Tag Archives: електронно управление

Дигитализацията на публичния сектор с европейски средства става все по-труднa

Post Syndicated from Bozho original https://blog.bozho.net/blog/3653

В рамките на националния план за възстановяване и устойчивост дигитализацията на публичния сектор е слабо и откъслечно застъпена. Коментирахме темата с Христо Иванов, Иво Мирчев и Боян Юруков миналата седмица, но ми се ще да развия темата.

Първо, защо трябва дигитализацията на публичния сектор да бъде приоритетна инвестиция – защото тя е отключващ фактор. Намалява административната тежест, съответно прави бизнес климата по-благоприятен, а инвестициите – по-вероятни. В същото време намалява риска от корупция и увеличава прозрачността в управлението. Прави публичните системи по-ефективни, така че по-малко средства да „изтичат“. Всяка една система би спестила много пари и време и би повишила качеството си, ако процесите и услугите ѝ са дигитални. Това се превежда сравнително бързо, макар и индиректно, в по-добър живот.

Обаче има проблем ЕС да финансира електронното управление (което не е синоним на „дигитализация на публичния сектор“, но е близо). И проблемът е, че е малко вероятно ЕС да финансира отново нещата, които е финансирал вече няколко пъти.

След присъединяването ни към ЕС, има два програмни периода. В първия (2007-2013) програмата за електронно управление е „Административен капацитет“, а във втория (2014-2020) – „Добро управление“. В рамките на тези оперативни програми са предвидени около милиард лева, като немалка част от тях са похарчени (макар реално усвоените по ОПДУ да са около 1/3 в последната година, в която може да се кандидатства за проекти, то остават три години за довършване на проекти и тяхното изплащане).

В рамките на тези два програмни периоди трябваше да сме направили много неща. Обаче не сме. Отчели сме ги проформа, или сме ги изградили системи, които не се използват, или са се използвали, но са изоставени. Или не сме направили неща, които сме обещали, че ще направим. И проблемът е в това, че ЕК няма основание да ни даде трети път пари за същото.

Но нека вляза в конкретика:

  • Електронизация на общински услуги – по ОПАК се изсипаха сума ти пари за това, а по ОПДУ трябваше да се развият и внедрят хоризонтални услуги в общините. И на места има услуги, които дори се ползват от време на време, но като цяло положението е зле.
  • Електронна идентификация – по ОПАК има пилотен проект, след това по ОПДУ се предвиден реален проект за национална схема. Той все още не е стартирал, но поне има шанс да стане до края на следващата година. Все още обаче електронна идентификация няма, камо ли пък услуги да са интегрирани с нея.
  • Регистрова реформа – електронизиране на регистри, отпадане на излишни регистри, използване на информационни системи и „свързване“ на регистри. По това има поне нещо направено, но твърде скъпо и твърде неефективно. На практика регистрите не предоставят интерфейси за машинна комуникация и много често са просто грозни интерфейси върху таблица в базата данни. Неслучайно има стратегически документ „Концепция за регистрова реформа“ за периода 2019-2023. Само че в двата програмни периода електронизацията на регистри трябваше да се е случила (да, реформата не е равно само на електронизация, но да не влизам в скучни подробности). Ключови регистри, като Национална база данни „Население“, например, трябваше да бъдат наградени или изградени наново, но не са.
  • Електронно здравеопазване – първото нещо, което ще видим след толкова години „мъки“ е след месец когато най-накрая надявам се да имаме електронна рецепта. Да, НЗОК има система, но и тя е доста ръчно-крачна и остаряла, а неща като „Единен здравен запис“ съществуват само в контекста на плащанията „по каса“, и дори там са непълни и некоректни. Малко цинично погледнато – „добре“ че дойде корона кризата, че МЗ поне малко да се задейства, макар и все още да предстои да видим резултат.
  • Електронно правосъдие – и в двата програмни периода има проекти и дори цяла ос за правосъдие. Системата за електронно правосъдие се въвежда тази година, с променлив успех, но все още не позволява реално електронно правосъдие – съдилища изискват подаване на заявления на хартия, за да можеш да ползваш системата, например.
  • Реинженеринг на процеси, функционални анализи и други анализи – такива „на килограм“ има, особено по ОПАК. Стоят по чекмеджета (или на нечий компютър в добрия случай). И остаряват по-бързо, отколкото някой може да се възползва от малкото полезна информация, която са открили.
  • Обучение на администрацията – администрацията трябва да може да управлява процеса по въвеждане на електронното управление. Нищо подобно не се случва (с малки изключения), и то е отчасти защото след два програмни периода администрацията все още не знае какво е електронно управление (пак, с изключения, разбира се).

Дори с нещата, които все пак са изградени, няма политика за поддръжка и устойчивост. До скоро нямаше отделен ИТ бюджет и след изтичането на гаранционната поддръжка нещата оставаха във въздуха. От няколко години (след измененията в ЗЕУ, в които участвах), в бюджетната процедура всяка година е включено и „перо“ за информационни технологии, така че администрацията да започне да мисли как да продължи да ползва системите си. Образно казано, Европа дава пари да си направим основен ремонт на апартамента, но не и дава пари за месечните сметки за ток, вода и телефон или за текущи ремонти и трябва да ги планираме от нашия бюджет.

Та от Европейския съюз сме взели вече пари за тези неща. По два пъти за повечето от тях. И затова е трудно те да влязат за трети път в документ, с който искаме пари от Европа. Защото там с право ще кажат „е стига толкова, де, нали вече го правихте това“.

