Tag Archives: Всичко

Спам от името на държавни институции?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3473

Миналата седмица от името на МВР беше изпратен спам. МВР не е хакнато, но в интернет всеки може да се представи за всеки и да изпрати вирус или линк, в който да си въведете паролата или номера на кредитната карта.

Изпращането на спам/фишинг от името на някоя държавна институция е хитра стретегия – изпращат ти фиш, данъчно задължение, призовка, болничен лист, документи за обществена поръчка и дори, защо не, съобщение от министър-председателя. Ако домейнът на изпращача наистина е съответстващия на институцията (mvr.bg, nap.bg, government.bg, parliament.bg), е по-вероятно повече хора „да се вържат“.

Какво могат да направят институциите, обаче? На пръв поглед – нищо. Всеки може да прати имейл от фалшив адрес и да се представи за институция. Само че институциите всъщност има какво да направят – поне за да не могат злонамерените изпращачи да злоупотребяват с домейна им и така да дават допълнителна достоверност на своя имейл. Има няколко настройки (DNS записи), които всеки притежател на домейн може и трябва да направи, за да гарантира, че никой няма да може да изпраща имейли от негово име. Или по-скоро – ако изпраща, системите за електронна поща ще ги класифицират автоматично като спам.

Техническите детайли съм описал тук, но с две думи, собственикът на домейна посочва от кои IP адреси е позволено да се изпращат мейли от името на неговия домейн, както и публичния ключ, с който да се валидира електронния подпис върху имейлите (да, мейлите автоматично се подписват електронно от системата за електронна поща, макар че това не е познатия ни квалифициран електронен подпис). И не на последно място – посочва какво да прави получателят на писма от неговия домейн, ако някоя от предходните проверки се провали – дали да го праща в „спам“ или не. Това са т.нар. SPF, DKIM и DMARC DNS записи.

Реших да проверя колко от институциите са направили тези настройки. И за съжеление, резултатът не е твърде добър. В таблицата по-долу съм показал 39 институции и дали те имат или нямат съответния DNS запис. На места има въпросителни – по принцип DKIM може да се провери само ако си получил имейл от съответния домейн, защото DNS записът включва селектор, който може да е произволен. Направил съм проверката с най-често срещаните селектори (default, selector, dkim, selector1) и съм допълнил информацията с ръчна проверка в собствената ми поща с мейли от съответните институции. Ако не мога да определя дали има или няма DKIM, съм сложил въпросителна. На места има „не“ по презумпция – ако нямаш нито един от другите два записа, едва ли ще имаш DKIM. Със звездичка в колоната DMARC са отбелязани институциите, които имат DMARC политика, но тя инструктира получателя да не прави нищо специално, ако проверките се провалят (вместо да го инструктира да сложи писмото в спам). С болд са „шампионите“ – тези, които са си настроили нещата както трябва.

ИнституциядомейнSPFDMARCDKIM
Агенция по вписваниятаregistryagency.bgДаДаНе
Агенция Митнициcustoms.bgДаДа*Да
АГККcadastre.bgДаДаДа
ВССjustice.bgДаДаДа
ГРАОgrao.bgДаДа?
ДАЕУe-gov.bgДаНеНе
ДАНСdans.bgДаДа*?
ДАТОdato.bgНеНеНе
МВнРmfa.bgДаНеНе
МВРmvr.bgДаНеНе
Министерство на енергетикатаme.government.bgДаДа*Да
Министерство на здравеопазваентоmh.government.bgДаНеНе
Министерство на икономикатаmi.government.bgДаДа*Да
Министерски съветgovernment.bgДаНеНе
Министерство на спортаmpes.government.bgНеНеНе
Министерство на културатаmc.government.bgНеНеНе
Министерство на отбранатаmod.bgДаДа*?
МОНmon.bgДаНеНе
МОСВmoew.government.bgДаНеНе
Министерство на правосъдиетоjustice.government.bgДаНеНе
МРРБmrrb.bgДаНеНе
Министерство на туризмаtourism.government.bgДаНеНе
МТИТСmtitc.government.bgДаДа*Не
МТСПmlsp.government.bgДаНеНе
МФminfin.bgДаДаДа
НАПnap.bgДаНеНе
НАПnra.bgДаДа*Не
НЗОКnhif.bgНеНеНе
Народно събраниеparliament.bgНеНеНе
Президентpresident.bgДаДа*Да
Община Бургасburgas.bgДаНеДа
Община Варнаvarna.bgНеНеНе
Община Пловдивplovdiv.bgДаНеНе
Столична общинаsofia.bgДаНеНе
Търговски регистърbrra.bgНеНеНе
КЗЛДcpdp.bgДаДаДа
КЗКcpc.bgНеНеНе
КФНfsc.bgДаДа*?
КРСcrc.bgНеНеНе
CERTgovcert.bgНеНеНе

Това ли е най-важната мярка за киберсигурност? Не – в киберсигурността (и киберустойчивостта) няма най-важна мярка. Всичко е серия от мерки, които покриват серия от рискове и уязвимости. Има много какво да се желае от киберсигурността в публичния сектор. Базовите настройки са едно добро начало – както за изпращане на имейли, така и за криптирането им. Но продължаваме да нямаме системно усилие за адекватна киберсигурност, което да дава резултат. Има закон, наредба, съвет, вицепремиер. Но явно няма сисадмин, който да настрои едни записи. И няма политика, насочена към това, да има такъв сисадмин навсякъде.

Има ли македонски език?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3460

Онзи ден, по повод становище на БАН, че македонски език няма, публикувах следното, което предизвика много онлайн полемика:

И на кого е нужно БАН да обяснява, че няма македонски език?

Македонски език има. Как се е появил на езиковата карта и дали не е имало политическо влияние в първоначалната книжовна норма няма значение за днешния ден, в който не просто има македонски език, ами мнозинството от българите няма да разбират повече от 60%, гледайки македонска телевизия, напр.

Езикът, това е диалект с армия. Няма ясно дефинирана разлика между език и диалект. И няма нужда да изобретяваме такава, за да смущаваме геополитическия прогрес.

Темата, обаче, е по-сложна и просто „има“ и „няма“ са не са достатъчни отговори. Затова ще опитам да обясня, особено за хората, които смятат несъществуването на македонски език за въпрос от национално значение.

Лингвистиката, като наука, която се занимава с изучаване на езика, не прави разлика между език и диалект. Няма такава. Дали едно нещо се нарича език или диалект е въпрос на други съображения. Най-значимото от които – наличието на геополитически субект, който да застане зад дадено наречие и да го нарече език.

А как така няма такава? За да има са ни нужни два компонента. Първият е отдалеченост на езиците. Има начини това да бъде изчислено с някакво приближение. Не е тривиално, но комбинация от лексикална отдалеченост (колко думи, и по-конкретно колко основни думи, напр. от списъка на Суодеш) се различават; фонологична отдалеченост – колко звуковите правила се различават; морфологична и синтактична отдалеченост – доколко, грубо казано, „граматиката“ се различава. И да кажем, че събираме единен индикатор за отдалеченост на база на претегляне на гореизброените. Идва обаче въпросът без отговор – къде слагаме границата? На отдалеченост = 1, 5, 7, 12? И защо? Македонският диалект ли е на българския, белоруският диалект ли е на украинския, австрийският и люксембургският диалекти ли са на немския, кантонският диалект ли е на китайския (путунхуа) и т.н. и т.н. И ще видим, че няма обективен критерий, по който да теглим чертата. Кантонският е толкова различен от други китайски диалекти, колкото френски от испански, например.

Именно поради тази невъзможност да бъде дефинирана разлика е прословутата фраза, че „езикът, това е диалект с армия и флот“. Или иначе казано – геополитическа конструкция. Ако Македонската държава казва, че има македонски език, значи такъв има (научих, че имали бойни кораби в Охридското езеро, така че и критерия с флота покриват).

Вече чувам блъскащите по клавиатурата пръсти на хората, които са наизвадили Гоце Делчев и Братя Миладинови, исторически извори за напъна за създаване на македонска нация и не на последно място – БАН, които все пак са професори, дето разбират от тая работа.

И искам веднага да ги успокоя – не смятам, че строителството на македонската нация е естествен процес. Или че „Антична Македония“ съществува, и че говорят езика на Александър Македонски. Дългогодишното изкривяване на историята от страна на македонските власти не е в услуга на никого, особено на самите македонци. Когато през 45-та година се кодифицира македонската книжовна норма, тя в немалка степен измислена на празно място. В следващите 70 години, обаче, така наложеният език търпи естествено (и отчасти насилствено) влияние от своите съседи, а именно – сръбския. Така той вече звучи различно и макар да няма изследване доколко е разбираем за българите, смятам, че много от думите, конструкциите и дори различните ударения ще са объркващи и дори неразбираеми за нетренираното ухо на носител на българския език.

Това желание да сложим езиците в едни кутийки и да кажем, че нещо е български и нещо не е български е следствие от опростената ни представа за езика като цяло. Езикът, това не е книжовна норма. Езикът е жив организъм, който се развива постоянно в следствие на естествени или изкуствени стимули. Езикът се развива на различни места по различен начин и затова лингвистичната карта не съвпада с държавните граници. В Крива паланка говорят едно, в Охрид друго. В Пирот говорят едно, в Нови сад – друго. Това сръбски ли е, ако, например няма всички падежи на книжовния сръбски? Отговорът – няма значение.

Лингвистиката се интересува от това какво се говори, какви са явленията в него, и как се е стигнало до тях.

И тук идва становището на Института за български език към БАН (Останалите становища имат по-малко общо с езикови аргументи, така че не ги коментирам). В становището на ИБЕ-БАН почти няма цитирана литература, липсва библиографска справка в края. Това беше първи червен флаг. Аргументацията вътре е вярна, доколкото разглежда българската диалектна карта и особеностите в нея, както и литературния български преди кодифицирането на македонския. Но по никакъв начин от това не следва, че има или няма македонски език. Именно защото това не е научен въпрос.

И това е тъжното – че становището на научна институция е с политически цели. Използването на науката с политически цели е нещо, което комунизмът е правил, включително при кодифицирането на македонския език. И вместо да се поучим от това, което не харесваме, правим същото – използваме научни институции за геополитически цели. Може би това е легитимен подход, защото „всички го правят“. Но нека не се заблуждаваме, че това е научно заключение.

И това важи и за двете страни – целият казус започна от (най-вероятна) провокация от страна на македонски научни среди, които публикуваха документ, в който повтарят до болка познати тези за „континюитета“ на македонската нация и езика като част от това. Които БАН правилно опровергава, макар че беше по-добра идея да не пада в капана.

Има ли македонски език или няма е въпрос без значение за лингвистичната наука. И тя няма отговор на него. Но спокойно – това, че има македонски език, защото македонската държава смята така, не означава, че Гоце, Даме и Яне са македонци. Не означава, че Александър Македонски е говорил славянски език. Не дава отговор има или няма македонска нация.

И призивът ми е да не се хващаме за разграничението между език и диалект като нещо толкова значимо за македонския въпрос. Не е.

Защо новите трудови книжки няма да са електронни?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3458

В последните няколко месеца за втори път се появява новината за новите трудови книжки, а именно – че не просто няма да са електронни, а ще се смени дизайна им с по-грозен.

Трудовите книжки са един ужасен анахронизъм, който трябваше отдавна да е в историята, но по някаква причина не е. Министерство на труда предлага нищо да не се промени по същество и да продължаваме да мъкнем един (в някои случаи) парцал по работодатели, които с нечетим почерк, замазан от огромни печати, да пишат никому ненужна информация.

Защо са ни нужни изобщо трудови книжки? На пръв поглед не ни трябват – всеки трудов договор се регистрира в НАП, т.е. НАП има необходимата информация, а осигурителният стаж се пази в НОИ.

Само, че както винаги, „нещата са малко по-сложни“. Има разлика между осигурителен стаж и трудов стаж. Каква е разликата – може да прочетете на тази „красива“ страница на Главна инспекция по труда. Макар синдикатите да държат на тези разлики, отпадането им би улеснило много системата. Още повече че напр. управителите на фирми не трупат трудов стаж, защото не са на трудов договор, а на договор за управление и контрол, т.е. действащото положение активно наказва предприемачи, които в малките фирми много често вършат същата работа, като работниците, но се водят управители. „Клас прослужено време“ са добавка към заплатата, чието отпадане няма да навреди на никого (и не, работниците няма да вземат по-малко пари; ако тази добавка има значение, работодателите просто дават по-ниска основна заплата, за да се стигне до договорената нетна заплата.)

В трудовата книжка има и други параметри, които в момента никъде не се записват – код на професия, основание за прекратяване на правоотношение, работа на пълен или непълен работен ден и др.

Но дори политическото решение за отпадане на трудовия стаж и приравняването му към осигурителния да е прекалено трудно, проблемът има практически решения, а именно – някой да води регистър на трудовия стаж. Кандидатите са няколко – НАП, НОИ, МТСП, главна инспекция по труда, синдикатите, работодателските организации. Последните, логично, не биха искали и нямат интерес от това. Синдикатите нямат капацитет (те за какво ли имат). За НОИ и НАП това не е присъщи дейности, тъй като не се отнасят до приходи и осигуровки. МСТП и ГИТ остават като логичните администрации, които да водят такъв регистър.

