Tag Archives: Всичко

Защо е важен главният прокурор

Post Syndicated from Bozho original https://blog.bozho.net/blog/3413

Предстои избор на нов главен прокурор. Със седемгодишен мандат. А прокуратурата е йерархична структура – главният прокурор може да контролира всичко в системата, всички са му подчинени. Този избор на пръв поглед не е толкова важен – да си се избират в съдебната система, да си гонят престъпниците. А и „хората правосъдие не ядат“.

Прокуратурата наистина има за цел да обвинява престъпници (хора, които са нарушили някой член на Наказателния кодекс, при който престъплението се счита от общ характер). Само че в Наказателния кодекс няма само телесни повреди, убийства и (кибер)тероризъм. Има и престъпления по служба, безстопанственост, попълване на документи с невярно съдържание и други престъпления, в които може да бъде обвинен един премиер, вицепремиер, министър, зам.министър, председател на агенция или комисия или кмет. И обвиненията се повдигат именно от прокуратурата, когато тя реши. А за определени обвинения, например на гореспоменатите длъжности, когато главният прокурор реши.

Появяват се тук-там странни защитници на Гешев (и Цацаров), според които прокуратурата си работи чу-дес-но, щото, видите ли, били арестували разни съмнителни бизнесмени (наречени малко пресилено „олигарси“). Това, че прокуратурата от време на време обвинява някой престъпник и даже накрая той влиза в затвора, е супер. Все пак – това ѝ е работата.

Причината обаче да се слагат хора като Гешев и Цацаров на тия постове е не това кого са обвинили успешно, а четири други неща:

  • кого НЕ са обвинили – когато знаеш, че всяка схема ще ти се размине, защото „имаш човек в прокуратурата“, корупцията си тече най-добре
  • кого са обвинили със съзнателни пропуски в обвинението, за да падне в съда – за да може после някой да каже „ние ги хващаме, те ги пускат“, прехвърляйки топката на съда
  • кого са обвинили без доказателства, само за да го държат в страх. Например министрите на Реформаторския блок получиха обвинения, които после се разпаднаха
  • за кого главният прокурор има „папки“, които чакат да бъдат отворени – когато си министър и ти покажат папката в прокуратурата, ще правиш точно това, което ти кажат, ако не искаш тя да бъде превърната в обвинение

Та, да оставим Минюстайковци, Баневи и подобни. Не за тях става дума тук.

Става дума за корупцията по високите етажи, която остава ненаказана. Но още повече става дума за всеки, който се опита да счупи някоя съществуваща схема, и срещу който може да бъде повдигнато обвинение и да бъде разнасян по медиите и из съдилищата.

На Христо Иванов беше проверяван за обществена поръчка за поддръжка на климатици. До обвинение не се стигна, защото щеше да е прекалено абсурдно. Даниел Митов и Христо Ангеличин бяха обвинени, за неизгодни самолетни билети за нуждите на министерството и за неизгодна сделка с телефонни централи. Обвиненията се разпаднаха в съда, разбира се.

В горните примери трябва да отбележим, че това са поръчки на сравнително ниски стойности, които министрите разписват, защото хората под тях са им ги дали за подпис. Един министър трябва да подпише тонове документи и носи отговорност за тях. Съответно е лесна мишена за саботаж или при неволна грешка.

С тези механизми на всеки бъдещ министър му е ясно, че във всеки един момент могат да му спретнат проверка и дори обвинение. Без значение дали е нарушил закона. Всичките четири неща от списъка по-горе изкривяват властта и я правят зависима от прокуратурата. Естествено, че прокуратурата трябва да може да повдига обвинения, въпросът е, че в момента се използва и за други цели.

Не съм специалист по съдебна реформа, но знам, че в западна Европа има доста по-различен модел на държавното обвинение. Нашият е съветски. Там целта е била ясна – противниците на властта са врагове на народа. Сега целта, уж, е различна.

Та, изборът на главен прокурор може да изглежда маловажен. Привидният консенсус около кандидатурата на Гешев може да звучи успокоително. Но всъщност един човек, който в телевизионни интервюта обвинява политическата опозиция в тероризъм, ще получи седемгодишен мандат с безконтролна власт да обвинява или не обвинява „когото трябва“. Тази власт е прекалено голяма и затова този избор е толкова важен. Не просто за съдебната система, а за демократичното развитие на страната.

Без фалшиви дилеми на първи тур

Post Syndicated from Bozho original https://blog.bozho.net/blog/3410

Наближават местни избори. И поне в София, а и на доста други места, се прокрадва и пробутва схващането, че изборът е само между две опции и от нищо друго няма смисъл, и битката ще е точно между тези две опции. В контекста на София се опитват да ни убедят, че това ще е битката Фандъкова – Манолова. И да си изберем една от тях. В същото време се опитват да ни пробутат и друга теза – че издигането на един или друг кандидат помагало я на Манолова, я на Фандъкова, в зависимост „чий“ анализатор питаме.

Това, разбира се, са глупости. Т.нар. тактическото гласуване, при което гласуваш не за предпочитания от теб кандидат (или партия), а за някой от обявените за фаворити, действително съществува, но от него няма нужда на първи тур. Една от целите на изборите в два тура е именно да минимизират тактическото гласуване, защото „по-малкото зло“ ще може да се избере на втори тур, ако избирателят прецени.

Тактическо гласуване има на парламентарни избори, където избирателите решават да не подкрепят партия, която не е сигурно дали ще влезе в парламента. Такова има и на избори в един тур (като например парламентарните във Великобритания), където след гласуването победителят печели, всички останали губят. Всичко това е само един тип тактическо гласуване, наречено „полезен глас“, т.е. целта е гласът да не се загуби. Но на първи тур гласът не се губи, така че тактическото гласуване е излишно

Така че да не се оставяме да ни заблудят с фалшиви дилеми на първи тур – можем да гласуваме точно за този, за който искаме да гласуваме, като така резултатът ще отразява реалните нагласи. След това, на база на тези нагласи, а не на база на твърденията на един или друг анализатор, ще се реши кой ще отиде на балотаж.

В тази връзка и твърденията, че издигането на арх. Игнатов работело в полза на някого също е доста изпразнено от смисъл – ако отхвърлим фалшивата дилема за избор между Манолова или Фандъкова на първи тур, само защото предпочитаният кандидат няма шанс, то издигането му (и на който и да било друг) не помага на Манолова или Фандъкова.

Резултатът на първи тур не е изцяло без значение – водещият от двамата отиващи на балотажа може да увлече малко повече гласове, но пък същият резултат може да мотивира повече избирателите на другата страна. Няма ясно предсказуем и лесно измерим ефект на разликите на първия тур.

Шансовете на един кандидат, разбира се, са фактор при вземането на решения. Ако харесваш някого, но социологията го отчита под 1%, а второто ти предпочитание е с 10%, то по-високият шанс може да надделее над предпочитанията, ако те не са чак толкова силни. Този тип разсъждения са минус на всяка система, в която избирателят трябва да направи точно един избор. Има и алтернативни системи (тази или тази), в които избирателят подрежда кандидатите по реда, в който ги предпочита, което отразява доста по-точно нагласите. Тези системи също не са перфектни и при тях съществуват определени видове тактически гласувания, но така или иначе у нас те не са популярни.

В крайна сметка изборът не е предрешен. Дори още нямаме адекватни социологически проучвания, които да кажат кой кандидат какво се очаква да вземе, с всички уговорки за неточностите в социологията, които бяха направени след евроизборите. И няма нужда да гласуваме тактически на първи тур за Фандъкова или Манолова. Дали третият кандидат, арх. Игнатов, има шанс да се намеси там, ще разберем. Но изключването му априори е предизборен шаманизъм. Нека се възползваме от гъвкавостта на изборната система с два тура и да му мислим на балотажа, ако предпочетеният от нас кандидат не стигне до него.

Административно престъпление

Post Syndicated from Bozho original https://blog.bozho.net/blog/3397

Заглавието, разбира се, е глупост. Но наблюденията са ми че много хора нямат ясно разбиране за това какво става като нарушиш закона. Не че е нужно нещо повече от базовото разграничение на престъпление от административно нарушение, но ми се щеше да систематизирам темата.

Започвам с важното уточнение, че не съм юрист. Участвал съм в законодателния процес (съвместно с юристи), но правя систематизацията не от гледната точка на експерт, а от тази на добре информиран страничен наблюдател, който може да допринесе за описването на базови концепции. Защото за един юрист нещата, които ще напиша сега, вероятно са материал от първи курс и изобщо не са интересна тема (все едно да тръгне старши програмист да обяснява какво е for-цикъл).

Та какво става, когато нарушиш закона? Зависи от много неща. Но те са разделени в групи:

  • Престъпление (наказателна отговорност) – това е, когато убиеш някого, нанесеш телесна повреда, откраднеш чуждо имущество и още стотици неща, описани в Наказателния кодекс. Престъпленията са общественоопасни деяния и затова се наказват строго – често със затвор. За престъпления делата се образуват при обвинения от прокуратурата или при искане (тъжба) от засегната страна, в зависимост от престъплението, съответно от общ или от частен характер. Важно е да се отбележи, че престъпления има само в Наказателния кодекс и никъде другаде. Кодексите като цяло уреждат една материя изчерпателно и не допускат други закони да се бъркат в нея (напр. Изборният кодекс е единственият закон, който се занимава с изборите). Процедурите, по които се случва събирането на доказателства, обвиняването и делата, се определят в Наказателно-процесуалния кодекс (и никъде другаде). С други думи, ако едно деяние не е вписано в Наказателния кодекс, то не е престъпление.
  • Административно нарушение (административна отговорност) – това е, когато нарушиш някоя разпоредба на някой закон (и има наказващ административен орган). Неподаване на декларация в срок, шофиране с превишена скорост, вдигане на шум в непозволено за това време, неправомерно изискване на документ и др. Наказанието е най-често „глоба“. Няма Административно-наказателен кодекс, така че административните нарушения и глобите за тях се дефинират във всеки закон поотделно, в глава „Административнонаказателни разпоредби“ към края на закона. Но административните нарушения могат да се определят само със закон – не може някой министър да издаде наредба, с която изведнъж може да ви глоби за нещо, което законодателят не е предвидил. При общинските съвети е малко по-гъвкаво – там с наредби могат да се определят детайли за нарушения, но все пак рамката е определена в Закона за местното самоуправление и местната администрация. Законът, който определя реда за налагане на санкциите при административни нарушения е Закона за административните нарушения и наказания. Той не е кодекс, макар че според мен трябва (и има проект за такъв кодекс, защото законът е много стар – от 69-та). Процесът е двустъпков – първо се съставя акт за установяване на административното нарушение, като след като актът бъде потвърден, се издава наказателно постановление. На всички стъпки нарушителят има право да обжалва пред административен съд. Т.е. като ви напишат акт, можете да обжалвате. Ако не обжалвате, после можете да обжалвате наказателното постановление (напр. ако не сте съгласни с размера на глобата). Тук има някои специфични моменти – напр. т.нар принудителна административна мярка. Може преди да сте обжалвали да ви бъде отнето нещо – напр. да ви се отнеме книжката. Принудителните административни мерки се определят в отделна глава в законите, които ги предвиждат. Т.е. не е задължително едно нарушение да мине през целия процес, за да бъде наложена административната принуда.
  • Гражданскоправни казуси (гражданска и имуществена отговорност) – това е доста широка материя, в която се включват всички дела, където държавата не е наказващ орган и няма престъпление (това не е коректно определение, но описва нещата грубо). Ако ви съдят, че дължите пари, или делите имот, или вие съдите някое дружество, че ви е нарушило правата, или пък две дружества се съдят за неспазен договор – това всичко е гражданскоправна материя. Редът за воденето на делата се определя в Гражданския процесуален кодекс, а самите нарушения често произтичат от нарушение на договори, правилата за които са определени в Закона за задълженията и договорите, но за разлика от Наказателния кодекс и административнонаказателните разпоредби, тук няма изчерпателен списък от нарушения, по които може да се носи отговорност. Когато загубите гражданско дело, обаче, не сте престъпник и не се водите „осъждан“ в свидетелството за съдимост. И има логика – ако Топлофикация ви осъди да си платите сметката, няма нищо чак толкова сериозно. Ако съдружник ви осъди, че са му нарушение правата съгласно дружествения договор, това си е между вас. Понякога в публичното пространство хора, загубили граждански дела, се определят като „осъждани“. Формално може и да е коректно, но тази дума създава разбиране за престъпление, каквото няма по граждански дела.
  • Нарушения в ролята на служител (дисциплинарна отговорност) – тук отговорността е за нарушение на условията на трудово правоотношение от страна на служителя, или съответно на служебно правоотношение за държавни служители (по Закона за държавния служител). Кодексът на труда, Законът за държавния служител и трудовите договори предвиждат санкциите и реда за тяхното прилагане. Ако се стигне до съд, делата са граждански.

Това, което най-често се случва на средностатистически човек са административни нарушения. Чувал съм твърдения, как ако не си платиш глобата за административно нарушение, в един момент ставаш престъпник – това не е така. Престъпление е само ако укриваш данъци в големи размери. Държавата има други начини да си събира задълженията – запори, възбрани, чрез държавни съдебни изпълнители. Обратното обаче е възможно – съдът да освободи някого от наказателна отговорност и да наложи административна санкция (чл. 78а от НК).

За да имам малко повече принос от средностатистическа статия в правен портал, ще направя една табличка, която да онагледи горното описание.

ОтговорностКъде са описани нарушенията?Къде е описан редът за налагане?Кой инициира процеса?Изпълнение без участие на съд?
НаказателнаНаказателен кодексНаказателно-процесуален кодексПрокуратурата или частен тъжителНе
АдминистративнонаказателнаГлава „Административнонаказателни разпоредби“ (или подобна) във всеки законЗакон за административните нарушения и наказанияНаказващият административен орган, определен със законаДа
Гражданска и имущественаГраждански процесуален кодексВсяко физическо или юридическо лицеНе
ДисциплинарнаКодекс на труда, Закон за държавния служител, трудови договориКодекс на труда, Закон за държавния служителРаботодателДа

Според мен тези неща трябва да се учат в училище. Важни неща са за начина, по който е конструиран правния свят, в който живеем. И Не изискват кой знае какъв капаците за да се разберат поне като базови концепции (ясно е, че граничните случаи и „тънките моменти“ са там, където юристите са силни).

Надявам се съм направил разбираема и коректна систематизация.

Киберсигурна работа

Post Syndicated from Bozho original https://blog.bozho.net/blog/3389

Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш телевизора – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха НАП, вицепремиер със сертификат за компютърна грамотност заяви, че е достатъчно квалифицирана да ръководи съвет по въпроса, а явно сега ще искаме такъв ресор в Европейската комисия.