Ако бяхме направили нещата дотук, щяхме да можем да поискаме пари за следващите стъпки. За отворени интерфейси и дори изграждане на частни услуги на база на публичната инфраструктура; за трансгранична електронна идентификация, така че граждани на целия ЕС да могат да ползват е-услуги у нас (и съответно български граждани в Европа); за проактивни услуги, като автоматично кандидатстване за детска градина, автоматично получаване на помощи при определени условия и др; за групиране на услуги като епизоди от живота и събития от бизнеса, така че „отваряне на магазин“ да бъде една услуга за бизнеса, а не десет, с различни институции, например (за това има пари по „Добро управление“, между другото, но мисля, че нещата са на нулата); за неща като естонското електронно гражданство, с което да привличаме чужди инвестиции; за провеждане на политики, базирани на данни и дори използване на изкуствен интелект за подпомагане на вземането на решения и извършването на оценка на въздействието на законодателството; за електронно гласуване (за което също има пари по Добро управление, но и там има само един анализ и едно техническо задание); за преминаване от киберсигурност (която нямаме) към киберустойчивост.

Само че всички неща от предния абзац няма върху какво да стъпят. Нещата, които сме „отчели“, ги няма на практика (или ги има в много малка степен и са разпокъсани).

И това прави задачата толкова трудна. Единственото решение е политическо – някой да убеди Европейската комисия, че този път наистина ще на правим нещата, които 13 години сме отчитали, че правим. Не си представям как управляващите правят такава заявка. Възможно и да „мине“, пак. Но трябва планът да е добре структуриран, обоснован и с известна доза самопризнания за неуспехите досега. Трябва да заложи визия, цели, проекти, индикатори и срокове, които да имат смисъл, а да не са колекция от нечии хрумвания. В противен случай продължаваме с мокрите печати, докато човечеството не колонизира други планети. А може би и след това.

Материалът Дигитализацията на публичния сектор с европейски средства става все по-труднa е публикуван за пръв път на БЛОГодаря.

Вярно с електронно подписания оригинал

Post Syndicated from Bozho original https://blog.bozho.net/blog/3647

Много хора споделят тази снимка: „Вярно с електронно подписания оригинал“.

Тя е символ на електронното ни управление – на парче, неработещо на много места и пълно с абсурдни „закърпвания“. Но нека обясня.

Когато един електронен документ е подписан електронно, подписът му се проверява автоматично от софтуера за отваряне на документа – подписът гарантира (криптографски), че документът не е променян след като е подписан, както и кой в авторът. Има и държавна онлайн услуга за валидация.

Когато такъв документ се разпечата, обаче, всички тези гаранции изчезват (с което преди 11 години втрещих едни адвокати). Той става хартиен документ с лесна за манипулиране картинка на подпис. Това види до нуждата разпечатващият да удостовери (със саморъчен подпис и този текст), че разпечатаното не е изменяно. И така поставено изглежда съвсем логично.

Обаче… правилните подходи са други:

  • Не се разпечатва. Вече има задължение всички администрации да ползват електронни документи и във вътрешния си оборот, и в комуникация с други администрации. И това е технически възможно и работи. Няма причина да се разпечатва. Разбира се, на малко места е отпаднала хартията, защото какво пише в нормативната уредба и какво става на практика са различни неща.
  • На документа се посочват данни, с които оригиналният документ може да бъде изтеглен. Това предполага авторът да има онлайн система, където да се разполагат документите с адекватен контрол на достъпа. Електронното свидетелство за съдимост е такъв пример – има уеб адрес и код за проверка на оригинала. Тук трябва да се внимава, за да не може злонамерени хора да свалят цялата база с документи, налучквайки идентификаторите им.

И двата подхода (които не са взаимно изключващи се) предполагат архивиране на електронните документи. Това е процес съвършено различен от пълненето на мазета с папки с хартиени документи. За това има наредба и издадени на нейна база правила за архивиране. Нужни са неща като регулярна подмяна на дискове, резервни центрове (в рамките на държавния облак) и др. И някой да знае и спазва тези правила.

Ще продължава да има хипотези на разпечатване на е-документи, но те не трябва да бъдат в администрацията. Може в някоя фирма така да предпочитат или да са нужни за пред друга държава, където не ги приемат електронно. Но това са изключения.

Когато нямаш електронен документооборот (въпреки, че имаш техническата възможност за това), когато изискваш хартии при проверки, когато мисленето и на ръководителите, и на администрацията под тях и най-вече – на политическите ръководства, е хартиено, ще имаме това – разпечатване на е-документи. И „вярно с електронно подписания оригинал“ ще е съвсем логична практика, на която само някакви „фейсбук хейтъри“ са смеят.

Материалът Вярно с електронно подписания оригинал е публикуван за пръв път на БЛОГодаря.

Как да разкараме печатите от медицинските изследвания за прием в ясла

Post Syndicated from Bozho original https://blog.bozho.net/blog/3634

Наскоро трябваше да приемат Оги в ясла. Съответно трябваше да набавим един куп документи – два здравни картона, бележка от лекар и четири изследвания. Няма да коментирам факта, че все още имаме „здравен картон“ (че и два, даже), а не „единен здравен запис“, или смисъла от това да отидеш при лекар, който да ти напише хвърчащо листче, че детето ти не е контактувало с болни.

