All posts by Bozho

Трудовата книжка отпада след две години

Post Syndicated from Bozho original https://blog.bozho.net/blog/4136

Тази седмица приехме на второ четене (т.е. финално) измененията Кодекса на труда, с които отпада трудовата книжка. Данните вместо в нея, ще се вписват в регистър на заетостта в НАП, който ще се появи след като бъде надграден регистъра на трудовите договори, който действа от две десетилетия и където се регистрира всеки трудов договор.

Нека да опитам да обясня какво прихме, защо го приехме и как го приехме.

По въпроса „как“ – през май внесохме законопроект, който предвиждаше създаване на такъв регистър, сканиране на всички настоящи трудови книжки и попълването му с данни от тях. Той мина на първо четене, но трябваше да се направят сериозни редакции, за да може да бъде изпълнен. Създадохме работна група към социалната комисия в парламента (с всички институции, синдикати, работодателски и професионални организации), като между нейните заседания всеки вторник, проведох редица срещи с НАП, НОИ и Министерството на труда и социалната политика, за да изчистим всеки детайл. След това работната група предложи редакции, които социалната комисия прие, а след това и пленарната зала на второ четене с пълен консенсус, за което вече благодарих на всички участващи в процеса.

Приетите изменения имат следните основни моменти:

  • Срок за бизнес анализ, подготовка на наредба и надграждане на регистъра на НАП – до юни 2025 г.
  • След влизане в сила, работниците и служителите спират да си носят трудовата книжка при всеки работодател
  • Трудовата книжка все пак се съхранява, в случай, че трябва да се доказва стаж преди да има регистри на НОИ или про спорове с работодател за правоотношения в последните 20 години
  • Еднократно, в 8-месечен период, работодателите „оформят“ трудовите книжки на служителите, т.е. вписват данни към 01.06.2025 г в тях, за да не се позволят злоупотреби (напр. служителите сам да си впише извънреден труд или преназначаване на друга категория труд при същия работодател). Периодът е достатъчно дълъг, за да не натовари работодателите с попълване
  • При постъпване на работа, изменение на договор и напускане на работа, работодателят вписва данни в регистъра на заетостта
  • Разговорно нареченият „Клас прослужено време“ (допълнително възнаграждение за трудов стаж и професионален опит) ще може да бъде изчислявано на база на данните в регистъра
  • Служебните книжки на държавните служители ще отпаднат година по късно, като ще се прилага сходен ред. Допълнителният период е предвид повечето специфики на държавната служба (има допълнителни атрибути, дипломатическата служба е подслучай на държавната и т.н.)
  • Работодателите ще имат достъп до данните за настоящите си работници и служители, но без данни за заплатата от предходни работодатели, което е в защита на интересите на служителите
  • Служителите ще имат достъп до пълните данни за себе си – за всичките си трудови и служебни правоотношения, т.е. цялата си трудова история, без значение в частния сектор или в държавната администрация

Има няколко важни въпроса, които трябва да получат отговори:

В: Защо остават трудовите книжки да се представят при пенсиониране от служители с трудов стаж преди 98-ма година, вместо да се сканират и историческите данни да се дигитализират?

О: В периода 89-98 г. има много случаи на фалшив трудов стаж, вкл. фалшива категория труд, с цел облагодетелстване на служители. НОИ изследват тези случаи един по един, вкл. с анализ на хартията, мастилото и други характеристики на документа. Няма как такова задължение да бъде вменено на текущия работодател. Още повече – текущите работодатели няма как да носят отговорност за достоверността на данните, въведени от предходни работодатели. Заради тези практически проблеми, старият стаж ще продължава да се доказва с трудова книжка при пенсиониране. Но в рамките на дискусията в работната група се избристри идеята НОИ да уредят процес, при който служителите да могат да предадат трудовта си книжка на НОИ за дигитализация преди да дойде времето за пенсия.

В: Каква е разликата на регистъра на заетостта с регистъра на трудовите договори, който действа в момента?

О: Регистърът на заетостта ще стъпи на регистъра на трудовите договори, като всичко, което се е подавало досега, ще продължи да се подава. В допълниение ще се подават и допълнителни данни, които в момента ги има само в трудовата книжка, ще се включват служебните правоотношения, запорите на заплатата. Ще се вписват и по-актуални данни при допълнителни споразумения към сключени трудови договори, защото в момента напр. заплатата в регистъра на трудовите договори не е актуална.

В: Защо регистърът да бъде в НАП, а не в НОИ или в МТСП?

О: Действително, НАП не е ползвател на тази информация. Но през 2001 г. на НАП е вменено да води регистъра на трудовите договори, а най-логичната следваща стъпка е неговото надграждане. Също така, в НАП има административен капацитет, чрез който да бъде осъществено това надграждане.

Смятам, че с институциите решихме всички висящи казуси, които могат да възникнат при отпадането на трудовата книжка, и че приетият закон е добър. Да, няма да си скъсаме трудовите книжки утре (една толкова вкоренена система не може да се изкорени безрисково за един ден), но ще имаме всички ползи от тяхната липса – и работодателите, и служителите.

Материалът Трудовата книжка отпада след две години е публикуван за пръв път на БЛОГодаря.

Приехме важни промени в Закона за електронното управление

Post Syndicated from Bozho original https://blog.bozho.net/blog/4132

Вчера на второ четене приехме измененията в Закона за електронното управление, който подготвихме в Министерството на електронното управленир преди година и нещо. В него има много важни промени, в т.ч.:

  • приравняваме служебните справки на удостоверения, за да не трябва да променяме всички закони и наредби, за да отпаднат удостоверенията.
  • физическите лица ще могат да заявяват електронни услуги без да подписват заявленията с КЕП (който продължава да е бариера пред използването на е-услуги).
  • електронните услуги ще са с по-ниска такса спрямо тези на гише
  • разширяваме електронното връчване, като го правим възможно за актове и електронни фишове. Ще може в системата за сигурно връчване да се посочи, че човек желае напр. МВР да му връчва там електронните фишове.
  • уреждаме дейността на посредниците, които могат да предоставят услуги на гише по-близо до гражданите, които не ползват интернет (напр. за да не ходят до областния град)
  • няма да може с подзаконов акт да се въвежда изискване за представяне на документи за доказване на обстоятелства, които ги има в регистър. Т.е. всички наредби, вкл. общински, в които се искат непредвидени в закон удостоверения, бележки, стикери и подобни стават незаконосъобразни.
  • всички регистри ще трябва да минат от тетрадки в електронен вид през 2024 г., когато влиза в сила задължението регистрите да се водят или чрез собствена информационна система, или чрез новоуредената централизирана система за водене на регистри.
  • въвеждаме задължение за изпращане на напомняне при изтичащ срок на документ („индивидуален административен акт“)
  • отпадат факсът и телексът от Административнопроцесуалния кодекс
  • въвеждаме редица важни определения като „регистър“ и „централен администратор на данни“ и уеднаквяваме редица дефиниции в няколко закона, които се бяха разнинали през годините.

Всичко това ще започне да се прилага в следващите месеци. С него се покриват и цели, поставени в плана за възстановяване и устойчивост и е важна стъпка към повече удобство за гражданите и повече ефективост на администрацията. Приемането на закона не трансформира администрацията автоматично, но поставя важни рамки и задължения, с които Министерството на електронното управление може бързо да напредне.

Материалът Приехме важни промени в Закона за електронното управление е публикуван за пръв път на БЛОГодаря.