Макар че вече съм писал веднъж за киберсигурността, ми се ще да разгледам темата малко повече, особено от гледна точка на публичните институции и накрая ще опитам да отговоря на въпроса „може ли България да е киберсигурна“

Имаме стратегия за киберустойчива България, която не мисля, че се спазва, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има абстрактни организационни мерки (той е транспонирана европейска директива, така че не е по наша инициатива). Имаме наредба към този закон, която е доста причлина, но между съществуването на добра наредба и нейното прилагане има разлика. Имаме и шаблон на техническо задание, което всички нови системи трябва да ползват. Там сме се постарал да опишем възможно най-много неща, които изпълнител и възложител изрчно да проверят – уязвимости като тази в НАП, напр, също са там.

Както стана ясно от теча в НАП, а и от редица пробиви напоследък, нивото на киберсигурност е ниско. (Някои пробиви не стават публично достояние, но можем да питаме govcert-а, звеното за реакция при киберинциденти, колко сигнала за уязвимости е приел). За да имаме пълна картина колко зле са нещата, трябва да един пълен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което вече знаем – че нивото е ниско.

В допълнение на въпроса по-горе, ще отговоря и на още три: „защо системите са уязвими“, „кой може да злоупотреби с това“ и „какво може да се направи“

  • Системите са уязвими по две причини. Първата е, че по принцип е трудно да се поддържат сигурни системи. Дори да е била сигурна в един момент, нещата се променят, оттриват се неизвестни досега уязвимости на компоненти, от които зависи самата система. Затова проактивно обновяване, следене за уязвимости и комбинация от много други мерки са начинът да има по-сигурни системи, но дори това невинаги е достатъчно. Втората причина е, че системите в държавата с много ниско качество (в общия случай). Пишат ги фирми с не особено кадърни хора (защото и малкото кадърни по темата са отишли на по-високи заплати другаде, където не се разчита на обществени поръчки), приемат ги хора, които нямат идея какво приемат, и няма кой да следи този процес да бъде по-адекватен. Дори да има наредби, шаблони и хипотетични санкции, просто няма хора. Наскоро имаше система, разработвана по шаблона за задание. Дори като никога беше спазен закона и кодът беше отворен. И какво имаше там – SQL инжекция. Поправена след съответния сигнал (нагледен пример за ползите кодът да е отворен), но най-базовата грешка при работа с база данни, за която изрично има предупреждение в заданието, беше допусната. В 13 от последните 15 години тези наредби и шаблони ги е нямало, а системите, които се ползват, са на толкова.
  • Кой може да злоупотреби с това – всеки. Причините са няколко. Комерсиални – напр. е полезно за една компания да има данните от Национална база данни „Население“; геополитически – някои държави не одобряват определени решения, които нашата е взела или предстои да вземе, и съответно включват киберарсенала си; „някои хора просто искат да гледат как света гори“ – хакване заради самото хакване и заради деструктивния ефект. Първите могат да разчитат не на експлоатиране на уязвимости, а на корумпирани вътрешни хора, чрез които да източат данните – това също е част от киберсигурността, която включва както външни, така и вътрешни „атаки“.
  • Може да се направи много – да се прилага по-стриктно нормативната уредба, да се използват различни механизми за привличане на по-компетентни хора (вкл. с по-високо заплащане), да се обучават по-активно хората в публичния сектор, да се затегнат вътрешните механизми за контрол на достъпа на служители. Имаше предложения за по-големи наказания в Наказателния кодекс, но според мен това няма да работи – хакерите или не познават НК и той не ги спира, или си мислят, че си прикриват следите достатъчно добре, че да са неоткриваеми. Или и двете.

Сложен въпрос, на който в индустрията се опитва да даде смислен отговор е „какво пък толкова може да стане“. По принцип всичко, но дали може да има дигитален катаклизъм и дали ако няма е нужно да инвестираме в киберсигурност е отворена тема. Засега консенсусът е, че е нужно повече. Повече познание, повече хора, повече инструменти, повече инвестиции.

Киберсигурността е състезание с „лошите“ и включва множество мерки. Не може да се реши просто като си купиш едно устройство или един софтуер (макар че това може да помогне). Най-важният ресурс и тук са хората, които да знаят какви са мерките, да имат уменията да ги приложат в усложнен контекст (процедури по ЗОП и политическа неадекватност), да знаят как да използват и конфигурират наличните инструменти. И това да не са просто двама-трима души тук-там, а да е системно решение.

Дотук би трябвало да е ясно, че нещата не изглеждат розово. Няма хора, няма адекватни доставчици, „лошите“ могат да разполагат с големи ресурси, а защитата е фундаментално трудна задача.

Лесно решениие няма. Със сигурност съвет по киберсгурност, еврокомисар по киберсигурност, закон за киберсигурност и други подобни не са решението. Някои от тях са небезполезни стъпки, други – отбиване на номера, трети – политически опортюнизъм.

Решението е същото, като в една голяма корпорация – висшият мениджмънт да осъзнае критичността на проблема и да насочи ресурси на там. Не, не да купим още техника, която няма кой да конфигурира, а да подредим така пъзела, че да ма хора с мотивация, да има финансов ресурс за това (а не за петорно надценен нов уебсайт, например).

Висшият политически мениджмънт не осъзнава нищо от това. За вицепремиер, отговорен за това, е поставен не човек с управленски опит и с опит в дигитална трансформация (не непременно технически), а някой, който просто се е оказал там по стечение на обстоятелствата. В същото време всички механизми, предвидени законите, за привличане и задържане на повече хора, отпадат един по един. Това е лош сигнал за всички (освен за хакерите). И ако искаме да имаме еврокомисар по киберсигурност, първо може би трябва да имаме някаква вътрешна адекватност по темата. И след като я имаме, успешният ръководител на това усилие да стане еврокомисар.

Дори киберсигурността е повече човешки, отколкото технически проблем. По-скоро управленски и политически, отколкото експертен. Експертната част е трудна и много интересна, но сме много далеч от тази част в публичния сектор. Тепърва трябва да направим първата копка на реалната киберсигурност.

Може ли България да е киберсигурна и дългосрочно киберустойчива? Може, разбира се – задачата е решима. Но не изглежда реалистично в близко бъдеще, защото дори да започнем веднага, при мащаба на публичния сектор и натрупаните системни проблеми, резултати може да има едва след 3-4 години. А дотогава – двайсетгодишни хакери, руски агенти или просто хора, които „имат човек“ някъде, могат да правят (почти) каквото си искат.

Либра – новата криптовалута на Фейсбук

Post Syndicated from Bozho original https://blog.bozho.net/blog/3384

Фейсбук обяви, че през 2020 ще пусне своя криптовалута. Само по себе си пускането на криптовалута е тривиално, но когато го направи компания с милиардна пазарна капитализация, и то подкрепена от още десетина такива, заявката става сериозна.

Криптовалутите са популярни с това, че се използват единствено за спекулации. Почти няма случаи, в които някой си е купил стока или услуга с криптовалута. Целта на Либра е друга – да стане платежно средство на милиони хора, особено тези в третия свят, които нямат достъп до банкови услуги.

Пред това, обаче, има няколко предизвикателства и не е ясно дали Фейсбук ще може да ги преодолее:

На първо място са технологичните ограничения. В момента Фейсбук нямат готово работещо решение. Пропускливостта на мрежата е ограничена до 1000 транзакции в секунда според собствените им оценки, което би било крайно недостатъчно за глобална платежна мрежа.

На второ място е доверието – дали потребителите ще доверят на Фейсбук парите си при всички скандали и течове на данни? Данните за всички плащания са доста апетитни за рекламодателите и макар Фейсбук да твърди, че мрежата на Либра позволява анонимност, това далеч не е така, и то по две причини – технологична и регулаторна.

Технологичната е, че избраният протокол запазва връзката между наредителя и транзакцията и Фейсбук има информация за тази връзка. Регулаторната е, че на много места по света е задължителен т.нар. „know your customer“ процес, в който се установява точно кой стои отсреща при финансови операции (с цел пресичане на прането на пари, финансирането на тероризъм и др.) Т.е. Фейсбук ще разполага с тези данни и не е ясно дали някой би им се доверил, че няма да ги използват в рекламната си платформа.

Доверие е необходимо и от страна на електронните магазини, които ще приемат плащания с Либра – те ще трябва да направят инвестиция за надграждане, така че да поддържат плащане с новата валута, без да имат ясни гаранции дали това ще си струва. В един момент това може да се превърне в проблем тип „кокошката или яйцето“ – няма достатъчно магазини, защото няма достатъчно купувачи, и обратно.

В същото време, докато на теория блокчейн предоставя децентрализация, т.е. няма нужда потребителите да се доверяват на нищо освен на криптографските алгоритми, то при Либра тази децентрализация е заменена с „олигархия“ – участниците в асоциацията „Либра“ са единствените, които могат да участват в блокчейн мрежата и да валидират транзакции.

На трето място са оперативните проблеми, които често са камъчетата, преобръщащи каруцата. За да получи някакво количество Либра „монети“, потребителят трябва да обмени пари в съществуваща валута. Това при криптовалутите става чрез борси, които приемат плащания с банкови преводи и кредитни карти. Но заявеният първоначален пазар на Либра е третия свят, където много хора нямат достъп до банкови услуги. Много анализатори очакват Фейсбук да сключи договори с местни мобилни оператори и зареждането на Либра сметката да става през гише на мобилен оператор, или дори с предплатена карта. Дали този модел ще проработи навсякъде и дали мобилните оператор няма да реализират конкурентна услуга за електронни пари, предстои да разберем.

Друг потенциален проблем е удобството на използване. Макар на пръв поглед да изглежда, че удобството на мобилните приложения е несъмнено, използването на блокчейн усложнява задачата, тъй като потребителите трябва някак да управляват своите т.нар. частни ключове. Ако ги загубят (загубят устройството, загубят листчето с кода за възстановяване и забравят паролата си), губят достъпа до сметката си. Завинаги. И никой, дори Фейсбук, няма възможността да им я възстанови. Това е проблем, който все още няма напълно работещо решение в света на криптовалутите и с който със сигурност ще се сблъскат немалко потребители в случай, че Либра постигне желаната масовост.

Със сигурност е възможно Либра да постигне успех, особено на пазарите, в които се цели в началото, въпреки всички предизвикателства пред това. Дали има потенциал да замени останалите платежни средства и в развития свят – на този етап това изглежда по-скоро нереалистично.

(Статията е публикувана първоначално в сп. Мениджър)

Обобщение на теча на данни в НАП

Post Syndicated from Bozho original https://blog.bozho.net/blog/3369

Много се изговори и изписа по повод „НАПЛийкс“. Аз успях да се включа в какафонията с няколко телефонни интервюта и едно телевизионно. Но в такъв формат, дори да е по-дълго, не може да се изложи всичко в структуриран и систематизиран вид. Затова ще опитам тук.

Инцидентът

Към медиите, през имейл в безплатна руска имейл услуга, беше изпратен линк към архив са 11 GB данни от базите данни на НАП. Имаше как да се сдобия с данните, но по ред причини не съм ги разглеждал и анализирал все още – едната е, че имах доста друга работа, а другата – че все пак това са данни, които представляват защитена от закона тайна и нямам добра причина да наруша тази тайна.

По информация на хора, които са разгледали данните, вътре има ЕГН-та, три имена и осигурителни доходи на милиони граждани, номера на лични карти, както и данъчни декларации, граждански договори, а също и данни от други инстутуции – Агенция по заетостта, Агенция Митници, Агенция за социално подпомагане. Има данни за чуждестранни юридически лица, и любопитни данни, като напр. файл, озаглавен QneQnev.

Дали изтичането на тази информация е фатално – не. Дали е голям проблем – със сигурност. Ако не беше, нямаше данъчно-осигурителната информация да се ползва със специален статус (и НАП често да ползва тайната на тази информация като аргумент да не обменя данни с други институции).

Данни на почти всички български граждани са изтекли и това е огромен проблем, без значение колко се опитват някои политически фигури да го омаловажат.

Как?

Няма официална информация как е станал пробивът, но на няколко места излезе слух, че е т.нар. SQL инжекция. Това звучи правдоподобно, така че ще коментирам него. SQL инжекциите са сред най-простите уязвимости – хакерът вкарва специално подготвен текст в дадена поле и получава контрол над базата данни, защото разработчикът не е „почистил“ входните данни (и не използва т.нар. prepared statements). Ако например искаме да използваме формата за вход в системата, то можем да допуснем, че проверката на потребителското име и паролата би изглеждало така: SELECT * FROM users WHERE username={params.username} AND password={transform(params.password)}. (transform, защото паролите никога не трябва да се пазят в явен вид).

Това е псевдо-код, с който виждаме, че параметрите, подадени от потребителя се „залепят“ за заявка, която се изпълнява към базата. Е, ако хакерът вместо потребителско име попълни друга валидна заявка в полето, тя ще се изпълни. Напр. след въвеждане, заявката би изглеждала така: SELECT * FROM users WHERE username=1;CREATE PROCEDURE exfiltrate …;–AND password=…. Създадената процедура може да бъде с произволен код, който да обхожда всички бази данни и техните таблици и да ги изпраща към определен IP адрес.

В момента в който хакерът може да изпълнява произволна, избрана от него заявка към базата данни, всичко е свършило. А откриването на тази уязвимост е тривиално дори и на ръка, а има достатъчно много инструменти, които сканират и откриват автоматично такъв тип уязвимости. Всяка организация с повече от 10 души трябва да прави регулярни проверки за уязвимост на системите си, за да предотврати поне най-тривиалните атаки.

Защо?

Това е сложният въпрос. „Защото някой в НАП е некадърен или в най-добрия случай немарлив“ е простият отговор, но той не е достатъчен. „Защото в администрацията не се дават пазарни ИТ заплати“ е отговорът, който министър Горанов даде, и той е отчасти верен, но е повърхностен. Тъй като преди 3 години се занимавах именно с дългосрочното решаване на този проблем, ще споделя по-задълбочени размисли.

Длъжностите в администрацията са разписани в т.нар. Класификатор на длъжностите в администрацията. До 2016-та там нямаше ИТ длъжности (ИТ кадри бяха наемани на общи експертни позиции). Тогава предложихме изменение на класификатора, така че да включим ИТ длъжности и то на максималните възможни нива на заплащане за съответния опит. Това, разбира се, пак е много под пазарните заплати, но е някаква стъпка.

Паралелно това, с измененията в Закона за електронното управление направихме две неща. По-маловажното беше, че създадохме опция Държавна агенция „Електронно управление“ да създаде програма за привличане на експерти от частния сектор, които краткосрочно да помагат за ИТ услугите на държавата. Нещо, което и аз правех тогава, но в мащаб. Нещо подобно на американските 18F/USDS. Това, излишно е да казвам, не се случва вече 3-та година.