Администрацията вижда воденето на електронен регистър като нещо ужасно тежко. И то в известна степен е, предвид, че все още не е дори стартирал проекта за базов регистър, който да позволи всяка администрация да създават с няколко стъпки изцяло нов регистър. Но дори МТСП/ГИТ да поръчат изграждане на регистър на трудовия стаж, някой трябва да въвежда данни в него. Най-логичното е това да са работодателите, но те може да разглеждат това задължение като допълнителна административна тежест. Тя не е такава, тъй като те така или иначе имат задължение за поддържане на трудови книжки, но от друга страна това добавя стъпка на комуникация с администрацията.

В трудовия договор на практика има цялата тази информация, а за него се изпраща уведомление до НАП. Данните, които трябва да се подават, са описани в Наредба 5 от 2002г, и включват кода на длъжността, възнаграждението, дата, срок, прекратяване.

Съвсем логично решение е просто Наредба 5 да се измени и в уведомлението за сключване на трудов договор да се добавят данните, които се вписват в трудовата книжка. НАП пък от своя страна може да има задължението просто да ги препраща към новосъздаден регистър на трудовите правоотношения („електронна трудова книжка“) в МТСП. По този начин административната тежест не се променя, а единствено се разширява обхвата на уведомлението до НАП.

В трудовата книжка трябва да се вписват и запори (вероятно има и други събития, които не са ми известни). Всички те са сравнително редки случаи и могат да се докладват директно към регистъра в МТСП, отново по електронен път или на хартия, за по-нискотехнологични работодатели.

Първоначалното въвеждане на данните от хартиените книжки пък може да е задължение на работодателя, за което да има срок от една година. При уведомление за новопостъпил работник пък работодателят може да получава отговор, че на този служител данните от трудовата книжка не са въведени и да ги въведе еднократно. Така за няколко години всичко ще е електронно.

След всички тия скучни членове, алинеи и регистри, изглежда, че по-скоро имам отговор на въпроса „как да имаме електронна трудова книжка“, а не защо нямаме.

Отговорът на въпроса в заглавието е нежелание за поемане на отговорност и липса на политическа инициатива. Някой на високо политическо ниво трябва да събере всички участници в процеса, да им предложи подобно на гореописаното решение, да го прецизира заедно с тях и да им наложи неговото изпълнение. Иначе никоя институция няма да си „навлече“ повече работа и повече отговорности.

Нов дизайн на трудовата книжка е каране по една убийствена инерция и единственият начин това да се промени е адекватност в политическото ниво. Не е късно да имаме електронни трудови книжки и да изхвърлим хартията и призовавам новия министър на труда и социалната политика да разгледа сериозно тази възможност.

Забраната на Airbnb – аналогови хора в дигиталния свят

Post Syndicated from Bozho original https://blog.bozho.net/blog/3449

Тези дни депутати предложиха Airbnb да бъде на практика забранен – предложението е да не могат некатегоризирани обекти по Закона за туризма да се предлагат през платформата. Ограничението не е само за Airbnb, а за Booking, Facebook и други платформи за предлагане на места за настаняваме. Надолу в текста ще ползвам Airbnb като събирателно за всички тях, поради сходния модел.

Тази забрана е още един пример как аналогови хора достигат тавана на възможностите си да възприемат дигиталния свят.

Airbnb е проблем на много места, по много различни начини. И правилното решение почти никога не е „забраняваме го“. Най-малкото защото контролът е скъп и труден до невъзможен и на моменти граничещ с умствено изоставане – задължаваш интернет доставчици да блокират Airbnb за своите клиенти? „Давам апартаменти под наем“ е новото „продавам оръжие“, явно.

Факт е, че хотелиери, собственици на къщи за гости (ама от истинските), и като цяло туристическият бранш е недоволен, че някой може да заобикаля правилата, които важат за тях. И са прави – бизнесът трябва да работи при максимално изравнени външни условия, за да има истинска конкуренция.

Само че тия правила са от преди минимум 20 години, като начин ма мислене поне. Табели, тарифи, категории – все неща, които имат за цел да гарантират удобство на клиента, но не са единствения начин за това – Airbnb дава други начини за гарантиране на това удобство.

Та, вместо да ги забраняваме, каквато е вечната рецепта тук (както стана и с Uber), имам две конкретни предложения, които са със същата философия като предложенията ми за Uber тогава

  • интегриране на Airbnb със системите на НАП за автоматично изпращане на данни за получените плащания. Така данъци няма да могат да се укриват. Естония направи така с Uber – „върза“ ги с API на данъчните.
  • олекотяване на режимите за хотелите, къщите за гости и другите места за настаняване. Всичко да може да става онлайн, за да може усилието да си регистрираш апартамента в Airbnb да е съизмеримо с това да си го регистрираш в Министерство на туризма. А ако сме особено амбициозни, Министерство на туризма да даде API (програмен интерфейс), през който Airbnb автоматично да регистрира обявените места за настаняване, с някакви смятани за важни параметри – тоалетни/бани, квадратура, асансьор, пушене, които така или иначе са важните неща за клиента, а не че нещо е 3 или 4 звезди. Ако МТ пусне такъв интерфейс, ще видим, че за няколко месеца и хотелиерските софтуери ще започнат да го ползват и да обявяват местата си там

Напомням, че в Закона за електеронното управление и подзаконовата нормативна уредба вкарахме изискване всички системи да предоставят всичките си функционалности през програмен интерфейс. Именно за да позволим такива интеграции. За Airbnb това ще е една седмица работа, а те така или иначе са си организирали кода да позволява национални специфики. Само че важността на програмните интерфейси (APIs) за електронното управление остава недоразбрана.

Хората ползват Airbnb не защото искат да бягат от правилата, а защото правилата са неадекватни и начинът на комуникация с институциите е неудобен и тромав. Публикуването на обява в Airbnb е не толкова просто, но удобно и предсказуемо занимание. Ако отворим сайта на Министерство на туризма, виждаме това. Списък с новини в CMS-а на сайта, като всяка препраща към страница със стена от текст и няколко формуляра в doc или pdf, които да разпечатаме и занесем в общината и/или министерството. Еми, не, мерси.

(Знам, че преди време Ангелкова обяви, че всички електронни услуги са достъпни и с eID от един частен доставчик, но за 10 минути търсене не ги открих. Знаейки за една малко известна система – портала за е-форми, все пак ги намерих, но и там са под формата попълване на PDF и изпращането му по електронен път – все пак е нещо, но много далеч от потребителското изживяване на Airbnb)/

Дигиталната трансформация понякога изисква малко мисъл и малко усилия, но аналоговите човечета предпочитат просто да сложат хикса и да кажат „интернет – лош; хора в интернет – лоши“.

Какво пък толкова – 2026 г.

Post Syndicated from Bozho original https://blog.bozho.net/blog/3441

Годината е 2026. Текат дискусии по избора на нов главен прокурор. Единственото предложение е Делян Пеевски.

За малка част от обществото темата е важна – правомощията на главния прокурор и структурата на са непроменени от 91г насам, а злоупотребите на предишните главни прокурори са известни на тази малка част от обществото.

Организират се протести. Протестът около ВСС е малък, като в по-слънчевите сутрини се събират около 500-600 души, в т.ч. Йоло Денев. Разбира се, има организиран контрапротест, на който са докарани нищо неподозиращи хора за по 50 лева.

Националните медии отразяват протестите някъде назад в новините – „два протеста днес в София – един за и един против новия главен прокурор“. Няколко онлайн медии все пак отбелязват, че единият протест е с неясна организация и съмнителни участници. По-близките до Пеевски медии правят захаросан очерк на неговата биография и опита му в съдебната система.

Появяват се няколко дълбокомислени статии за системните проблеми с препратки към падането на комунизма и грешките, които са допуснати още тогава. Разбира се, провалът на „лидерите на дясното“ е незаменима част от аргументацията.

„Дясното“ поне от известно време е обединено, но все не успява да достигне до масовия избирател и остава със 7-8% на парламентарни избори, което му дава възможността да е заглушен от фоновия шум дразнител.

Във Фейсбук дебатът се ограничава до това дали е трябвало протестът е да сутринта или вечерта; дали трябвало да е граждански или организиран от партии; дали пеенето на революционни песни е проява на лош вкус; защо едикойси не е бил или е бил на протеста. Заражда се възмущение защо толкова се акцентира върху външния вид на Пеевски и това ли е най-големият проблем? „Така не се прави“, „аз откога ви казах“, „няма лидерство“ и „пропиляхме шансовете“ са сред най-често използваните коментари.

Участници и наблюдатели се разделят по осите дали протестът е партиен или граждански, дали някой не го е яхнал, защо никой не поведе гражданите и дали не трябва „най-накрая да се спре в тия мирни протести и да им покажем, че това не се трае“.

Разследващи журналисти откриват поредната схема на властта, при която Пеевски е печелил обществени поръчки, но това някак си остава маловажно.

Отстрани, фенклубът на управляващите и други придали си важност коментатори с перспектива за някое постче, омаловажават и иронизират всеки дребен детайл от протеста и неговите участници, като в същото време с достатъчно медийно покритие обясняват как той Пеевски може и да не е добър главен прокурор, но всъщност виновни за това не са управляващите.

Някой пише меланхолична статия за това колко зле ще са нещата след още седем години.

Няколко групи интелектуалци в рамките на месец и половина публикуват манифест, харта и призив за нов обществен договор. Други групи интелектуалци не са точно съгласни, че точка три е толкова важна. Новият обществен договор така и не се материализира.

Филчев, Цацаров и Гешев дават по две-три дълги интервюта в национален ефир, в които обясняват за професионалните и етичните качества на Пеевски. В две трети от интервютата атакуват опозицията.

Няколко дни след гласуването във ВСС президентът Борисов подписва указа за назначаване на Пеевски и заявява пред медиите „ами те прокурорите си го избраха, явно има качества. А Христо Иванов като е толкова против, да не я беше предлагал тая реформа“.

На мнозинството от хората им е омръзнала отдавна тая тема, Пеевски е достатъчно де-демонизиран за толкова години. Много от тези, на които някога им е пукало, или са си тръгнали, или вече не следят темата. Държавата криволичи в развитието си, икономическият растеж е скромен, но достатъчен, за да няма обществени сътресения. Системните проблеми се задълбочават, но някой друг ще ги мисли.

Обществените поръчки си текат към „наши хора“, посредствеността във властта е константа, ежемесечните скандали в следствие на микс от корупция и некадърност са нормална част от пейзажа. Пеевски е уредил да усвои поръчки покрай АЕЦ Белене и Южен Поток, които някак все още не са истински започнати, но „стратегически важни“ и поглъщат по някой консултантски милион.

В задната част на протеста няколко души обсъждат усещането, че се въртим в кръг. Че правим същите когнитивни грешки, че падаме в същите капани. Че не сме успели да изградим нужния социален капитал, че не сме се научили да работим заедно за общи цели, че не сме разбрали, че въртенето ни в кръга ще продължи да бъде незначително за историята.

После прокапва дъжд и хората се разотиват. Навън е студено, а градският транспорт е все по-нарядко. Тихо е. Но и някак спокойно. Какво пък толкова, че Пеевски ще е главен прокурор.

Електронни документи – имат ли почва у нас?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3438

Електронните документи се въвеждат у нас със Закона за електронния документ и електронния подпис през 2001. На теория това значи, че всички документи и в публичния, и в частния сектор, могат да бъдат електронни и да имат правна стойност. На практика нещата стоят доста по-различно, макар ползите да са огромни.

На първо място трябва да бъде разгледан електронния подпис. Много документи изискват подпис, за да бъдат признати за валидно волеизявление. Квалифицираният електронен подпис е единственият, който е автоматично приравнен на саморъчен, поради което и у нас той се счита за единствено приемлив. Той обаче има редица технически предизвикателства – поддръжката му в браузърите, удостоверенията на доставчиците и форматите, в които се съхранява. Дори да успеем да подпишем електронен документ, отсрещната страна често казва „не се валидира“, „не се показва“, или дори да не може да разбере кое е подписът. Това кара много организации и в частния и в публичния сектор да изискват хартиен документ, за всеки случай. Държавата е опитала да реши частично този проблем със система за електронно валидиране, но тя на практика не се използва и никой не знае за нея, макар да има нормативно задължение за използването ѝ.

На второ място е вътрешният документооборот – за него не е необходим квалифициран електронен подпис, тъй като в рамките на една организация и други данни могат да се използват за електронно подписване. В една деловодна система документът може да се води подписан без реално да се срещат всички усложнения на квалифицираните подписи. Т.е. на теория всички документи в една администрация могат да са електронни. На практика, обаче, много служители, а и главни секретари, продължават да искат да работят с хартиени документи. Отново въпреки изискването на нормативната уредба целият вътрешен обмен на документи да бъде електронен. Сканирането на хартиени (и подписани на хартия) документи е една „кръпка“, която се използва много често – ако директорът на дирекция не иска или не може да работи електронно, секретарката му разпечатва документите за подпис и след това ги сканира. Когато граждани подават документи на гише, се случва същото. Проблемът с това е, че съдържанието на документа става недостъпно – не може да се търси, не може да се копира. За да се стигне до истински електронен обмен на документи, разпечатването и сканирането трябва да са на практика забранени, с изключение на гражданите, подаващи документи на гише.

