розова – ИТ експертите в администрацията не са добре платени и правят всичко – от смяна на принтери, до конфигуриране на инструменти за киберсигурност.

Мога да изреждам още доста проблеми и примери, но от една страна е излишно, от друга страна не следва да разкривам детайли отвътре, от които някой може да се възползва (споделеното в горния параграф са неща, които в голяма степен са публично достъпни).

2. Какво свършихме

За този кратък период от време, в който преструктурираме една държавна агенция в две структури министерство и изпълнителна агенция, по линия на киберсигурността сме направили следното:

Изпратихме писма до всички институции да подобрят настройките на системите си, свързани с изпращане на имейли (т.е. потенциални фишинг атаки от тяхно име)
Сканирахме (вкл. с продължаващ абонамент за сканиране) всички администрации за публично достъпни системи, които не следва да бъдат достъпни. Напр. RDP (отдалечен достъп) – от около 60 отворени в началото, вече има само 10, като за тях предстоят санкции за ръководителите, тъй като това е нарушение на наредбата към Закона за киберсигурност
България стана 30-тата държава в света с абонамент за Have I Been Pwned – безплатна услуга, която ни дава информация за изтекли пароли за имейли на държавната администрация. Изтеклите пароли са от външни сайтове, но тъй като потребителите често използват една и съща парола, при информация за изтекла парола, трябва да бъдат принуждаване да сменят настоящата си
Блокирахме 48 хиляди IP адреса, свързани със злонамерена активност от Русия и Беларус (с първо писмо до интернет доставчиците – 45 хиляди и още 3 хиляди с последващо писмо)
Събрахме списък с доброволци и подготвихме договори за тестове за проникване (penetration tests) – първите такива тестове вече са започнали
Мигрирахме почти всички администрации към Защитения интернет възел на държавната администрация
В началото на войната спешно проверихме някои от най-критичните обекти и отправихме препоръки за повишаване на сигурността
Институтът за публична администрация, координирано с МЕУ, подготви информационен курс за защита от фишинг атаки
Подготвихме изменение на Закона за киберсигурност, за да включим вътре Български пощи и други публични предприятия, които в момента не се контролират от никоя институция по линия на мрежовата и информационна сигурност
Подготвихме изменения на Постановление на Министерския съвет за включване на Български пощи и БНБ в списъка със стратегически обекти, които обследва ДАНС
Увеличихме броя места за специалисти по киберсигурност в структурата на министерството (т.е. дирекцията няма да е вече само 16 души)

3. Какво предстои тази година

Немалка част от конкретните мерките, които предстои да вземем, ще бъдат класифицирана информация, тъй като пряко засягат националната сигурност. Но общите политики за повишаване на нивото на мрежова и информационна сигурност са не по-малко важни:

Приемане на всички подготвени нормативни изменения – в Закона за киберсигурност (за включване на пощите), в постановлението на Министерския съвет за стратегическите обекти
Приемане на Решение на Министерския съвет с правила за отговор на инциденти – най-важното при много от типовете атаки е бързата и адекватна реакция. Затова от най-високо ниво ще „спуснем“ какви да са стъпките, които всяка администрация да следва при инцидент.
Изменение на класификатора на длъжностите в администрацията и свързаните с него нормативни актове с цел повишаване на нивата на заплащане на специалисти по киберсигурност. Въвеждане и на позиция „стажант по киберсигурност“, така че да привличаме незавършили студенти с прилични заплати – тяхната експертиза вече е на достатъчно ниво, за да могат да бъдат полезни.
Подготовка и приемане на нова стратегия за киберсигурност
Структуриране на отношенията с частния сектор. Държавата няма достатъчно капацитет за оперативни наблюдения, триаж и отговор и трябва да бъде подпомагана от частния сектор. Трябва, обаче, да го направим по структуриран и адекватен начин, а не „всяка администрация сама да си преценя“ какво точно ѝ трябва и как да го получи
Транспониране на втората директива за мрежова и информационна сигурност веднага след като бъде приета на ниво Европейски съюз
Използване на максималните възможности на наличните системи за киберзащита (в момента много от тях не са адекватно настроени) и закупуване и инсталиране на нови
Обновяване на регистъра на информационните ресурси и поддържането му актуален, така че да могат да се правят реални политики за информационните ресурси (обновяване, спиране от експлоатация, управление, бюджетиране)
Регламентиране на централизирано закупуване на шаблонизирани решения за киберсигурност (няма смисъл всяка администрация да „открива топлата вода“)
Повишаване на нивото на киберсигурност в частния сектор в рамките на Програмата за научни изследвания, иновации и дигитализация за интелигентна трансформация
Засилване на ефективните проверки по Закона за киберсигурност – администрациите трябва да спазват поне действащата нормативна уредба, в която има немалко добри практики
Развиване на експертния капацитет на служителите в администрацията чрез обучения, съвместно с Института за публична администрация
Изграждане на център за оперативно наблюдение на мрежовата и информационна сигурност (Security operations center – SOC) в структурата на Министерство на електронното управление
Създаване на Националния компетеностен център по киберсигурност с цел стимулиране на екосистемата от експерти и организации – бизнес, университети, държава, неправителствен сектор
Засилен обмен на данни с партньорски държави, в т.ч. т.нар. индикатори на компрометиране (indicators of compromise). Т.е. когато един IP адрес опита да проникне в инфраструктура напр. в Естония, след неговото установяване в България да знаем за него и да го блокираме автоматично, преди изобщо да е опитал да „атакува“ и нас.