Anticorruption Principles For Public Sector Information Systems

Post Syndicated from Bozho original https://techblog.bozho.net/anticorruption-principles-for-public-sector-information-systems/

As a public official, I’ve put a lot of though on how to make the current and upcoming public government information systems prone to corruption. And I can list several main principles, some of them very technical, which, if followed, would guarantee that the information systems themselves achieve two properties:

  1. they prevent paper-based corruption
  2. they do not generate additional risk for corruption

So here are the principles that each information system should follow:

  • Auditability – the software must allow for proper external audits. This means having the up-to-date source code available, especially for custom-built software. If it’s proprietary, it means “code available” contract clauses. This also means availability of documentation – what components it has, what integrations exist, what network and firewall rules are needed. If you can’t audit a system, it surely generates corruption
  • Traceability – every meaningful action, performed by users of the system, should be logged. This means a full audit log not just for the application, but also for the underlying database as well as servers. If “delete entry” is logged at the application, but DELETE FROM is not logged by the database, we are simply shifting the corruption motives to more technically skilled people. I’ve seen examples of turned-off DB audit logs, and systems that (deliberately?) miss to log some important user actions. Corruption is thus built in the system or the configuration of its parts.
  • Tamper-evidence – audit logs and in some cases core data should be tamper-evident. That means that any modification to past data should be detectable upon inspection (included scheduled inspections). One of the strong aspects of blockchain is the markle trees and hash chains it uses to guarantee tamper-evidence. A similar cryptographic approach must be applied to public systems, otherwise we are shifting the corruption incentive to those who can alter the audit log.
  • Legally sound use of cryptography – merkle trees are not legally defined, but other cryptographic tools are – trusted timestamps and digital signatures. Any document (or data) that carries legal meaning should be timestamped with the so called “(qualified) timestamp” according to the eIDAS EU regulation. Every document that needs a signature should be signed by an electronic signature (which is the legal name for the cryptographic term “digital signatures”). Private keys should always be stored on HSMs or smartcards to make sure they cannot leak. This prevents corruption as you can’t really spoof singatures or backdate documents. Backdating in particular is a common theme in corruption schemes, and a trusted cryptographic timestamp prevents that entirely.
  • Identity and access management – traceability is great if you are sure you are “tracing” the right people. If identity and access management isn’t properly handled, impersonation, bruteforce or leaked credentials can make it easier for malicious internal (or external) actors to do improper stuff and frame someone else. It’s highly recommended to use 2FA, and possibly hardware tokens. For sysadmins it’s a must to use a privileged access management system (PAM).
  • Data protection (encryption, backup management) – government data is sometimes sensitive – population registers, healthcare databases, taxes and customs databases, etc. They should not leak (captain obvious). Data leak prevention is a whole field, but I’d pinpoint two obvious aspects. The first is live data encryption – if you encrypt data granularly, and require decryption on the fly, you can centralize data access and therefore log every access. Otherwise, if the data in the database is in plaintext, there’s always a way to get it out somehow (Database activity monitoring (DAM) tools may help, of course). The second aspect is backup management – even if your production data is properly protected, encrypted, DAM’ed, your backup may leak. Therefore backup encryption is also important, and the decryption keys should be kept securely (ideally, wrapped by an HSM). How is data protection related to corruption? Well, these databases are sold on the black market, “privileged access” to sensitive data may be sold to certain people.
  • Transparency – every piece of data that should not be protected, should be public. The more open data and public documents there are, the less likely it is for someone to try to manipulate data. If the published data says something, you can’t go and remove it, hoping nobody would see it.
  • Randomness – some systems rely on randomness for a core feature – assigning cases. This is true for courts and for agencies who do inspections – you should randomly select a judge, and randomly assign someone to do an inspection. If you don’t have proper, audited, secure randomness, this can be abused (and it has been abused many times), e.g. to get the “right” judge in a sensitive case. We are now proposing a proper random case assignment system for the judiciary in my country. It should be made sure that /dev/random is not modified, and a distributed, cryptographically-backed random-generation system can be deployed. It sounds like too much complexity just for a RNG, but sometimes it’s very important to rely on non-controlled randomness (even if it’s pseudorandomness)
  • Data validation – data should be subject to the maximum validation on entry. Any anomalies should be blocked from even getting into the database. Because the option for creating confusion helps corruption. For example there’s the so called “corruption cyrillic” – in countries that use the cyryllic alphabet, malicious users enter identically-looking latin charcter to hide themselves from searches and reports. Another example – in the healthcare system, reimbursement requests used to be validated post-factum. This creates incentives for corruption, for “under the table” correction of “technical mistakes” and ultimately, schemes for draining funds. If input data is validated not just a simple form inputs, but with a set of business rules, it’s less likely for deliberately incorrect data to be entered and processes
  • Automated risk analysis – after data is entered (by civil servants, by external parties, by citizens), in some cases risk analysis should be done. For example, we are now proposing online registration of cars. However, some cars are much more likely to be stolen than others (based on price, ease of unlocking, currently operating criminals skillset, etc.). So the registration system should take into account all known factors and require the car to be presented at the traffic police for further inspection. Similarly for healthcare – some risk analysis on anomalous events (e.g. high-price medicines sold in unlikely succession) should be flagged automatically and inspected. That risk analysis should be based on carefully crafted methodologies, put into the system with something like a rules engine (rather than hardcoded, which I’ve also seen).

Throughout the years others and myself have managed to put some of those in laws and bylaws in Bulgaria, but there hasn’t been a systematic approach to ensuring that they are all followed, and followed properly. Which is the hard part, of course. Many people know the theory, it’s just not that easy to put in in practice in a complex environment. But these principles (and probably others that I miss) need to be the rule, rather than the exception in public sector information systems if we want to reduce corruption risks.

The post Anticorruption Principles For Public Sector Information Systems appeared first on Bozho's tech blog.

Methodology for Return on Security Investment

Post Syndicated from Bozho original https://techblog.bozho.net/methodology-for-return-on-security-investment/

Measuring return-on-investement for security (information security/cybersecurity) has always been hard. This is a problem for both cybersecurity vendors and service providers as well as for CISOs, as they find it hard to convince the budget stakeholders why they need another pile of money for tool X.

Return on Security Investment (ROSI) has been discussed, including academically, for a while. But we haven’t yet found a sound methodology for it. I’m not proposing one either, but I wanted to mark some points for such a methodology that I think are important. Otherwise, decisions are often taken by “auditor said we need X” or “regulation says we need Y”. Which are decent reasons to buy something, but it makes security look like a black hole cost center. It’s certainly no profit center, but the more tangibility we add, the more likely investments are going to work.

I think the leading metric is “likelihood of critical incident”. Businesses are (rightly) concerned with this. They don’t care about the number of reconnaissance attempts, false positives ratios, MTTRs and other technical things. This likelihood, if properly calculated, can lead to a sum of money lost due to the incident (due to lack of availability, data loss, reputational cost, administrative fines, etc.). The problem is we can’t get company X and say “you are 20% likely to get hit because that’s the number for SMEs”. It’s likely that a number from a vendor presentation won’t ring true. So I think the following should be factored in the methodology:

  • Likelihood of incident per type – ransomware, DDoS, data breach, insider data manipulation, are all differently likely.
  • Likelihood of incident per industry – industries vary greatly in terms of hacker incentive. Apart from generic ransomware, other attacks are more likely to be targeted at the financial industry, for example, than the forestry industry. That’s why EU directives NIS and NIS2 prioritize some industries as more critical
  • Likelihood of incident per organization size or revenue – not all SMEs and not all large enterprises are the same – the number of employees and their qualification may mean increased or decreased risk; company revenue may make it stand out ontop of the target list (or at the bottom)
  • Likelihood of incident per team size and skill – if you have one IT guy doing printers and security, it’s more likely to get hit by a critical incident than if you have a SOC team. Sounds obvious, but it’s a spectrum, and probably one with diminishing returns, especially for SMEs
  • Likelihood of incident per available security products – if you have nothing installed, you are more likely to get hit. If you have a simple AV, you can the basic attacks out. If you have a firewall, a SIEM/XDR, SOAR, threat intel subscriptions, things are different. Having them, of course, doesn’t mean they are properly deployed, but the types of tools matter in the ballpark calculations

How to get that data – I’m sure someone collects it. If nobody does, governments should. Such metrics are important for security decisions and therefore for the overall security of the ecosystem.

The post Methodology for Return on Security Investment appeared first on Bozho's tech blog.

Отчет за първата парламентарната сесия

Post Syndicated from Bozho original https://blog.bozho.net/blog/4121

Първата парламентарна сесия на 49-тото Народно събрание приключва днес. Както направих и в предходното Народно събрание, ето отчет за свършеното от мен за този малко над тримесечен период. Тук ще включа само неща, по които лично съм работил (рядко сам, разбира се), за да не си приписвам работа на други колеги или други парламентарни групи. Иначе тук е целият ми профил в сайта на Народното събрание.