Що се отнася до гражданите, стигаме до третия проблем – приемането и връчването на електронни документи. Приемането и връчването може да става по имейл или през специална система – за е-услуги или за електронно връчване. Последната съществува и се развива в последните години в администрацията като универсално средство за обменяне на документи между държава и граждани. Връчването на електронни документи има и друга важна функция – да определи еднозначно от кой момент започват да текат сроковете (за обжалване, за коригиране и др.) и би трябвало системи за е-връчване да се налагат все повече и в публиичния, и в частния сектор, тъй като пестят време, пари и главоболия – куриери, обратни разписки, закъснения.

На последно място е дигитализирането на архиви – то е времеемка и скъпа задача, тъй като тоновете хартия, която е генерирана с десетилетия, трябва да бъде обърната не просто в снимка, а в текст, чрез автоматично разпознаване на символи. Тази задача, за съжаление, е избягвана от много институции. Имотният регистър, например, не е дигитализиран все още и това създава редица проблеми.

За да не става все по-скъпа задачата с дигитализиране на архиви е необходимо много скоро администрацията да премине изцяло към електронни документи – и вътрешно, и в общуването с граждани. Електронните документи не са просто удобство – на база на тях могат да се извличат данни, да се правят анализи и в крайна сметка – политики. А съхранението им, ако към него се подходи сериозно, е по-сигурно от това на хартиени документи и манипулации и „изчезвания“ стават много по-малко вероятни. А колкото повече документи се приемат по електронен път, толкова по-малко човекочасове ще губят гражданите и бизнесът в мъкнене на папки по опашки.

(статията е написана за сп. Мениджър и публикувана първоначално там)

Кратък анализ на местните избори

Post Syndicated from Bozho original https://blog.bozho.net/blog/3435

Първият тур на местните избори приключи. И макар да остават много важни балотажи ми се ще да направя няколко коментара в полето на демократичната общност. По-точно – шест.

1. Безсмислено и неадекватно да се хвърлят обвинения във всички посоки относно местните избори. Никой не печели и никой няма да си промени мнението.

2. Бакалските сметки не работят. Игнатов + Бонев не е по-голямо от Манолова. Ако Бонев беше кандидат на ДБ, много от тези 80% от неговите избиратели, които не са симпатизанти на ДБ (според екзит пола), нямаше да гласуват. Същото щеше да е и ако беше подкрепен независим – медиите щяха да побързат да го асоциират с ДБ и де факто да е наш кандидат с друг номер, а атаките срещу него в по-свинските медии щяха да са като към „кандидата на Сорос“, каквито заявки даде ПИК в началото.

3. Положително е, че Бонев привлече толкова нови избиратели. Не просто защото ще бъде общински съветник, а защото по този начин обществената подкрепа за политиките, които вярвам ще бъдат съвместно прокарвани в общинския съвет от Демократична България и него, ще е по-широка. А това е важно – не просто колко съветника гласуват за едно или друго, а колко хора стоят зад това.

4. В крайна сметка няма нищо разцепено и нищо разделено освен едни 200 души във фейсбук, които сън не спят да посочат кой е виновен. Има поле за разширяваща се общност и това ще го видим в общинския съвет съвсем скоро.

5. Демократична България постигна добър резултат. Знам, че много хора го определят като пълен провал, но това е най-добрият резултат на демократичната общност за последните 12 години – има най-голяма група в общинския съвет (12 души) и кандидатът за кмет е получил най-висок процент от гласовете. Да, това не е победа, но е важна стъпка в правилната посока. Защото този път в общинския съвет няма да има политическите опортюнисти влезли под флага на поредното дясно обединение, които след няколко месеца ще почнат да гласуват заедно с ГЕРБ. Има хора, които тепърва влизат в политиката с ентусиазъм да правят правилните неща. Казвам го, защото ги познавам. А тази неделя ще видим колко от 10-те балотажа за районни кметове ще бъдат спечелени.

6. Извън София нещата не са розови и там сериозни промени няма. Все пак в Пловдив вече ще има група в общинския съвет (Реформаторският блок нямаше), във Варна групата няма да е заедно с ВМРО (макар да е по-малка). На други места се усеща липсата на другите партии от РБ, които по различни начини носеха по някой глас тук и там.

Следват парламентарните избори и Демократична България трябва да продължи работата, защото такава има много.

Електронни обществени поръчки – хронология на липсата

Post Syndicated from Bozho original https://blog.bozho.net/blog/3421

Електронните обществени поръчки са нещо, за което все повече хора се сещат да говорят. Предизборно, разбира се, и повърхностно. Електронните обществени поръчки предполагат повече прозрачност и по-малко коруоция.

Ако бъдат направени както трябва, това със сигурност е така. Ако се качват едни сканирани документи в обикновено хранилище за документи, както вероатно някои си го представят, полза няма.

Но в следствие на директивата на ЕС за обществените поръчки, би трябвало дс има национална централизирана система за електронни обществени поръчки – електронно обявяване, кандидатстване, отваряне на оферти и т.н.

Да разгледаме, обаче, хронологията на събитията:

2014г: ЕС приема директива за задължителна централизирана платформа за обществени поръчки във всяка държава-членка, срок за транспиниране 19 април 2016. Срокът за въвеждане на е-обществените поръчки е 18 октомври 2018.

2016г. (март) проектът за електронни обществени поръчки е добавен в пътната карта за електронно управление като приоритетен (добавен с мое участие през септември 2015, но приет от МС март 2016). С това на практика се осигурява и финансиране за проекта по Оперативна програма „Добро управление“ (не автоматично, разбира се, но прави проекта финансируем без допълнително одобрение)

2016г: (15 април) Българският парламент приема новия Закон за обществени поръчки, като срокът за електронните обществени поръчки е юни 2017г.

2016г стартира процедурата за система за обществени поръчки, но КЗК я „порязва“

2017г процедурата за електронна система за обществени поръчки стартира наново

2017г: парламентът се сеща, че тая няма да я бъде, и отлага влизането в сила за 18 октовмри 2018, т.е. крайният срок по директива

2018г: парламентът се сеща, че и тая няма да я бъде, и изтрива изцяло члена, като прави нов, в който срокът вече е 1 ноември 2019г.

2019г: системата за електронни обществени поръчки е пусната, но още не е готова и липсват важни функционалности. Например липсват отворени данни, макар да е задължително и по закон, и по задание, и по критерии на оперативната програма, по която е финансиран проектът. (Заб: С колегите в АОП отворихме данните от старата система за няколко часа работа)

2019г, октомври: Менда Стоянова (ГЕРБ) внася между първо и второ четене изменения чрез преходни и заключителни разпоредби в нямащ нищо общо закон (Закона за пазарите и финансовите инструменти), в който въвежда правната иновация – Министерски съвет да определя от кога влиза в сила законът за конкретните институции. На практика казва „когато стане – тогава“.

Всички тия законодателни странности са вероятно за да не е очевидно, че от 1 година сме нарушение на директивата, приета 2014г. За 5 години (а и повече, защото тя се готви по-отдавна) въвеждането на електронни обществени поръчки се оказа невъзможно.

Системата ЦАИС ЕОП работи от известно време. Само че все още на практика никой не я използва. Затова и управляващите искат изпълнителната власт да решава кое министерство кога да я ползва.

Причините за това забавяне са много и разнообразни. Започват с мотането на законодателя (ЗОП е приет няколко дни преди крайния срок по директива), КЗК спира първата процедура със (според моя прочит) не особено убедилни аргументи, новата процедура се забавя повече от очакваното.

Дали можеше по-бързо? Можеше, ако имаше споделено от всички разбиране, че това е един от най-важните проекти. Тогава на всяка една стъпка нещата щяха да стават по-гладко, според мен.

Заключения няма да правя, те са ясни.

Защо е важен главният прокурор

Post Syndicated from Bozho original https://blog.bozho.net/blog/3413

Предстои избор на нов главен прокурор. Със седемгодишен мандат. А прокуратурата е йерархична структура – главният прокурор може да контролира всичко в системата, всички са му подчинени. Този избор на пръв поглед не е толкова важен – да си се избират в съдебната система, да си гонят престъпниците. А и „хората правосъдие не ядат“.

Прокуратурата наистина има за цел да обвинява престъпници (хора, които са нарушили някой член на Наказателния кодекс, при който престъплението се счита от общ характер). Само че в Наказателния кодекс няма само телесни повреди, убийства и (кибер)тероризъм. Има и престъпления по служба, безстопанственост, попълване на документи с невярно съдържание и други престъпления, в които може да бъде обвинен един премиер, вицепремиер, министър, зам.министър, председател на агенция или комисия или кмет. И обвиненията се повдигат именно от прокуратурата, когато тя реши. А за определени обвинения, например на гореспоменатите длъжности, когато главният прокурор реши.

Появяват се тук-там странни защитници на Гешев (и Цацаров), според които прокуратурата си работи чу-дес-но, щото, видите ли, били арестували разни съмнителни бизнесмени (наречени малко пресилено „олигарси“). Това, че прокуратурата от време на време обвинява някой престъпник и даже накрая той влиза в затвора, е супер. Все пак – това ѝ е работата.

Причината обаче да се слагат хора като Гешев и Цацаров на тия постове е не това кого са обвинили успешно, а четири други неща:

  • кого НЕ са обвинили – когато знаеш, че всяка схема ще ти се размине, защото „имаш човек в прокуратурата“, корупцията си тече най-добре
  • кого са обвинили със съзнателни пропуски в обвинението, за да падне в съда – за да може после някой да каже „ние ги хващаме, те ги пускат“, прехвърляйки топката на съда
  • кого са обвинили без доказателства, само за да го държат в страх. Например министрите на Реформаторския блок получиха обвинения, които после се разпаднаха
  • за кого главният прокурор има „папки“, които чакат да бъдат отворени – когато си министър и ти покажат папката в прокуратурата, ще правиш точно това, което ти кажат, ако не искаш тя да бъде превърната в обвинение

Та, да оставим Минюстайковци, Баневи и подобни. Не за тях става дума тук.

Става дума за корупцията по високите етажи, която остава ненаказана. Но още повече става дума за всеки, който се опита да счупи някоя съществуваща схема, и срещу който може да бъде повдигнато обвинение и да бъде разнасян по медиите и из съдилищата.

На Христо Иванов беше проверяван за обществена поръчка за поддръжка на климатици. До обвинение не се стигна, защото щеше да е прекалено абсурдно. Даниел Митов и Христо Ангеличин бяха обвинени, за неизгодни самолетни билети за нуждите на министерството и за неизгодна сделка с телефонни централи. Обвиненията се разпаднаха в съда, разбира се.

В горните примери трябва да отбележим, че това са поръчки на сравнително ниски стойности, които министрите разписват, защото хората под тях са им ги дали за подпис. Един министър трябва да подпише тонове документи и носи отговорност за тях. Съответно е лесна мишена за саботаж или при неволна грешка.

С тези механизми на всеки бъдещ министър му е ясно, че във всеки един момент могат да му спретнат проверка и дори обвинение. Без значение дали е нарушил закона. Всичките четири неща от списъка по-горе изкривяват властта и я правят зависима от прокуратурата. Естествено, че прокуратурата трябва да може да повдига обвинения, въпросът е, че в момента се използва и за други цели.

Не съм специалист по съдебна реформа, но знам, че в западна Европа има доста по-различен модел на държавното обвинение. Нашият е съветски. Там целта е била ясна – противниците на властта са врагове на народа. Сега целта, уж, е различна.

Та, изборът на главен прокурор може да изглежда маловажен. Привидният консенсус около кандидатурата на Гешев може да звучи успокоително. Но всъщност един човек, който в телевизионни интервюта обвинява политическата опозиция в тероризъм, ще получи седемгодишен мандат с безконтролна власт да обвинява или не обвинява „когото трябва“. Тази власт е прекалено голяма и затова този избор е толкова важен. Не просто за съдебната система, а за демократичното развитие на страната.

Без фалшиви дилеми на първи тур

Post Syndicated from Bozho original https://blog.bozho.net/blog/3410

Наближават местни избори. И поне в София, а и на доста други места, се прокрадва и пробутва схващането, че изборът е само между две опции и от нищо друго няма смисъл, и битката ще е точно между тези две опции. В контекста на София се опитват да ни убедят, че това ще е битката Фандъкова – Манолова. И да си изберем една от тях. В същото време се опитват да ни пробутат и друга теза – че издигането на един или друг кандидат помагало я на Манолова, я на Фандъкова, в зависимост „чий“ анализатор питаме.

Това, разбира се, са глупости. Т.нар. тактическото гласуване, при което гласуваш не за предпочитания от теб кандидат (или партия), а за някой от обявените за фаворити, действително съществува, но от него няма нужда на първи тур. Една от целите на изборите в два тура е именно да минимизират тактическото гласуване, защото „по-малкото зло“ ще може да се избере на втори тур, ако избирателят прецени.