По-важното беше създаването със закон на Държавно предприятие „Единен системен оператор“. Идеята му е да може да дава пазарни ИТ заплати, като предоставя определени услуги на държавната администрация – технически задания, проектен контрол, тестове, в т.ч. за уязвимости, управление на поддръжката на инфраструктурата, консултиране на ключови проекти, спешни мерки по „закърпване“ на проблеми, и др. Това предприятие също 3-та година е блокирано и не се случва. Изпълнителната власт и Горанов в т.ч. като че ли осъзнаха нуждата от нещо такова след срива на Търговския регистър миналата година, но явно просветлението е било краткотрайно. И това не сме си го измислили ние – BRZ (Австрия) и GDS (Великобритания) са едни от примерите за подобни структури в Европа.

Това, че има кадърни хора е много важно условие, но не е единственото. Друг аспект са обществените поръчки и фирмите, които ги изпълняват. Резултатите там рядко са добри по много причини, които съм обсъдил в отделна статия.

Информационна сигурност

Причините за ниското ниво на информационна сигурност са човешкия фактор, който е следствие на политическа неадекватност. Но все пак има начин нещата да станат малко по-добре дори само с подходящо структурирани правила. С промени в наредбите към Закона за електронното управление въведохме редица изисквания за информационна сигурност, в т.ч. шаблон за задание за всички нови проекти. В този шаблон изрично се говори за информационна сигурност и за уязвимости от тип SQL инжекция и XSS, така че проекти, създадени по този шаблон, да са съзнателно проверени за такива уязвимости, а наличието им да се явява неизпълнение на договор. Между другото, тогава НАП бяха против някои текстове, защото те вътрешно си пишели някои системи и някои изисквания не важали за тях.

Самата уязвимост е един проблем, но защо след като хакерът е придобил контрол върху една база данни, той след това е могъл да източи толкова много други такива? Моето допускане е, че потребителят, с който уеб-приложението е ползвало базата данни, е имал пълни права върху всички бази на този сървър. Това е ужасна практика

Информационната сигурност е трудно нещо (говорил съм неведнъж за това), и не е еднократно усилие. Нужни са редица от мерки и постоянно внимание към множество детайли. Рискът никога не е елиминиран на 100%, което е видно и от ежедневните пробиви в уважавани частни компании. Но една държавна институция няма право да допуска толкова прости за изпълнение (и за предотвратяване) пробиви.

GDPR

Да, бизнесът похарчи много за да бъде в съответствие с GDPR и изведнъж държавен орган се оказа най-неподготвен. Това оставя лош вкус в устата, и е разбираемо цялото недоволство. Освен информационната сигурност, има още един аспект на GDPR, на който трябва да обърнем внимание – принципа на свеждане на данните до минимум. Иначе казано, НАП трябва да обработва само данни, които са им необходими и да ги задържа само толкова, колкото да им необходим (което е друг принцип – този на ограничение на съхранението).

В НАП, а и не само, наблюдаваме точно обратното – правят се ежедневни копия на данни от други администрации и те се пазят вечно. Винаги съм бил срещу тази практика, защото освен рисковете за теч на данните, създава и редица други рискове – напр. от неактуални данни. При електронното управление има т.нар. „първични регистри“. Те са единственият актуален и верен източник на данни и проверките трябва да се правят в реално време, а не върху техни копия. Тази практика трябва постепенно да намалее и да спре, като бъде заменена от директния обмен на данни между администрациите. Обмен, който, освен всичко друго, оставя следа – кой, кога какви данни е чел и за кого. В съответствие с принципа на отчетност на GDPR.

Дали КЗЛД ще наложи глоба на НАП или не, не знам. Дали има смисъл да се прехвърлят едни публични средства между институциите (и накрая – пак в бюджетната сметка) – също не знам. Но със сигурност НАП е трябвало да уведоми КЗЛД навреме, и съответно трябва да уведоми гражданите за теча. За целта НАП готви приложение, където всеки може да се провери дали данни са изтекли, което е добре.

Проблемът със защитата на данните е голям в световен мащаб. Всеки ден текат данни от всякакви компании. Това не е оправдание за елементарните грешки на НАП, но поставя нещата в перспектива. А GDPR е опит да намали риска това да се случи. Разбира се, GDPR не може да спре теча на данни поради немарливост. Целта му е да направи такива течове по-малко вероятни и с по-малък ефект чрез редица мерки и по-важното – чрез няколко основни принципа, с които всички участващи в изграждането и оперирането на софтуер да са наясно. Засега не е ясно дали успява да намали този риск.

Мерките?

Какви мерки могат да се вземат на този етап. Краткосрочните: спиране на уязвимата услуга (вече направено), пълен одит на сигурността на всички системи не само в системата на Министерство на финансите, ами в цялата държава. Проверка дали всички информационни системи са включени в одита на Държавна агенция „Електронно управление“ и последователната им автоматизирана проверка за уязвимости.

Средносрочните са провеждане на обучения на всички служител в ИТ дирекциите за информационна сигурност и защита на данните и запознаване с приложимата нормативна уредба, ама не само като членове и алинеи, а и какво стои зад нея. Евентуално сертифициране на всички първостепенни и второстепенни разпоредители по ISO 27001 (стандарт за информационна сигурност).

А дългосрочните мерки задължително включват повишаване на капацитета, което според мен минава най-накрая през създаване на Държавно предприятие „Единен системен оператор“. Той няма да е панацея и със сигурност ще има свои проблеми за разрешаване, но е крайно необходим.

Това, което по принцип препоръчвам всеки да направи, без значение дали данните могат да се използват директно за злоупотреба или не – да си активираме известия за движение по банкови сметки, както и за движения по партиди в търговския и имотния регистър. Само с ЕГН или дори с лична карта никой не може да ви вземе пари, имот или фирма, но по-добре човек да се застрахова, защото измамниците са изобретателни.

Комуникацията

Комуникацията на официалните лица може да се раздели на две части – от една страна тази на експертите в НАП, начело с пиара Росен Бъчваров, и от друга страна всички останали.

Комуникацията от страна на НАП беше адекватна. Максимално бързо обясниха проблема, обясниха обхвата му, обясниха защо се е случило и какви мерки са предприети. В такива ситуации така се прави – казваш фактите без да ги захаросваш, защото това не помага.

Комуникацията от страна на политическите фигури (министър, депутати, премиер) стигна до висоти на неадекватността, които могат да обобщя като „е кво толкова е станало“, „руснаците заради самолетите ни хакват“, „като има електронни услуги, ще има течове“ и „е тоа хакер колко е добър само“. Нито едно от тези послания не помага по никакъв начин, освен може би сред партийните ядра, които вече имат опорки в споровете на маса.

Хакерът

Хакерът първо беше руски, после уж го намериха и се оказа български. Първо, това, че хакер твърди, че е някакъв, не значи абсолютно нищо. Всеки може да си регистрира поща в Яндекс и да твърди каквото си иска.

Дали заловеният наистiна е извършител ще реши съдът. ГДБОП трябва да събере доказателства и от тях да следва еднозначно, че той е извършителят. Дали намереният файл, в който се съдържа името му е истински или не – не можем да кажем. Има много варианти, в които е истински. И такива, в които не е.

Ако това не беше истинският хакер, може би истинският щеше да напише писмо, с което опровергава, че е заловен. Но трябва да е от същия имейл адрес (и пак няма гаранция, че не е дал паролата на друг). Проверка по онлайн форуми показва, че потенциално уличаващи коментари изчезват, т.е. вероятно някой друг има достъп до акаунтите му.

Дали хакерът е „магьосник“, обаче, е сравнително ясно – не е. Злоупотреба с SQL инжекция може да направи почти всеки. Ако е оставил да бъде открит, значи не си е покрил добре следите.

Интересно е да се изследва архива за всякакви странности – останали метаданни на файлове, останали служебни файлове, като този, в който пише името на хакера, хедъри на изпратените писма, скриптове и логове на иззетата техника, логове на сървърите на НАП. Все неща, които ГДБОП трябва да направи и от които ще зависи в крайна сметка присъдата. На този етап човекът не невинен и последно като проверих Наказателно-процесуалния кодекс, присъди не се произнасят в интернет.

Заключение

В заключение, имаме много да научим от този инцидент. За информационната сигурност, за защитата на данните, за политическата адекватност и за дългосрочните реформи, чието неслучване води до очаквани ефекти. Такъв инцидент беше неизбежен при нивата на компетентност в администрацията. С това не казвам, че там няма никакви компетентни хора, а просто, че са малко и не могат да огреят навсякъде. Аз, например, съм кърпил системи, докато бях в Министерски съвет, но фокусът ми беше по-скоро към формулиране на решения на системните проблеми. Защото ще закърпя една система, а други три ще останат пробити.

За такива инциденти трябва да се носи политическа отговорност. Дали чрез оставки или на избори, не знам. Но всеки инцидент е следствие от нечие действие или бездействие.

Все пак, трябва да имаме предвид, че институциите ще продължават да обработват данните ни. Може би ще са по-внимателни какво събират и защо го събират, но те няма да изчезнат. И трябва да измислим как да „сглобим“ някакво базово доверие към тях. Това е работа предимно на институциите – чрез мерките, които вземат и чрез говоренето им. Но е задача и на експертите, които коментират темата. Никой няма полза от пълно сриване на доверието, колкото и скандален да е един пробив.

Все пак инцидентът е много сериозен и този път политическите ръководства трябва да разберат, че има системни проблеми за решаване, които не могат след всеки инцидент да смитат под килима. Кърпенето на дупки е до време, в един момент трябва да се подменя целият път.

Консервативно ми е…

Post Syndicated from Bozho original https://blog.bozho.net/blog/3366

За несъществуващата консервативна вълна писах преди време, а европейските избори потвърдиха това – либералните формации (АЛДЕ и Зелените) спечелиха най-много, а броят консервативни евродепутати горе-долу се запази (а след излизането на Великобритания ще се стопи).

Но все пак продължаваме да сме облъчвани с консервативното и традиционното, и как в България то е силно и се противопоставя на прогнилия европейски либерализъм. И разбира се има академични дефиниции за що то то консервативното, либералното, прогресивното и т.н., но дори с най-изчистеното им тълкуване не можем да етикетираме прецизно даден човек. Всеки е някъде в многоизмерния политически спектър между ляво, дясно, консервативно, прогресивно, либерално, антилиберално.

И все пак, обвиненията към „градските жълтопаветни либерали“, и към мен в това число, са че не сме консервативни, че мразим традиционното и изконно-българското, че се срамуваме от историята и обичаите си или с други думи, че сме някакви безродни хипстъри, които смятат, че всичко започва с тях.

Похватът по обрисуването на група хора по този начин е отчасти пропаганден, отчасти е следствие на някои зле комуникирани тези, отчасти е базиран на някои крайности.

Аз, моя милост, съм либерал. Което, разбира се включва класически либерализъм и умерена доза прогресивизъм. Включва свобода на индивида. И съм либерал, колкото и това да е мръсна дума в българския политически пейзаж.

Но също така не съм жълтопаветния хипстър, който често бива иронично обрисуван. Може би, всъщност, съм по-консервативен и традиционен от много определящи се за такива.

Как така съм консервативен, нали съм либерал? Ами… да караме по списък. Вярвам в Бог, макар да не съм ритуално-религиозен. Чел съм Библията няколко пъти. Що се отнася до традиционното семейство – преди 5 месеца ни се роди едно прекрасно дете.

Традиционалист съм – харесвам балканска музика, обичам да гледам народни танци на музика, изсвирена с народни инструменти. Обичам и историята ни, като малък изчетох всички енциклопедии за българска история, които ми бяха купили и исках още. На чисто битово ниво – обичам домашна лютеница, в хладилника имам шише зелев сок. Обичам хубавата домашна ракия (не в големи количества, но на вкус). Брулил съм кайсии, колтучил съм домати.

Има и други вектори на консерватизма – този на публичните институции, например, е тема, която е по-важна от битовизмите – институциите трябва да са устойчиви и да не се променят с всеки полъх на вятъра. И под институции имам предвид не сградите и чиновниците в тях, а обществените процеси и консенсуси, които захранват съществуването на тези сгради и чиновници и съответната им нормативна уредба.

Да, знам, че, консервативното, традиционното и всичко, което съм омешал по-горе не са едно и също нещо. Традиционното семейство не значи да си окопавал чесъна на село, а балканската музика не върви заедно с вярата в Бог. Народните танци не значат, че държиш на стабилни институции, а познаването на българската история не значи, че имаш семейство с три деца. Но тази амалгама от слабо свързани неща често се пакетира и „продава“ на бъдещите консервативни избиратели.

Все пак няма как да съм истински консерватор, защото не искам да наложа моите предпочитания на останалите. Не искам аз и моят светогледа да са пътят, истината и живота. Не съм наместникът на Бог на земята, който определя кой колко е грешен. Не съм се взел насериозно, за да обяснявам на света, че трябва да живее като мен. И че така е правилно и добро за всички.

И всичко това го написах не за да докажа колко консервативен съм (щото нали съм либерал), а за да стигна до основната си теза – че тези, които правят консервативни партии, които говорят за традиционализма, за изконните ценности, за българските обичаи и противопоставят на това градските либерали, всъщност са измамници. И то не защото нямат шише зелев сок в хладилника или защото никога не са колтучили домат. И не защото смятат балканската музика за просташка, а хора̀та ги ползват само на откриване на предизборни кампании. Не защото предпочитат 20-годишен Оубън пред 20-годишна Троянска сливова. И дори не защото са на по 35-40 години без деца и семейства. Това всичко са избори, които приемам и уважавам.

Не са измамници затова, че обясняват колко е важно всичко консервативно, традиционно и изконно, а всъщност собствените им животи представляват точно обратното. Затова са просто демагози.

Измамници са, защото ни лъжат, че това е по-добре. Че така ще сме по-щастливи. Че ако всичко остана както сме свикнали, (или както те ни обясняват, че сме свикнали), ще сме богати и в мир със себе си и света.

Човешката история винаги е прогрес, случващ се насред баланс между крайности. Умереният прогрес, умереното отмиране на стари обичаи и зараждането на нови, умереното променяне на обществата към по-отворени. И именно така сме ставали по-щастливи и по-богати. А самопровъзгласените консерватори са нищо повече от политически опортюнисти, които утре ще искат да съберат гласовете на излъганите, за да могат да прилапат някоя обществена поръчка.

Привижда ли ни се руска заплаха?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3352

Когато се спомене „хибридна война“, или заплаха от руски хакери, или фалшиви новини, или по-общо вмешателство във вътрешните работи на други държави, някои хора го подминават пренебрежително. „Само Русия ви се привижда“, „не е Русия проблемът“, „каква е тая измислена хибридна война“ и т.н.