Ще коментирам обаче изследванията, и по-точно – удостоверяването на тяхната автентичност. Направихме всички изследвания, разпечатахме резултата от сайта на лабораторията, и ги занесохме заедно с другите документи. Само че – проблем. Трябвало да имат печати. Жена ми се разходи до лабораторията, сложиха ѝ един печат, обаче и това не беше достатъчно – трябвало да има втори, правоъгълен печат. Не можело да го приемат без него. Винаги бил така. А правоъгълният печат го имало само в централата на лабораторията – в другия край на града.

Попитах кой и защо го изисква – оказа се РЗИ (Столичната регионална здравна инспекция). Проведох около 15 разговора с 5-6 различни хора в РЗИ, изчетох приложимата нормативна уредба (Наредба 26, Наредба 3, и общо взето заключих три неща:

  • Това не е работа на никого. Може би на инспекторите.
  • Няма нормативно основание за изискване на печати
  • Могат да глобят яслата, ако няма печати, защото „разбира се, че ще ви върнат, като нямате печат“

Накрая се разходих до другия край на града, за да ми „набият“ правоъгълен печат. Но това не би трябвало да остава така – в ситуация на пандемия да обикаляме лаборатории и болници, увеличавайки риска от заразяване, без абсолютно никаква разумна причина за това.

Така че предприех следните мерки:

  • Писмо до Министерство на здравеопазването с предложения за нормативно уреждане на автентичността на медицински изследвания
  • Писмо до РЗИ да прекратят незаконосъобразните си практики
  • Писмо до Столична община, да установи ясни изисквания към детските ясли относно реквизитите на документи, които изискват

Целта е да има законосъобразни правила, директорите на яслите и инспекторите на РЗИ да знаят какви са правилата, а не да си ги измислят на място или да правят „както винаги са правили“, без да има нормативно основание за това.

Писмата до РЗИ и Столична община са скучни, но ще приложа писмото до Министерство на образованието, защото там са реалните предложения за промяна. Както сподели един от хората в РЗИ, съществува проблем с фалшиви изследвания, и „декларациите не работят“ (на моето предложение да спазват административнопроцесуалния кодекс и да приемат декларация за истинност на изследванията):

Чл. 43. Административният орган не може да откаже приемане на писмена декларация, с която се установяват факти и обстоятелства, за които специален закон не предвижда доказване по определен начин или с определени средства. [..]

Писмото до министъра изисква единствено нормативни изменения – с изключение на ал. 3, т. 3, останалите варианти са налице и в момента. Използването на електронни печати е по принцип правилния подход в дългосрочен план, но изисква надграждане на системи.

Уважаеми г-н Министър,

Във връзка с неписано правило Столичната РЗИ да изисква два различни печата върху изследвания за приемане на деца (по реда на чл. 20 от Наредба 26 от 18.11.2008 за устройството на дейността на детските ясли и детските кухни и здравните изисквания към тях), и отчитайки:
1. Голямото неудобство за родители в това да бъдат куриери на администрацията и в 21-ви век да обикалят за различни видове печати, особено в контекста на пандемия.
2. Риска от предоставяне на фалшиви изследвания
3. Факта, че повечето лаборатории имат онлайн системи за предоставяне на резултатите от изследвания
4. Усилията за въвеждане на електронно здравеопазване

бих искал да предложа следното изменение на Наредба 26:

В чл. 20 се създават нови алинеи 3-5:
(3) Автентичността на изследванията по ал. 1, т.3-5 се удостоверява от лабораторията, извършила изследването, по един от следните начини:
1. чрез възможност за проверка с телефонно обаждане на база на уникален идентификатор на изследването. Телефон за контакт и номер на изследването трябва да са посочени в документа с резултатите.
2. чрез предоставяне от страна на родителите на данни за достъп до онлайн система за проверка на резултата
3. чрез електронен печат на лабораторията върху електронен документ с резултатите, по смисъла на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ, L 257/73 от 28 август 2014 г.)
3.
(4) Резултатите от изследванията по ал. 1, т.3-5 се приемат на хартиен носител и по електронен път, на адрес на електронна поща или чрез системата за сигурно електронно връчване по смисъла на § 1, т. 31 от допълнителните разпоредби на Закона за електронното управление.
(5) Резултатите от изследванията по ал. 1, т.3-5 се съхраняват за срок от 12 месеца, след което се унищожават.

Съхранението на данни за достъп (потребителско име и парола) е по принцип рисково, но в случая то е идентично на съхраняването на самите изследвания, като в същото време предоставя възможност за проверка на автентичността на данните.

Би следвало да се обмисли вариант и за по-обща уредба на въпроса с автентичността на медицински изследвания, когато те се изискват по силата на нормативен акт за осъществяване на дадено право.

С уважение,
Божидар Божанов

В по-общ смисъл, за цялата драма с печатите преди време бях подготвил изменение на Административнопроцесуалния кодекс, с която да се забрани изискването на печати:

„§ 1а. (1) Във връзка с административното обслужване на гражданите и юридическите лица административните органи, лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги не могат да изискват полагане на печат върху документ на хартиен носител за удостоверяване на авторството.
(2) Авторството на документ по ал. 1 се удостоверява от неговия издател чрез саморъчен подпис. Документът съдържа информация за имената на лицето, което го е издало, качеството и длъжността, в които действа, както и основанието на неговата представителна власт.
(3) Органите, лицата и организациите по ал. 1 не могат да отказват приемане на документ от граждани и юридически поради липса на поставен печат.
(4) За неизпълнение на задълженията по ал. 1 и 3 на отговорните длъжностни лица се налага административнонаказателна санкция по чл. 305 от Административнопроцесуалния кодекс.“

(Следват изменения на двайсетина закона, които в момента изискват печат под някаква форма, които ще ви спестя, – такъв законопроект Демократична България ще може да внесе в парламента след няколко месеца.)