Тактическо гласуване има на парламентарни избори, където избирателите решават да не подкрепят партия, която не е сигурно дали ще влезе в парламента. Такова има и на избори в един тур (като например парламентарните във Великобритания), където след гласуването победителят печели, всички останали губят. Всичко това е само един тип тактическо гласуване, наречено „полезен глас“, т.е. целта е гласът да не се загуби. Но на първи тур гласът не се губи, така че тактическото гласуване е излишно

Така че да не се оставяме да ни заблудят с фалшиви дилеми на първи тур – можем да гласуваме точно за този, за който искаме да гласуваме, като така резултатът ще отразява реалните нагласи. След това, на база на тези нагласи, а не на база на твърденията на един или друг анализатор, ще се реши кой ще отиде на балотаж.

В тази връзка и твърденията, че издигането на арх. Игнатов работело в полза на някого също е доста изпразнено от смисъл – ако отхвърлим фалшивата дилема за избор между Манолова или Фандъкова на първи тур, само защото предпочитаният кандидат няма шанс, то издигането му (и на който и да било друг) не помага на Манолова или Фандъкова.

Резултатът на първи тур не е изцяло без значение – водещият от двамата отиващи на балотажа може да увлече малко повече гласове, но пък същият резултат може да мотивира повече избирателите на другата страна. Няма ясно предсказуем и лесно измерим ефект на разликите на първия тур.

Шансовете на един кандидат, разбира се, са фактор при вземането на решения. Ако харесваш някого, но социологията го отчита под 1%, а второто ти предпочитание е с 10%, то по-високият шанс може да надделее над предпочитанията, ако те не са чак толкова силни. Този тип разсъждения са минус на всяка система, в която избирателят трябва да направи точно един избор. Има и алтернативни системи (тази или тази), в които избирателят подрежда кандидатите по реда, в който ги предпочита, което отразява доста по-точно нагласите. Тези системи също не са перфектни и при тях съществуват определени видове тактически гласувания, но така или иначе у нас те не са популярни.

В крайна сметка изборът не е предрешен. Дори още нямаме адекватни социологически проучвания, които да кажат кой кандидат какво се очаква да вземе, с всички уговорки за неточностите в социологията, които бяха направени след евроизборите. И няма нужда да гласуваме тактически на първи тур за Фандъкова или Манолова. Дали третият кандидат, арх. Игнатов, има шанс да се намеси там, ще разберем. Но изключването му априори е предизборен шаманизъм. Нека се възползваме от гъвкавостта на изборната система с два тура и да му мислим на балотажа, ако предпочетеният от нас кандидат не стигне до него.

Административно престъпление

Post Syndicated from Bozho original https://blog.bozho.net/blog/3397

Заглавието, разбира се, е глупост. Но наблюденията са ми че много хора нямат ясно разбиране за това какво става като нарушиш закона. Не че е нужно нещо повече от базовото разграничение на престъпление от административно нарушение, но ми се щеше да систематизирам темата.

Започвам с важното уточнение, че не съм юрист. Участвал съм в законодателния процес (съвместно с юристи), но правя систематизацията не от гледната точка на експерт, а от тази на добре информиран страничен наблюдател, който може да допринесе за описването на базови концепции. Защото за един юрист нещата, които ще напиша сега, вероятно са материал от първи курс и изобщо не са интересна тема (все едно да тръгне старши програмист да обяснява какво е for-цикъл).

Та какво става, когато нарушиш закона? Зависи от много неща. Но те са разделени в групи:

  • Престъпление (наказателна отговорност) – това е, когато убиеш някого, нанесеш телесна повреда, откраднеш чуждо имущество и още стотици неща, описани в Наказателния кодекс. Престъпленията са общественоопасни деяния и затова се наказват строго – често със затвор. За престъпления делата се образуват при обвинения от прокуратурата или при искане (тъжба) от засегната страна, в зависимост от престъплението, съответно от общ или от частен характер. Важно е да се отбележи, че престъпления има само в Наказателния кодекс и никъде другаде. Кодексите като цяло уреждат една материя изчерпателно и не допускат други закони да се бъркат в нея (напр. Изборният кодекс е единственият закон, който се занимава с изборите). Процедурите, по които се случва събирането на доказателства, обвиняването и делата, се определят в Наказателно-процесуалния кодекс (и никъде другаде). С други думи, ако едно деяние не е вписано в Наказателния кодекс, то не е престъпление.
  • Административно нарушение (административна отговорност) – това е, когато нарушиш някоя разпоредба на някой закон (и има наказващ административен орган). Неподаване на декларация в срок, шофиране с превишена скорост, вдигане на шум в непозволено за това време, неправомерно изискване на документ и др. Наказанието е най-често „глоба“. Няма Административно-наказателен кодекс, така че административните нарушения и глобите за тях се дефинират във всеки закон поотделно, в глава „Административнонаказателни разпоредби“ към края на закона. Но административните нарушения могат да се определят само със закон – не може някой министър да издаде наредба, с която изведнъж може да ви глоби за нещо, което законодателят не е предвидил. При общинските съвети е малко по-гъвкаво – там с наредби могат да се определят детайли за нарушения, но все пак рамката е определена в Закона за местното самоуправление и местната администрация. Законът, който определя реда за налагане на санкциите при административни нарушения е Закона за административните нарушения и наказания. Той не е кодекс, макар че според мен трябва (и има проект за такъв кодекс, защото законът е много стар – от 69-та). Процесът е двустъпков – първо се съставя акт за установяване на административното нарушение, като след като актът бъде потвърден, се издава наказателно постановление. На всички стъпки нарушителят има право да обжалва пред административен съд. Т.е. като ви напишат акт, можете да обжалвате. Ако не обжалвате, после можете да обжалвате наказателното постановление (напр. ако не сте съгласни с размера на глобата). Тук има някои специфични моменти – напр. т.нар принудителна административна мярка. Може преди да сте обжалвали да ви бъде отнето нещо – напр. да ви се отнеме книжката. Принудителните административни мерки се определят в отделна глава в законите, които ги предвиждат. Т.е. не е задължително едно нарушение да мине през целия процес, за да бъде наложена административната принуда.
  • Гражданскоправни казуси (гражданска и имуществена отговорност) – това е доста широка материя, в която се включват всички дела, където държавата не е наказващ орган и няма престъпление (това не е коректно определение, но описва нещата грубо). Ако ви съдят, че дължите пари, или делите имот, или вие съдите някое дружество, че ви е нарушило правата, или пък две дружества се съдят за неспазен договор – това всичко е гражданскоправна материя. Редът за воденето на делата се определя в Гражданския процесуален кодекс, а самите нарушения често произтичат от нарушение на договори, правилата за които са определени в Закона за задълженията и договорите, но за разлика от Наказателния кодекс и административнонаказателните разпоредби, тук няма изчерпателен списък от нарушения, по които може да се носи отговорност. Когато загубите гражданско дело, обаче, не сте престъпник и не се водите „осъждан“ в свидетелството за съдимост. И има логика – ако Топлофикация ви осъди да си платите сметката, няма нищо чак толкова сериозно. Ако съдружник ви осъди, че са му нарушение правата съгласно дружествения договор, това си е между вас. Понякога в публичното пространство хора, загубили граждански дела, се определят като „осъждани“. Формално може и да е коректно, но тази дума създава разбиране за престъпление, каквото няма по граждански дела.
  • Нарушения в ролята на служител (дисциплинарна отговорност) – тук отговорността е за нарушение на условията на трудово правоотношение от страна на служителя, или съответно на служебно правоотношение за държавни служители (по Закона за държавния служител). Кодексът на труда, Законът за държавния служител и трудовите договори предвиждат санкциите и реда за тяхното прилагане. Ако се стигне до съд, делата са граждански.

Това, което най-често се случва на средностатистически човек са административни нарушения. Чувал съм твърдения, как ако не си платиш глобата за административно нарушение, в един момент ставаш престъпник – това не е така. Престъпление е само ако укриваш данъци в големи размери. Държавата има други начини да си събира задълженията – запори, възбрани, чрез държавни съдебни изпълнители. Обратното обаче е възможно – съдът да освободи някого от наказателна отговорност и да наложи административна санкция (чл. 78а от НК).

За да имам малко повече принос от средностатистическа статия в правен портал, ще направя една табличка, която да онагледи горното описание.

ОтговорностКъде са описани нарушенията?Къде е описан редът за налагане?Кой инициира процеса?Изпълнение без участие на съд?
НаказателнаНаказателен кодексНаказателно-процесуален кодексПрокуратурата или частен тъжителНе
АдминистративнонаказателнаГлава „Административнонаказателни разпоредби“ (или подобна) във всеки законЗакон за административните нарушения и наказанияНаказващият административен орган, определен със законаДа
Гражданска и имущественаГраждански процесуален кодексВсяко физическо или юридическо лицеНе
ДисциплинарнаКодекс на труда, Закон за държавния служител, трудови договориКодекс на труда, Закон за държавния служителРаботодателДа

Според мен тези неща трябва да се учат в училище. Важни неща са за начина, по който е конструиран правния свят, в който живеем. И Не изискват кой знае какъв капаците за да се разберат поне като базови концепции (ясно е, че граничните случаи и „тънките моменти“ са там, където юристите са силни).

Надявам се съм направил разбираема и коректна систематизация.

Киберсигурна работа

Post Syndicated from Bozho original https://blog.bozho.net/blog/3389

Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш телевизора – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха НАП, вицепремиер със сертификат за компютърна грамотност заяви, че е достатъчно квалифицирана да ръководи съвет по въпроса, а явно сега ще искаме такъв ресор в Европейската комисия.

Макар че вече съм писал веднъж за киберсигурността, ми се ще да разгледам темата малко повече, особено от гледна точка на публичните институции и накрая ще опитам да отговоря на въпроса „може ли България да е киберсигурна“

Имаме стратегия за киберустойчива България, която не мисля, че се спазва, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има абстрактни организационни мерки (той е транспонирана европейска директива, така че не е по наша инициатива). Имаме наредба към този закон, която е доста причлина, но между съществуването на добра наредба и нейното прилагане има разлика. Имаме и шаблон на техническо задание, което всички нови системи трябва да ползват. Там сме се постарал да опишем възможно най-много неща, които изпълнител и възложител изрчно да проверят – уязвимости като тази в НАП, напр, също са там.

Както стана ясно от теча в НАП, а и от редица пробиви напоследък, нивото на киберсигурност е ниско. (Някои пробиви не стават публично достояние, но можем да питаме govcert-а, звеното за реакция при киберинциденти, колко сигнала за уязвимости е приел). За да имаме пълна картина колко зле са нещата, трябва да един пълен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което вече знаем – че нивото е ниско.

В допълнение на въпроса по-горе, ще отговоря и на още три: „защо системите са уязвими“, „кой може да злоупотреби с това“ и „какво може да се направи“

  • Системите са уязвими по две причини. Първата е, че по принцип е трудно да се поддържат сигурни системи. Дори да е била сигурна в един момент, нещата се променят, оттриват се неизвестни досега уязвимости на компоненти, от които зависи самата система. Затова проактивно обновяване, следене за уязвимости и комбинация от много други мерки са начинът да има по-сигурни системи, но дори това невинаги е достатъчно. Втората причина е, че системите в държавата с много ниско качество (в общия случай). Пишат ги фирми с не особено кадърни хора (защото и малкото кадърни по темата са отишли на по-високи заплати другаде, където не се разчита на обществени поръчки), приемат ги хора, които нямат идея какво приемат, и няма кой да следи този процес да бъде по-адекватен. Дори да има наредби, шаблони и хипотетични санкции, просто няма хора. Наскоро имаше система, разработвана по шаблона за задание. Дори като никога беше спазен закона и кодът беше отворен. И какво имаше там – SQL инжекция. Поправена след съответния сигнал (нагледен пример за ползите кодът да е отворен), но най-базовата грешка при работа с база данни, за която изрично има предупреждение в заданието, беше допусната. В 13 от последните 15 години тези наредби и шаблони ги е нямало, а системите, които се ползват, са на толкова.
  • Кой може да злоупотреби с това – всеки. Причините са няколко. Комерсиални – напр. е полезно за една компания да има данните от Национална база данни „Население“; геополитически – някои държави не одобряват определени решения, които нашата е взела или предстои да вземе, и съответно включват киберарсенала си; „някои хора просто искат да гледат как света гори“ – хакване заради самото хакване и заради деструктивния ефект. Първите могат да разчитат не на експлоатиране на уязвимости, а на корумпирани вътрешни хора, чрез които да източат данните – това също е част от киберсигурността, която включва както външни, така и вътрешни „атаки“.
  • Може да се направи много – да се прилага по-стриктно нормативната уредба, да се използват различни механизми за привличане на по-компетентни хора (вкл. с по-високо заплащане), да се обучават по-активно хората в публичния сектор, да се затегнат вътрешните механизми за контрол на достъпа на служители. Имаше предложения за по-големи наказания в Наказателния кодекс, но според мен това няма да работи – хакерите или не познават НК и той не ги спира, или си мислят, че си прикриват следите достатъчно добре, че да са неоткриваеми. Или и двете.

Сложен въпрос, на който в индустрията се опитва да даде смислен отговор е „какво пък толкова може да стане“. По принцип всичко, но дали може да има дигитален катаклизъм и дали ако няма е нужно да инвестираме в киберсигурност е отворена тема. Засега консенсусът е, че е нужно повече. Повече познание, повече хора, повече инструменти, повече инвестиции.