Но за съжаление опитите за руско влияние в други страни са реални и са много и различни по вид, но са базирани основно на похвати и наръчници на КГБ от времето на студената война, претоплени за интернет ерата, където, оказва се, са доста ефективни. Това включва:

  • Хакване на политически организации – Дали Тръмп победи Хилър Клинтън заради руската подкрепа или не, и дали е искал и координирал тази подкрепа или не не са теми на тази статия. Но руски хакери, пряко или непряко свързани с руските служби, атакуват мрежите на Демократическата партия, както и отделни членове на кампанията на Клинтън. Това е детайлно описано в обвинението на Робърт Мълър срещу 12 руски агенти (и е доста интересно да се прочете). Компанията CrowdStrike първа идентифицира атаката. Същото стана с френските избори и имейлите на кампанията на Макрон. Руски агенти опитваха да хакнат и международната организация, която следи за неизползването на химически оръжия. И това са само случаи, за които знаем.
  • DDoS или т.нар. „отказ от услуга“. След като Естония през 2007-ма сваля съветски монумент, всички институции в страната са засипани от фалшив трафик и държавата на практика спира. Атаката срещу българските институции по време на изборите през 2015-та също с голяма вероятност е с руски източник. Общо взето, когато целта не е да се придобие информация, а да се създаде хаос, този метод е „за предпочитане“
  • Фалшиви новини – това е доста по-масирана кампания, отколкото изглежда на пръв поглед. Преди година беше публикуван доклад за руската пропаганда в България. Там могат да се прочетат много интересни неща, като например как се разпространяват фалшиви новини чрез 3500 уебсайт. Някои се появяват, друг изчезват, копират съдържание един от друг, а по определени параметри може да се определи, че повечето от тях се оперират от едно и също място. Темите там са „упадъчният запад“, руската мощ и други. В някои такива сайтове можем да проследим началото на пропагандата по теми като „ювеналната юстиция“ (която стана популярна наскоро).

    Това, разбира се, се случва не само в България, а в цяла Европа, в САЩ, в близкия изток, а вероятно и другаде. Посланията са различни, но методите са същите. В САЩ, например, няма смисъл да се публикуват материали за великата руска мощ, защото там никой няма да се върже, така че там целта е просто създаване на объркване и замъгляване на представата за истина и лъжа. Преди 5 години направих една „дисекция на дезинформацията“, проследявайки българска фалшива новина до руски източник. Но примерите са хиляди. Създаването на фалшиви новини става популярна дейност в македонския град Велес, което само по себе си е куриозно, но и там прозира руска намеса.

    Русия залага на информационната война онлайн и високопоставени служител на Кремъл определят това като важна стъпка – че вече не са изоставащи (както в ядреното състезание след бомбата в Хирошима), а могат да застанат като равен по сила враг срещу западния „блок“. Стратегиите за дезинформация са може би познати на живелите по времето на социалистическия режим, но въпреки това понякога са трудни са открояване. Защото освен с изцяло фалшив новини, често боравят с полуистини с цел да прокарат определена теза. И това, за съжаление работи. Но най-важната цел на всяка дезинформационна кампания е да загубиш ориентация кое е вярно и кое не. В такава среда най-лесно се създават истерии и се накланя общественото мнение в желаната посока.

  • Тролове и фалшиви акаунти – това е допълнителен канал за създаване на фалшива реалност. Десетки хиляди фалшиви акаунти в социални мрежи и новинарски сайтове създават фалшива съдържание, което нищо неподозиращи потребители консумират. Чрез този канал се разпространяват ефективно и фалшивите новини. В много интересна статия Washington Post разказва за реакциите в САЩ на дезинформационната кампания по време на изборите през 2016. „Internet research agency“, или фабриката за тролове край Петербург, е най-популярната такава, но съвсем не единствена. Те заливат социалните мрежи с добре подбрано и таргетирано съдържание, което да подчертава разделенията между хората по определени теми и така да разруши обществената среда и обществения дебат. Редица научни изследвания показват връзките между фалшивите профили – час на регистриране, еднотипни грешки в писането на английски, часове, в които са активни, общи акаунти, които следват (в туитър) и т.н.
  • Финансиране на политически партии – тук официални данни няма, но за повечето крайно-десни европейски партии има обосновани предположения, че се финансират от Кремъл. За българската „Атака“ е горе-долу очевидно, а тази година беше публикувана информация, че Кремъл финансира италианската Лига на Салвини през сложна схема с дизелово гориво. Френските националисти пък са получили заем от руска банка, а Лю Пен не крие симпатиите си към Путин. Преди години The Economist разгледа темата, подчертавайки, че рядко има доказателства за пряко финансиране, но все пак вероятността е доста голяма
  • Директна намеса – понякога руските агенти действат директно – при опита за преврат в Черна гора, анексирането на Крим, подкрепата на сепаратистите в източна Украйна, в следствие на което беше свален малайзийския самолет (и само преди седмица Холандия повдигна обвинения срещу четирима души, трима от които „бивши“ служители на руските служби). Предполагаемото отравяне на българския бизнесмен Гебрев от един от агентите, които след това отровиха Скрипал във Великобритания пък показва, че тези примери за директна намеса неизбежно стигат и до нашата територия

Със сигурност пропускам много важни и интересни неща, но общата картина е това – Русия се опитва да дезинформира, да атакува, да разклаща и да размътва обстановката в западните държави. Точно както е опитвала да го прави и по време на студената война, но сега, благодарение на интернет, ѝ се получава доста по-ефективно.

Дали избирането на съмнителни или крайно-десни политици, дали промяната а общественото мнение, дали на пръв поглед успешната кампания за закотвяне в „традиционните православни ценности“ са следствие отчасти и на руската намеса, дали са важни и дали трябва да им се противодейства – според мен да.

„Ама това ли е най-големият проблем“, „ама те и другите така правят“, „абе десет руски хакера не могат да обърнат изборите“ и т.н. Разбира се, че това не е най-големият проблем. Русия не създава проблемите в западните общества – те са си там. Но много умело ги експлоатира и задълбочава, използвайки множество канали. Да, едва ли Тръмп и Салвини са избрани заради руска намеса, но избирането на един или друг политик е къса и не толкова интересна „игра“. Съветският съюз, пардон, Русия, изглежда играе по-дългата игра. А дали другите така правят – със сигурност всяка голяма сила има агенти, които по един или друг начин влияят на вътрешните работи на други държави. Но аз си представям такива действия по-скоро като сутуационни и свързани с конкретни интереси и цели, а не с обща цел за дестабилизация. И дезинформационна кампания не мисля, че някоя друга държава води глобално (окей, може би Китай и Иран имат такива опити, но те не достигат до нас).

Тук трябва да отбележим, че Русия не е един кохерентен субект. В Кремъл има множество групички и борещи се за надмощие интереси, и всеки от тях има някакво влияние в някои от службите и изпълнява свои цели. Някои координирани с Путин, други може би не. Дали хакерите, атакували демократите в САЩ имат нещо общо с 3500-те сайта за фалшиви новини в България – едва ли. Но това не променя крайния резултат.

Написаното по-горе са до голяма степен проверими факти, открити от разследващи органи или разследващи журналисти. Дали Русия трябва да е първият ни страх и да се занимаваме само с нея – не. Има много други важни проблеми за решаване. Но трябва да имаме едно наум и да опитаме да се пазим, както като индивиди, така и като държава, от опитите обществото ни да бъде саботирано заради нечии геополитически амбиции.

А дезинформацията в интернет, без значение кой я използва, е силно оръжие и тепърва трябва да измислим как го неутрализираме – с каква комбинация от технически средства, образователни инициативи и други политики. Днес изглежда, че Русия ги използва най-активно, но след като веднъж методите и инструментите са разработени, стават доста лесни за опериране и можем да се окажем в една виртуална война, в която не подозираме че сме. И след която, ако мога да цитирам Камен Донев, няма да знаем кое е мост, кое е тунел.

Време е да се откажем от машинното гласуване

Post Syndicated from Bozho original https://blog.bozho.net/blog/3341

Машинно гласуване се осъществява на български избори от доста години – първо експериментално, а след това – реално. Но реално нямаме ясна картина на неговата полезност и рисковете му. Аз съм писал и преди за проблемите с машинното гласуване, но тогава само намекнах, че то е добре да отпадне.

Сега го казвам с по-висока увереност – време е да се откажем от машинното гласуване. Да, немалко хора гласуваха на машина на европейските избори (27% в секциите, в които имаше машини). Но има една единствена полза от този вид гласуване и тя е избягване на грешки при броене от страна на секционните избирателни комисии (СИК). Само че, както ще видим по-надолу, това предимство е само теоретично.

Ще започна с няколко конкретни проблема от европейските избори (някои от които съобщени от застъпниците на Демократична България), след което ще разгледам и принципните проблеми.

  • Секционната комисия не въвежда резултата от машинното гласуване в протокола и изпраща машината директно в РИК. В секциите, в които имаше наши застъпници, последва сигнал до РИК и впоследствие резултатите бяха въведени в протоколите. Не мога да съм сигурен обаче за секции, където е нямало грамотни застъпници.
  • Преференциите от машинното гласуване липсват в много от секциите, како писа „Отворен парламент“
  • В една секция машината е извадила 88 гласа в протокола, а в кутията с разписки е имало 93 подадени гласа. В друга секция в разписката е била маркирана преференция при глас за независим кандидат. И двата случая изглеждат като бъгове в софтуера.

Тези конкретни проблеми са следствие от множество принципни такива:

  • Секционните комисии не са достатъчно обучени, за да се справят с изборния процес. Въпреки методическите указания, масово се правят пропуски при попълването на протоколите. Последващите процеси на корекции в РИК изглежда невинаги са достатъчни
  • Резултатът от машинното трябва да се прибави ръчно към резултата от хартиеното и да се впише в съответната графа в протокола – т.е. дори машината да брои правилно, накрая пак хора преписват. И при грешка при това пренасяне няма как последващи проверки да установят проблема. Този процес е заложен в Изборния кодекс и няма лесно поправяне
  • ЦИК е постоянно действащ орган, но може да обявява обществени поръчки само след указа на президента за съответните избори. Т.е. по дефиниция поръчката за машини е „в последния момент“ и няма време да бъде установено тяхното качество
  • Липсва процедура по проверка на машините (преди, по време и след изборите) – бъговете, споменати преди малко са един проблем, но ако кодът не е публично достъпен, в един момент може машините да се ползват и за манипулиране на изборите. И макар формално да има одит, той се случва в твърде кратки срокове, за да е адекватен. В момента нямаме гаранции дори че машините отговарят на изискванията на обществената поръчка
  • Цената е прекалено висока за много малкото полза от машините и за проблемите, които създават. 9 милиона само за европейските избори. Да, машините са под наем. Но купуването също води до усложнения – как се съхраняват, как се поддържат, как се подменят.

Да, може би изглежда, че машинното гласуване само по себе си окей, а проблемите са в секционните комисии, в Изборния кодекс, в обществените поръчки и т.н. Но машините не съществуват изолирани от контекста. Още повече, че този контекст няма да се промени за местните избори. А тогава проблемите ще бъдат умножени по две.

И докато на европейските избори няколкостотин гласа може и да не са от значение, на местни и парламентарни могат да бъдат решаващи. И ако резултатите от само 1-2 машини са „криви“, това може да значи промяна на съотношението на силите в някой общински съвет, промяна на избрания на балотаж кмет или промяна на депутатски мандат.

По всичко изглежда, че машинното гласуване е неуспешен дългогодишен експеримент. Но лошото му е, че може да завлече със себе си и дистанционното електронно гласуване. „Все е техника, все има проблеми“ ще звучи като разумно обяснение. Има обаче една съществена разлика – дистанционното електронно гласуване решава реални проблеми (за хората, които не могат да бъдат в избирателна секция по една или друга причина). То също е сложно за реализиране, за одитиране и за провеждане, но поне не е безполезно.

Според мен още на местните избори трябва да се откажем от машините. Или ако много, много държим на тях, Изборният кодекс да бъде поправен, а секционните и общинските комисии – старателно обучени. Да оставим нещата да продължават както в момента би създало риск за изборния и съответно демократичния процес.

Ефектът на демократичната пеперуда

Post Syndicated from Bozho original https://blog.bozho.net/blog/3335

В неделя предстоят европейски избори. И ми се искаше да напиша нещо много мотивиращо за това, че трябва да се гласува. Но единствените мисли, които ми идваха, бяха в числа. Че българите избираме 2.26% от евродепутатите, докато избирателите от Ямбол, Винин или Габрово избират само 1.6% от българските депутати. Или колко процента е европейското законодателство и затова не е безсмислено да се гласува. Или колко бихме спечелили от разни предстоящи европейски политики, като единната енергийна политика.

Но както научих наскоро от една книга, избирателят не се впечатлява от числа. Той действа в отговор на емоциите си, а дори рационалните му позиции са често пост-фактум рационализация на емоциите му. А емоции в европейски избори може да има трудно. Брюксел има образ на студена и скучна бюрокрация. На нещо далечно.

Европейските ценности и свободи пък вече може би са станали клишета. Свобода, демокрация, мир, свободно движение, върховенство на правото. Чудесни неща, но дори на завърналите се току-що от командировка в Париж, от екскурзия в Италия или от море в Гърция, тези неща звучат някак далечно или изтъркано. Вероятно изглежда, че свободното движение е даденост, а върховенството на правото не ни засяга пряко.

И в този ред на мисли се чудех какъв е ефектът от евроизборите, какво променят. Освен европейския политически пейзаж, евроизборите променят и местния такъв. Кой колко гласа ще вземе на европейските избори има значение за управлението на страната. След предните европейски избори ДПС се оттегли от властта и Орешарски подаде оставка. Да, бяха само повод, а не и причина за схизмата в управлението, но това също не е малко. В момента имаме сходна ситуация – скандал с махленска корупция и разединени коалиционни партньори в управлението. Европейските избори могат да бъдат повод за преконфигуриране на властта.

Само че въртележката „ГЕРБ-БСП“ (с помощта на „патриотите на деня“ и с небезвъзмездната подкрепа на ДПС), и в която БСП пропуска своя ред, не е реална промяна в нищо. И това може би също действа демотивиращо и убиващо желанието да се гласува.

Ясно е, че тази публикация ще завърши с това да ви агитирам да гласувате за Демократична България (номер 13), от която съм част. Обаче това не е онлайн анкета или гласуване с sms-и в риалити шоу. Не искам просто „да викаме за наш’те“.

Искам да си представим, че всеки подаден глас е решаващ и значителен за бъдещето.

Демокрацията, а и историята като цяло, понякога демонстрират ефекта на пеперудата. Малко действие, малка промяна в условията води до големи промени.

Най-популярният пример за това е може би изборът на Джордж Буш с няколкостотин гласа във Флорида. Тези няколкостотин гласа влияят силно на човешката история и (може би) водят до войни в Афганистан и Ирак, съответно години по-късно (може би) до мигрантска вълна към Европа и съответно ръст на популизма. Тези няколкостотин гласа разлика пък вероятно са дошли заради избора на вид бюлетина (иронично, тип „пеперуда“) и на съмнителни машини за гласуване, като този избор вероятно е направен от някоя местна комисия, чието назначаване е било следствие от някакви „незначителни“ избори във Флорида.