4. Заключение

Извън всички тези детайли, наличието на министерство означава, че тази политика е представена на масата на Министерския съвет. Което значително допринася за спазването първия принцип от цитирания по-горе план за действие, който бяхме предложили през 2018 г. – „Неделимост на киберустойчивостта от националната сигурност – политическото ниво трябва да е наясно, че срив, умишлен или не, в критични системи, се отразява директно на националната сигурност.“

Администрацията и службите за сигурност вече знаят, че киберсигурността е важна на политическо ниво. А това е важно за устойчивостта – спорадични мерки не вършат работа, ако у хората, които работят това ежедневно, няма увереност, че темата е важна на най-високо ниво.

Имаме много за наваксване. Рисковете са високи, ресурсите (човешки) са малко, а задачите са много и мащабни. Това прави нещата предизвикателни, но и мотивиращи. Сега е моментът да въведем трайна политика за киберустойчивост. Която включва много конкретика и технически детайли, но и много дългосрочни меки мерки за повишаване на капацитета.

Материалът Състоянието на киберсигурността в администрацията и пътят напред е публикуван за пръв път на БЛОГодаря.

Какво прави държавата срещу дезинформацията?

2022-04-01 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3907

Днес участвах в представяне на инициативата “Българска коалиция срещу дезинформацията”, подкрепено от Европейската комисия. Нека да го използвам като повод, за да разкажа какво се случва по тази много важна и много деликатна тема.

Ще започна със следното уточнение – няма държавен орган, който да е натоварен официално с политиката за защита от хибридни заплахи, в т.ч. насочената дезинформация, която се лее през социалните мрежи. Министерство на електронното управление, с проекта си на устройствен правилник, припознава темата по линия на политиките за информационното обществено и на киберсигурността, но функциите са изцяло аналитични.

Нека да разделим темата на две – кампании за всяване на паника (каквито виждаме в последния месец) и фонова дезинформация.

Кампаниите за паника са кратковременни събития, които рязко набират скорост и създават ефекти в реалния свят. На тях може да се противодейства комуникационно, в правилния момент, с т.нар. „стратегически комуникации“.

Фоновата дезинформация е това, което залива потребителите на социални мрежи с добре оформени пропагандни наративи за упадъчния запад, за великия Путин, за украинските агресори и др. А допреди месец – за лошите ваксини и несъществуващия COVID.

„Какво прави държавата“ е въпрос, който получавам многократно. И знам, че „нямаме правомощия“ не е отговор. Затова искам да дам отговор по същество.

Първо, организирахме директна връзка с Мета (Фейсбук), които са най-голямата социална мрежа в България, за да посочим какви проблеми виждаме и какви решения те могат да предложат. Имаме регулярна кореспонденция с тях относно блокираните профили на интелектуалци, осъждащи руската агресия, относно активизиране на тролски фабрики, както и относно общия подход на Фейсбук за идентифициране на дезинформация. Малко повече детайли – по-надолу.

Второ, по моя инициатива ще бъде създадено аналитично звено, което да следи за дезинформационни наративи и кампании и да информира своевременно заинтересованите страни (органи на власт, частни организации, медии).