Защо се занимавам с нещо толкова дребно? Нали вече записахме детето, повече едва ли ще имаме тоя проблем?

Защото това е чудесен пример защо няма електронно управление. На теория има, на практика някой някъде иска печат от някой друг и няма правен аргумент, който да го убеди в обратното. Затова трябва наредба по наредба, член по член, административен орган по административен орган да се налага електронната реалност. И защото е важно да променяме мисленето на всички нива – и на политическо ниво, и в администрацията, а и в съгражданите си, които с години са обикаляли за печати, защото „как така без печат“.

Материалът Как да разкараме печатите от медицинските изследвания за прием в ясла е публикуван за пръв път на БЛОГодаря.

Хронология на липсващата електронна идентификация

Post Syndicated from Bozho original https://blog.bozho.net/blog/3627

Електронна идентификация (по-конкретно националната схема за електронна идентификация), която е и кокошката, и яйцето на електронното управление, все още я няма. Ето кратка хронология:

  1. В края на 2016 г. е готово всичко – има закон, правилник, осигурено европейско финансиране, техническа спецификация и документация по ЗОП (Закона за обществените поръчки).
  2. Процедурата е пусната… и спряна в края на лятото на 2017 г (в следствие на няколко фалшиви обжалвания пред КЗК от фирми, чиято дейност няма нищо общо с поръчката).
  3. Август 2018 (1г по-късно) електронната идентификация е пусната като част от голямата поръчка за личните карти.
  4. Поради избора на усложнена процедура свързана с класифицирането на части от поръчката (на две стъпки – одобрение на кандидати, и след това поръчка), изпълнител е избран в края на април тази година. Към момента доколкото знам тече процедура по обжалване на решението.
  5. Очаква се до края на годината (ако обжалванията паднат) да бъде сключен договор с изпълнителя и той да започне работа
  6. Сроковете за eID по спомен са около 18 месеца, т.е. в края на 2022 г. ще имаме система. Чиято спецификация е писана 6 години и половина по-рано и вече не е напълно актуална (напр. вече е достатъчно сигурно да се записва частен ключ в мобилен телефон с Android или iOS; през 2016 г. не беше).

Защо е толкова важна електронната идентификация (за която съм писал доста)? Дългият отговор е в тази 40-минутна презентация от 2016г. Краткият отговор е: защото гражданите нямат налично и удобно средство да се идентифицират онлайн пред държавата. Електронните подписи, които в преходния период (удължен от „2 години“ на „докато стане“) трябва да вършат тази работа имат редица проблеми.

Първо – те са средство за подписване, не за идентификация и като такива нямат възможността в реално време да предоставят актуална информация за лицето извън записаната в удостоверението. Няма нужда да имаме саморъчен подпис, за да покажем на държавата (или дори на частни субекти) кои сме в онлайн среда. Трябва ни „виртуална лична карта“, която обаче не може да се копира и фалшифицира. Електронни услуги за физически лица могат и трябва да се ползват само с идентификация, с малки изключения.

Второ – струват пари и поради това (без значение колко са евтини), не може да се постигне масовост сред гражданите. Така дори да има е-услуги, хората няма с какво да ги ползват. Пример – опашките пред НОИ през март, след като НОИ пусна доста услуги онлайн, но хората трябваше да се наредят, за да си вземат ПИК. При електронната идентификация положението е „апетитът идва с яденето“. И трябва критична маса хора просто да разполагат със средството за идентификация в джоба си, за да потеглят нещата. Примери за това много, като любимият ми е Естония срещу Финландия. Естония дава на всички безплатна електронна идентификация, Финландия я прави опционална и платена. 15 години по-късно Естония „изнася“ електронно управление за Финландия, които изостават значително (опростявам историята, но е горе-долу така).

Трето – националната схема за електронна идентификация не е само средството (дали ще е карта, „флашка“ или мобилен телефон). Тя е цялата инфраструктура, с която всяка електронна услуга да може да поиска идентификация от централизиран компонент, който да събере нужната информация в реално време. Националната схема е и компонент от системата за трансгранична електронна идентификация в рамките на ЕС (която не че е тръгнала успешно, но по други причини).

Без електронна идентификация, всяка електронна услуга има много малка аудитория, което се потвърждава и от данните – извън услугите на НАП, които НАП активно промотира заедно със своя ПИК, използването на почти всички останали е минимално и доста неудобно.

Защо не е станало още? Всички политически решения по пътя от 2017 досега са лоши – спиране на отделната процедура; обединяване с голяма поръчка без реална нужда от това; засекретяване и избор на утежнена процедура; процедура, която не е разделена на лотове, позволяващи различни изпълнители; бавене.

Така при напълно готова документация и финансиране, цял мандат не стига дори да се започне работа по най-ключовата система за електронното управление. Всички останали институции (вкл. ЦИК за пилотното дистанционно електронно гласуване) пък се оправдават „ами тя е в МВР системата, ние нищо не можем да направим“.

Та така за управленския капацитет, визията и стратегическите проекти за модернизация на страната. Кой щял да дойде след оставката.. ‘де да знам, дано някой, дето да може за един мандат поне договор да сключи.

Материалът Хронология на липсващата електронна идентификация е публикуван за пръв път на БЛОГодаря.