Приети законови текстове:

  • Електронни ваучери за храна – след като в предния парламент беше отхвърлен „минималистичния“ вариант за законопроект за електронни ваучери за храна, след съвместна работа с Министерство на финансите, със Закона за бюджета беше прието от 2024 г. да има електронни ваучери за храна. Избраният подход е максимално технологично-неутрален, така че да не се предпоставя на законово ниво как ще бъдат реализирани ваучерите – оставено е на свободния пазар да установи кой е най-ефективният метод. Най-вероятно това ще става с карти с ограничена употреба, но са възможни и други подходи (напр. със смартфони).
  • Забрана за администрациите да отказват плащане с карта, ако тя е издадена от друга държава – някои администрации приемат всички карти, някои – само български, в зависимост от това какво са подписали с обслужващата си банка. Докато бях министър, съвместно с министъра на финансите изпратихме указания на административните органи да отпаднат ограниченията на база на банката-издател, но това все още не е факт навсякъде, поради което в Закона за ограничаване на плащанията в брой, съгласувано с БНБ, приехме алинея, която забранява такова неравно третиране. Така българи с чуждестранни карти или с карти на финтех компании като Ревоюлт също ще могат да плащат на пос-терминали.
  • Възможност за плащане на електронни фишове и наказателни постановления преди да са връчени – в момента трябва да отидете до КАТ, за да ви връчат електронен фиш или наказателно постановление, преди да можете да го платите. Дори да искате просто да си платите (с отстъпката за навременно плащане), преди приемането на промените в Закона за движението по пътищата не можехте, без да се разходите в работно време до КАТ. Сега можете просто да го платите, и той ще се счита за връчен. Скоро МВР трябва да разреши това на портала си за електронни услуги
  • Туристическа реклама на България – с изменения в Закона за туризма дадохме възможност министъра на туризма да ползва онлайн реклама в големи платформи (Фейсбук, Гугъл и др.) без посредници, които вземат процент от рекламния бюджет
  • В Закона за съдебната власт се приеха текстове за въвеждане на криптографски гаранции за случайното разпределение, което гарантира, че изборът е проверим и неманипулиран
  • В Наказателния кодекс направихме необходимите редакции, за да е недвусмислено ясно, че обикновени потребители не могат да бъдат обект на наказателно преследване, само защото ползват торенти (от край време е криминализирано пиратството, но сега Министерският съвет беше предложил допълване с цел улесняване на досъдебното производство за злоупотреби с обекти на авторското право в големи размери)

Напредък по важни закони:

  • Отпадане на синия талон – този текст го внасяме от 45-тото НС (април 2021 г.), но се очаква да се приеме по-късно днес, макар и по малко странен начин процедурно. Важното е, че синият талон отпада съвсем скоро. След влизането в сила (другата седмица) ще можете да си го скъсате.
  • Електронизиране на данните от трудовата книжка и съответно нейното отпадане – законопроектът мина на първо четене, след което беше създадена работна група, която рза един месец реши много потенциални проблеми и гранични случаи. В крайна сметка регистърът на заетостта ще бъде в НАП, като ще бъде надграден регистъра на трудовите договори. Предстои второ четене в комисия.
  • Изменения в Закона за движението по пътищата за отпадане на стикерите, улеснения във връчването по електронен път и въвеждане на задължения за спиране и връчване на водачи, които имат голям брой невръчени – минал на първо четене във водеща комисия.
  • Изменения в Закона за електронното управление, с които служебни справки се приравняват на удостоверения с цел тяхното отпадане; отпадане на нуждата от квалифициран електронен подпис за заявяване на е-услгуги; електронно връчване на всички документи, свързани с административното наказване; намаляване на таксите за електронни услуги; доуреждане на посредничеството при предоставяне на административни услуги и др. Законопроектът е минал на второ четене в комисия и предстои приемане в зала
  • Отдавна чаканите изменения в Закона за достъп до обществена информация за транспониране на директивата за отворени данни и надграждане на портала за достъп до обществена информация се очаква да бъдат финално приети наесен. На второ четене в комисия намерихме потенциално решение на проблемите на общините заради злоупотреба с право, без да ограничаваме правото на достъп.
  • Предложих изменения в Закона за авторското право и сродните му права с цел повишаване на свободния достъп до научна литература чрез ограничаване на журналите да спират последващо или предхождащо публикуване на научни публикации. Все още не е разглесано в комисия
  • На първо четене в комисия минаха изменения в Закона за обществените поръчки, с които се въвежда повече прозрачност на възлаганията, качване на договори по изключенията от закона и определяне на стандарт за отворени данни. Със закона се предвижда и разкриване на принадлежност към Държавна сигурност на лица в органите на управление на фирми, печелещи над половин милион от обществени поръчки
  • С представители на неправителствения сектор подготвихме изменения в Закона за гражданската регистрация, с който да решим проблема на над 70 хиляди лица, които нямат постоянен адрес и съответно им се отказва издаване на лична карта, чието внасяне предстои
  • Изготвихме изменения в Закона за закрила на детето за забрана за работа с деца на лица, осъждани за педофилия. Между първо и второ четене по Закона за защита от домашно насилие минаха текстове в тази посока (за регистър на педофилите), но смятам, че те имат доста проблеми и трябва да бъде изменени

Зададох доста въпроси към министри (служебни и редовни), които могат да бъдат видени в профила ми, в секция „Парламентарен контрол“, но ето някои по-интересни

Може би не е очевидно, но тези предложения минават с гласовете на ГЕРБ, понякога и на други партии. Както по темите за еврозоната и войната с Украйна, така и по горните теми, мнозинството в парламента приема добри промени. С нашите 63-ма депутати няма как сами да прокараме каквото и да било, така че обсъждаме конструктивно с другите партии. Това е парламентарната демокрация – нещо не минава, само защото звучи много хубаво.

Като цяло работата на Народното събрание може да е по-продуктивна, по-бърза и по-качествена. Но и свършеното и по горните закони, и по доста други, е позитивно, а аз опитвам да допринасям с каквото мога за въвеждане на сигурни и електронни процеси там, където има нужда и смисъл от това.

Материалът Отчет за първата парламентарната сесия е публикуван за пръв път на БЛОГодаря.

Дигитално евро и защита на личното пространство

Post Syndicated from Bozho original https://blog.bozho.net/blog/4118

Преди няколко дни Европейската комисия предложи законодателен пакет за въвеждане на дигитално евро.

По време на предизборната кампания участвах в един подкаст, фокусиран върху криптовалутите и бях попитан какво мисля за дигиталните валути, създадени от централни банки. И най-вече за рисковете от нарушаване на неприкосновеността на личното пространство чрез проследяване на всяко плащане.

Отговорих, че съм твърдо за възможността от анонимни плащания, защото в противен случай някой някъде ще следи и профилира потребителското ни поведение, а от това рано или късно ще произтекат проблеми. Няма да правя дълго сравнение със следящата всичко власт в Китай, но за това става дума.

В тази връзка смятам, че ЕК е свършила добра работа в проекта на регламент за дигитално евро, поради три аспекта.

Първо, няма планове за премахване на банкнотите. Да, в един момент пазарът може да наложи изцяло електронни плащания, така че това не е пълна гаранция, но е важен елемент.

Второ, онлайн плащанията няма да могат да бъдат централно следени. Регламентът не предвижда всичко технически детайли (и даже още не е избрано дали ще се ползва т.нар. distributed ledger, стоящ зад криптовалутите), но предвижда организационни и криптографски гаранции за защита на данните от централно събиране.

Трето, най-важно – предвижда офлайн плащания. Т.е. ще можем с телефона си, пълен с дигитално евро, да платим в магазин, без да се свързваме с някоя централна система, която да проследи транзакцията. Има и забрана за съхранение на данните за offline транзакциите, освен за „тегленията“ (т.е. зареждането на пари в телефона за офлайн плащане), точно както досега с тегленето от банкомат.

Европейските народи и съответно европейските институциите имат ценности и неприкосновеността на личното пространство е една от тях. Затова всяко електронно удобство е пречупено и през тази ценност. Ще следя техническите детайли, защото те ще бъдат важни, но оценявам първоначалното предложение положително.

Материалът Дигитално евро и защита на личното пространство е публикуван за пръв път на БЛОГодаря.

Конституция, поставена на изпитание

Post Syndicated from Bozho original https://blog.bozho.net/blog/4113

В последните няколко години реалността и политическата криза поставиха на изпитание много норми от Конституцията, които преди това са се приемали за формалност или за даденост.

Свърховластеността на главния прокурор беше даденост три десетилетия. Главните прокурори отричаха да има такава (освен в редки моменти на откровение). Политическите партии пазеха техните правомощия. Докато в един момент не стана кристално ясно, че не може повече така и че има проблем в конструкцията, а не просто в личността на един или друг.