Киберсигурността е състезание с „лошите“ и включва множество мерки. Не може да се реши просто като си купиш едно устройство или един софтуер (макар че това може да помогне). Най-важният ресурс и тук са хората, които да знаят какви са мерките, да имат уменията да ги приложат в усложнен контекст (процедури по ЗОП и политическа неадекватност), да знаят как да използват и конфигурират наличните инструменти. И това да не са просто двама-трима души тук-там, а да е системно решение.

Дотук би трябвало да е ясно, че нещата не изглеждат розово. Няма хора, няма адекватни доставчици, „лошите“ могат да разполагат с големи ресурси, а защитата е фундаментално трудна задача.

Лесно решениие няма. Със сигурност съвет по киберсгурност, еврокомисар по киберсигурност, закон за киберсигурност и други подобни не са решението. Някои от тях са небезполезни стъпки, други – отбиване на номера, трети – политически опортюнизъм.

Решението е същото, като в една голяма корпорация – висшият мениджмънт да осъзнае критичността на проблема и да насочи ресурси на там. Не, не да купим още техника, която няма кой да конфигурира, а да подредим така пъзела, че да ма хора с мотивация, да има финансов ресурс за това (а не за петорно надценен нов уебсайт, например).

Висшият политически мениджмънт не осъзнава нищо от това. За вицепремиер, отговорен за това, е поставен не човек с управленски опит и с опит в дигитална трансформация (не непременно технически), а някой, който просто се е оказал там по стечение на обстоятелствата. В същото време всички механизми, предвидени законите, за привличане и задържане на повече хора, отпадат един по един. Това е лош сигнал за всички (освен за хакерите). И ако искаме да имаме еврокомисар по киберсигурност, първо може би трябва да имаме някаква вътрешна адекватност по темата. И след като я имаме, успешният ръководител на това усилие да стане еврокомисар.

Дори киберсигурността е повече човешки, отколкото технически проблем. По-скоро управленски и политически, отколкото експертен. Експертната част е трудна и много интересна, но сме много далеч от тази част в публичния сектор. Тепърва трябва да направим първата копка на реалната киберсигурност.

Може ли България да е киберсигурна и дългосрочно киберустойчива? Може, разбира се – задачата е решима. Но не изглежда реалистично в близко бъдеще, защото дори да започнем веднага, при мащаба на публичния сектор и натрупаните системни проблеми, резултати може да има едва след 3-4 години. А дотогава – двайсетгодишни хакери, руски агенти или просто хора, които „имат човек“ някъде, могат да правят (почти) каквото си искат.

Либра – новата криптовалута на Фейсбук

Post Syndicated from Bozho original https://blog.bozho.net/blog/3384

Фейсбук обяви, че през 2020 ще пусне своя криптовалута. Само по себе си пускането на криптовалута е тривиално, но когато го направи компания с милиардна пазарна капитализация, и то подкрепена от още десетина такива, заявката става сериозна.

Криптовалутите са популярни с това, че се използват единствено за спекулации. Почти няма случаи, в които някой си е купил стока или услуга с криптовалута. Целта на Либра е друга – да стане платежно средство на милиони хора, особено тези в третия свят, които нямат достъп до банкови услуги.

Пред това, обаче, има няколко предизвикателства и не е ясно дали Фейсбук ще може да ги преодолее:

На първо място са технологичните ограничения. В момента Фейсбук нямат готово работещо решение. Пропускливостта на мрежата е ограничена до 1000 транзакции в секунда според собствените им оценки, което би било крайно недостатъчно за глобална платежна мрежа.

На второ място е доверието – дали потребителите ще доверят на Фейсбук парите си при всички скандали и течове на данни? Данните за всички плащания са доста апетитни за рекламодателите и макар Фейсбук да твърди, че мрежата на Либра позволява анонимност, това далеч не е така, и то по две причини – технологична и регулаторна.

Технологичната е, че избраният протокол запазва връзката между наредителя и транзакцията и Фейсбук има информация за тази връзка. Регулаторната е, че на много места по света е задължителен т.нар. „know your customer“ процес, в който се установява точно кой стои отсреща при финансови операции (с цел пресичане на прането на пари, финансирането на тероризъм и др.) Т.е. Фейсбук ще разполага с тези данни и не е ясно дали някой би им се доверил, че няма да ги използват в рекламната си платформа.

Доверие е необходимо и от страна на електронните магазини, които ще приемат плащания с Либра – те ще трябва да направят инвестиция за надграждане, така че да поддържат плащане с новата валута, без да имат ясни гаранции дали това ще си струва. В един момент това може да се превърне в проблем тип „кокошката или яйцето“ – няма достатъчно магазини, защото няма достатъчно купувачи, и обратно.

В същото време, докато на теория блокчейн предоставя децентрализация, т.е. няма нужда потребителите да се доверяват на нищо освен на криптографските алгоритми, то при Либра тази децентрализация е заменена с „олигархия“ – участниците в асоциацията „Либра“ са единствените, които могат да участват в блокчейн мрежата и да валидират транзакции.

На трето място са оперативните проблеми, които често са камъчетата, преобръщащи каруцата. За да получи някакво количество Либра „монети“, потребителят трябва да обмени пари в съществуваща валута. Това при криптовалутите става чрез борси, които приемат плащания с банкови преводи и кредитни карти. Но заявеният първоначален пазар на Либра е третия свят, където много хора нямат достъп до банкови услуги. Много анализатори очакват Фейсбук да сключи договори с местни мобилни оператори и зареждането на Либра сметката да става през гише на мобилен оператор, или дори с предплатена карта. Дали този модел ще проработи навсякъде и дали мобилните оператор няма да реализират конкурентна услуга за електронни пари, предстои да разберем.

Друг потенциален проблем е удобството на използване. Макар на пръв поглед да изглежда, че удобството на мобилните приложения е несъмнено, използването на блокчейн усложнява задачата, тъй като потребителите трябва някак да управляват своите т.нар. частни ключове. Ако ги загубят (загубят устройството, загубят листчето с кода за възстановяване и забравят паролата си), губят достъпа до сметката си. Завинаги. И никой, дори Фейсбук, няма възможността да им я възстанови. Това е проблем, който все още няма напълно работещо решение в света на криптовалутите и с който със сигурност ще се сблъскат немалко потребители в случай, че Либра постигне желаната масовост.

Със сигурност е възможно Либра да постигне успех, особено на пазарите, в които се цели в началото, въпреки всички предизвикателства пред това. Дали има потенциал да замени останалите платежни средства и в развития свят – на този етап това изглежда по-скоро нереалистично.

(Статията е публикувана първоначално в сп. Мениджър)

Обобщение на теча на данни в НАП

Post Syndicated from Bozho original https://blog.bozho.net/blog/3369

Много се изговори и изписа по повод „НАПЛийкс“. Аз успях да се включа в какафонията с няколко телефонни интервюта и едно телевизионно. Но в такъв формат, дори да е по-дълго, не може да се изложи всичко в структуриран и систематизиран вид. Затова ще опитам тук.

Инцидентът

Към медиите, през имейл в безплатна руска имейл услуга, беше изпратен линк към архив са 11 GB данни от базите данни на НАП. Имаше как да се сдобия с данните, но по ред причини не съм ги разглеждал и анализирал все още – едната е, че имах доста друга работа, а другата – че все пак това са данни, които представляват защитена от закона тайна и нямам добра причина да наруша тази тайна.

По информация на хора, които са разгледали данните, вътре има ЕГН-та, три имена и осигурителни доходи на милиони граждани, номера на лични карти, както и данъчни декларации, граждански договори, а също и данни от други инстутуции – Агенция по заетостта, Агенция Митници, Агенция за социално подпомагане. Има данни за чуждестранни юридически лица, и любопитни данни, като напр. файл, озаглавен QneQnev.

Дали изтичането на тази информация е фатално – не. Дали е голям проблем – със сигурност. Ако не беше, нямаше данъчно-осигурителната информация да се ползва със специален статус (и НАП често да ползва тайната на тази информация като аргумент да не обменя данни с други институции).

Данни на почти всички български граждани са изтекли и това е огромен проблем, без значение колко се опитват някои политически фигури да го омаловажат.

Как?

Няма официална информация как е станал пробивът, но на няколко места излезе слух, че е т.нар. SQL инжекция. Това звучи правдоподобно, така че ще коментирам него. SQL инжекциите са сред най-простите уязвимости – хакерът вкарва специално подготвен текст в дадена поле и получава контрол над базата данни, защото разработчикът не е „почистил“ входните данни (и не използва т.нар. prepared statements). Ако например искаме да използваме формата за вход в системата, то можем да допуснем, че проверката на потребителското име и паролата би изглеждало така: SELECT * FROM users WHERE username={params.username} AND password={transform(params.password)}. (transform, защото паролите никога не трябва да се пазят в явен вид).

Това е псевдо-код, с който виждаме, че параметрите, подадени от потребителя се „залепят“ за заявка, която се изпълнява към базата. Е, ако хакерът вместо потребителско име попълни друга валидна заявка в полето, тя ще се изпълни. Напр. след въвеждане, заявката би изглеждала така: SELECT * FROM users WHERE username=1;CREATE PROCEDURE exfiltrate …;–AND password=…. Създадената процедура може да бъде с произволен код, който да обхожда всички бази данни и техните таблици и да ги изпраща към определен IP адрес.

В момента в който хакерът може да изпълнява произволна, избрана от него заявка към базата данни, всичко е свършило. А откриването на тази уязвимост е тривиално дори и на ръка, а има достатъчно много инструменти, които сканират и откриват автоматично такъв тип уязвимости. Всяка организация с повече от 10 души трябва да прави регулярни проверки за уязвимост на системите си, за да предотврати поне най-тривиалните атаки.

Защо?

Това е сложният въпрос. „Защото някой в НАП е некадърен или в най-добрия случай немарлив“ е простият отговор, но той не е достатъчен. „Защото в администрацията не се дават пазарни ИТ заплати“ е отговорът, който министър Горанов даде, и той е отчасти верен, но е повърхностен. Тъй като преди 3 години се занимавах именно с дългосрочното решаване на този проблем, ще споделя по-задълбочени размисли.

Длъжностите в администрацията са разписани в т.нар. Класификатор на длъжностите в администрацията. До 2016-та там нямаше ИТ длъжности (ИТ кадри бяха наемани на общи експертни позиции). Тогава предложихме изменение на класификатора, така че да включим ИТ длъжности и то на максималните възможни нива на заплащане за съответния опит. Това, разбира се, пак е много под пазарните заплати, но е някаква стъпка.

Паралелно това, с измененията в Закона за електронното управление направихме две неща. По-маловажното беше, че създадохме опция Държавна агенция „Електронно управление“ да създаде програма за привличане на експерти от частния сектор, които краткосрочно да помагат за ИТ услугите на държавата. Нещо, което и аз правех тогава, но в мащаб. Нещо подобно на американските 18F/USDS. Това, излишно е да казвам, не се случва вече 3-та година.

По-важното беше създаването със закон на Държавно предприятие „Единен системен оператор“. Идеята му е да може да дава пазарни ИТ заплати, като предоставя определени услуги на държавната администрация – технически задания, проектен контрол, тестове, в т.ч. за уязвимости, управление на поддръжката на инфраструктурата, консултиране на ключови проекти, спешни мерки по „закърпване“ на проблеми, и др. Това предприятие също 3-та година е блокирано и не се случва. Изпълнителната власт и Горанов в т.ч. като че ли осъзнаха нуждата от нещо такова след срива на Търговския регистър миналата година, но явно просветлението е било краткотрайно. И това не сме си го измислили ние – BRZ (Австрия) и GDS (Великобритания) са едни от примерите за подобни структури в Европа.

Това, че има кадърни хора е много важно условие, но не е единственото. Друг аспект са обществените поръчки и фирмите, които ги изпълняват. Резултатите там рядко са добри по много причини, които съм обсъдил в отделна статия.

Информационна сигурност

Причините за ниското ниво на информационна сигурност са човешкия фактор, който е следствие на политическа неадекватност. Но все пак има начин нещата да станат малко по-добре дори само с подходящо структурирани правила. С промени в наредбите към Закона за електронното управление въведохме редица изисквания за информационна сигурност, в т.ч. шаблон за задание за всички нови проекти. В този шаблон изрично се говори за информационна сигурност и за уязвимости от тип SQL инжекция и XSS, така че проекти, създадени по този шаблон, да са съзнателно проверени за такива уязвимости, а наличието им да се явява неизпълнение на договор. Между другото, тогава НАП бяха против някои текстове, защото те вътрешно си пишели някои системи и някои изисквания не важали за тях.

Самата уязвимост е един проблем, но защо след като хакерът е придобил контрол върху една база данни, той след това е могъл да източи толкова много други такива? Моето допускане е, че потребителят, с който уеб-приложението е ползвало базата данни, е имал пълни права върху всички бази на този сървър. Това е ужасна практика

Информационната сигурност е трудно нещо (говорил съм неведнъж за това), и не е еднократно усилие. Нужни са редица от мерки и постоянно внимание към множество детайли. Рискът никога не е елиминиран на 100%, което е видно и от ежедневните пробиви в уважавани частни компании. Но една държавна институция няма право да допуска толкова прости за изпълнение (и за предотвратяване) пробиви.