Как МРРБ, ГРАО и КЗЛД спират електронното управление

Post Syndicated from Bozho original https://blog.bozho.net/blog/3613

Извън горещите теми, под повърхността се случват също много важни неща. В случая – за бъдещето на електронното управление.

За да не разхожда гражданите да си вадят малоумни удостоверения, Столична община реши да проверява данните за настоящ и постоянен адрес на родителите във връзка с приема на деца в детски градини и ясли. Изискването за това произтича от наредби на столичния общински съвет, в следствие на наредби към Закона за предучилищното и училищно образование. На гражданите в крайна сметка им беше спестено това усилие, но за сметка на районни администрации, които вадят тези удостоверение служебно.

Правилният начин, обаче, е системата за класиране в детски градини и ясли автоматично да проверява настоящия/постоянния адрес на родителите и да изчислява точките за класиране спрямо това. Само че ГД ГРАО (Главна дирекция Гражданска регистрация и административно обслужване към МРРБ), която е първичен администратор на данните за постоянен и настоящ адрес, не е на това мнение.

Спорът стига до Комисията за защита на личните данни, която на 26-ти май тази година излиза със становище по казуса. Становището се чете трудно и не е ясно какво казва дори за хора с опит в материята. На практика казва, че ГРАО трябва да предоставя данни само ако другата страна вече има тези данни (т.е. събрала ги е от гражданите). И че това не може да се случва автоматично.

Регистрите на ЕСГРАОН са в основата на електронното управление. На практика всяка услуга минава през достъп до регистъра на населението. Когато се идентифицирате електронно (със средство за електронна идентификация, каквото в момента временно е и квалифицираният електронен подпис), по вашето ЕГН трябва да се извлекат автоматично данни, необходими за дадена услуга. Така казват и Закона за електронното управление, и Административнопроцесуалният кодекс.

Обаче на практика ГРАО и КЗЛД ни казват, че не позволяват да има истинско електронно управление, защото дори да има нормативно основание за обработване на данните, това не може да става автоматизирано.

Аргументите са също трудни за четене като заключението. Реално, с оглед защита на данните, наистина безконтролен достъп до ЕСГРАОН е проблем. Само че решението не е да се забрани. Решението включва няколко компонента. Базовият е задължителната одитна следа, показваща кой и на какво основание е достъпвал данни. В естонския пример това е ключово за да ограничи злоупотреби.

Но най-важният компонент е регистрите на ЕСГРАОН да бъдат обновени, за да поддържат гъвкави автоматизирани заявки и за да бъдат стабилни при увеличено натоварване. Какво би значело това в конкретния случай с детските градини – за да се установи дали един родител отговаря или не на критерий. На общината не ѝ е нужно да знае нечий адрес. Да, общината е тази, която регистрира гражданите на съответния адрес, така че от една страна е абсурдно да няма достъп до тези данни, но с оглед минимизиране на рисковете това трябва да става само при нужда. Та, общината има нужда да знае дали адресът на родителите е в съответния район. Това може да установи като попита (автоматизирано) ГРАО: „адресът на гражданин с ЕГН XXXXXX попада ли в район YYYYY“. И ГРАО да върне „да“ или „не“, което е достатъчно за изчисляване на точките.

Само че регистрите в момента не поддържат такива автоматизирани заявки. Не поддържат и много други неща. И затова в пътната карта за е-управление ключов проект беше ЦАИС „Гражданска регистрация“, който да позволи и такъв тип заявки, и много други ключови неща (например справка за данни към даден минал момент, удостоверяване на автентичността на дадена справка, с цел другите органи да имат доказателство, че са направените необходимите по закон проверки при предоставяне на услуга, абонамент за промяна в обстоятелства).

За съжаление, от 2016 г., когато е приета пътната карта, ГД ГРАО и МРРБ на практика не са направили нищо за нов регистър, на практика спирайки ефективното развитие на електронното управление. Това увъртяно становище на КЗЛД, макар донякъде философски правилно, не посочва практически решения, които да са в духа на GDPR и чрез които да се изпълнят изискванията на ЗЕУ и АПК.

Това можем да го отдадем на спор между администрации – от една страна Държавна агенция „Електронно управление“ и Столична община, от друга МРРБ/ГРАО и КЗЛД. И да ги оставим да си спорят вечно, като ГРАО да продъжава да отказва достъп на всеки, който иска да автоматизира административното си обслужване (без да натовари администрацията си с ръчно ровене).

Можем, обаче, да го отдадем и на липса на политическа визия. Такъв казус може и трябва да бъде разрешен на политическо ниво. С всички експертни аргументи, които изредих – посочвайки КАК да стане правилно, законно и защитаващо данните на гражданите, а не облягащо се на спор между администрациите, за да се оправдае защо нещо не е станало.

Този и сходни казуси трябва да бъдат решени максимално бързо, защото за да има работещо електронно управление трябва да стъпим на добра основа – технологична, и нормативна. Но и на споделено разбиране в администрацията за правилния начин. Вечното отлагане на решаването на фундаментални проблеми ще означава вечно харчене на пари за електронно управление без те да постигат поставените цели.

Няколко електронни препоръки към банките

Post Syndicated from Bozho original https://blog.bozho.net/blog/3582

Когато говорим за електронно управление, си представяме основно държавната администрация. Само че има още два вида участници (които са записани и в Закона за електронното управление) – лица, осъществяващи публични функции и доставчици на обществени услуги.