Служебните кабинети бяха една формалност между избори, ако предишният кабинет не е завършил мандата си. Те бяха с ясен хоризонт от 3 месеца и не правеха кой знае какво, с малки изключения. През последните над две години служебни кабинети са управлявяли повече от редовни, поемайки дългосрочни ангажименти за страната, сменяйки шефове на служби на практика без съгласуване с друт център на власт, каквато е логиката на закона. И това логично поставя под въпрос докъде трябва да може да се простира едно неизбрано правителство.

Почти всички регулаторни и контролни органи в държавата са с изтекъл мандат. Това в някои случаи поставя под въпрос законосъобразността на техните действия, но дори когато са законосъобразни, тяхната легитимност е под въпрос. „Те са пред уволнение, едва ли ще свършат нещо“ е валиден коментар. А тези органи са имунната система на държавата.

Имунитетът на народния представител беше някаква формалност, докато всички не разбраха (или не си признаха), че прокуратурата не действа безпристрастно, а понякога като чадър или бухалка. И това наложи Народното събрание да разглежда по-внимателно тези случаи.

Ограничението за двойно гражданство на министри и депутати беше формалмост, но стана горещ казус, довел и до решение на Конституционния съд, и до досъдебно производство. И до въпроса защо ни е нужно това ограничение.

Задължителността на решенията на парламента беше тествана пред Конституционния съд, тъй като заради липсата на твърди мнозинства и редовни управления, парламентът на няколко пъти навлезе със свои рршения на територията на изпълнителната власт.

Независимостта на следствието, което през годините се мести напред-назад, също беше обект на много въпроси, свързани с логиката на устройството ма съдебната власт. Именно заради нейните дефицити, осветени през последните години.

Политически партии говорятнза унищожаване на групи хора и конституционните текстове за правата на гражданите и за ограниченията пред партии и други организации вече не звучат като декларативен преамбюл, а като важна част от обществения договор (каквато винаги са били, все пак).

И не на последно място, технологичната реалност също поставя някои норми на изпитание. Неприкосновеността на кореспонденцията е под въпрос не заради законния ред за СРС-та, а заради софтуери като Pegasus и Quadream, за чието притежание няма законов ред. Скоро ще стигнем и до въпроси, свързани с изкуствения интелект (напр. за легитимността на актове на органи на власт, ако решенията по тях са взети от изкуствен интелект, уж само подпомагащ органа).

Всичко това ни се е изсипало на главата в последните две години, а конституционните норми се „огъват“, понякога до счупване, и е крайно време да решим предпоставките за политическата криза. Именно затова графикът за конституционните промени е толкова важен.

Материалът Конституция, поставена на изпитание е публикуван за пръв път на БЛОГодаря.

Толкова ли са важни регулаторите?

Post Syndicated from Bozho original https://blog.bozho.net/blog/4110

Защо регулаторите и контролните органи са толкова важни? Защо заради процедурите за избор на едни три органа реагираме така остро?

Дълги години този тип органи се избират на квотен принцип без въпроси – всяка партия си предлага който реши и не прави проблем, за да не ѝ направят другите проблем за нейните кандидати.

И този подход не работеше добре. Затова преди да изберем правителство поискахме да има механизъм за проверка и издигани на кандидати – професионалиасти, наистина независими, които да оглавяват тези органи.

Това, което се случи вчера и днес, е отказ от такъв механизъм и връщане към стария, неработещ модел на зависими/партийни назначения. А е нужно нещо коренно различно.

За да не проспи БНБ следващо КТБ (за което всички знаеха, че кредитира свързани дружества и има проблеми, само не и регулаторът).

За да не прикрива Сметната палата злоупотребите на властта (настоящият председател, избран по изключение да е независим професионалист, беше махнат, в нарушение на конституцията, вкл. защото докладите на Сметната палата бяха доста критични, та чак се налагаше прокуратурата да ги покрива, за да не ги види обществото).

За да не изтичат пари, данни и най-вече животи през Здравната каса – само скорошният пример с фиктивното отпускане на лекарства за рак е достатъчен да си предтавим какви схеми има в сектор „Здравеопазване“. НЗОК разпределя най-много пари в страната, след МФ. И тези пари се харчат корупционно неефективно.

За да няма картели и монополи, които остават скрити за Комисията за защита на конкуренцията, на която ѝ е трудно да извършва проверки. А цените понякога са високо именно заради такива антипазарни механизми, каквито КЗК удобно пропуска.

За да няма застрахователи, които се превръщат в системен проблем за Европа и така стават пречка за влизането ни в еврозоната, но някак КФН не може да направи нищо.

За да няма антикорупционна комисия, която не е открила никаква корупция по високите етажи на властта, и която шеста година не може да си направи информационна система за анализ на корупционния риск, но пък ако се наложи е „добра“ бухалка.

За да няма удобно спящ инспекторат към Висшия съдебен съвет, за който не е проблем нито един от скандалите в съдебната система – „двете каки“, Цумгейт, Осемте джуджета и др.

И за да няма Висш съдебен съвет, който избира хора като Гешев, после не ги освобождава при доста красноречиви аргументи, докато политическият вятър не задуха в друга посока. И който утвърждава компрометирана система за избор на членове от професионалната квота, така че да е сигурно, че „здравите сили“ имат мнозинство.

Регулаторите и контролните органи са много, много важни за държавата ни. И не бива да се сменят „с риткик“, със седем-дневни срокове, приети от мнозинство, което отрича съществуването си.

За дългосрочното функциониране на държавата тези органи са от първостепенно значение. И затова реакцията ни е толкова остра. Не можем да оставим нещата с тези органи както са били, защото тогава никое правителство не може да изпълни очакванията за по-справедлива, ефективна и прозрачна държава.

Материалът Толкова ли са важни регулаторите? е публикуван за пръв път на БЛОГодаря.

Служебен обмен на данни в електронното управление

Post Syndicated from Bozho original https://blog.bozho.net/blog/4106

През 2015 г. електронното управление е доникъде. Е-услуги имат общо взето само НАП (такива, които се ползват, имам предвид), а служебното събиране на данни между администтациите, предвидено още от 2009 г. в закона почти не се случва.

Министерство на транспорта е възложило изграждане на система за обмен на данни между системи и регистри (RegiX). Но тя не е заработила на практика и няма изглед да заработи, защото администрациите отказват да го ползват – бил „незаконен“. Дори в случаите, в които някой се престраши, най-важните първични администратори – ГРАО и МВР изискват сключване на тристранни споразумения и масово отказват достъп по своя преценка.

Тогава правим две изменения, които да отключат процеса – в Закона за електронното управление забраняваме допълнителните споразумения, а в наредбата към него уреждаме използването на системата за обмен на данни като един от възможните начини за служебно събиране на данни.

Оттогава служебният обмен расте всеки месец и на гражданите се спестяват някои „разходки“. Но докато вече всичко по обмена на данни е ясно и макар администрациите да го ползват, те продължават да искат удостоверения и бележки, защото казват „в нашия закон пише, че трябва да съберем тези данни от заявителя“.

Затова в следващите седмици ще гласуваме следващата стъпка – приравняване на служебната справка на предоставени от заявителя удостоверения, така че дори в някой закон и наредба да пише „представя удостоверение“, това да не е пречка пред спестяването на административната тежест. Не само това, а въвеждаме удостоверяване на тези справки с електронен печат, за да няма оправдания „аз как да знам, че тези електронни данни са истински“.

Даволът е в детайлите – и техническите, и нормативните, и организационно-човешките. И една от причините да съм в парламента е, че такива детайли там има всяка седмица, а за да има електронно управление по сектори, понякога зависи от две алинеи и даже от две думи.

Материалът Служебен обмен на данни в електронното управление е публикуван за пръв път на БЛОГодаря.

Възможното правителство на конституционната реформа

Post Syndicated from Bozho original https://blog.bozho.net/blog/4103

Предложеното правителство се доближава до това, което от Да, България и ДБ говорим от доста време – правителство на конституционната реформа с максимално неполитически, експертен профил.

Само такова правителство има шанс да успокои разделенията в обществото, докато дава време на парламента за най-важната системна промяна, за която настояваме от години – конституциона реформа на съдебната власт и най-вече на прокуратурата.