Не казвам, че европейските избори в България имат такъв потенциал. Кой колко евродепутати ще прати в Брюксел няма да промени световната история (дори Бареков да е в групата за партньорство с Иран). Но българските евроизбори могат да променят поне българската история.

Няма значение дали Радан Кънев и Стефан Тафров ще отидат в Брюксел (макар че съм убеден, че ще бъдат най-адекватните ни европейски депутати). Няма значение дали Пеевски ще стане този път евродепутат или пак ще се откаже. Няма значение дали въпреки промените в изборния кодекс пак ще има ефект „15/15“ при БСП или не.

Европейските избори имат значение за обръщането на тенденцията. За счупването на въртележката. И смятам, че резултатът на Демократична България ще е от ключово значение за политическата история след изборите. За това дали новият главен прокурор ще е „Цацаров 2.0“, дали ще има още апартаменти и къщи за гости на фона на срутващи се ремонти, и т.н. и т.н. Дали ще продължаваме да сме най-корумпираната, бедна и несвободна държава в Европа.

Може и да не е така. Това е проблемът при ефекта не пеперудата – че не знаеш кое махване на крилата ще предизвика торнадото. Но пеперудата е длъжна да маха с крила, иначе ще падне. Смятам, че и ние сме длъжни да гласуваме, с разбирането, че всеки глас може да е част от ефекта на демократичната пеперуда.

Цацаров и Имотният регистър

Post Syndicated from Bozho original https://blog.bozho.net/blog/3332

Не вярвах, че ще защитавам някога Цацаров. Но казусът е прекалено интересен, за да не го коментирам.

Та, в имотния регистър, при търсене на Сотир Цацаров, излизат един апартамент, който няма продавач, а само купувач – самият Цацаров. Тъй като в събота имотният регистър беше спрян, това породи съмнения, че някой е искал да скрие нещо.

Само че данните са си там – при други търсения излизат. Т.е. едва ли става дума за заличаване на данни, а по-скоро за проблем при визуализацията ми. Дали пък някой не е добавил тайно в кода условие if (Цацаров) скрий данни;? Оказва се, че не.

Според отговор от Агенция по вписванията, който Капитал е получил, става дума за нещо доста по-тривиално, но и доста сериозно в същото време.

„акт №196, том 8 от 2007 г. е въведен в стара информационна система през 2007 г (…). В старата система са се въвеждали поотделно данни за всеки имот и лице, свързано с него, т.е. не е имало възможност да се отразяват връзки между страните в акта и имота. От приложената справка/снимка от медията ясно се виждат 3 отделни записа/генерирани справки. Това е така поради начина на въвеждане на данни в старата информационна система, а именно три отделни записа за всяка страна“

Ще опитам да го обясня на човешки език – вместо в базата данни всеки имот да е уникален запис, а всеки участник в сделката да бъде свързан към този запис, системата явно е била направена така че за сделката на Цацаров (която е била с един дарител/продавач и двама надарени/купувачи) е имало три записа – един запис „имот – Цацаров“, един запис „имот – жената на Цацаров“ и един запис „имот – дарителя/продавача“.

Пиша „дарител/продавач“, защото според Бивол и Капитал преди 7 години това е било променено в имотния регистър. Т.е. от дарение се е превърнало в продажба (защо и как е друга тема).

Ако чета отговора на Агенция по вписванията правилно, след като са мигрирани данните от старата система (която по спомен е функционирала преди повече от 10 години), те не са представени в новата като един имот, а като три имота с един и същи номер на документа. Поради което цялата информация излиза при търсене по документ, но не излиза при търсене на някоя от страните. Към момента на миграцията това може да е било приемливо решение, но описаното е изключително ужасен модел на данните, който дори не би ми хрумнал да направя. За да направи мазалото още по-тежко, това не е било винаги така – някои имоти са въвеждани по един начин, други по друг.

Така че изглежда, че този уикенд е нямало действия по скриване на информация, която така или иначе вече е била известна. Агенцията казва „то така си беше“ и съм склонен да им вярвам.

Казано на шега – лош модел на данните води до политически скандал. Но всъщност това е част от големия проблем тук. Че данните в един от най-важните регистри в държавата с в такъв вид вече над 10 години. И че агенцията не е предприела никакви мерки да ги „почисти“. Цацаров не е изолиран случай и регистърът реално не предоставя адекватна справочна информация.

Реформата в Агенция по вписванията трябваше да е започнала. Трябваше тези сриващи се регистри да бъдат закрепени отдавна, а данните в тях – почистени от проблеми като горния. Трябваше да се е случила интеграцията на имотния регистър с кадастъра. Трябваше отдавна да е преразгледан ЗКИР и имотният регистър да се превърне в истински първичен такъв (в момента водещото са хартиите, на база на които съществува той).

Паралелно с това е нужно да се гарантира интегритета на данните в такива ключови регистри. Не може да се разчита единствено на организационни мерки, които се заобикалят с „една заповед отгоре“. Макар в случая манипулация да няма (или поне тя да не е станал тази година), трябва да има технически гаранции, че манипулации е нямало никога. Квалифицирани електронни времеви печати е първа стъпка към това.

Може в случая Цацаров да не е виновен и манипулация в регистъра да няма, но Агенция по вписванията трябва най-накрая да спре да се движи по инерция. Но за това е нужен не само технически капацитет, но и политическа адекватност.

Скучно за стратегиите

Post Syndicated from Bozho original https://blog.bozho.net/blog/3325

Едва ли е добра идея да заявявам, че дадена публикация ще е скучна още от самото начало, но предвид, че става дума за стратегически документи и нормативни актове, няма как да е иначе. Въпреки, че ще е по актуалната тема със стратегията за детето.

Няма да обсъждам темата по същество – не съм експерт по темата с детските политики (и не, това, че имаш дете не те прави компетентен по темата). Ясно е, че наред с някои валидни притеснения беше вкарана много истерия и напълно измислени страхове. Но целта ми не е да обвинявам един или друг, че не е чел или не е разбрал стратегията (аз не съм я чел цялата, защото и да я прочета, не разбирам от детски политики).

Но искам да обясня какво са различните видове документи, които държавата генерира. С това имам опит, защото съм писал поне по нещо във всеки един от изброените по-долу видове документи. Да ги разделим основно на два вида – нормативни и ненормативни. Ненормативните включват стратегии, пътни карти и програми. Нормативните включват закони, наредби, правилници, инструкции.

Нормативните актове имат за цел да уредят обществените отношения в дадена сфера и да определят ролята на държавните институции в тази сфера. Законът за обществените поръчки определя как държавата си поръчва стоки и услуги от частния сектор. Изборният кодекс урежда провеждането на избори. Наказателният кодекс урежда за какво може човек да бъде осъден и какви могат да бъдат присъдите. Наредбите и правилниците се приемат на база на даден закон и влизат в оперативни детайли как точно ще се прилага закона. Наредба Н-18 урежда как търговците да се отчитат пред НАП (напр. чрез касови апарати). Правилникът за прилагане на Закона за електронната идентификация урежда как точно МВР и Държавна агенция „Електронно управление“ да изградят системата за електронна идентификация, така че да изпълнят съответния закон.

Ненормативните документи имат за цел да разкажат какво планира да прави изпълнителната власт в средносрочен или дългосрочен план. Стратегиите са най-общи и „пожелателни“, пътните карти и плановете описват какво точно ще се случи. Всеки такъв документ може да предпише изменения в някой нормаивен акт. Например в пътната карта за електронно управление има конкретен проект за „единна входна точка за подаване на годишни финансови отчети“, но изрично казва, че за да се изпълни този проект могат да са необходими изменения в Закона за търговския регистър. Стратегията за развитие на електронното управление не включва конкретни проекти, включва само общи насоки, в които да се развива то. Националната програма за елиминация на морбили и рубеола описва конкретните стъпки, които са нужни за да елиминираме двете болести.

Стратегията за детето описва общата посока на работата на държавата във връзка с децата – например тяхната защита от родители, които ги малтретират. Стратегията предписва, че в даден момент ще са нужни изменения на нормативни актове, в т.ч. наказателния кодекс.

Правителството публикува за обсъждане и нормативните актове и ненормативните документи на портала за обществени консултации. (Ако вече ви е станало скучно, за разнообразие може да разгледате случайно-генерирани заглавия на стратегически документи).

Какво значи това на практика. Значи, че стратегиите са едни пожелателни текстове с дълъг хоризонт. На база на тях се пишат пътни карти със същия ли по-кратък хоризонт, а след това на база на двете някое министерство или агенция предприема някакви действия. Част от тези действия са изменение на нормативната уредба.

Т.е. на база на стратегията за детето след няколко години Министерство на правосъдието ще направи работна група заедно с Министерство на образованието и Министерство на труда и социалната политика и ще обсъждат изменения на Наказателния кодекс, където да въведат наказания за тормоз над деца от родителите им. В друга работна група в МОН ще обсъждат как в училище да подпомагат децата, жертви на малтретиране и евентуално ще напишат наредба за това (или ще променят съществуваща, ако има такава). В тези работни групи ще бъдат поканени членове на гражданския сектор, в т.ч. НПО-та. И в крайна сметка съответният министър ще внесе нормативният акт за обсъждане както от обществото, така и след това в Министерски съвет. А ако е законопроект – и в Народното събрание.

Разбира се, след няколко години хората, които ще участват в работните групи я са чели стратегиите, я не. Ще ги прехвърлят отгоре-отгоре, ще копират малко текст, където е приложимо, и ще сътворят предложения за изменение на някой закон.

В целия този процес обществените консултации не са проформа. Вярно, пътната карта, законите и наредбите, в чието писане аз участвах не предизвикаха такъв обществен интерес, но всеки един коментар беше разгледан и смислените препоръки бяха приети. Реакцията срещу стратегията за детето стана силна едва след края на общественото ѝ обсъждане. Имаше опит и преди това, със спорадични коментари във фейсбук групи, но някак нещата не успяха да се „запалят“ тогава (преди няколко месеца).

Стратегиите дават обща рамка. Те не са закони или наредби. Дори когато се изпълнят, това става чрез последващи изменения на нормативни актове. Много хора не направиха тази разлика и това превърна ситуацията в драматична. Ако дефинициите на някои понятие в стратегията за детето не ни харесват, можем да сме сигурни, че те няма да влязат в този си вид в закон. И преди да влязат, ще можем да изразим несъгласието си с тях. И дори да участваме в работните групи. И дори да отидем на заседание на парламентарната комисия, да поискаме думата и да си кажем препоръките.

С цялото това скучно обяснение не искам да кажа „така не се прави“ и „протестирайте на правилната стъпка от процеса, а не сега“. Искам да кажа, обаче, две неща.

Първо, че правителството не успява да комуникира предназначението на един или друг документ. Стратегиите са общи и пожелателни и всеки може да разбере страшни неща от прочита си. От десетки страници пътна карта за електронно управление, прочитът на някои журналисти беше „правителството ще прави държавен имейл“. Някой със сигурност е разбрал, че „ще ни чипират“ и се е стреснал. Правилната реакция е да се обясни каква е ролята на документа, да се оттеглят конкретни текстове и дефиниции, които не допринасят към стратегическия характер на документа, и които подлежат на прецизиране и цялата стратегия да бъде приета, за да може след това да започне мисленето по нормативната уредба.

Второ, чудесно е желанието с гражданска енергия да коригираме действия на властта. Но ако искаме с тази енергия да водим до позитивна промяна, а не до деструктивно горене на суровото покрай сухото, можем да фокусираме действията си в правилния момент. В момента, разбираемо, стратегията действа разделително. Едните са „нечетящи идиоти“, другите са „норвежки джендъри“. Ако това се беше случило при дебата на изменения в Наказателния кодекс, щяхме да знаем какво точно стои зад малтретирането и дали „един шамар“ щеше да ни вкара в затвора, а детето ни – в дом (не, няма). И нямаше да строим хипотетични страховити сценарии.

Изтеглянето на стратегията е слабост в процеса на обществения диалог. И се надявам колкото и да съм скучен, да помагам за малко по-конструктивен диалог.

Електронното управление срещу корупцията

Post Syndicated from Bozho original https://blog.bozho.net/blog/3315

Апартаменти, тераси, къщи за гости. Скандалите, които „бушуват“ от повече от месец и могат да променят политическия пейзаж. Всички параметри на корупционните практики вече са ясни и няма нужда да ги повтарям. Иска ми се обаче да разгледам скандалите от една друга гледна точка – електронното управление.

Може би не изглежда свързано, но всъщност е ключов фактор. Първо – какво е електронното управление? То не е просто електронни услуги, те са само върхът на айсберга. Електронното управление стъпва на електронизираното събиране и съхранение на информация, и то информация имаща правно значение. С други думи, това, че имаме електронни регистри и законоустановени правила по тяхното поддържане е в основата на електронното управление.

Какво общо има това с корупцията? Да проследим как бяха установени апартаментите, терасите и къщите за гости. Свободна Европа, Антикорупционният фонд и Бивол използваха публични електронни източници – Имотния регистър, регистъра на имуществените декларации, регистъра на получилите помощи по програмата за развитие на селските райони. Без тези източници скандалите щяха да са непроверими слухове.

А имотният регистър, регистрите по оперативните програми (обединени в системата ИСУН), имуществените декларации, търговският регистър, регистърът на обществените поръчки и още един куп регистри представляват основата на електронното управление. Администрацията е длъжна да ги попълва и въздействието „отгоре“ е трудно до невъзможно. Никой не може да „пипне тайно“ информация за фирмата ви, никой не може ей така да влезе и да изтрие данни за имот в Имотния регистър. Ако декларация за имуществено състояние липсва, това само по себе си би генерирало скандал. Обществените поръчки се вписват не само в българския регистър, но се изпращат и към европейски такъв.

Но какво като са електронни – и на хартия да бяха, пак щеше да може някой да отиде и рови в информацията. Това има два аспекта. Първият е автоматизирането на работата – с данни в електронен вид могат не само да се намират по-бързо нещата, които търсиш, но неща, които не търсиш стават видими в процеса на търсенето. Вторият аспект е достъпността. Чувал съм слухове как преди въвеждането на Търговския регистър много хора спешно са излизали от органите на дружества, с които не са искали да бъдат свързвани. Защото едно е някой да отиде да рови фирменото дело в мазето на съдебната палата, друго е информация да е достъпна с няколко натискания на мишката.

Друг много важен фактор е прозрачността на информацията. Ако регистрите не бяха публични, щяха ли да са полезни? Според мен – да. Защото самото наличие на информацията в структуриран вид я прави достъпна. Да, понякога ще се налага искане по Закона за достъп до обществена информация, ще последва отказ, ще се отиде до административен съд, но накрая информацията е там. Информацията за къщите за гости не е била публична, но в крайна сметка е била намерена (и то по всичко изглежда без да „изтича“ отвътре).