Пример за първото са нотариуси, частни съдебни изпълнители и като цяло – лица, на които държавата чрез закон е възложила някакви функции. Обществените услуги са малко по-разтегливи, но законът изрежда следните: „образователни, здравни, водоснабдителни, канализационни, топлоснабдителни, електроснабдителни, газоснабдителни, телекомуникационни, пощенски, банкови, финансови и удостоверителни“. Банковите и удостоверителните бяха добавени изрично с измененията в закона през 2016г, но логически винаги са попадали там. Най-вече, защото банките в много случаи участват или в процеса по предоставяне на административни услуги, или изискват (понякога по силата на закон) данни и обстоятелства, които са резултат от административни услуги (удостоверения, например).

И докато критиката ни за липса на автоматизация и удобство за гражданите е основно насочена към администрацията, то банките също имат доста неща, които да подобрят. С тази публикация ще направя няколко предложения към банките, с които да подобрят и тяхната работа, и удобството за гражданите, а и законовото им съответствие.

  • Автоматично извличане на данни от първични администратори – банките понякога искат предоставяне на данни от страна на гражданите за ползване на някоя услуга, като например удостоверение за семейно положение, удостоверение за наследници, декларация по ЗМИП, дори до преди известно време и актуално състояние. Банките могат, а и е редно, да извличат тези данни от първичните администратори, дали през публичен интерфейс, както е с Търговския регистър, дали през системата за междурегистров обмен RegiX. Банките имат право на това, като доставчик на обществени услуги, и би било много добре да спрат да искат неща. Няколко пъти съм обяснявал на банкови служители, че не могат да искат от мен да предоставям или декларирам данни, които са вписани в Търговския регистър, и че дори подлежат на глоба. Когато се извличат такива данни, задължително трябва да е ясно кой е служителят и системата и за какво се ползват, за да се избегнат злоупотреби. RegiX пази одитна следа на всички такива действия именно с тази цел. Автоматичното извличане на такива данни може да стане и през електронното банкиране (или други онлайн услуги), след като гражданите успешно се идентифицират през националната схема за електронна идентификация (която все още я няма) или през системата за е-автентикация. Същият подход може да се ползва и при KYC (know your customer) процедури – няма нужда клиентът да си описва всичките данни, при положение, че по номер на лична карта могат да се извлекат от регистъра на МВР.
  • Приемане на електронни документи – интеграцията с първични регистри е дълго усилие и отнема време. Но приемането на електронни документи, издадени от администрацията, е законово задължение. За съжаление има много оплаквания, че някоя банка не е приела електронно-подписано удостоверение и е накарала човека да отиде да си го вземе от администрацията с „мокър печат“. Банката е длъжна да приеме електронния документ, тъй като той е валидно обективиран индивидуален административен акт. Администрацията с триста зора е електронизирала дадена услуга, предоставила е електронен документ на гражданина, обаче се оказва, че той не му върши работа, защото някакви вътрешни правила някъде искат мокър печат – това не е приемливо, не е и законно, и намалява интереса и ползването на и без това рядко използваните електронни административни услуги
  • Автоматично обновяване на фирмени профили – фирмите си откриват сметки, след това се случват промени (сменен управител, сменена форма на дружеството и др.) Банките могат (и трябва) да се абонират за промените в Търговския регистър (към момента става с получаване на един XML файл с всички промени за деня) и да обновяват вътрешните си бази данни, вместо да искат от клиентите да го правят. Това от една страна спестява усилия на клиентите, а от друга – спестява главоболия при смяна на управител. Старият управител все още има достъп до електронното банкиране и може да нарежда преводи, а новият може и да не се сети веднага да отиде и да обнови данните в банката (или в банките, защото често фирмите имат сметки в повече от една банка).
  • Използване на електронен печат в е-банкирането – документите, удостоверяващи извършено плащане, са нужни на много места – понякога неправомерно (администрацията знае, че е получила пари, няма нужда, а и право, да иска „бележка“), понякога правомерно – например, при увеличаване на капитал на дружество се изисква доказване, че капиталът е внесен. Електронните банкирания е добре да могат да поставят електронен печат (по смисъла на Регламент (ЕС) 910/2014) върху платежните, така че те да могат да бъдат ползвани в електронен вид. В момента трябва да отидеш до банката и там да ти сложат печат. В някои случаи трябва сам да си носиш разпечатаното платежно, защото те нямат достъп. Електронният печат би решил този проблем, удостоверявайки от името на титуляра на печата – банката – че това платежно е истинско и непроменено.
  • Избягване на еднократни пароли за подписване на преводи – това е сложна и дълга тема, но в общия случай 6-цифрени кодове не дават т.нар. non-repudiation, т.е. свойството на електронните подписи, според което авторът не може да се отрече от извършеното действие. Тъй като те обикновено разчитат на споделен криптографски ключ, а в случай на sms дори цялата информация е при банката, то служител на банката, имащ достъп до ключа, може да нареди превод от името на клиента. На теория, но това е достатъчно за оспорване на транзакции (да, със „з“). Да, на база на други фактори, като IP адреси в логове, сметка на получателя и др. може да се подкрепи едно или друго твърдение, но злонамерен клиент може да маскира следите си достатъчно добре и да твърди, че банката, имайки достъп до споделения криптографски ключ, е наредила превода вместо него. Как да стане по-сигурно – приложенията, които банките ползват, могат да ползват асиметрична криптография, така че подписването да става с ключ, с който банката не разполага. Детайлите тук са много важни и сложни, така че няма да се спиран на тях, но е нещо, за което е добре да се помисли и да се отчетат рисковете.
  • Автоматизиране на процесите по ЗМИП – Законът за мерките срещу изпиране на пари (който е следствие от европейска директива), предвижда възможност за електронна комуникация между банките и ДАНС. Наскоро се появи казус, свързан с тегленето на пари от Васил Божков, тъй като ДАНС отричаше да е получавал уведомление. Няма да навлизам в спецификите на ЗМИП, но тъй като електронната комуникация е само възможност, но не и задължение, практиките са различни и понякога дори включват ръчни процеси. Автоматизирането на процесите по докладване на транзакции по ЗМИП няма общо с електронното управление или удобството за гражданите, но би спестило ситуации, като споменатата преди малко. Тук, разбира се, зависи и от ДАНС какво точно ще приемат.