GDPR

Да, бизнесът похарчи много за да бъде в съответствие с GDPR и изведнъж държавен орган се оказа най-неподготвен. Това оставя лош вкус в устата, и е разбираемо цялото недоволство. Освен информационната сигурност, има още един аспект на GDPR, на който трябва да обърнем внимание – принципа на свеждане на данните до минимум. Иначе казано, НАП трябва да обработва само данни, които са им необходими и да ги задържа само толкова, колкото да им необходим (което е друг принцип – този на ограничение на съхранението).

В НАП, а и не само, наблюдаваме точно обратното – правят се ежедневни копия на данни от други администрации и те се пазят вечно. Винаги съм бил срещу тази практика, защото освен рисковете за теч на данните, създава и редица други рискове – напр. от неактуални данни. При електронното управление има т.нар. „първични регистри“. Те са единственият актуален и верен източник на данни и проверките трябва да се правят в реално време, а не върху техни копия. Тази практика трябва постепенно да намалее и да спре, като бъде заменена от директния обмен на данни между администрациите. Обмен, който, освен всичко друго, оставя следа – кой, кога какви данни е чел и за кого. В съответствие с принципа на отчетност на GDPR.

Дали КЗЛД ще наложи глоба на НАП или не, не знам. Дали има смисъл да се прехвърлят едни публични средства между институциите (и накрая – пак в бюджетната сметка) – също не знам. Но със сигурност НАП е трябвало да уведоми КЗЛД навреме, и съответно трябва да уведоми гражданите за теча. За целта НАП готви приложение, където всеки може да се провери дали данни са изтекли, което е добре.

Проблемът със защитата на данните е голям в световен мащаб. Всеки ден текат данни от всякакви компании. Това не е оправдание за елементарните грешки на НАП, но поставя нещата в перспектива. А GDPR е опит да намали риска това да се случи. Разбира се, GDPR не може да спре теча на данни поради немарливост. Целта му е да направи такива течове по-малко вероятни и с по-малък ефект чрез редица мерки и по-важното – чрез няколко основни принципа, с които всички участващи в изграждането и оперирането на софтуер да са наясно. Засега не е ясно дали успява да намали този риск.

Мерките?

Какви мерки могат да се вземат на този етап. Краткосрочните: спиране на уязвимата услуга (вече направено), пълен одит на сигурността на всички системи не само в системата на Министерство на финансите, ами в цялата държава. Проверка дали всички информационни системи са включени в одита на Държавна агенция „Електронно управление“ и последователната им автоматизирана проверка за уязвимости.

Средносрочните са провеждане на обучения на всички служител в ИТ дирекциите за информационна сигурност и защита на данните и запознаване с приложимата нормативна уредба, ама не само като членове и алинеи, а и какво стои зад нея. Евентуално сертифициране на всички първостепенни и второстепенни разпоредители по ISO 27001 (стандарт за информационна сигурност).

А дългосрочните мерки задължително включват повишаване на капацитета, което според мен минава най-накрая през създаване на Държавно предприятие „Единен системен оператор“. Той няма да е панацея и със сигурност ще има свои проблеми за разрешаване, но е крайно необходим.

Това, което по принцип препоръчвам всеки да направи, без значение дали данните могат да се използват директно за злоупотреба или не – да си активираме известия за движение по банкови сметки, както и за движения по партиди в търговския и имотния регистър. Само с ЕГН или дори с лична карта никой не може да ви вземе пари, имот или фирма, но по-добре човек да се застрахова, защото измамниците са изобретателни.

Комуникацията

Комуникацията на официалните лица може да се раздели на две части – от една страна тази на експертите в НАП, начело с пиара Росен Бъчваров, и от друга страна всички останали.

Комуникацията от страна на НАП беше адекватна. Максимално бързо обясниха проблема, обясниха обхвата му, обясниха защо се е случило и какви мерки са предприети. В такива ситуации така се прави – казваш фактите без да ги захаросваш, защото това не помага.

Комуникацията от страна на политическите фигури (министър, депутати, премиер) стигна до висоти на неадекватността, които могат да обобщя като „е кво толкова е станало“, „руснаците заради самолетите ни хакват“, „като има електронни услуги, ще има течове“ и „е тоа хакер колко е добър само“. Нито едно от тези послания не помага по никакъв начин, освен може би сред партийните ядра, които вече имат опорки в споровете на маса.

Хакерът

Хакерът първо беше руски, после уж го намериха и се оказа български. Първо, това, че хакер твърди, че е някакъв, не значи абсолютно нищо. Всеки може да си регистрира поща в Яндекс и да твърди каквото си иска.

Дали заловеният наистiна е извършител ще реши съдът. ГДБОП трябва да събере доказателства и от тях да следва еднозначно, че той е извършителят. Дали намереният файл, в който се съдържа името му е истински или не – не можем да кажем. Има много варианти, в които е истински. И такива, в които не е.

Ако това не беше истинският хакер, може би истинският щеше да напише писмо, с което опровергава, че е заловен. Но трябва да е от същия имейл адрес (и пак няма гаранция, че не е дал паролата на друг). Проверка по онлайн форуми показва, че потенциално уличаващи коментари изчезват, т.е. вероятно някой друг има достъп до акаунтите му.

Дали хакерът е „магьосник“, обаче, е сравнително ясно – не е. Злоупотреба с SQL инжекция може да направи почти всеки. Ако е оставил да бъде открит, значи не си е покрил добре следите.

Интересно е да се изследва архива за всякакви странности – останали метаданни на файлове, останали служебни файлове, като този, в който пише името на хакера, хедъри на изпратените писма, скриптове и логове на иззетата техника, логове на сървърите на НАП. Все неща, които ГДБОП трябва да направи и от които ще зависи в крайна сметка присъдата. На този етап човекът не невинен и последно като проверих Наказателно-процесуалния кодекс, присъди не се произнасят в интернет.

Заключение

В заключение, имаме много да научим от този инцидент. За информационната сигурност, за защитата на данните, за политическата адекватност и за дългосрочните реформи, чието неслучване води до очаквани ефекти. Такъв инцидент беше неизбежен при нивата на компетентност в администрацията. С това не казвам, че там няма никакви компетентни хора, а просто, че са малко и не могат да огреят навсякъде. Аз, например, съм кърпил системи, докато бях в Министерски съвет, но фокусът ми беше по-скоро към формулиране на решения на системните проблеми. Защото ще закърпя една система, а други три ще останат пробити.

За такива инциденти трябва да се носи политическа отговорност. Дали чрез оставки или на избори, не знам. Но всеки инцидент е следствие от нечие действие или бездействие.

Все пак, трябва да имаме предвид, че институциите ще продължават да обработват данните ни. Може би ще са по-внимателни какво събират и защо го събират, но те няма да изчезнат. И трябва да измислим как да „сглобим“ някакво базово доверие към тях. Това е работа предимно на институциите – чрез мерките, които вземат и чрез говоренето им. Но е задача и на експертите, които коментират темата. Никой няма полза от пълно сриване на доверието, колкото и скандален да е един пробив.

Все пак инцидентът е много сериозен и този път политическите ръководства трябва да разберат, че има системни проблеми за решаване, които не могат след всеки инцидент да смитат под килима. Кърпенето на дупки е до време, в един момент трябва да се подменя целият път.

Консервативно ми е…

Post Syndicated from Bozho original https://blog.bozho.net/blog/3366

За несъществуващата консервативна вълна писах преди време, а европейските избори потвърдиха това – либералните формации (АЛДЕ и Зелените) спечелиха най-много, а броят консервативни евродепутати горе-долу се запази (а след излизането на Великобритания ще се стопи).

Но все пак продължаваме да сме облъчвани с консервативното и традиционното, и как в България то е силно и се противопоставя на прогнилия европейски либерализъм. И разбира се има академични дефиниции за що то то консервативното, либералното, прогресивното и т.н., но дори с най-изчистеното им тълкуване не можем да етикетираме прецизно даден човек. Всеки е някъде в многоизмерния политически спектър между ляво, дясно, консервативно, прогресивно, либерално, антилиберално.

И все пак, обвиненията към „градските жълтопаветни либерали“, и към мен в това число, са че не сме консервативни, че мразим традиционното и изконно-българското, че се срамуваме от историята и обичаите си или с други думи, че сме някакви безродни хипстъри, които смятат, че всичко започва с тях.

Похватът по обрисуването на група хора по този начин е отчасти пропаганден, отчасти е следствие на някои зле комуникирани тези, отчасти е базиран на някои крайности.

Аз, моя милост, съм либерал. Което, разбира се включва класически либерализъм и умерена доза прогресивизъм. Включва свобода на индивида. И съм либерал, колкото и това да е мръсна дума в българския политически пейзаж.

Но също така не съм жълтопаветния хипстър, който често бива иронично обрисуван. Може би, всъщност, съм по-консервативен и традиционен от много определящи се за такива.

Как така съм консервативен, нали съм либерал? Ами… да караме по списък. Вярвам в Бог, макар да не съм ритуално-религиозен. Чел съм Библията няколко пъти. Що се отнася до традиционното семейство – преди 5 месеца ни се роди едно прекрасно дете.

Традиционалист съм – харесвам балканска музика, обичам да гледам народни танци на музика, изсвирена с народни инструменти. Обичам и историята ни, като малък изчетох всички енциклопедии за българска история, които ми бяха купили и исках още. На чисто битово ниво – обичам домашна лютеница, в хладилника имам шише зелев сок. Обичам хубавата домашна ракия (не в големи количества, но на вкус). Брулил съм кайсии, колтучил съм домати.

Има и други вектори на консерватизма – този на публичните институции, например, е тема, която е по-важна от битовизмите – институциите трябва да са устойчиви и да не се променят с всеки полъх на вятъра. И под институции имам предвид не сградите и чиновниците в тях, а обществените процеси и консенсуси, които захранват съществуването на тези сгради и чиновници и съответната им нормативна уредба.

Да, знам, че, консервативното, традиционното и всичко, което съм омешал по-горе не са едно и също нещо. Традиционното семейство не значи да си окопавал чесъна на село, а балканската музика не върви заедно с вярата в Бог. Народните танци не значат, че държиш на стабилни институции, а познаването на българската история не значи, че имаш семейство с три деца. Но тази амалгама от слабо свързани неща често се пакетира и „продава“ на бъдещите консервативни избиратели.

Все пак няма как да съм истински консерватор, защото не искам да наложа моите предпочитания на останалите. Не искам аз и моят светогледа да са пътят, истината и живота. Не съм наместникът на Бог на земята, който определя кой колко е грешен. Не съм се взел насериозно, за да обяснявам на света, че трябва да живее като мен. И че така е правилно и добро за всички.

И всичко това го написах не за да докажа колко консервативен съм (щото нали съм либерал), а за да стигна до основната си теза – че тези, които правят консервативни партии, които говорят за традиционализма, за изконните ценности, за българските обичаи и противопоставят на това градските либерали, всъщност са измамници. И то не защото нямат шише зелев сок в хладилника или защото никога не са колтучили домат. И не защото смятат балканската музика за просташка, а хора̀та ги ползват само на откриване на предизборни кампании. Не защото предпочитат 20-годишен Оубън пред 20-годишна Троянска сливова. И дори не защото са на по 35-40 години без деца и семейства. Това всичко са избори, които приемам и уважавам.

Не са измамници затова, че обясняват колко е важно всичко консервативно, традиционно и изконно, а всъщност собствените им животи представляват точно обратното. Затова са просто демагози.

Измамници са, защото ни лъжат, че това е по-добре. Че така ще сме по-щастливи. Че ако всичко остана както сме свикнали, (или както те ни обясняват, че сме свикнали), ще сме богати и в мир със себе си и света.

Човешката история винаги е прогрес, случващ се насред баланс между крайности. Умереният прогрес, умереното отмиране на стари обичаи и зараждането на нови, умереното променяне на обществата към по-отворени. И именно така сме ставали по-щастливи и по-богати. А самопровъзгласените консерватори са нищо повече от политически опортюнисти, които утре ще искат да съберат гласовете на излъганите, за да могат да прилапат някоя обществена поръчка.

Привижда ли ни се руска заплаха?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3352

Когато се спомене „хибридна война“, или заплаха от руски хакери, или фалшиви новини, или по-общо вмешателство във вътрешните работи на други държави, някои хора го подминават пренебрежително. „Само Русия ви се привижда“, „не е Русия проблемът“, „каква е тая измислена хибридна война“ и т.н.