Трето, след като разгледахме добрите практики в други страни (напр. Швеция, Естония, Словакия, Испания), и проведохме срещи с няколко институции, подготвяме институционална структура за обмен на информация и опит между министерствата.

Четвърто, подготвихме и изпратихме конкретни предложения в рамките на обсъждането в Европейския съвет на Акта за цифровите услуги, който регулира поведението на големите онлайн платформи, вкл. Фейсбук.

Пето, с Института за публична администрация, който се грижи за обученията на държавните служители, започваме да промотираме техния курс за медийна грамотност към държавните служители.

При всички тези стъпки се водим от един основен принцип – не трябва нито правителството, нито някоя голяма компания, да решава кое е истина и кое не е и да блокира съдържание. Не трябва да създаваме механизми за такова поведение, защото то много лесно може да бъде използвано в грешна посока.

В това се състои сложността на задачата – Кремъл използва нашите европейски ценности за свобода на словото, за да вклини своята пропаганда, правейки много трудно разграничаването на истина от полуистина, и обикновена полуистина от насочена дезинформационна кампания.

Насочил съм всички обсъждания на законодателни възможности и на други мерки в посока не на това „какво“ се разпространява, а „как“ се разпространява.

Това, което знаем за механизма на разпространение от редица анализи в експертната общност е следното: Кремъл, чрез пряко или непряко финансиране, създава дезинформационно съдържание, поддържа „фабрики“ от тролове и разпространява това съдържание координирано в социалните мрежи. Тези „тролове“ са най-често работещи от вкъщи хора, които създават и поддържат фалшиви профили, с които по команда споделят „новините“ в групи и страници, както и писане на коментари под новинарски статии.

Това, от своя страна, води до алгоритмично усилване на тези публикации (защото явно много хора се интересуват), като Фейсбук (и други социални мрежи) го показват на повече и повече хора.

Същите тези тролове докладват популярни личности, които в случая пишат в подкрепа на Украйна, и неефективната система на модерация на Фейсбук, води до блокиране не на фалшивите новини, оправдаващи войната, а на легитимни гласове.

Знаейки този механизъм, попитахме Фейсбук какво правят по тази тема. Краткият отговор е „нищо“. Те няма да се съгласят, разбира се, защото активност от тяхна страна има, но ефективност – не.

Това, което най-добре илюстрира неадекватността на Фейсбук е отговорът на един от 13-те въпроса, които им зададохме относно механизмите им за справяне с насочената дезинформация. Отговорът включване на техния месечен отчет за откриване на координирано неавтентично поведение (а именно – това, което описах по-горе). Та Фейсбук за целия месец януари, в целия свят, са открили ТРИ фалшиви профила, които участват в координирано споделяне на дезинформация.

Вероятно след като публикувам това възможностите за колаборация с Фейсбук ще намалеят, но към момента не виждам някаква полза от комуникацията ни. Получаваме бланкетни отговори или липса на такива, докато междувременно информационната война е в ход.

Именно затова обмислихме регулирането на това как Фейсбук и други големи онлайн платформи трябва да контролират тези процеси. Но не да преценяват кое е вярно и кое не, а да НЕ промотират алгоритмично това съдържание, което е споделяно чрез съмнителни мрежи, от съмнителни източници.

Местна регулация не би свършила работа, обаче – твърде големи са, за да се съобразяват с много строг български закон. А ние нямаме достатъчно капацитет да контролираме неговото спазване, съответно ще ни „замазват очите“.

Затова подходът ни е към прокарване на изменения в Акта за цифрови услуги, който е в процес на обсъждане. Направените предложения са в две посоки:

Първо, повече прозрачност. Големите онлайн платформи да трябва в реално време, с разбивки по държави, да докладват какви профили свалят, какво съдържание модерират, кое съдържание промотират най-активно. Също така да трябва да показват колко е усилено дадено съдържание от алгоритмите и по-важното – защо.

Второ, ограничения за алгоритмичното усилване на съдържание, разпространено по неавтентичен начин. Когато група потребители координирано разпространяват идентични текстове и коментари, това има висок риск за неавтентичност, особено ако профилните им снимки са от публични банки на снимки и ако използват едни и същи IP адреси или всички ползват един и същи VPN-и или споделят сайтове, хостнати в едни и същи мрежи.