Винаги има какво да се подобри в процесите на една организация, а банките са големи и всяка промяна на процес е по-трудна, отколкото изглежда отстрани. Но все пак, с оглед и на законовите възможности, би ми се искало да видя горните предложения реализирани все по-често. Те имат техническия капацитет и нерядко визията за дигитализация, така че би трябвало препоръки като горните да са в графата „технически детайли“.

Философията на електронното управление, от която винаги съм се водил, включва интегриране на всички участници в процесите, а не само на администрацията. В Естония, например, банките са били от водещите в процеса на изграждане на тяхното електронно управление. В горните предложения не съм добавил унифициране на средствата за електронна идентификация на клиенти, защото национална схема за електронна идентификация все още няма, но когато тя се появи би било най-логично всички банки да я припознаят (както в Естония), като така подпомогнат и нейното навлизане и за други нужди.

Електронно управление в криза

Post Syndicated from Bozho original https://blog.bozho.net/blog/3570

Електронното управление в последните 20 години се развива „под радара“, като от време на време излиза някоя новина колко милиони са похарчени и как нищо не работи. С уговорката, че изхарченото трудно може да се сметне без задълбочен анализ, наблюдението е до голяма степен вярно – гражданите не могат да ползват електронни услуги, а процесите в администрацията не са оптимизирани. Това не значи, че електронни услуги няма – напротив. Но тяхното използване е възможно само от въоръжени с търпение, технически умения и понякога нормативни познания.

Администрацията от своя страна не е свикнала на електронния начин на работа. Често електронният подпис „не е истински подпис“, изискват се печати, а гражданите са подканвани да дойдат на място да си свършат работата. Това е следствие от много фактори, някои от които са липса на техническа подготовка и липса на управленско желание в съответния орган.

Основната причина, обаче, е липсата на търсене. Светлина в тази посока хвърля проучване на Галъп Интернешънъл по поръчка на Държавна агенция „Електронно управление“ от края на 2017 г. 59% от анкетираните нямат и не възнамеряват да имат средство за ползване на е-услуги (електронен подпис, ПИК и др.), а 77.6% изобщо не са търсили информация за електронни услуги. Все още липсва очакването, че държавата може и трябва да обслужва гражданите онлайн.

Това, което извънредното положение започва да променя е именно това търсене. Опашките пред НОИ за издаване на ПИК, ръстът на издадени електронни подписи и ръстът на заявени електронни услуги, въпреки многото техни несъвършенства – всичко това е логично следствие от нуждата да си комуникираш с държавата онлайн. И все повече хора осъзнават, че канали за това съществуват. Администрацията също се движи спрямо търсенето – отстранява технически проблеми в движение, отстранява административни пречки.

За бизнеса нещата се променят по-малко, тъй като той и до момента има възможност да прави много неща онлайн – комуникацията с НАП и Агенция по вписванията е до голяма степен електронна. Повечето бизнеси отавна имат и квалифицирани електорнни подписи, така че за тях пречките са по-малко. В момента е важно програмите за бизнеса, свързани с кризата, да бъдат разработени по дигитален начин, така че да не създават допълнителна тежест.

В последните 5 години, след законодателни инициативи и създаването на Държавна агенция „Електронно управление“, бавно инфраструктурата на електронното управление започна да се стабилизира. Бяха централизирани и нормативно уредени някои ключови аспекти, като обмена на електронни документи между администрациите, автоматичното извличане на информация от първични регистри, сигурното връчване на електронни документи. Ключови системи все още не са създадени или надградени, но отстрани липсата им се вижда по-трудно.

Това, което продължава видимо да липсва, е масово и удобно средство за електронна идентификация, чрез което да могат да се използват услугите. МВР закъсня ужасно с тази инициатива, което оказва влияние върху възможността „апетитът да дойде с яденето“. Мозайката от опции (ПИК, ПИН, КЕП, облачен КЕП), всяка със своите проблеми, в момента слага таван на реалното използване на е-услуги.

За тези, които все пак имат някое от наличните средства, възможностите са доста – много институции имат електронни услуги на сайтовете си, съществува системата за сигурно електронно връчване, както и по-структурираната система за електронни форми, откъдето десетки администрации предоставят услуги. За целта трябва да бъде свален един PDF, попълнен, подписан и качен обратно. Именно подписването е другата спънка. То е логически различно от идентификацията, но технически може да бъде реализирано по същия начин. Възможността това да се случи без използване на КЕП е ключова за широкото използване на наличните възможности.

Дали кризата ще увеличи търсенето достатъчно много, че структурирано решение на проблема с идентификацията и подписването да бъде най-накрая формулирано и реализирано, предстои да разберем.