Настоявайки за неполитически профил на кабинета, от Да, България не излъчихме министри, освен този, който може да е гарант именно за конституционната реформа – министъра на правосъдието. И то не каква да е конституционна реформа, а качествена. Затова Атанас Славов, доктор по конституционно право, е възможната кандидатура в настоящата ситуация. (А вече много пъти беше казано, че ако конституционната реформа бъде подменена, оставката на правителството ще последва веднага)

Всички останали ще бъдем в парламента, и заради Конституцията, и защото при липса на активна законодателна дейност в последните две години са се натрупали толкова много закони, които трябва да бъдат приети с внимание към детайла и балансите (вкл. свързани с електронното управление).

Фокусът на това правителство за нас е конституционната реформа, която то прави възможна. В тази безпрецедентна ситуация всичко останало е на втори план, защото е следствие от липсата на върховенство на правото.

„Ама как така с съдебна реформа с (друга партия, която нашите избиратели силно не одобряват). Те ще ви излъжат! Вие ги изпирате!“. Разбирам тази реакция. И съм сигурен, че чувствителността на избирателите трябва да остане висока. Но за промяна в Конституцията са нужни поне 160 гласа. И това е така, защото промяната на основния закон трабва да има широка обществена подкрепа, а не просто ситуационно мнозинство.

Ще бъде трудно в парламента, нямаме илюзии или излишен патос. Но сме длъжни да опитаме. Заявили сме тази цел пред избирателите, обяснили сме защо тя е важна според нас. А при всички рискове, за които не си затваряме очите, такова правителство дава реален шанс целта да бъде постигната.

Материалът Възможното правителство на конституционната реформа е публикуван за пръв път на БЛОГодаря.

Към професионална и деполитизирана администрация

Post Syndicated from Bozho original https://blog.bozho.net/blog/4100

Реформата на администрацията е нещо, което започнахме в последното редовно правителство. Можете да проверите какъв беше подходът – съкращения на щатни бройки след функционални оптимизации и преминаване към споделени услуги. Т.е. по всички правила за тази реформа. Иначе казано – по делата ще ни познаете.

В Министерство на финансите беше приет устройствен правилник, който напълно законосъобразно оптимизираше администрацията. После беше отменен от служебния кабинет. В МЕУ подготвяхме сходна промяна, но заради преструктурирането на старата държавна агенция, не стигнахме дотам. Но пък участвахме в пилотното ползване на споделени услуги за човешко ресурси. В Министерство на транспорта също бяха съкратени щатни бройки. В областните администрации се премина към централизирано счетоводство (довършено от служебния кабинет).

От МЕУ изпратихме детайлни въпросници до всички министерства за ИТ звената им и с какво точно се занимават, за да централизираме т.нар. service desk функции. Напр. от Администрацията на Министерския съвет преназначихме целия ИТ отдел към изпълнителната агенция под МЕУ, от МФ готвихме да вземем единия отдел от двата в ИТ дирекцията.

Имахме заседание на съвета за административна реформа, на който министерствата докладваха докъде са с оптимизациите и с преминаването към споделени услуги.

Знам, знам. Скучно е. Но това е правилният начин за съкращаване и опимизиране на администрацията и работим именно по него.

Сигурно щеше да е по-интересен статус, ако бях разказал в подробности как при поемането на министерството получих информация от бивши служители, че един настоящ служител е близък до определена партия. Реакцията ми беше „ако е компетентен, няма причина да го уволнявам“. И как след това установихме, че същият пуска доноси срещу мен. Ако политическите пристрастия на един държавен служител пречат на работата на администрацията, в която работи, то той няма място там. Но смятам, че това е по-скоро изключение.

В програмата на правителството записахме въвеждане на централизиран етап на конкурсната процедура за държавни служители. И смятам, че това, заедно със споделените услуги и функционалните оптимизации, е пътят към по-професионална и деполитизирана администрация.

Материалът Към професионална и деполитизирана администрация е публикуван за пръв път на БЛОГодаря.

Европейски механизъм за сваляне на имунитет

Post Syndicated from Bozho original https://blog.bozho.net/blog/4098

Днес в записите на Радостин Василев се чува как Христо Иванов бил измислил как да не бъде свалян имунитета на Борисов. Христо Иванов вече отрече да е имало такъв замисъл, но нека обясня детайлите, защото работих по конкретиката на тази идея за ползване на правилата на европейския парламент.

Известно е, че нашата прокуратура е бухалка и не се свени да повдига обвинения по политически причини. Конституцията е дала на народните представители имунитет, за да ги пази в случаи, включително в които с действията си провокират прокуратурата – напр. с гласуване на закони за орязване на всевластието на главния прокурор.

В правилника на Европейския парламент има разписана процедура, по която комисията по правни въпроси (JURI) разглежда в закрити заседания исканията за имунитети на евродепутати, изслушва ги и дава доклад, за да може в пленарна зала да бъде решено дали имунитетът да бъде даден. Комисията може да изисква всички материали по разследването и има обективни критерии за преценка.

Това със сигурност не отнема 6 месеца – искането на Цацаров за имунитета на Елена Йончева е отнело 2 месеца, като единият е бил празничният декември.

Към момента в правилника на нашето Народно събрание няма много подробности за този процес, преценката се прави на база на това, което прокуратурата реши да предостави като информация, и всъщност позволява „тупане на топката“. А това оставя отворена врата за спекулации, вкл. с това кой кого пази и с какви мотиви. Затова обсъждахме въвеждането на по-ясни правила, като европейските.

За да няма бланкетното даване на имунитети или бланкетното отказване на имунитети, а всеки случай да може да бъде преценен обективно. За да изпълним духа на Конституцията. И за да не може с едно гласуване, без да имаме детайли, да бъдем вкарани в нечия игра или в нечий лагер.

Такъв механизъм е особено важен в момент, в който Гешев е обявил война на Народното събрание, защото то планира да му ограничи правомощията.

А конституционната реформа със сигурност ще отнеме по-дълго от всякакъв процес по гледане на имунитет, така че съпоставката между двата процеса никога не е била обект на обсъждане.

Всяка правилна идея може да бъде изкривена до „задкулисие“, когато бъде извадена от контекст и лишена от важни подробности, затова нека не придаваме на едни записи на преразкази твърде голямо значение. И мога да потвърдя, че в Да, България не сме обсъждали пазене на имунитета на когото и да било.

Материалът Европейски механизъм за сваляне на имунитет е публикуван за пръв път на БЛОГодаря.

Правителство на конституционната реформа

Post Syndicated from Bozho original https://blog.bozho.net/blog/4095

Всички са съгласни, че трябва да излезем от политическата криза. Но трябва да решим причината за нея, а не да лекуваме симптомите – едно правителство, получило 121 гласа, няма да я реши само по себе си.

А причината е, че каквато и формула за правителство да приложим, хората няма да ни повярват, че разбирателството не е заради „порциите на властта“. А няма да ни повярват, защото институцията, която трябва да пази обществените ресурси от корупционно превземане, е мутренска структура, която активно подпомага това корупционно превземане.

Няма как да има широко доверие в никое управление, докато като общество нямаме поне базова увереност, че прокуратурата ще преследва корупционни престъпления без да звъни по телефона преди това, за да каже „падна ли ни в ръчичките, приятелю“ и без да използва всяка процесуална вратичка за политическо влияние.

Затова правителство на конституциинната реформа е тяснята пътечка, която да ни изведе от гората на политическата криза. И то може да е само с втория мандат, както заради дълготрайния ни ангажимент към избирателте за конституционна реформа, така и заради горчивия опит от 2015 г, когато дори минимално възможният консенсус беше саботиран с поправка в последния момент. Тогава министърът на правосъдието подаде оставка. Сега залогът е по-голям и трябва да сме убедени, че премиерът ще подаде оставка, ако реформата бъде подменена. Това нашата коалиция може да го гарантира като мандатоносител.

Едва след това можем да постигнем другите амбициозни задачи за страната. Иначе и те ще потъват в корупционната тиня – еврозоната ще я спира един задкулисен интерес, Шенген – друг, плана за възстановяване – трети. Ако пък не го направим, пропускаме исторически шансове.

Материалът Правителство на конституционната реформа е публикуван за пръв път на БЛОГодаря.

Why I’m Not So Alarmed About AI And Jobs

Post Syndicated from Bozho original https://techblog.bozho.net/why-im-not-so-alarmed-about-ai-and-jobs/

With the advances in large language models (e.g. ChatGPT), referred to as AI, concerns are rising about a sweeping loss of jobs because of the new tools. Some claim jobs will be completely replaced, others claim that jobs will be cut because of a significant increase in efficiency. Labour parties and unions are organizing conferences about the future of jobs, universal basic income, etc.