Също така, когато едно съдържание е „новина“, но източникът не е в национален регистър на медиите (ако такъв има), тогава то да не получава голямо алгоритмично усилване. Защо? Защото медиите трябва да посочват своите действителни собственици и редакторски екип. Анонимни сайтове, които пишат за великата руска армия, не са медии. А намаляването на алгоритмичното усилване не е цензура. Има медии в България, които споделят кремълските опорни точки, но са реални медии, с ясна собственост – те не попадат в обхвата на това предложение, доколкото споделяното съдържание не представлява престъпление.

Тук влизаме в сериозната тема на принципа на Закона за електронната търговия (и съответната директива), според който онлайн платформите нямат задължение за масово следене на съдържанието. За да запазим този принцип не искаме те да носят отговорност за едно или друго съдържание, а на база на метаданните, които вече обработват за това съдържание, да „преоразмерят“ алгоритмите си. Звучи много техническо, но след като проблемът е технически (поведение на алгоритми за препоръчване на съдържание), то принципното му решение следва да има технически измерения.

Извън тази регулация, държавните органи следва да имат яснота какво се случва, за да могат да реагират. Капацитетът за обмен на информация и комуникационна реакция е ключов аспект. Друг ключов аспект са и проверителските организации, които могат по-обективно от правителството да проверяват факти.

Насочената дезинформация към нищо неподозиращите потребители е системен риск за нашето общество и трябват адекватни мерки за противодействие. Тези мерки, обаче, трябва да са претеглени и през рисковете, които носят за свободата на изразяване. Задачата е по-трудна от това да бъдат блокирани няколко профила или няколко сайта за фалшиви новини.

Важно е темата да бъде в политическия дневен ред, за да има осъзнаване и обсъждане, а Министерството на електронното управление ще бъде в центъра на този дневен ред.

Материалът Какво прави държавата срещу дезинформацията? е публикуван за пръв път на БЛОГодаря.

Проект за мобилна електронна идентификация

2022-02-18 Bozho

Post Syndicated from Bozho original https://blog.bozho.net/blog/3898

Електронната идентификация е ключът към електронното управление. Без нея, използването на електронни услуги е ограничено и трудно. Именно затова, паралелно с устройствената работа (законови изменения и устройствени правилници), в Министерство на електронното управление подготвихме техническа спецификация за мобилна електронна идентификация и я качихме за обществено обсъждане.

Не е практика за технически спецификации да се търси широко обществено обсъждане, но тъй като тази система е много важна, смятам, че е редно да дадем пример за прозрачност от първия ден. Още при номинирането ми за министър на електронното управление дадох това обещание и ще направя каквото е необходимо този екип продължава да дава този пример. Разчитам на професионалистите във всички области да дадат своята експертна и конструктивна обратна връзка и препоръки. Тази прозрачност ще продължи и на етапа на изпълнение (вкл. с изискването за отворен код на разработката).

Резултатът от проекта ще бъде мобилно приложение (за Android и iOS), с което да се идентифицираме за ползването на всички електронни услуги, т.е. държавата да знае кой стои отсреща, когато ползва услугите. До момента това се извършва с електронен подпис, с ПИК, с ПИН и др. Тези средства няма да отпаднат веднага, но малко по малко ще бъдат замествани с електронната идентификация.

След първоначалната регистрация, от гледна точка на потребителя, процесът ще бъде следния:

отваря портал за електронни услуги
избира „вход с eID“ и потвърждава с мобилния си телефон (или друго мобилно устройство)
подава заявления за услуги, които са с предварително попълнени данни (тъй като системата вече знае кой стои отсреща)
подписване на заявлението чрез повторно потвърждение с мобилния телефон

Проектът предвижда първа фаза за проекетиране, тъй като трябва да бъдат взети специфични технологични решения. Например дали потвърждението с телефона да стане с т.нар. push-нотификация или чрез сканиране на QR код от екрана (съответно с deep link, в случай, че потребителят използва мобилния телефон и за заявяване на услугата, вместо компютър). Трябва да бъде избран и методът за подписване, като целта е криптографските ключове да се разделят на няколко части, като една се съхранява в мобилния телефон, а друга – на сървъра (така че да се минимизират рискове от изтичане от едното от двете места).