Също така от непрозрачни или полу-прозрачни, регистрите могат да станат прозрачни много по-лесно. Когато преди 3 години отваряхме масиви от данни, в т.ч. Търговския регистър и регистъра на обществените поръчки в машинно-четим вид, с една малка стъпка от полу-прозрачни направихме тези регистри напълно прозрачни. Вече остарелият и неудобен потребителски интерфейс не е пречка пред търсенето на свързани фирми и съмнителни обществени поръчки, защото данните са вкарани в по-удобните за целта търсачки на Бивол. Затворени регистри понякога могат с едно изменение на наредба да станат публични. Ако не бяха събирани в електронен вид, това нямаше да е възможно.

Ако нямаше имотен регистър, апартаментите и терасите на властта нямаше да могат да бъдат открити. Съседите щяха да знаят кой живее там, но дотам. Ако нямаше регистър на имуществените декларации, нямаше да е ясно кой какво е решил да скрие. Ако нямаше регистър на получателите на средства по ПРСР, къщите за гости щяха да са само слух сред консултанти по европрограми (макар и този регистър да е бил съзнателно скриван, все пак Бивол са го открили на сайта на Държавен фонд „Земеделие“)

Да, наличието на тази информация не е достатъчно. Трябват грамотни журналисти, които да ги използват, за да откриват информация и да проверяват слухове. Защото явно органите или нямат компетенцията, или нямат мотивацията да търсят корупция. Ако беше реализирана системата за анализ на корупционния риск, може би поне първото нямаше да е в сила (системата ще обединява данни от много регистри и ще засича потенциално корупционно поведение на лица, заемащи публични длъжности). Но мотивацията за търсене на корупцията и чадърите остават.

Затова електронното управление е толкова важно. Не просто защото ще оптимизира работата на администрацията, а защото корупцията става по-трудна за извършване, а и за криене след това.

Не че е невъзможно – възможно ще е, разбира се. Но „махленската“, апартаментна, терасна и вилна корупция все по-трудно ще минава. Не че не може да има и електронна корупция – може. Ако няма адекватни технически мерки, тези регистри могат да бъдат манипулирани. Но в електронния свят манипулирането също може да оставя следа. И ако веднъж нещо бъде направено както трябва от гледна точка на защита от манипулации (като например Търговския регистър), после връщане назад няма (дори след неадекватна поддръжка и срив).

Вероятно електронното управление генерира неосъзнат страх у корупционно-зантересованите. Или може би все по-осъзнат страх. Затова е важно да го промотираме и защитаване. И ако някой, например, реши, че заради защитата на личните данни трябва имуществените декларации да бъдат скрити или Търговският регистър да бъде затворен, трябва да знаем каква точно е целта зад такова предложение.

Електронното управление звучи като някаква далечна експертна техническа тема или в добрия случай – дъвка за това как „още трябва да обикаляме по гишета и опашки“. Но всъщност е нещо много по-сериозно. Електронното управление е начин за създаване на по-стабилни и по-прозрачни институции. Нещо, което в западните държави се е случило след дълги години демократична традиция. У нас такава традиция няма и всяка институция се огъва под политическите и корупционните желания. Електронното управление, според мен, е начин да съкратим дългия път към стабилните институции, които, ако не разследват корупцията, то поне дават възможност на журналистите да го правят.

Не си въобразявам, че електронното управление ще реши всички проблеми. Но е важен и ефективен инструмент за справянето с тях. Технологията няма да ни спести демократичния процес и политическата еволюция, но може да ги направи малко по-лесни.

Нюансирано за Асандж

Post Syndicated from Bozho original https://blog.bozho.net/blog/3310

Арестуваха Джулиан Асандж.

За едни той е боклук, който е изложил на опасност не само животите на американски войници и агенти, но самата американска демокрация.

За други е герой на свободното слово, който е разобличил американските власти нееднократно.

За първите той е прислужник на Кремъл, който използва свободата на словото като претекст да атакува Америка.

За вторите той е самоотвержен инструмент за на т.нар. whistleblowers (хора, които издават тайни, защото смятат, че е важно, обществото да ги знае), с които западните държави да поддържат нивото си на демократичност и прозрачност.

Реално… е по-сложно. Да, изтичането на класифицирана информация винаги крие рискове, ако не се прави внимателно, да, особено в последните години WikiLeaks и Кремъл работеха ръка за ръка, да, whistleblowers трябва да имат инструмент, с който да правят публично достояние силно спорни практики, като напр. Prism, и да, WikiLeaks имаше дисциплиниращ ефект.

Трябва ли обществото да знае всичко? По-скоро не. Концепцията за „класифицирана информация“ същество по обективни причини. Но определено има случаи, в които обществото трябва да знае за дадена класифицирана информация. Трябваше ли да знаем за това как американски войници застрелват цивилни и репортери на Ройтерс в Ирак, знаейки много добре, че не представляват опасност? Трябваше ли да знаем, че американското правителство е изградило сложна система за следене на всичко, което правим онлайн? Трябваше ли да знаем за писмата на Сурков (висшестоящ сътрудник в Кремъл), според които Русия има стратегическа цел да дестабилизира Украйна? Според мен и в трите случая, а и в много други – да. Неслучайно тези разкрития излязоха и през реномирани издания като The New York Times и The Guardian.

Асандж не е нито герой, нито боклук. Той може би е човек, преследващ даден идеал, но обстоятелствата превръщат това в гротескна война срещу САЩ (вероятно не без тяхна помощ, а и не без помощта на Русия). Когато не си подготвен да застанеш на това било, без да те отвее вятърът, се случва това. А много малко хора вероятно се подготвени.

Не харесвам Асандж. Всички щрихи за неговия характер, близостта му с Кремъл и не на последно място – обвиненията в изнасилване, не ми позволяват да го харесвам. Не мисля, че искам да го демонизирам, обаче. Нито да го героизирам, разбира се.

А арестуването му не трябва да дискредитира хората, които с риск за живота си, предоставят информация, която обществото трябва да знае. Те са важни – за демокрацията, за свалянето на режими и за предотвратяването на режими. Не всеки whistleblower е добър, не всяко изтичане на информация си струва. Никога в нищо няма абсолютност.

За съжаление мозъкът ни не е еволюирал за да различава сложните нюанси на все по-сложния свят. Ако беше, нямаше да има герои и злодеи. И Асандж нямаше да е разделящата фигура, която е в момента. Щеше да е просто малко луд, много безразсъден, до един момент може би идеалист, след един момент може би сключил сделка с грешните хора. Та така… надявам се да има справедлив процес.

Грешната посока на НАП с Наредба Н-18

Post Syndicated from Bozho original https://blog.bozho.net/blog/3298

Наредба Н-18 е нещо, което тормози бизнеса от известно време. Най-вече с това „какво точно трябва да направим“ и „колко ще ни струват тези промени“. С две думи, наредбата се отнася до използването на касови апарати, както и до софтуера, с който се управляват продажбите и който (трябва да) е свързан с касовите апарати.

След множество негативни становища от страна на различни бизнес асоциации (а и политически партии), НАП все пак влезе в диалог с бизнеса. Резултатът е, че първоначалния абсурд сега е една идея по-малко абсурден. Бях поканен в една дискусионна група за измененията в наредбата и следя какво се случва – наредбата започва да покрива повече сценарии от реалния живот, което обаче я прави още по-сложна.

Проблемът обаче не е в конкретни текстове, които могат да се „ремонтират“, а в цялостната посока, в която върви НАП. Наредбата е толкова дълга и завъртяна, че вече не съм сигурен дали дори авторите ѝ са наясно какво означава. Дотолкова, че НАП пуска няколко документа с „Въпроси и отговори“, с които да тълкува наредбата. Отговорите на въпросите на теория не са нормативно обвързващи, но на практика ако не ги спазвате, НАП може да ви затвори.

НАП се опитва да налага все повече контрол върху всеки един аспект на продажбите и това минава през абсолютни крайности като нормативно определени екрани на софтуерни приложения. НАП иска да знае какъв софтуер ползвате, не разрешава да ползвате софтуер извън разрешения и иска да има достъп в реално време. В един момент осъзнава, че далеч не целия бизнес е „ресторанти и кафенета“, а име доста онлайн магазини и други специфични случаи, и наредбата започва да става все по-голямо чудовище.

Друг голям проблем в наредбата е честотата на промените в нея – за последните 2 години има 6 проекта за промени, (тук, тук, тук, тук, тук и тук). При такава динамика на нормативната уредба, бизнесът трябва да има хора на щат, които само да следят измененията в наредбата и да реализират техните изисквания.

Не само, че има толкова много изменения, ами НАП не оценява техния ефект върху бизнеса. Само едно от шестте изменения има частична оценка на въздействието, тя е фокусирана само върху продажбата на горива, и нейното качество е ниско, да не кажа плачещо. Т.е. НАП не са си спазили нормативното задължение за извършване на оценка на въздействието. А въздействието е голямо – по оценки на бизнеса около 500 милиона ще струва привеждането на системите в съответствие с наредбата. В още едно от измененията има опит за оценка на въздействието като част от мотивите (което показва нормотворческите умения на НАП), където оценката е за 20 милиона разходи за бизнеса. Разминаването със оценката на бизнес асоциациите е плашеща, но не ми се иска да влизам по същество кой е по-близо до истината.

Т.е. проблемите са сложност, непредсказуемост, висока цена за бизнеса, липса на адекватна оценка от страна на НАП.

А каква е целта? Целта е събиране на пари в бюджета, като оценката, която съм чувал (но не можах да намеря в мотивите) е 300 милиона на година.

Да, бизнесът крие данъци. Да, не „чукват“ бележки на апарата винаги. Да, софтуерите за управление на продажбите вероятно поддържат опции за „двойно счетоводство“ – едното, което излиза през касовия апарат и отива към НАП и едно за вътрешни нужди. И НАП иска да спре тези практики с наредба, защото като отиде на проверка, всичко това се изтрива на момента и продавачите ни лук яли, ни двойно счетоводство мирисали. Т.е. да, проблем има от гледна точка на бюджета.

Обаче посоката, в която НАП са тръгнали – на пълен контрол върху всичко – е възможно най-грешната. Защото докато в момента част от бизнесите крият, а по-голямата част са изрядни, сега цената и несигурността на това да бъдеш изряден става по-висока. И ефектът може да бъде обратен.

А посоката е грешна, защото на НАП не им трябва да лицензират софтуери, не им трябва достъп в реално време до оборота. Защото и тези неща ще бъдат заобиколени от тези, които искат да крият данъци. Дори е тривиално да бъдат заобиколени. Посоката е грешна, защото НАП очевидно няма капацитета дори да напише наредбата така, че да отговаря на реалния свят, в който има електронна търговия (в един момент НАП обясни, че да, правилно сте разбрали – изисква се да се свърже електронния магазин с касов апарат), а пък камо ли да я прилага.

Посоката трябва да бъде към опростяване на нормативната уредба и опростяване на инфраструктурата. И ето няколко предложения за правилна посока:

  • Отмяна на наредбата (която е от 2006-та) и създаването на изцяло нова такава, по-кратка, по-ясна и съобразена с реалностите на 2019-та.
  • Отпадане на задължението за касови апарати. През 2006-та връзка в реално време с НАП е била немислима, поради което фискалната памет е била начинът за сигурно съхранение на данни за продажбите (уж) без да може да бъде манипулирана. Това изискване вече няма смисъл, тъй като продажбите могат и се предават в реално време към НАП. Разбира се, всеки може да избере да си купи касов апарат, който покрива изискванията за връзка с НАП без да се налага да си купуваш софтуер и да се учиш на него – приложимо за малки магазинчета и кафенета, например. Но задължението да имаш касов апарат трябва да отпадне. Бележки могат да се издават от произволно печатащо устройство, стига да отговарят на базови изисквания за съдържанието им.
  • Връзка с НАП в реално време – за всяка продажба НАП може да издава уникален номер, който да се изписва на бележката. Така НАП ще получава данните за всяка продажба и никой няма да има право да издава бележка, ако не е получил номер от НАП. Освен ако няма проблем с връзката, в който случай бележката може да бъде издадена с локално генериран номер (UUID напр.), който впоследствие да се изпрати към НАП, при възстановяване на връзката (или на падналите сървъри). Такава разпоредба обхваща всички възможни сценарии на продажба, не изисква слагане на касови апарати в дейта-центрове, интеграции на онлайн магазини, и др. Има места, където връзка в реално време не е възможна (напр. в планината). Там фискалните устройства са подходящ заместител.
  • Отпадане на задължителните касови бележки. В холандските супермаркети винаги ме питаха дали искам касов бон. Защото няма нужда да хабим хартия и мастило, ако не ми трябва, при положение, че има връзка с НАП в реално време.
  • Електронни касови бележки – добра идея е да може бележката да бъде получена в електронен вид директно на смартфона на клиента (напр. чрез NFC).
  • Приложение за следене на разходите – при всичко гореизброено, остава проблемът, че някои търговци не пускат продажбата към НАП (в момента – не пускат на касовия апарат). Контролът на това най-лесно се осъществява от гражданите, които пазаруват. Те биха имали стимул да сканират QR кодове от касовите бележки, ако това им позволяваше да си следят разходите. В момента приложенията за целта разчитат на ръчно въвеждане и по-рядко на сканиране на бележки (аз не съм виждал такова, което да работи на кирилица, обаче). Ако QR кодът дава достатъчна информация за съдържанието на бележката, и в същото време изпраща номерът ѝ и номера на търговеца за проверка в НАП, това би било ефективен начин за намаляване на криенето на продажби. Това не изключва проверките от НАП, разбира се. И със сигурност приложението трябва да е така направено, че да НЕ изпраща на НАП данни за това кой клиент какво пазарува. Със сигурност не бих искал НАП да знае това за всеки. В този смисъл, приложението може и да не е направено от НАП, а от външен доставчик. НАП единствено трябва да определи формата на QR кода (съответно – на електронната „бележка“) и да предостави програмен интерфейс за проверка на номера на бележката.
  • Достъп до банкови сметки по желание на търговеца – когато става дума за онлайн магазини, връзката в реално време с НАП пак би значела допълнителен разход. Опция, която се ползва в Естония, доколкото знам, е търговецът да даде достъп на НАП до банковата сметка, по която получава онлайн плащанията (само до нея, не до всички сметки на фирмата). Така НАП ще има цялата нужна информация без изобщо да се налага търговецът да докладва продажби. Ако няма други приходи, това ще спести и подаването на декларации. PSD2 (втората директива за платежни услуги) така или иначе задължава банките да имат програмен интерфейс за достъп до сметки на клиенти, просто НАП ще трябва да получават такъв и да интегрират системите си. Тази стъпка е доброволна, разбира се – за улеснение на страните. Ако някой бизнес не желае да дава достъп до сметката си, НАП не може да го задължи.