Но за съжаление опитите за руско влияние в други страни са реални и са много и различни по вид, но са базирани основно на похвати и наръчници на КГБ от времето на студената война, претоплени за интернет ерата, където, оказва се, са доста ефективни. Това включва:

  • Хакване на политически организации – Дали Тръмп победи Хилър Клинтън заради руската подкрепа или не, и дали е искал и координирал тази подкрепа или не не са теми на тази статия. Но руски хакери, пряко или непряко свързани с руските служби, атакуват мрежите на Демократическата партия, както и отделни членове на кампанията на Клинтън. Това е детайлно описано в обвинението на Робърт Мълър срещу 12 руски агенти (и е доста интересно да се прочете). Компанията CrowdStrike първа идентифицира атаката. Същото стана с френските избори и имейлите на кампанията на Макрон. Руски агенти опитваха да хакнат и международната организация, която следи за неизползването на химически оръжия. И това са само случаи, за които знаем.
  • DDoS или т.нар. „отказ от услуга“. След като Естония през 2007-ма сваля съветски монумент, всички институции в страната са засипани от фалшив трафик и държавата на практика спира. Атаката срещу българските институции по време на изборите през 2015-та също с голяма вероятност е с руски източник. Общо взето, когато целта не е да се придобие информация, а да се създаде хаос, този метод е „за предпочитане“
  • Фалшиви новини – това е доста по-масирана кампания, отколкото изглежда на пръв поглед. Преди година беше публикуван доклад за руската пропаганда в България. Там могат да се прочетат много интересни неща, като например как се разпространяват фалшиви новини чрез 3500 уебсайт. Някои се появяват, друг изчезват, копират съдържание един от друг, а по определени параметри може да се определи, че повечето от тях се оперират от едно и също място. Темите там са „упадъчният запад“, руската мощ и други. В някои такива сайтове можем да проследим началото на пропагандата по теми като „ювеналната юстиция“ (която стана популярна наскоро).

    Това, разбира се, се случва не само в България, а в цяла Европа, в САЩ, в близкия изток, а вероятно и другаде. Посланията са различни, но методите са същите. В САЩ, например, няма смисъл да се публикуват материали за великата руска мощ, защото там никой няма да се върже, така че там целта е просто създаване на объркване и замъгляване на представата за истина и лъжа. Преди 5 години направих една „дисекция на дезинформацията“, проследявайки българска фалшива новина до руски източник. Но примерите са хиляди. Създаването на фалшиви новини става популярна дейност в македонския град Велес, което само по себе си е куриозно, но и там прозира руска намеса.

    Русия залага на информационната война онлайн и високопоставени служител на Кремъл определят това като важна стъпка – че вече не са изоставащи (както в ядреното състезание след бомбата в Хирошима), а могат да застанат като равен по сила враг срещу западния „блок“. Стратегиите за дезинформация са може би познати на живелите по времето на социалистическия режим, но въпреки това понякога са трудни са открояване. Защото освен с изцяло фалшив новини, често боравят с полуистини с цел да прокарат определена теза. И това, за съжаление работи. Но най-важната цел на всяка дезинформационна кампания е да загубиш ориентация кое е вярно и кое не. В такава среда най-лесно се създават истерии и се накланя общественото мнение в желаната посока.

  • Тролове и фалшиви акаунти – това е допълнителен канал за създаване на фалшива реалност. Десетки хиляди фалшиви акаунти в социални мрежи и новинарски сайтове създават фалшива съдържание, което нищо неподозиращи потребители консумират. Чрез този канал се разпространяват ефективно и фалшивите новини. В много интересна статия Washington Post разказва за реакциите в САЩ на дезинформационната кампания по време на изборите през 2016. „Internet research agency“, или фабриката за тролове край Петербург, е най-популярната такава, но съвсем не единствена. Те заливат социалните мрежи с добре подбрано и таргетирано съдържание, което да подчертава разделенията между хората по определени теми и така да разруши обществената среда и обществения дебат. Редица научни изследвания показват връзките между фалшивите профили – час на регистриране, еднотипни грешки в писането на английски, часове, в които са активни, общи акаунти, които следват (в туитър) и т.н.
  • Финансиране на политически партии – тук официални данни няма, но за повечето крайно-десни европейски партии има обосновани предположения, че се финансират от Кремъл. За българската „Атака“ е горе-долу очевидно, а тази година беше публикувана информация, че Кремъл финансира италианската Лига на Салвини през сложна схема с дизелово гориво. Френските националисти пък са получили заем от руска банка, а Лю Пен не крие симпатиите си към Путин. Преди години The Economist разгледа темата, подчертавайки, че рядко има доказателства за пряко финансиране, но все пак вероятността е доста голяма
  • Директна намеса – понякога руските агенти действат директно – при опита за преврат в Черна гора, анексирането на Крим, подкрепата на сепаратистите в източна Украйна, в следствие на което беше свален малайзийския самолет (и само преди седмица Холандия повдигна обвинения срещу четирима души, трима от които „бивши“ служители на руските служби). Предполагаемото отравяне на българския бизнесмен Гебрев от един от агентите, които след това отровиха Скрипал във Великобритания пък показва, че тези примери за директна намеса неизбежно стигат и до нашата територия

Със сигурност пропускам много важни и интересни неща, но общата картина е това – Русия се опитва да дезинформира, да атакува, да разклаща и да размътва обстановката в западните държави. Точно както е опитвала да го прави и по време на студената война, но сега, благодарение на интернет, ѝ се получава доста по-ефективно.

Дали избирането на съмнителни или крайно-десни политици, дали промяната а общественото мнение, дали на пръв поглед успешната кампания за закотвяне в „традиционните православни ценности“ са следствие отчасти и на руската намеса, дали са важни и дали трябва да им се противодейства – според мен да.

„Ама това ли е най-големият проблем“, „ама те и другите така правят“, „абе десет руски хакера не могат да обърнат изборите“ и т.н. Разбира се, че това не е най-големият проблем. Русия не създава проблемите в западните общества – те са си там. Но много умело ги експлоатира и задълбочава, използвайки множество канали. Да, едва ли Тръмп и Салвини са избрани заради руска намеса, но избирането на един или друг политик е къса и не толкова интересна „игра“. Съветският съюз, пардон, Русия, изглежда играе по-дългата игра. А дали другите така правят – със сигурност всяка голяма сила има агенти, които по един или друг начин влияят на вътрешните работи на други държави. Но аз си представям такива действия по-скоро като сутуационни и свързани с конкретни интереси и цели, а не с обща цел за дестабилизация. И дезинформационна кампания не мисля, че някоя друга държава води глобално (окей, може би Китай и Иран имат такива опити, но те не достигат до нас).

Тук трябва да отбележим, че Русия не е един кохерентен субект. В Кремъл има множество групички и борещи се за надмощие интереси, и всеки от тях има някакво влияние в някои от службите и изпълнява свои цели. Някои координирани с Путин, други може би не. Дали хакерите, атакували демократите в САЩ имат нещо общо с 3500-те сайта за фалшиви новини в България – едва ли. Но това не променя крайния резултат.

Написаното по-горе са до голяма степен проверими факти, открити от разследващи органи или разследващи журналисти. Дали Русия трябва да е първият ни страх и да се занимаваме само с нея – не. Има много други важни проблеми за решаване. Но трябва да имаме едно наум и да опитаме да се пазим, както като индивиди, така и като държава, от опитите обществото ни да бъде саботирано заради нечии геополитически амбиции.

А дезинформацията в интернет, без значение кой я използва, е силно оръжие и тепърва трябва да измислим как го неутрализираме – с каква комбинация от технически средства, образователни инициативи и други политики. Днес изглежда, че Русия ги използва най-активно, но след като веднъж методите и инструментите са разработени, стават доста лесни за опериране и можем да се окажем в една виртуална война, в която не подозираме че сме. И след която, ако мога да цитирам Камен Донев, няма да знаем кое е мост, кое е тунел.

Време е да се откажем от машинното гласуване

Post Syndicated from Bozho original https://blog.bozho.net/blog/3341

Машинно гласуване се осъществява на български избори от доста години – първо експериментално, а след това – реално. Но реално нямаме ясна картина на неговата полезност и рисковете му. Аз съм писал и преди за проблемите с машинното гласуване, но тогава само намекнах, че то е добре да отпадне.

Сега го казвам с по-висока увереност – време е да се откажем от машинното гласуване. Да, немалко хора гласуваха на машина на европейските избори (27% в секциите, в които имаше машини). Но има една единствена полза от този вид гласуване и тя е избягване на грешки при броене от страна на секционните избирателни комисии (СИК). Само че, както ще видим по-надолу, това предимство е само теоретично.

Ще започна с няколко конкретни проблема от европейските избори (някои от които съобщени от застъпниците на Демократична България), след което ще разгледам и принципните проблеми.

  • Секционната комисия не въвежда резултата от машинното гласуване в протокола и изпраща машината директно в РИК. В секциите, в които имаше наши застъпници, последва сигнал до РИК и впоследствие резултатите бяха въведени в протоколите. Не мога да съм сигурен обаче за секции, където е нямало грамотни застъпници.
  • Преференциите от машинното гласуване липсват в много от секциите, како писа „Отворен парламент“
  • В една секция машината е извадила 88 гласа в протокола, а в кутията с разписки е имало 93 подадени гласа. В друга секция в разписката е била маркирана преференция при глас за независим кандидат. И двата случая изглеждат като бъгове в софтуера.

Тези конкретни проблеми са следствие от множество принципни такива:

  • Секционните комисии не са достатъчно обучени, за да се справят с изборния процес. Въпреки методическите указания, масово се правят пропуски при попълването на протоколите. Последващите процеси на корекции в РИК изглежда невинаги са достатъчни
  • Резултатът от машинното трябва да се прибави ръчно към резултата от хартиеното и да се впише в съответната графа в протокола – т.е. дори машината да брои правилно, накрая пак хора преписват. И при грешка при това пренасяне няма как последващи проверки да установят проблема. Този процес е заложен в Изборния кодекс и няма лесно поправяне
  • ЦИК е постоянно действащ орган, но може да обявява обществени поръчки само след указа на президента за съответните избори. Т.е. по дефиниция поръчката за машини е „в последния момент“ и няма време да бъде установено тяхното качество
  • Липсва процедура по проверка на машините (преди, по време и след изборите) – бъговете, споменати преди малко са един проблем, но ако кодът не е публично достъпен, в един момент може машините да се ползват и за манипулиране на изборите. И макар формално да има одит, той се случва в твърде кратки срокове, за да е адекватен. В момента нямаме гаранции дори че машините отговарят на изискванията на обществената поръчка
  • Цената е прекалено висока за много малкото полза от машините и за проблемите, които създават. 9 милиона само за европейските избори. Да, машините са под наем. Но купуването също води до усложнения – как се съхраняват, как се поддържат, как се подменят.

Да, може би изглежда, че машинното гласуване само по себе си окей, а проблемите са в секционните комисии, в Изборния кодекс, в обществените поръчки и т.н. Но машините не съществуват изолирани от контекста. Още повече, че този контекст няма да се промени за местните избори. А тогава проблемите ще бъдат умножени по две.

И докато на европейските избори няколкостотин гласа може и да не са от значение, на местни и парламентарни могат да бъдат решаващи. И ако резултатите от само 1-2 машини са „криви“, това може да значи промяна на съотношението на силите в някой общински съвет, промяна на избрания на балотаж кмет или промяна на депутатски мандат.

По всичко изглежда, че машинното гласуване е неуспешен дългогодишен експеримент. Но лошото му е, че може да завлече със себе си и дистанционното електронно гласуване. „Все е техника, все има проблеми“ ще звучи като разумно обяснение. Има обаче една съществена разлика – дистанционното електронно гласуване решава реални проблеми (за хората, които не могат да бъдат в избирателна секция по една или друга причина). То също е сложно за реализиране, за одитиране и за провеждане, но поне не е безполезно.

Според мен още на местните избори трябва да се откажем от машините. Или ако много, много държим на тях, Изборният кодекс да бъде поправен, а секционните и общинските комисии – старателно обучени. Да оставим нещата да продължават както в момента би създало риск за изборния и съответно демократичния процес.

Ефектът на демократичната пеперуда

Post Syndicated from Bozho original https://blog.bozho.net/blog/3335

В неделя предстоят европейски избори. И ми се искаше да напиша нещо много мотивиращо за това, че трябва да се гласува. Но единствените мисли, които ми идваха, бяха в числа. Че българите избираме 2.26% от евродепутатите, докато избирателите от Ямбол, Винин или Габрово избират само 1.6% от българските депутати. Или колко процента е европейското законодателство и затова не е безсмислено да се гласува. Или колко бихме спечелили от разни предстоящи европейски политики, като единната енергийна политика.

Но както научих наскоро от една книга, избирателят не се впечатлява от числа. Той действа в отговор на емоциите си, а дори рационалните му позиции са често пост-фактум рационализация на емоциите му. А емоции в европейски избори може да има трудно. Брюксел има образ на студена и скучна бюрокрация. На нещо далечно.

Европейските ценности и свободи пък вече може би са станали клишета. Свобода, демокрация, мир, свободно движение, върховенство на правото. Чудесни неща, но дори на завърналите се току-що от командировка в Париж, от екскурзия в Италия или от море в Гърция, тези неща звучат някак далечно или изтъркано. Вероятно изглежда, че свободното движение е даденост, а върховенството на правото не ни засяга пряко.

И в този ред на мисли се чудех какъв е ефектът от евроизборите, какво променят. Освен европейския политически пейзаж, евроизборите променят и местния такъв. Кой колко гласа ще вземе на европейските избори има значение за управлението на страната. След предните европейски избори ДПС се оттегли от властта и Орешарски подаде оставка. Да, бяха само повод, а не и причина за схизмата в управлението, но това също не е малко. В момента имаме сходна ситуация – скандал с махленска корупция и разединени коалиционни партньори в управлението. Европейските избори могат да бъдат повод за преконфигуриране на властта.