These concerns are valid and these debates should be held. I’m addressing this post to the more extreme alarmists and not trying to diminish the rapid changes that these technological advances are bringing. We have to think about regulations, ethical AI and safeguards. And the recent advances are pushing us in that direction, which is good.

But in technology we often live the phrase “when you have a hammer, everything looks like a nail”. The blockchain revolution didn’t happen, and so I think we are a bit more eager than warranted about the recent advances in AI. Let me address three aspects:

First – automation. The claim is, AI will swiftly automate a lot of jobs and many people with fall out of the labour market. The reality is that GPT/LLMs should be integrated in existing business processes. If regular automation hasn’t already killed those jobs, AI won’t do it so quickly. If an organization doesn’t use automation already for boilerplate tasks, it won’t overnight automate them with AI. Let me remind you that RPA (Robotic process automation) solutions have been advertised as AI. They really “kill” jobs in the enterprise. They’ve been around for nearly two decades and we haven’t heard a large alarmed choir about RPA. I’m aware there is a significant difference in LLMs and RPA, but the idea that a piece of technology will swiftly lead to staff reduction across industries is not something I agree with.

Second – efficiency. Especially in software development, where products like Copilot are already production-ready, it seems that with the increase of efficiency, there may be staff reduction. But if a piece of software used to be built for 6 months before AI, it will be built for, say, 3 months with AI. Note that code writing speed is not the only aspect of software development – other overhead and blockers will continue to exist – requirement clarifications, customer feedback, architecture decisions, operational and scalability issues, etc., so increase in efficiency is unlikely to be orders of magnitude. AT the same time, there is a shortage of software developers. With the advances of AI, there will be less of a shortage, meaning more software can be built within the same timeframe.

For outsourcing this means that the price per hour or per finished product may increase because of AI (speed is also a factor in pricing). A company will be able to service more customers for a given time. And there’s certainly a lot of demand for digital transformation. For product companies this increase in efficiency will mean faster time-to-market for the product and new features. Which will make product companies more competitive. In both cases, AI is unlikely to kills jobs in the near future.

Sure, ChatGPT can write a website. You can create a free website with site-builders even today. And this hasn’t killed web developers. It just makes the easiest websites cheaper. By the way, building software once and maintaining it are completely different things. Even if ChatGPT can build a website, maintenance is going to be tough through prompts.

At the same time, AI will put more intellectual pressure on junior developers, who are typically given the boilerplate work, which is going to be more automatable. But on the other hand AI will improve the training process of those junior developers. Companies may have to put more effort in training developers, and career paths may have to be adjusted, but it’s unlikely that the demand for software developers will drop.

Third, there is a claim that generative AI will kill jobs in the creative professions. Ever since I wrote an algorthmic music generator, I’ve been saying that it will not. Sure, composers of elevator music will be eventually gone. But poets, for example, won’t. ChatGPT is rather bad at poetry. It can’t actually write proper poetry. It seems to know just the AABB rhyme scheme, it ignores instructions on meter (“use dactylic tetrameter” doesn’t seem to mean anything to it). With image and video generation, the problem with unrealistic hands and fingers (and similar ones) doesn’t seem to be going away with larger models (even though the latest version of Midjourney is neatly going around it). It will certainly require post-editing. Will it make certain industries more efficient? Yes, which will allow them to produce more content for a given time. Will there be enough demand? I can’t say. The market will decide.

LLMs and AI will be change things. It will improve efficiency. It will disrupt some industries. And we have to debate this. But we still have time.

The post Why I’m Not So Alarmed About AI And Jobs appeared first on Bozho's tech blog.

Планът за възстановяване и устойчивост не е торба с пари

Post Syndicated from Bozho original https://blog.bozho.net/blog/4088

Тъй като често говорим за плана за възстановяване и устойчивост твърде общо, се създават грешни интерпретации. Затова ще вляза в конкретика.

Планът за възстановяване и устойчивост не е една торба пари, която България ще получи, ако приемем едни закони. Планът е дълъг списък от реформи, които включват изменения на закони и наредби, но далеч не само – инвестиции, действия на изпълнителната власт, процедури, възлагания, постигане на конкретни резултати. Ще дам два примера:

Първият е изграждането на високоскоростна интернет свързаност до всички 265 общински центъра и отвъд тях, за покриване ма отдалечени райони. За това не се изискват изменения на закони. Но се изисква много работа – планиране, комплексно разрешително от МРРБ (защото трябва да се копае за полагане на оптични кабели), нотификация на държавна помощ, провеждане на процедури за избор на изпълнители. В крайна сметка ще получим парите, ако постигнем целта – брой жители с високоскоростен интернет.

Вторият е пълна дигитализация на инвестиционното проектиране и разрешителните за строеж. В момента без печати по огромми листи с проекти, и бюрокрация на всяка стъпка, не можеш да построиш нито бизнес сграда, нито жилищна, нито дори пристройка. Тази мярка включва изграждане на централизирана система (подготовката за нея започма по наше време) и пълна промяна на процесите. Изисква и изменения в Закона за устройство на територия, за да бъдат узаконени новите, оптимизирани процеси.

Законите, които са необходими, отключват междинни плащания от Европейската комисия към България, за да може да ги инвестираме в планираните проекти. Но далеч не изчерпват реформите. Ако за една реформа беше достатъчно публикуването на нещо в Държавен вестник, щяхме да се барикадираме в печатницата на Държавен вестник и за две седмици да „реформираме“ всичко.

Планът за възстановяване и устойчивост е квази-управленска програма и изисква доста усилия, да бъде изпълнен. А когато бъде, плюсът няма да е, че едни пари са усвоени (това сме го виждали), а че ще има измерим резултат за хората.

Материалът Планът за възстановяване и устойчивост не е торба с пари е публикуван за пръв път на БЛОГодаря.

Анализ на изборните проблеми

Post Syndicated from Bozho original https://blog.bozho.net/blog/4045

Тези дни се появяват множество публикации с проблемни изборни протоколи и грешни сумирания. На официалната пресконференция на Продължаваме промяната – Демократична България позицията ни беше, че проблеми има и те трябва да бъдат посочени и решени, и макар че тяхното натрупване едва ли би променило крайния резултат, всеки глас има значение. Подкрепям тази теза и нейнто спокойно артикулиране, като ще опитам да обясня детайлите и какво точно виждаме.

Първо, усещането за нечестност е разбираемо. Имаше много секции с проблеми с машините, заради това, че ЦИК не осигури тестове с реалната хартия и реалните ролки и те, оказа се, не работят добре с машините. Има секции с фрапантни грешки, има секции с поправяни протоколи, има лошо организиран процес в СИК, както се видя на камерите. Доста секции не излъчваха наживо, протоколите на РИК и дори финалния има несъответствия при сумирането, имаше и много сигнали за купуване на гласове. Тези проблеми произтичат от пропуски в Изборния кодекс и грешки на изборната администрация. И за почти всеки от тези проблеми сме предупреждавали. Но да ги разгледаме един по един:

  • разминавания между машинните данни и протоколите на СИК (т.е. човешкото броене). В много случаи (1/5 от секциите) имаше такива разминавания. Това беше очаквано и го казвахме много пъти – машината е по-добра от хората в това да брои и да смята. В крайна сметка, обаче, разликите са пренебрежимо малки. ППДБ имаме отчетени с 1458 гласа по-малко от секционните комисии спрямо машините. Да, не е редно да има такива грешки, защото всеки глас е важен и ние затова се борихме да останат машинните данни за такъв тип проверка, и настоявахме пред ЦИК тя да се случи в РИК, за да може да се отстраняват. Но именно заради тези усилия, злонамерени системни манипулации по-скоро няма – това са очаквани грешки при броенето, каквито винаги е имало. Между другото, ГЕРБ също са надолу с 894 гласа от тези грешки. Отговорността за тези разминавания е на мнозинството на ГЕРБ, ДПС и БСП и на ЦИК, които отказаха машината да вади протокол.
  • сериозни разминавания в някои секции – да, има такива секции, в които има разлика 10-20-40-80 гласа в ущърб на ППДБ. Тези секции са малко на брой (аз при предварително сваляне на данните открих 13 такива). От това, което изглеждах на видеозаписите (не съм изгледал всички), са заради хаотична работа в секционната комисия, а не злонамерени. Но трябва да предотвратявяме такива грешки, за да не бъдат скрити вбъдеще зад тях злонамерени действия.
  • проблеми с контролите – многото грешки в протоколите поставят под съмнение наличието на контроли. Реално, обаче, контроли има и те са сработили. Просто районните комисии приемат протоколите „в червено“ (т.е. с яснота, че има грешки по тях) и ги предават на ЦИК така. След това ЦИК анализира всички тези несъответствия. Поправя грешките там, където може (чл. 301), и описва всичко в доклад, който вече е публичен. В крайна сметка от тези неизлезли контроли разминаванията са незначителни в крайния резултат, но отново показват, че натрупването на проблеми от Изборния кодекс води до повече грешки.
  • грешно събиране на данни в протоколите на РИК и финалния на ЦИК – когато отворите протокол на РИК, особено в 24-ти МИР, бие на очи, че хартия+машина не е равно на „Общо“. Това изглежда неадекватно, и е, защото ЦИК е приело, че колоната „общо“ също е първична данна, както другите две колони. И когато в СИК не съберат две числа правилно, това се пренася с натрупване в районния протокол. Това можеше да бъде коригирано в РИК, но нито ЦИК, нито РИК са взели такива решения за няколко секции и накрая изглежда, че изборните органи не могат да съберат две числа. Реално и там разминаванията са малки (-109 гласа за ГЕРБ, -173 за ППДБ), но отново проблемът е резултат и от Изборния кодекс, и от действията на ЦИК. И заради липсата на ясно обяснение, създава сериозно недоверие. Любопитното е, че след повторната проверка такива грешки има само в няколко секции. Тази, която допринася за почти цялото разминаване в сумите е секция 244606040 в София, където са писали резултата в полето за „хартия“, и са оставили „машина“ и „общо“ празни. И нито РИК, нито ЦИК са коригирали тази очевидна грешка. Една секция не променя изборите, но заради нея се създава усещане за манипулации.
  • проблеми с машинното гласуване – на много места ролките и хартията бяха неподходящи, а тъй като не бяха тествани предварително, изборната администрация разбра това в изборния ден. Ще цитирам член на ЦИК (от квотата на БСП), който в средата на март казва следното. ЕМИЛ ВОЙНОВ: „Уважаеми колеги, аз считам, че ако специализираната хартия с утвърдените защити не бъде удостоверена от органите, които са оторизирани от Изборния кодекс да извършат удостоверяване, и се появи някакъв проблем с хартията в изборния ден, то може машинното гласуване да се компрометира и Централната избирателна комисия да носи отговорност в такъв случай, че не е взела всички мерки да бъде удостоверена тази хартия.“. Тези проблеми можеха да се решат, ако ЦИК беше изпълнило в пълнота параграф 55 от Изборния кодекс (предложен от нас) за провеждане на експерименти с реалната хартия. Но нетният резултат и от тях е няколко двойни гласувания, докато излезе разписка, което пък допринася за по-големия брой разминавания в протоколите, обяснено по-горе
  • без видеоизлъчване в 2639 секции, както и липса на видеоизлъчване в някои от определените като „рискови“ секции. Тук има два аспекта – първият е, че телекомите нямат добро покритие навсякъде (именно затова в плана за възстановяване има проект за високоскоростна свързаност в отдалечени райони). Това беше известно, очаквано и макар да нямаше информация за точната бройка секции, очакванията бяха за между 2 и 3 хиляди. Това не значи, че телефоните не са били включени и че няма запис – записите очаквам да бъдат качени съвсем скоро. Малко по-високият процент рискови секции без излъчване (26.9% спрямо 22.7 от всички, изчислено на база на качените видеа) също е обясним отчасти с покритието. Тъй като тези често са по-отдалечени места, е очаквано при тях липсата на излъчване да е по-масова. Това се потвърждава и от по-високия процент секции с лошо качество на излъчването в рисковите секции, което също може да се извлече от сайта evideo.bg. Трябва да имаме предвид, че секция се определя като рискова по много критерии, но основните са свързани с различни гласувания на големи групи избиратели на различни избори – иначе казано на едните избори са купени гласовете за една партия, на другите за друга, а на трети МВР си е свършило работата и не са излезли да гласуват. Това няма да се види на камерите. То се случва преди изборния ден и в самия изборен ден. Камерите бяха добър превантивен инструмент – когато знаеш, че нещо снима и записва, не си склонен да правиш фрапантни нарушения. В тези секции, между другото, членовете на СИК не знаят дали има излъчване или не. Има и секции с невключени телефони, като предстои да видим кои са те, но предвид горната статистика, не очаквам да има значително изкривяване.
  • липса на паравани – вместо тях се ползваха старите тъмни стаички, което позволява снимане за доказване на купен и контролиран вот. Тук доброто законодателно намерение се срещна с невъзможността на изборна администрация, местна администрация и централна администрация да изпълнят закона. ЦИК не каза какво точно значи параван, а общините и правителството на закупиха такива. Ако има нарушение, което смятам за сериозно, това е именно липсата на паравани. Но можем да го отдадем отчасти и на кратките срокове заради предсрочността на изборите. На следващи избори се надявам ЦИК, Министерски съвет и общините да поправят пропуска с параваните.
  • купуване на гласове – това е най-сериозният проблем на българските избори, не само на тези. От всичко изброено, то има най-значителен ефект върху крайния резултат. То обаче не е в компетенциите на ЦИК и не е пряка част от изборния процес (като изключим горната точка). Купуването на гласове е функция на много други проблеми в обществото, вкл. на нереформираната прокуратура и неспособността на МВР да противодейства достатъчно ефективно. Осъдени за купуване на гласове сигурно ще има, но те не купуват за себе си, а за някоя партия, и това става с нейното или одобрение, или затваряне на очи. Има необясними преференциални резултати из страната, които допринасят за усещането за нечестност. Трябва най-после купуването на гласове да спре и партии, които имат претенции да представляват големи групи избиратели, да се откажат от тези престъпни практики.
  • протокол на флашка с електронен подпис в бъдещето – Бърд са открили една секция, в която електронният подпис на машинния протокол е с дата в бъдещето. Това е интересно наблюдение и повдига въпроси, на които опитах да дам отговор вчера във Фейсбук. Накратко – това е само една секция, в която няма разминавания с данните на СИК, и грешката най-вероятно е при настройването на машините в складовете. ИО не може да копира ключове от картите, но както много пъти сме предлагали, трябва публичните ключове на всички карти да се публикуват преди изборния ден

Всичко това дава усещане за нещо нередно, за нещо манипулирано, за нещо нечестно. Но все пак изглежда, че няма основания да смятаме, че поправянето на грешките ще промени резултата. Няма основания, обаче, и да ги игнорираме, и ще предприемем действия в тази посока в парламента.

На тези избори няма сериозни разминавания между протоколите от СИК и данните на флашките. Разминаванията са далеч от гласовете за дори един мандат (който изисква малко под 10 хил. гласа). Грешките в протоколите на СИК, РИК и ЦИК след повторните проверки също са сумарно около 1000 гласа за всички. Но грешки, които не променят резултата на парламентарни избори, могат да променят всичко на предстоящите местни избори, при които няколко десетки гласа могат да променят кмета на дадена община или баланса в общинския ѝ съвет. И това е още една причина да направим така, че да не се случват.

Купуването на гласове не изглежда да има значителен ръст, но не е и намаляло. Затова съм подготвил въпрос към МВР, с който да получим по-добра представа за действията им.

Между другото, добре че спасихме данните от флашката в Изборния кодекс, за да можем да сме сигурни за мащаба на грешките и да можем да го проверяваме в реално време, още докато излизат резултатите и да подаваме разминаванията на ЦИК за проверка, както и направихме. Иначе няколко такива протокола щяха да имат още по-силен публичен ефект и да подкопаят още повече доверието в крайния резултат.

Това, че многото грешки и несъвършенствата в процеса не водят до сериозни изкривявания на тези избори е добре, но не трябва да ни успокоява – всеки глас е важен и трябва да бъде отчетен правилно. Особено на местни избори. Не ни успокоява и това, че при приемането на кодекса посочихме риска за много от тези проблеми. Нужно е, при наличие на парламентарно време, спокойно да решим какъв Изборен кодекс искаме. Не „на коляно“, не със сила, не с лудитски пориви за борба с технологиите и не със среднощни заседания. Този изборен кодекс не е добър, създава условия за всички тези грешки и за недоверие в изборния процеса. Нашата работа е да ги посочваме и решаваме без рушим и малкото останало доверие.