НАП най-вероятно не е готова за такива промени. Но предложението ми е да ги обмисли и да се подготви за тях, вместо да затъва все по-дълбоко в опита да специфицира софтуера за продажби до последния детайл. И според мен е нужно корекция на мисленето на политическо ниво в Министерство на финансите. Най-важното не е да се напълни бюджета. Да, бюджетът е важен, но пълненето му не трябва да минава през свръхрегулация, защото в крайна сметка това винаги води до по-малко приходи в бюджета.

Пет политически клишета

Post Syndicated from Bozho original https://blog.bozho.net/blog/3291

Клишетата летят с все по-висока скорост покрай наближаващите избори, но дори в нормално време честото им срещане вдига нивото на скучност многократно. И тъй като и аз съм скучен, си подбрах пет клишета и ще опитам да да обясня какво всъщност значат.

  • Реформа. В общия случай значи „направихме работна група“ или „свикахме съвет“, което значи, че ако някой пита какво се случва, да може да се каже „работим, но темата е сложна“. Дори в добрия случай, „реформа“ значи „да променим няколко закона и няколко наредби“. В краен случай дори значи прокарване на нов закон. И често свършват дотук мераците за реформа, отчели сме, че нещо се е променило „в Държавен вестник“, а оттук нататък ако нищо не стане – администрацията е виновна. Ако една реформа наистина трябва да бъде такава, е нужно да бъде подкрепена както с нормативни изменения (без да го пише в закона не става), така и с финансиране, оперативни планове, хора, които да знаят за какво става дума и с политическа воля (вж. следващия абзац). Например реформа в електронното управление включва както промяна на някои закони, така и финансиране за ключови проекти, грамотни ръководители на процеса и желание да се налага реализирането на всички тези проекти въпреки пречките пред тях.
  • Политическа воля. Митичната политическа воля, която се материализира на някое заседание в някоя парламентарна комисия и после също толкова бързо изчезва. Докато не се наложи да изгрее от „кабинет 1“ в Министерски съвет под формата на „аз съм им казал“. Политическа воля има в редките случаи, в които повечко хора имат поне малка представа за какво става дума и са готови дори да свършат някаква работа, за да се случи нещото. Това нещо може да бъде реформа (вж. горната точка), проект (особено енергиен) и какво ли още не. На практика политическата воля се изявява като приносителят ѝ мести всички камъни, които се изсипват на пътя на някакво (уж) добро решение. Например, ако имаше политическа воля за електронно здравеопазване, то щеше вече да се е случило.
  • Консенсус. В редките случаи, когато мнозинството от хората, участващи в един дебат всъщност имат идея за какво говорят, може да се постигне съгласие за пътя напред, със съответните отстъпки от всяка от страните. Тъй като това е много рядък случай, консенсусът на практика значи, че достатъчно много хора са уцелили случайно припокриване на неразбирането си по дадената тема и са си стиснали ръцете. Чудесен пример беше парламентарният консенсус за изменението на Търговския закон, с което забраниха продаване на дружествени дялове при неплатени заплати и осигуровки. Пълно съгласие, пляскане с ръце и дружни танци, обаче за жалост никой не разбираше от темата и това създаде хаос за месеци напред. Консенсусът може и да е хубав, но по-често трябва да ни притеснява. Другият вариант е всички участници да знаят, че нещо трябва да се направи (я щото от Брюксел го искат, я защото е имало референдум, я защото е гореща тема), обаче никак не искат да правят нищо. И затова с дълги спорове не по същество се стига до „консенсус“. Ако може консенсусът да е в преходни и заключителни разпоредби, за да падне по-лесно, когато се промени „политическата ситуация“.
  • Волята на суверена. Или както беше казал някой – ако народът каже да ходим със зелени гащи, ще ходим със зелени гащи. На мен зеленото ми е любим цвят и нямам проблем с точно тази воля на суверена, само не ми се мисли далтонистите какво ще правят. Все пак се надявам наказанието да е административна санкция, ама де да знаеш, народът може и да реши да криминализира ходенето с червени гащи. Та тази воля кристализира на избори и референдуми. Особено на референдуми, и там „суверенът“ често значи „53-54% от тия, дето все пак са решили да гласуват“. Та, в общия случай, суверенът е едни 25-30 процента, които обаче са „казали“. Или са избрали някой и той сега има мнозинство и върви гордо и отваря врати, въоръжен с волята на суверена. Ако го питаме суверена дали е окей някой така си присвоява волята му, той няма да се съгласи. Ама затова няма да го питаме. А сериозно – волята на мнозинството е важна и с нея не бива да се злоупотребява. Тя не е абсолютна и константна, защото информацията и представите на хората се менят във времето. Тя е абсолютно нужна, за да се случват важни неща – например ако мнозинството не беше съгласно да влезем в ЕС, влизането в ЕС щеше да е много проблемен ход, който да „избухне“ в обществото доста бързо. За щастие, макар да нямаше референдум, нагласите (изразени и чрез гласуване за проевропейски послания) бяха ясни.
  • Стабилност. Стабилността значи или нищо да не се случва, или то да се случва предвидимо бавно. Защото пък ако нещо вземе, че се случи, то може да се окаже неприятно. Изненадващо. Или просто различно. Затова хубава си е стабилността – може нещата да не стават добре, ама поне стават както сме си свикнали. Текат едни поръчки, едни избори, тук-таме сменят някой министър, от време на време опозицията вземе, че дойде на власт. Ама толкова. Не че политическата стабилност не е важна – важна е, разбира се. Всяка среда, в която има остри противопоставяния и липса на перспектива какво ще стане след 6 месеца гони хора, отблъсква инвеститори, пречи на спокойния живот. Но ние не сме в такава турбулентна среда и стабилността е по-скоро заспиване, отколкото устойчиво развитие, каквото може да бъде.

Клишетата са полезни понякога за предаване на информация с малко думи, но в един момент се превръщат в шум. Та, реших да добавя още шум към шума, защото колкото повече, толкова повече.

Задължителни пръстови отпечатъци в личните карти в ЕС?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3287

Комисията в европарламента по граждански свободи, правосъдие и вътрешни работи снощи гласува да има задължителни пръстови отпечатъци в личните карти в целия Европейски съюз. Мярка, срещу аз бях активно – писах преди година при внасянето ѝ, писах и отворено писмо до евродепутатите. Инициирах позиция на Демократична България против мярката и обясних в „Денят с Веселин Дремджиев“ защо това е лоша идея.

Няма да повтарям всичко, а ще се фокусирам върху няколко основни момента, свързани с нуждата от такава мярка, с текущото състояние, и с проблемите със сигурността и ще опитам да отговоря на въпросите, които срещнах в последните няколко седмици по темата. Трябва да отбележа, че като цяло регламентът е позитивен – унифицира едно по-високо ниво на сигурност на личните документи в ЕС, защото някои държави в момента издават „парцали“, които могат да се фалшифицират в час по трудово. Единствено разпоредбата за отпечатъците е спорна.

  • Какво толкова, те и сега МВР събират отпечатъци – МВР събират отпечатъци само за нужните на международните паспорти. Или поне така е по закон. Ако са ви взели отпечатъци при издаване на лична карта, това е превратно тълкуване на Закона за българските лични документи. Според действащите текстове на закона, за новите лични карти, които ще имат чип и ще позволяват записване на такива данни, ще се снемат отпечатъци само при изрично желание на гражданите. Това беше дълго обсъждан текст, в чието писане съм участвал. Причината за opt-in модела е, че няма особена полза от ICAO стандарта за електронни документи за пътуване що се отнася до лични карти, тъй като почти няма терминали за автоматично преминаване (e-gates), които да поддържат формат „лична карта“. А рисковете са немалки. Европейската комисия не е отчела този нюанс, между другото, и е писала, че България ще има задължителни отпечатъци в личните карти. Може и колегите им от МВР да с ги подвели. Щото кой да чете закона, пък и мотивите, с които е бил внесен.
  • Какво толкова ще стане, като ни запишат отпечатъците? – това е дълга техническа тема, но накратко – отпечатъците могат да изтекат. Дали през централизираната база данни, за която трябва да се грижи държавата, или през отделните носители. ICAO стандартът предвижда четене на отпечатъци без въвеждане на парола/PIN (за целите на граничните проверки), което води със себе си сложна и „чуплива“ система, в която участва всички държави, издаващи документи по този стандарт. Лошото е, че през годините стандартът е имал множество проблеми със сигурността, които са били коригирани, но някои от тях остават и на теория (надявам се да не видим скоро и на практика) някой може да ви прочете отпечатъците от личната карта в джоба както си стоите в метрото. Не е тривиално, поради ред причини, но е възможно. След това може да направи фалшив отпечатък, с който да излъже сензора на телефона ви, и да получи достъп до важни неща като имейл или дори банкова сметка. Как така фалшив отпечатък? Напълно изпълнимо е, както е показано тук, а сензорите макар да се подобряват, не мисля, че някога ще предотвратят тази възможност напълно. Има домашни брави, които се отварят с отпечатък. Има контролирани зони в офиси и предприятия, които се отварят отпечатък. Всички те стават по-уязвими.
  • Нали няма да има централна база данни с отпечатъци? Регламентът не предвижда задължително такава, но оставя на държавите членки да решат. Нашата вече е решила, тъй като съхранява в база данни отпечатъците, които е снела за паспортите ни. Дали това нарушава гражданските свободи – по-скоро да. Особено когато е ненужно и необосновано.
  • Всеки може да ни снеме отпечатъка от чаша, ако иска, каква е разликата? Разликата е в качеството на снетия отпечатък. В личните документи той е с висока резолюция и е пълен. Отпечатък от чаша няма да е достатъчен за качествен фалшив отпечатък, но този от личната карта ще е предостатъчеб.
  • Биометричната идентификация не е ли бъдещето? Надявам се не. Има много материали по темата, но заключението е, че ако биометричната идентификация е единственият компонент, то това не е достатъчно сигурно. Фундаменталният проблем е, че няма механизъм за промяна. Докато можете да си смените паролата, частния ключ или да си рестартирате OTP token устройсвото, отпечатъкът ви не подлежи на промяна – веднъж изтече ли, няма връщане.
  • Европейсеката Комисия не е ли оценила аспектите на информационната сигурност? Не, не е. В първоначалната оценка на въздейсетвието липсва анализ на ифнромационната сигурност. След като в рамките на вътрешното обсъждане получават коментар, че трябва да има такава, добавят едни 5-6 точки, които са непълни и несвързани и изобщо не са убедителни. Още повече, че ICAO след своя анализ правят отпечатъците в паспортите опционални. Преди години, когато обсъждахме въвеждането на стандарта в българските лични документи, изпратихме писмо до Европейската комисия и до ICAO с въпрос дали сигурността на стандарта е достатъчно висока. От ЕК отговориха с не особено адекватното „ами нямали сме проблеми досега“, а от ICAO отговориха с въпрос – може ли да предложите експерт за работна група. Стандартът е типичен „дизайн от комисия“ и има много потенциални проблеми. Надявам се те да бъдат изчистени някои от тези проблеми, а ЕК да не позволи обратно-съвместими документи (т.е. поддържащи „счупени“ версии на стандарта), но остава фундаменталният архитектурен проблем, който не знам има ли решение.
  • Какво мислят другите държави за биометричните документи? Не всички са щастливи. Когато преди години ЕС задължава всички паспорти да имат отпечатъци, Холандия пита съда трябва и личните карти да са с отпечатъци и съдът казва „не, не трябва“. Решението на съда е интересно за четене и с оглед настоящия Регламент, но като резултат Холандия спира да слага отпечатъци в личните си карти.
  • Това не е ли важна мярка за борба с тероризма и нелегалната миграция? Не, отпечатъците не помагат с нищо, в сравнение със снимката и лицевото разпознаване на границата. Няма сценарий, в който отпечатъкът да е решаващ. (А снимката не крие такива рискове
  • Какви са тогава аргументите „за“? И аз това се чудех. В оценката на въздействието Комисията описва някои притеснения и дори казва, че марката може да е непропорционална. Разбрах, че аргумент на държавите-членки е бил, че човек може да донесе фалшифицирана снимка, с която да се „лъжат“ алгоритмите за лицево разпознаване. На въпрос „защо не правите снимката при подаване на документите за лична карта“, отговорът е бил, че е много скъпо. Да, най-бедната държава в ЕС (България) го е направила – във всяка районно управление има цялата техника, необходима за издаване на документа – но за останалите щяло да е скъпо. Освен това как правене на снимка е скъпо, а снемане на отпечатъци – не е (качествените четци не са толкова евтини).
  • Противопоставянето на отпечатъците не пречи ли на електронното управление? Не, двете нямат общо. Отпечатъците са само за граничен контрол и нищо друго – вкъщи няма как да имате устройство, което да прочете отпечатъците от картата, съответно чрез тях да се идентифицирате пред държавен орган онлайн.

В общи линии – ненужна, но рискована мярка, без необходимия анализ. И за съжаление най-вероятно одобрена от мнозинството от правителствата, в т.ч. нашето (макар че гласуването в Съвета е тайно и не знаем какъв е бил нашият глас).

Макар че оригиналната позиция на ервопарламента беше „против“, след преговорите със Съвета (където участват министрите на държавите-членки) и с Европейската комисия, мярката остава в текста на Регламента и най-вероятно ще мине и при гласуването в пленарна зала. Така че след няколко години, ако най-накрая забавената вече с 2 години поръчка за нови лични карти е минала, ще препоръчвам да си купувате екраниращи калъфчета за личната карта. А в по-общ план, да преосмислим ролята на Съвета на ЕС или поне неговия непрозрачен начин на опериране, тъй като той често се оказва по-силен от демократичния парламент и налага странни решения за бъдещето на Европа.

Мантрата „ЕНП“

Post Syndicated from Bozho original https://blog.bozho.net/blog/3284

Мантрата „ЕНП“ се появи във Фейсбук, съвсем очаквано, преди европейските избори, и отчасти с цел да създаде шум в Демократична България.

Погледнато отгоре, ЕНП е дясноцентристкото, проевропейско семейство, към което, логичнo, всички дясноцентристи трябва да се присъединят. ЕНП има своите много кусури (еврозаконодателството, срщеу което съм имал най-остри позиции, напр. чл. 13, винаги се подкрепя от ЕНП), но съм склонен да се съглася, че тези проблеми могат да бъдат решавани и са нормална част от демократичния процес.

Но искам да дам друг поглед върху ЕНП – дългосрочният им тренд. От 1999-та досега ЕНП губи подкрепа. По половин процент от 99-та до 2009-та, и 6.5% през 2014. По-интересното е каква е структурата на тази подкрепа. Разбих евродепутатите от последните два избора – 2009 и 2014 на „Източен блок“ и „Западна Европа“ (като Гърция и Кипър са част от „западна Европа“), за да видя как се движи ЕНП в тези два сегмента.

Източният блок има близо 27% от местата в Европейския парламент. Останалите 73% са за западна Европа.