Само че въртележката „ГЕРБ-БСП“ (с помощта на „патриотите на деня“ и с небезвъзмездната подкрепа на ДПС), и в която БСП пропуска своя ред, не е реална промяна в нищо. И това може би също действа демотивиращо и убиващо желанието да се гласува.

Ясно е, че тази публикация ще завърши с това да ви агитирам да гласувате за Демократична България (номер 13), от която съм част. Обаче това не е онлайн анкета или гласуване с sms-и в риалити шоу. Не искам просто „да викаме за наш’те“.

Искам да си представим, че всеки подаден глас е решаващ и значителен за бъдещето.

Демокрацията, а и историята като цяло, понякога демонстрират ефекта на пеперудата. Малко действие, малка промяна в условията води до големи промени.

Най-популярният пример за това е може би изборът на Джордж Буш с няколкостотин гласа във Флорида. Тези няколкостотин гласа влияят силно на човешката история и (може би) водят до войни в Афганистан и Ирак, съответно години по-късно (може би) до мигрантска вълна към Европа и съответно ръст на популизма. Тези няколкостотин гласа разлика пък вероятно са дошли заради избора на вид бюлетина (иронично, тип „пеперуда“) и на съмнителни машини за гласуване, като този избор вероятно е направен от някоя местна комисия, чието назначаване е било следствие от някакви „незначителни“ избори във Флорида.

Не казвам, че европейските избори в България имат такъв потенциал. Кой колко евродепутати ще прати в Брюксел няма да промени световната история (дори Бареков да е в групата за партньорство с Иран). Но българските евроизбори могат да променят поне българската история.

Няма значение дали Радан Кънев и Стефан Тафров ще отидат в Брюксел (макар че съм убеден, че ще бъдат най-адекватните ни европейски депутати). Няма значение дали Пеевски ще стане този път евродепутат или пак ще се откаже. Няма значение дали въпреки промените в изборния кодекс пак ще има ефект „15/15“ при БСП или не.

Европейските избори имат значение за обръщането на тенденцията. За счупването на въртележката. И смятам, че резултатът на Демократична България ще е от ключово значение за политическата история след изборите. За това дали новият главен прокурор ще е „Цацаров 2.0“, дали ще има още апартаменти и къщи за гости на фона на срутващи се ремонти, и т.н. и т.н. Дали ще продължаваме да сме най-корумпираната, бедна и несвободна държава в Европа.

Може и да не е така. Това е проблемът при ефекта не пеперудата – че не знаеш кое махване на крилата ще предизвика торнадото. Но пеперудата е длъжна да маха с крила, иначе ще падне. Смятам, че и ние сме длъжни да гласуваме, с разбирането, че всеки глас може да е част от ефекта на демократичната пеперуда.

Цацаров и Имотният регистър

Post Syndicated from Bozho original https://blog.bozho.net/blog/3332

Не вярвах, че ще защитавам някога Цацаров. Но казусът е прекалено интересен, за да не го коментирам.

Та, в имотния регистър, при търсене на Сотир Цацаров, излизат един апартамент, който няма продавач, а само купувач – самият Цацаров. Тъй като в събота имотният регистър беше спрян, това породи съмнения, че някой е искал да скрие нещо.

Само че данните са си там – при други търсения излизат. Т.е. едва ли става дума за заличаване на данни, а по-скоро за проблем при визуализацията ми. Дали пък някой не е добавил тайно в кода условие if (Цацаров) скрий данни;? Оказва се, че не.

Според отговор от Агенция по вписванията, който Капитал е получил, става дума за нещо доста по-тривиално, но и доста сериозно в същото време.

„акт №196, том 8 от 2007 г. е въведен в стара информационна система през 2007 г (…). В старата система са се въвеждали поотделно данни за всеки имот и лице, свързано с него, т.е. не е имало възможност да се отразяват връзки между страните в акта и имота. От приложената справка/снимка от медията ясно се виждат 3 отделни записа/генерирани справки. Това е така поради начина на въвеждане на данни в старата информационна система, а именно три отделни записа за всяка страна“

Ще опитам да го обясня на човешки език – вместо в базата данни всеки имот да е уникален запис, а всеки участник в сделката да бъде свързан към този запис, системата явно е била направена така че за сделката на Цацаров (която е била с един дарител/продавач и двама надарени/купувачи) е имало три записа – един запис „имот – Цацаров“, един запис „имот – жената на Цацаров“ и един запис „имот – дарителя/продавача“.

Пиша „дарител/продавач“, защото според Бивол и Капитал преди 7 години това е било променено в имотния регистър. Т.е. от дарение се е превърнало в продажба (защо и как е друга тема).

Ако чета отговора на Агенция по вписванията правилно, след като са мигрирани данните от старата система (която по спомен е функционирала преди повече от 10 години), те не са представени в новата като един имот, а като три имота с един и същи номер на документа. Поради което цялата информация излиза при търсене по документ, но не излиза при търсене на някоя от страните. Към момента на миграцията това може да е било приемливо решение, но описаното е изключително ужасен модел на данните, който дори не би ми хрумнал да направя. За да направи мазалото още по-тежко, това не е било винаги така – някои имоти са въвеждани по един начин, други по друг.

Така че изглежда, че този уикенд е нямало действия по скриване на информация, която така или иначе вече е била известна. Агенцията казва „то така си беше“ и съм склонен да им вярвам.

Казано на шега – лош модел на данните води до политически скандал. Но всъщност това е част от големия проблем тук. Че данните в един от най-важните регистри в държавата с в такъв вид вече над 10 години. И че агенцията не е предприела никакви мерки да ги „почисти“. Цацаров не е изолиран случай и регистърът реално не предоставя адекватна справочна информация.

Реформата в Агенция по вписванията трябваше да е започнала. Трябваше тези сриващи се регистри да бъдат закрепени отдавна, а данните в тях – почистени от проблеми като горния. Трябваше да се е случила интеграцията на имотния регистър с кадастъра. Трябваше отдавна да е преразгледан ЗКИР и имотният регистър да се превърне в истински първичен такъв (в момента водещото са хартиите, на база на които съществува той).

Паралелно с това е нужно да се гарантира интегритета на данните в такива ключови регистри. Не може да се разчита единствено на организационни мерки, които се заобикалят с „една заповед отгоре“. Макар в случая манипулация да няма (или поне тя да не е станал тази година), трябва да има технически гаранции, че манипулации е нямало никога. Квалифицирани електронни времеви печати е първа стъпка към това.

Може в случая Цацаров да не е виновен и манипулация в регистъра да няма, но Агенция по вписванията трябва най-накрая да спре да се движи по инерция. Но за това е нужен не само технически капацитет, но и политическа адекватност.

Скучно за стратегиите

Post Syndicated from Bozho original https://blog.bozho.net/blog/3325

Едва ли е добра идея да заявявам, че дадена публикация ще е скучна още от самото начало, но предвид, че става дума за стратегически документи и нормативни актове, няма как да е иначе. Въпреки, че ще е по актуалната тема със стратегията за детето.

Няма да обсъждам темата по същество – не съм експерт по темата с детските политики (и не, това, че имаш дете не те прави компетентен по темата). Ясно е, че наред с някои валидни притеснения беше вкарана много истерия и напълно измислени страхове. Но целта ми не е да обвинявам един или друг, че не е чел или не е разбрал стратегията (аз не съм я чел цялата, защото и да я прочета, не разбирам от детски политики).

Но искам да обясня какво са различните видове документи, които държавата генерира. С това имам опит, защото съм писал поне по нещо във всеки един от изброените по-долу видове документи. Да ги разделим основно на два вида – нормативни и ненормативни. Ненормативните включват стратегии, пътни карти и програми. Нормативните включват закони, наредби, правилници, инструкции.

Нормативните актове имат за цел да уредят обществените отношения в дадена сфера и да определят ролята на държавните институции в тази сфера. Законът за обществените поръчки определя как държавата си поръчва стоки и услуги от частния сектор. Изборният кодекс урежда провеждането на избори. Наказателният кодекс урежда за какво може човек да бъде осъден и какви могат да бъдат присъдите. Наредбите и правилниците се приемат на база на даден закон и влизат в оперативни детайли как точно ще се прилага закона. Наредба Н-18 урежда как търговците да се отчитат пред НАП (напр. чрез касови апарати). Правилникът за прилагане на Закона за електронната идентификация урежда как точно МВР и Държавна агенция „Електронно управление“ да изградят системата за електронна идентификация, така че да изпълнят съответния закон.

Ненормативните документи имат за цел да разкажат какво планира да прави изпълнителната власт в средносрочен или дългосрочен план. Стратегиите са най-общи и „пожелателни“, пътните карти и плановете описват какво точно ще се случи. Всеки такъв документ може да предпише изменения в някой нормаивен акт. Например в пътната карта за електронно управление има конкретен проект за „единна входна точка за подаване на годишни финансови отчети“, но изрично казва, че за да се изпълни този проект могат да са необходими изменения в Закона за търговския регистър. Стратегията за развитие на електронното управление не включва конкретни проекти, включва само общи насоки, в които да се развива то. Националната програма за елиминация на морбили и рубеола описва конкретните стъпки, които са нужни за да елиминираме двете болести.

Стратегията за детето описва общата посока на работата на държавата във връзка с децата – например тяхната защита от родители, които ги малтретират. Стратегията предписва, че в даден момент ще са нужни изменения на нормативни актове, в т.ч. наказателния кодекс.

Правителството публикува за обсъждане и нормативните актове и ненормативните документи на портала за обществени консултации. (Ако вече ви е станало скучно, за разнообразие може да разгледате случайно-генерирани заглавия на стратегически документи).

Какво значи това на практика. Значи, че стратегиите са едни пожелателни текстове с дълъг хоризонт. На база на тях се пишат пътни карти със същия ли по-кратък хоризонт, а след това на база на двете някое министерство или агенция предприема някакви действия. Част от тези действия са изменение на нормативната уредба.

Т.е. на база на стратегията за детето след няколко години Министерство на правосъдието ще направи работна група заедно с Министерство на образованието и Министерство на труда и социалната политика и ще обсъждат изменения на Наказателния кодекс, където да въведат наказания за тормоз над деца от родителите им. В друга работна група в МОН ще обсъждат как в училище да подпомагат децата, жертви на малтретиране и евентуално ще напишат наредба за това (или ще променят съществуваща, ако има такава). В тези работни групи ще бъдат поканени членове на гражданския сектор, в т.ч. НПО-та. И в крайна сметка съответният министър ще внесе нормативният акт за обсъждане както от обществото, така и след това в Министерски съвет. А ако е законопроект – и в Народното събрание.

Разбира се, след няколко години хората, които ще участват в работните групи я са чели стратегиите, я не. Ще ги прехвърлят отгоре-отгоре, ще копират малко текст, където е приложимо, и ще сътворят предложения за изменение на някой закон.

В целия този процес обществените консултации не са проформа. Вярно, пътната карта, законите и наредбите, в чието писане аз участвах не предизвикаха такъв обществен интерес, но всеки един коментар беше разгледан и смислените препоръки бяха приети. Реакцията срещу стратегията за детето стана силна едва след края на общественото ѝ обсъждане. Имаше опит и преди това, със спорадични коментари във фейсбук групи, но някак нещата не успяха да се „запалят“ тогава (преди няколко месеца).

Стратегиите дават обща рамка. Те не са закони или наредби. Дори когато се изпълнят, това става чрез последващи изменения на нормативни актове. Много хора не направиха тази разлика и това превърна ситуацията в драматична. Ако дефинициите на някои понятие в стратегията за детето не ни харесват, можем да сме сигурни, че те няма да влязат в този си вид в закон. И преди да влязат, ще можем да изразим несъгласието си с тях. И дори да участваме в работните групи. И дори да отидем на заседание на парламентарната комисия, да поискаме думата и да си кажем препоръките.

С цялото това скучно обяснение не искам да кажа „така не се прави“ и „протестирайте на правилната стъпка от процеса, а не сега“. Искам да кажа, обаче, две неща.

Първо, че правителството не успява да комуникира предназначението на един или друг документ. Стратегиите са общи и пожелателни и всеки може да разбере страшни неща от прочита си. От десетки страници пътна карта за електронно управление, прочитът на някои журналисти беше „правителството ще прави държавен имейл“. Някой със сигурност е разбрал, че „ще ни чипират“ и се е стреснал. Правилната реакция е да се обясни каква е ролята на документа, да се оттеглят конкретни текстове и дефиниции, които не допринасят към стратегическия характер на документа, и които подлежат на прецизиране и цялата стратегия да бъде приета, за да може след това да започне мисленето по нормативната уредба.

Второ, чудесно е желанието с гражданска енергия да коригираме действия на властта. Но ако искаме с тази енергия да водим до позитивна промяна, а не до деструктивно горене на суровото покрай сухото, можем да фокусираме действията си в правилния момент. В момента, разбираемо, стратегията действа разделително. Едните са „нечетящи идиоти“, другите са „норвежки джендъри“. Ако това се беше случило при дебата на изменения в Наказателния кодекс, щяхме да знаем какво точно стои зад малтретирането и дали „един шамар“ щеше да ни вкара в затвора, а детето ни – в дом (не, няма). И нямаше да строим хипотетични страховити сценарии.

Изтеглянето на стратегията е слабост в процеса на обществения диалог. И се надявам колкото и да съм скучен, да помагам за малко по-конструктивен диалог.