Материалът Анализ на изборните проблеми е публикуван за пръв път на БЛОГодаря.

Мерки за справяне с дезинформационните кампании

Post Syndicated from Bozho original https://blog.bozho.net/blog/4041

Неутрализирането на дезинформационни кампании е деликатна тема. Защото винаги някой чете „борба с дезинформацията“ като „заглушаване на свободата на словото“. И действително ледът е тънък, затова основен принцип, от който се ръководя е „не трябва държавата да може блокира съдържание, защото го смята за грешно“.

Но възползвайки се от тази европейска ценност, и Кремъл, и местни играчи, организират дезинформационни кампании с политически и геополитически цели. Именно за това не можем да вдигнем ръце и да кажем „к’вото-такова“, оставяйки пропагандните наративи да достигат до все повече хора без насрещна реакция.

Ето няколко доста специфични мерки, които предвиждам, и които не включват цензура. Някои от тях изискват законодателна инициатива, като още в миналия парламент предложихме законови изменения:

  • задължение за идентифициране на трол ферми от големите социални мрежи. Това не са хора с различно мнение или дори индивидуални анонимни акаунти. Това са много на брой профили, които действат координирано, за да промотират пропагандни наративи – чрез споделяне, харесване, публикуване в групи, коментари. И в момента те са забранени, но социалните мрежи полагат минимални усилия да прилагат собствената си забрана.
  • ограничаване на алгоритмичните изкривявания при препоръчване на съдържание, за да не се препоръчва толкова много най-сензационното и скандално съдържание. По този проблем правомощия вече има Европейската комисия, като България ще участва в тази политика, давайки местната гледна точка, както направих миналата пролет при срещите си с комисарите Юрова и Бретон
  • прозрачност на модерацията и възможност обжалване – това е предвидено в скоро приетия акт за цифровите услуги на ЕС, като ние предложихме и ще предложим пак местна уредба, така че блокираните профили да могат да обжалват пред трета страна. А социалните мрежи ще трябва да предоставят повече информация за модераторските си практики, които са скрили под корпоративната тайна (и отказаха отговор на всеки въпрос, поставен в документите от изслулването, което проведохме по темата)
  • стратегическа комуникация – държавата трябва да има процес за реакция на пропагандни наративи, а именно – да комуникира навременно и адекватно вярната (според нея) информация. В момента се стига до това министри в личните си профили да опровергават фалшиви новини, като напр. тази, че ще изпращаме военни в Украйна (не, няма). Но този процес трябва да е структуриран – да се следи какви лъжи „бълкбукат“ в пространството и да се обяснява човешки и разбираемо гледната точка на институциите (няма да кажа „истината“ или „фактите“, защото не можем да презюмираме, че държавата ще е права, но поне да има симетрия в комуникацията
  • ограничаване на финансирането на фалшиви новини чрез реклами – в момента съществуват рекламни мрежи, които разпространяват подвеждащи реклами, които не отговарят на закона (псевдо-медицински продукти за отслабване и подобни, всички сме ги виждали). Сайтовете с фалшиви новини все по-рядко могат да ползват рекламни мрежи с добра репутация и прибягват до такива отвъд закона. Държавата може са си свърши работата по закононарушенията, като глоби рекламните мрежи, като страничен ефект ще бъде спиране на притока на пари към тези сайтове. Това не значи спиране на сайтовете, разбира се.
  • образование, образование, образование – всички мерки по-горе са краткосрочни. Дългосрочната мярка е възпитаването на критично мислене и гражданското образование.

Защо отделям толкова внимание на това? Защото е важно за националната сигурност. Ако външни и вътрешни фактори могат да изкривяват общественото мнение в своя полза чрез дезинформация, и това доведе до грешни политически решения, страдат всички. И затова е важно внимателно и без създаване на инструменти за цензура, да отбиваме пропагандните атаки.

Материалът Мерки за справяне с дезинформационните кампании е публикуван за пръв път на БЛОГодаря.

Чадър на трупчета: как прокуратурата има безконтролна власт

Post Syndicated from Bozho original https://blog.bozho.net/blog/4039

Чадър на трупчета. Така метафорично може да бъде описана прокуратурата. Заради чадърите, които се опъват над определени разследвания. И заради делата, които се държат „на трупчета“, за да бъдат държани хора в зависимост.

Защо искаме реформа на прокуратурата? Защото е важно не какви пресконференции дава прокуратурата, и дори не колко процента осъдителни присъди има, а колко обвинения и какви са повдигнати в един конкретен сегмент – висши публични длъжности (министри, зам-министри, председатели на агенции, кметове и др.).

Кого НЕ е обвинила прокуратурата? Ако знаеш, че всяка схема ще ти се размине, защото „имаш човек/чадър в прокуратурата“, корупцията е неизбежна.

Кого са обвинили със съзнателни пропуски в обвинението, за да падне в съда?

Кого са обвинили без доказателства, за назидание, че не се е подчинил (да, тези дела се разпадат в съда, но на човека му се лепи етикета „обвиняем“)

И най-важното: за кого главният прокурор има „папки“, които чакат „на трупчета“ да бъдат отворени – когато си на властова позиция и ти покажат папката в прокуратурата, за да не се отклоняваш от „правия път“.

Какво общо има главния прокурор с това? Че то се случва с негово формално или неформално искане. И че всички прокурори зависят кариерно от него.

В Конституцията има чл. 126, ал. 2: „Главният прокурор осъществява надзор за законност и методическо ръководство върху дейността на всички прокурори“.

Заради тази алинея и заради няколко други структурни предпоставки няма как да има съдебна реформа без изменение в Конституцията. И затова настояваме за такава от години. За да няма чадъри и трупчета по решение на един свръховластен и безконтролен човек, който и да е той. Защото това е основна пречка пред нормалното функциониране на държавата във всички нейни части.

Материалът Чадър на трупчета: как прокуратурата има безконтролна власт е публикуван за пръв път на БЛОГодаря.

Nothing Is Secure [slides]

Post Syndicated from Bozho original https://techblog.bozho.net/nothing-is-secure-slides/

Yesterday I gave a talk on a local BSides conference in Bulgaria titled “Nothing is secure”.

The point is simple: security is very hard, there are many details, many tools, many processes that we need to tackles and many problems that we need to solve day and night. And this, combined with the inherent complexity of IT systems, makes things inherently insecure. We have to manage risks and governments need to have long-term policies in education (in order to have trained experts), in standardization (in order to let systems “talk” to each other easily and reduce moving parts) and responsibility of vendors for (at least) critical infrastructure. Below are my slides:

The post Nothing Is Secure [slides] appeared first on Bozho's tech blog.

Internally And Externally Facing Honeypots

Post Syndicated from Bozho original https://techblog.bozho.net/internally-and-externally-facing-honeypots/

Honeypots are great security tools – you install a “decoy”, which attracts malicious traffic. They have certain ports open and they work with certain protocols, mimicking regular interactions, e.g. SSH, RDP, Telnet, HTTP. Usually, at least in introductory materials, honeypots are assumed to be externally-facing (e.g. installed in the DMZ). This means attackers can see it in the open internet and you can collect valuable information.

However, there can be a different mode for honeypots – internally-facing. In normal circumstances, they’d be completely silent. Only in case of a real intruder (doing lateral movement) or during security audits and pentests they will collect data (otherwise nobody has any business poking in that IP address).

It makes sense to have both types of honeypots. Here are the positive sides of an externally facing honeypot:

  • Constantly collects threat information (IPs, attempted passwords, attempted protocols) and apply this knowledge in other tools (e.g. insert IPs in SIEM/Firewall)
  • Distinguish automated probes from human intrusion attempts
  • Visualize trends in malicious activity

And the benefits of internally-facing honeypot:

  • Get alerted in case of lateral movement. Almost every hit on the internal honeypot needs to be investigated immediately
  • No risk for allowing intruders in through 0days in the honeypot software stack
  • Not consuming much resources (the external honeypot has to services potentially many requests; the internal one is serving 0 if everything is fine)

The post Internally And Externally Facing Honeypots appeared first on Bozho's tech blog.