През 2009-та ЕНП има 32.5% от депутатите си от източния блок. През 2014-та този процент расте до 39. ЕНП се превръща в ХДС+източноевропейски Борисовци. (ХДС – немският християндемократически съюз). Германия+Източна Европа правят 65% от депутатите на ЕНП.

Всеядността на ЕНП, започваща от приемането на Берлускони и кулминираща в неизключването на Орбан е един от факторите, които според мен отблъскват избирателите в западна Еверопа. Другото, разбира се, е цялостното отслабване на традиционните партии, както в дясно, така и в ляво.

Предизборните прогнози за вота през май са за още спад както в резултата на ЕНП, така и в този на ПЕС. В тази светлина, сляпото залагане на ЕНП като гарант за дясноцентристка обединена Европа според мен е грешка. ЕНП ще продължи да си затваря очите за местната корупция в източна Европа, за да си осигури гласове в Брюксел.

Моят личен избор на европейско политическо семейство е Европейската демократическа партия (която е част от групата на АЛДЕ в парламента в момента, но няма на сметката си греха от приемането на ДПС).

ЕДП се създава през 2004-та, отцепвайки подкрепа именно от ЕНП, като целта е да се противопоставят на популизма и евроспектпицизма. Нещо, което ЕНП много плахо прави.

Ако все пак ЕНП покаже принципност и изключи Орбан преди изборите, това ще е добър сигнал срещу националпопулизма. Но западна Европа губи доверие в ЕНП и мисля, че е време да спрем да отъждествяваме ЕНП с „проевропейското дясно“. Със сигурност не е единственият избор в тази посока.

Още повече, че според мен не са много хората, за които европейското политическо семейство е от такова голямо значение. Важни са посланията и лицата на националната партия, а къде ще седнат после в европейския парламент е вторично. Колкото и разни анализатори да повтарят мантрата ЕНП като гарант за ценности.

Съмнителни новини

Post Syndicated from Bozho original https://blog.bozho.net/blog/3280

Има един вид новини, излъчвани в централните новинарски емисии, които създават голям шум в социалните мрежи (в т.ч. „класическите социални мрежи“, т.е. кръчмите). Новини, които не са водещи и дори често не са новости. Напоследък имаше немалко примери, но аз ще се спра на две – за коледния базар в Брюж , за френските училищни формуляри и за шведс.

Забележете, че това не са „фалшиви новини“ – фактологията в тях не е грешна. Непълна е, но не е грешна. Коледният базар в Брюж наистина вече се казва „зимен базар“, а във френския парламент наистина е имало предложение в училищни формуляри да се използва „родител 1“ и „родител 2“.

Но въпреки негрешната фактология, има нещо съмнително в тези новини. Съмнителните неща са три:

  • Защо това е новина? – защо наименованието на коледен базар в Белгия или административни бланки във Франция заслужават място в българските новини? Не е от липса на какво да се каже, тъй като има доста по-значими неща, които се пропускат. Иначе имам и други предложения за новини – това, че лидерът на шотландската партия нарече Тереза Мей лъжкиня в парламента; мерките на немската власт срещу епидемията от морбили; сезирането на конституционния съд на Ямайка дали електронната идентичност е конституционна; изборите в Антигуа и Барбуда през 2018. Да, и тези новини имат малко до никакво значение за България, точно както белгийския коледен базар и френските бланки. Отговорът „защо това е новина“ е именно реакцията, която се очаква да предизвика – реакция, на възмущение. И затвърждаване на тезата за „прогниващия западен свят“. Теза, която се поддържа от пропагандата на Съветския съюз много отдавна и никога не е спирала да се лее от руски сайтове за фалшиви новини. Но вече „цаката“ е намерена и тези новини не са само в конспиративни групи във Фейсбук, в които се споделя как „Швеция легализира кръвосмешението“.
  • Пропуснатите нюанси. Това не е характерно само за този вид новини, но тук е доста ключово. Коледните базари в Брюж, например, се казват „зимни“ от няколко години. И това било така, защото продължават цяла зима. Нещо, което започва от ноември, не върви да е „коледно“. Но новината е представена все едно току-що някой е решил да „клекне“ на мюсюлманите и да се откаже от Християнските традиции (което не е вярно, тъй всички коледни реквизити на един такъв базар са налице). Относно „родител 1“ и „родител 2“ също са пропуснати важни моменти – правителството е внесло друго предложение за маркиране на различните случаи на родители и настойници (в т.ч. от един пол), а депутат е внесла изменение. Правителството дава негативно становище за предложението, а то все още не е окончателно прието, тъй като не е минало през сената. Също така, около година по-рано общината в Париж прави същата промяна в други бланки, или че в Германия бланките са такива отдавна и нищо кой знае какво не е станало, т.е. и това не е новост.
  • Източниците. Такъв тип новини се появяват в местната преса и най-често си остават там, докато някое международно издание (или сайт) не ги подхване и популяризира. В горните два случая това са Breitbart и Russia Today. Russia Today е директно финансирана от Кремъл и редакционната ѝ политика се определя от там. Както отбелязах по-горе, тезата за декадентния запад, който се превръща в Содом и Гомор, не е нова, а консистентно налагана поне откакто аз ползвам съзнателно интернет.

Та новините в тоя дух са съмнителни. Не защото са грешни, а защото зад тяхното популяризиране прозират други цели – една среда на постоянно възмущение от либералния запад. Върху това възмущение виреят измислени словосъчетания като „джендър идеология“ и разбира се – измислената консервативна вълна.

„Ама ти сега искаш цензура“, ще си кажат някои. И ще пропуснат същината на тезата. Не, не искам цензура. Искам да обсъдим по същество искаме ли либералния запад, той какви достижения има, какво дава свободата на индивида. И също така – стават ли популярни крайностите, или тези крайности са естествени и незначителни, докато другата страна не им придаде тежест (важи и в двете посоки). И не трябва да забравяме, че докато ние ценим свободата на словото, то враговете ѝ я използват много умело, за да я разрушат.

Нямам против алтернативните тези. Имам против, обаче, да се промушват псевдо-новини, с които да се насочва и оформя общественото мнение; с които да се играе по разни струни и да се натискат разни „копчета“; или с които просто да се създава гняв заради нещо на няколко хиляди километра от тук. Защото когато това се прави достатъчно дълго, след това дебат няма да има.

Няколко думи за електронното гласуване на Да, България!

Post Syndicated from Bozho original https://blog.bozho.net/blog/3270

Да, България проведе вътрешни избори по електронен път за излъчване на кандидати за европейски избори (като част от листата на Демократична България). Ето и резултатите. Трябва да отбележа, че макар хората да смятат, че аз съм свършил всичко, това не е така – програмисти-доброволци свършиха повечето работа по приложението, аз основно „давах акъл“, преглеждах кода за уязвимости и написах някои базови криптографски компонента.

Ще отделя само два абзаца за контекста, след което ще мина на по-практически въпроси. Да, това е първото електронно гласуване в България в политически контекст и като такова има за цел да се противопостави на наративна на парламентарното мнозинство, че всичко е много опасно и в никакъв случай не трябва да се прави. Политическото послание е, че може. На всички е ясно, че националната система би изисквала по-сериозна разработка, повече тестове, повече защита, повече оперативна сигурност и т.н. Ясно ни е, че не може да вземем приложението и да го пуснем на национални избори. Но предвид, че за приложението са похарчени 0 лева и е изградени с доброволен труд, това е по-скоро нормално.

Ясно е обаче, че държавата от една година „седи“ върху техническо задание за система за електронно гласуване и нищо не прави по въпроса. Дори не пуска поръчка с цел да експериментира. Та, едно такова вътрешно електронно гласуване може да е аргумент за „отпушване“ на тоя процес. А сега по същество и в отговор на някои от по-сложните и по-неудобни въпроси.

Първо, най-сложният въпрос – как гарантираме, че резултатите не са фалшифицирани. И това е сериозен въпрос по принцип към електронното гласуване. В нашия случай взехме следните мерки:

  • Отворихме кода на компонентите на приложението, свързани с електронното гласуване. Някои избиратели се похвалиха, че първо са прегледали кода и след това са гласували. Отворихме само компонентите за гласуване, защото приложението има доста други функционалности, които са конкурентно предимство на Да, България.
  • Реализирахме гласуването не просто като онлайн анкета, а както трябва – с необходимото генериране на ключове, криптиране, подписи, проверки. Това гарантира както тайната на вота така и това, че не са подменяни подадените гласове. Особено сериозно бяхме подходили към тайната на вота, като не записвахме времето за подаване на гласа и преди анонимизиране разбъркахме поредността на подадените гласове. При по-голяма извадка времето не би било такъв проблем, но на теория можеш да идентифицираш даден гласоподавател по времето на подаване. Прегледахме кода на естонската система за гласуване – там времето се съхранява, но пък и извадката е по-голяма.
  • Криптографските ключове бяха съхранявани във възможно най-сигурното място за съхранение на телефона, така че друг процес да не може да ги извлече (и съответно да подаде фалшив глас след това). Поради това някои избиратели се сблъскаха със съобщение за грешка, че на устройството, от което опитват да гласуват не са намерени ключовете (тъй като са се регистрирали от друго устройство). Това беше и една от причините да не промотираме уеб-версията на гласуването. Такава имаше, но браузърите нямат модул за сигурно съхранение като смартфоните.
  • В допълнение, всеки глас беше изпращан в блокчейн-базираната услуга LogSentinel (която моята фирма разработва). Така интегритетът на гласовете е гарантиран и ако някой се опита да промени (или изтрие) даден глас в базата данни, това би било „хванато“ и коригирано.
  • Всеки член и кандидат имаше право да дойде на място и да му бъде показано, че именно публикуваният код работи в продукционна среда.
  • Всеки избирател можеше да гласува неограничен брой пъти, като се брои само последният глас. Макар някои медии да видяха проблем с това, то е основен принцип при гласуването в отдалечена, неконтролирана среда. Ако някой те накара да гласуваш по определен начин, трябва след това да можеш да промениш гласа си и да гласуваш по съвест

Можеше да направим още повече, разбира се. Можеше преброяващия код и мястото, където се поставя частния ключ, да бъдат на друг компютър, който няма достъп до интернет (както се прави по принцип). Можеше да включим функционалността за „разписка“ от гласуването (която беше разработена), но не го направихме с оглед по-малко объркване (че имахме „код за регистрация“, „парола“, а после и „код за проверка“). Можеше и да си купим DDoS защита. Но трябваше да балансираме риска с наличните човешки ресурси.

Важно е да подчертаем и компонента с доверието. Докато на национални избори такова по дефиниция няма, тук кандидатите имаха доверие на Комисията по вътрешни избори, което е доста важно за легитимността на избора.

Друг често задаван въпрос беше как гарантираме, че не са били регистрирани фалшиви профили за гласуване. За съжаление правителството за втора година отлага въвеждането на национална схема за електронна идентификация, в т.ч. с чип в личните карти. Т.е. нямаме правнозначимо средство за електронна идентификация на физически лица, на което да стъпим (ако имаше, то щеше да е базирано на PKI и смарткарти и/или HSM и/или secure storage на по-нови смартфони). Тръгвайки от тази изходна точка, разгледахме четири варианта:

  • използване на КЕП за гласуване. За съжаление твърде малко хора имат квалифициран електронен подпис, а и той не работи с мобилни приложения (в общия случай). Като цяло използването му е доста неудобно и това би било пречка.
  • прикачане на снимка на машинночетимата зона (MRZ) на личната карта – това би работело, но предположихме правилно, че хората са много резервирани към даването на каквито и да било лични данни, без значение колко GDPR-compliant сме. Имахме редица оплаквания и откази за регистрация дори само като искаме последни четири цифри на ЕГН
  • използване на облачен доставчик на eID и/или online enrollment (напр. EvroTrust). Сигурността щеше да е по-висока от тази на сканиране на лична карта, но тъй като всички системи за online enrollment изискват снимка на документ за самоличност (а някои и лицево разпознаване), отказът от регистрация заради ‘твърде много лични данни’ щеше да е масов.
  • настоящият подход с представяне на минимално количество данни и подбиране на случаен принцип и прозвъняване на някои регистрирани с цел проверка за измами.

Ясно е, че последният вариант е неприложим напр. на национални избори, но преценихме, че нашият threat model (модел на потенциални заплахи) е различен. Залогът е по-нисък, и смисълът на това някой да прави „номера“ е ограничен, като обаче има риск да бъде „хванат“. Предпочетохме да не налагаме високи психологически ограничения свързани с личните данни, за да може достатъчно хора да изпробват системата и да упражнят гласа си. Все пак, формата изискваше въвеждане на определено количество такива, за да служи за бариера. Това по наша преценка намали броя избиратели, защото страхът от това да ти „изтече“ ЕГН-то е голям. Имаше и кодове за регистрация като допълнително ограничение – те бяха раздадени „поименно“ на членове и симпатизанти, а по-масовите кодове се следяха.

Третият въпрос е удобството на използване. И там има върху какво да поработим. В някои случаи не беше очевидно какво точно трябва да се направи. Имаше доста вариации – ъпдейтнато приложение, „разлогнат“ потребител, възстановяване на парола, активиране на профил чрез имейл, отворен от друго устройство и т.н.

Тук усложненията идваха от няколко страни – сигурността (генерирането на ключове); интегрирането на гласуването в приложение с доста други функционалности; двустъпковият процес, включващ предварителна регистрация; желанието ни да ограничим рисковете от фалшиви профили с изискване на допълнителни лични данни и кодове за регистрация. Все пак можеше да навигираме тези препятствия по-добре и да си спестим допълнителни разяснения по телефони и чатове.

Последният въпрос е свързан със системата за точкуване. Тя не е директно свързана с това, че гласуването е електронно, но електронизацията позволява много по-лесното опериране с такава система. Избраната система е вариация на тази на Борда, която се използва за национални избори в няколко държави, в т.ч. Словения, макар и само за представителите на етническите малцинства. Нашата модификация включваше бонус за посочените на първо и второ място (но и без модификацията резултатите щяха да са такива). Причината е, че на самите европейки избори няма възможност за такъв гъвкав избор, и по-предпочитаните като водещи кандидати е по-вероятно да получат глас от тези, за които мнението е „ок, приемлив кандидат е, като за 3-то място“.

Мисля, че крайният резултат е добър. Свърши както практическата работа, за която беше създаден (да проведе гласуване), така и политическата работа да фокусира темата с електронното гласуване. Смятам и че решенията, които взехме за функционирането на системата бяха правилни. Опитах да ги обясня по-горе, защото не винаги отстрани изглеждат така, когато човек няма цялата картинка.

И пак ще го кажа – електронното гласуване не е панацея. Много хора няма и да могат да се възползват от него, поради липсата на технически умения. То няма да промени магически качеството на демокрацията у нас. Но все пак е компонент, който може да подобри средата. А инициативи като на Да, България са важни за общия процес на неизбежна дигитализация.