Първоначалната регистрация е много важна за да може максимален брой хора да използват приложението. Затова предвиждаме първоначална регистрация по следните начини:

Квалифициран електронен подпис, в т.ч. облачен КЕП (чрез системата за електронна автентикация)
ПИК на НАП (отново през еАвт)
ПИК на НОИ (отново през еАвт)
международен паспорт, който разполага с чип, благодарение на който може да бъде идентифицирано лицето (чипът може да бъде прочетен с мобилен телефон)
снимане на лична карта

Към тези методи могат да бъдат добавени два компонента за повишаване на сигурността:

Отговор на въпроси, които държавата има, но не са публично достъпна информация (напр. във връзка с имена на роднини или данни за предходни постоянни адреси)
Т.нар. liveness detection, т.е. проверка чрез камерата на телефона дали отсреща действително стои лицето, което твърди, че стои (без да може да се използва негова снимка, за да „излъже“ системата). Това е стандартна практика в много приложения за онлайн идентификация

Всеки един от изброените механизми ще има съответното ниво на осигуреност („средно“ или „високо“), което ще дава достъп до различни услуги. Напр. само със сканирана лична карта (плюс отговори на въпроси/liveness detection), лицата няма да имат достъп до чувствителни данни, като здравното си досие. За да преминат от ниво на осигуреност „средно“ към „високо“ се предвижда опция за еднократно посещение на администрация или пощенски клон. Но дори с ниво „средно“ ще могат да се използват всички масови услуги. В бъдеще, когато чип се появи и в личната карта, той ще може да бъде използван за първоначална регистрация и то с ниво на осигуреност „високо“.

Ако човек няма мобилно устройство, той едва ли би ползвал електронни услуги. Има изключения от това твърдение, но те са твърде малко. В други държави се допуска идентификация с SMS код, но нивото на сигурност при този метод не е задоволително и преценихме, че няма нужда от такъв риск.

Докато се изгражда системата (в следващите няколко месеца), ще подготвим и нормативни изменения, за да може да функционира системата в съответствие със закона.

Освен самото приложение, в рамките на проекта ще бъдат пилотно надградени и системите на НАП, НОИ, МВР, както и портала за електронни услуги на Министерството на електронното управление, така че да има богат избор от услуги, които да бъдат използвани с новото средство за идентификация и подписване (подписването формално ще бъде чрез т.нар. „усъвършенстван електронен подпис“, което е допустимо за заявяване на услуги съгласно действащия Закон за електронното управление).

Смятам, че правилно се фокусирахме върху подготовката на този проект, за да можем да го стартираме в рамките на първите 100 дни от управлението.

Материалът Проект за мобилна електронна идентификация е публикуван за пръв път на БЛОГодаря.

Don’t Reinvent Date Formats

2022-01-04 Bozho

Post Syndicated from Bozho original https://techblog.bozho.net/dont-reinvent-date-formats/

Microsoft Exchange has a bug that practically stops email. (The public sector is primarily using Exchange, so many of the institutions I’m responsible for as a minister, have their email “stuck”). The bug is described here, and fortunately, has a solution.

But let me say something simple and obvious: don’t reinvent date formats, please. When in doubt, use ISO 8601 or epoch millis (in UTC), or RFC 2822. Nothing else makes sense.

Certainly treating an int as a date is an abysmal idea (it doesn’t even save that much resources). 202201010000 is not a date format worth considering.

(As a side note, another advice – add automate tests for future timestamps. Sometiimes they catch odd behavior).

I’ll finish with Jon Skeet’s talk on dates, strings and numbers.

The post Don’t Reinvent Date Formats appeared first on Bozho's tech blog.

I Have Been Appointed As E-Governance Minister of Bulgaria

2021-12-18 Bozho

Post Syndicated from Bozho original https://techblog.bozho.net/i-have-been-appointed-as-e-governance-minister-of-bulgaria/

Last week the Bulgarian National assembly appointed the new government. I am one of the appointed ministers – a minister for electronic governance.

The portfolio includes digitizing registers and processes in all government institutions, reducing bureaucracy, electronic identity, cybersecurity, digital skills and more.

Thanks to all my readers for following this blog throughout the years. I will be sharing some digital policy details here from now on while I’m minister. That may include some technical articles, but they are unlikely to be developer-oriented.

I hope to make some important changes and put forward key ideas for e-governance and digital policy that can be used as an example outside my country (last time I was involved in public policy, I helped pass an “open source law”).

I’ve written a few articles about IT people looking for challenges – not just technical challenges. And I think that’s a great challenge where I’ll have to put all my knowledge and skills to work for the common good.

The post I Have Been Appointed As E-Governance Minister of Bulgaria appeared first on Bozho's tech blog.

Noise