(статията е публикувана с редакции в сп. Мениджър)

Как да ползваме електронни услуги

Post Syndicated from Bozho original https://blog.bozho.net/blog/3536

Поради мерките за справяне с пандемията с право хората избягват да се редят на опашки в институции. Държавата и общините, обаче, не са готови са посрещнат търсенето за електронни услуги. По ред причини, на които няма да се спирам сега. Реших да синтезирам дългогодишния си опит в „тролене“ на администрацията с опитите си да получа всяка услуга по електронен път от край до край (ниво 4). Съветите долу са законосъобразни спрямо моето разбиране на Закона за електоронното управление и Административнопроцесуалния кодекс. Много юристи в много администрации няма да са съгласни с това разбиране. Затова е и точка 7. Нямам претенции за изчерпателност и със сигурност ще пропусна нещо, но мисля, че за начало е достатъчно.

Този „наръчник“ се надявам да е полезен както на хората, които искат да заявяват услуги, така и на администрациите, които не са свикнали да ги получават по електронен път и не знаят кое може и кое не може. Фокусиран е малко повече върху физически лица, но важи в същата сила и за юридически. Там единствената особеност е, че някои администрации могат да искат КЕП на юридическо лице (какъвто не съществува в правния мир, но това не пречи на никого да го изисква).

1. Идентификация

Национална eID схема все още няма, но имаме една пъстра мозайка от опции. Идентификацията е първата стъпка – как влизате в съответната система. В зависимост от всяка от опциите, последващите варианти за подписване (което също се изисква, за да заявите услугата) са различни.

  1. Квалифициран електронен подпис „на флашка“ (смарткарта) – такъв можете да получите от офис на доставчик на удостоверителни услуги – Борика, Информационно обслужване, Инфонотари, СЕП. С такъв КЕП можете да се идентифицирате в повечето системи на администрацията, но изисква инсталиране на драйвери, специален софтуер, Java, а често работи само на стари браузъри (Internet explorer 8) или Firefox ESR. КЕП струва пари, но не е особено скъп.
  2. Облачен квалифициран електронен подпис – такъв предлагат Евротръст и Борика-Банксервиз. Евротръст може да ви го издаде отдалечено, чрез видеоидентификация в приложението, а Борика изисква да сте имали преди това техен подпис, за да си издадете мобилен. С такъв КЕП можете да се идентифицирате само за услуги, които изрично са се интегрирали с доставчиците или със системата за електронна автентикация на ДАЕУ, което е интегрирана и с двете. Системата за електронно връчване и системата за електронни форми са интегрирани със системата за електронна автентикация (ще видим след малко, че това върши работа в много от случаите)
  3. ПИК на НАП – с ПИК на НАП може да се идентифицирате само в НАП и за услуги на администрации, които са интегрирани с НАП. Това са някои общини и НОИ (вероятно има и други, не ги знам наизуст и няма списък с тях). След идентификацията, обаче, можете да подписвате само пред НАП. Т.е. на друми места ви дава само справочна функционалност.
  4. ПИК на НОИ – с ПИК на НОИ можете да се идентифицирате в НОИ и в системата за електронна автентикация, т.е. имате достъп до е-връчване и е-форми.
  5. ПИК на община – някои общини издават свой ПИК. С него имате достъп само до системите им за общински услуги
  6. Свободен достъп – съществуват услуги със свободен достъп (най-много да изискват регистрация с имейл). Те са най-често справочни. Върху тях няма да се фокусирам, но има немалко такива, които се отнасят до публични данни – на кадастъра, на имотния регистър, и др.

2. Системи за е-услуги

Електронни услуги могат да се заявяват по различни канали. По принцип могат и по електронна поща, но това е в краен случай. Иначе вариантите са:

  1. Система за е-услуги на съответната администрация – влизате в сайта на администрацията и търсите „Е-услуги“ или „Електронни услуги“. Повечето общини имат такива. В сайта на Столична община са сравнително трудно откриваеми, затова ето линк. На други места може да пише, че има е-услуги, но те всъщност да не работят. Тези услуги можете да ползвате обикновено само с КЕП „на флашка“ или с ПИК на община. Централните администрации също имат е-услуги, и при тях все още интеграция със системата за е-автентикация на практика няма, така че опциите са КЕП.
  2. Система за сигурно електронно връчване – оттук можете да връчите всичко на всяка администрация в списъка (а почти всяка е включена). Връчването може да се ползва за заявяване на услуга, ако приложите съответното заявление за услугата и необходимите придружаващи документи. Бланката за заявяване можете да намерите на сайта на съответната администрация при добро желание и време за ровене
  3. Електронни форми – това е система, базирана на системата за електронно връчване, при която бланките за заявяване на множество услуги са електронизирани в PDF формат, така че да можете да ги попълните и подпишете електронно

3. Подписване

Подписването е най-специфичният момент. Той е и най-важният за администрацията – нещо няма ли подпис, все едно не е подадено. Има различни философски виждания по темата, но нека сме практични – ако няма подпис, просто ще ви върнат. Така че вариантите са следните:

  1. Подписване с КЕП в система за е-услуги – това е най-неудобното, заради нуждата от стари браузъри и Java. Някои администрации (като НАП) имат по-съвременно решение, но повечето системи не го ползват и съответно мъката всичко да тръгне е голяма.
  2. Подписване с КЕП в на локалния компютър – всеки PDF и Doc файл може да бъде подписан с КЕП. Word позволява това чрез опцията „Add signature line“, а Adobe reader – с Tools -> Certificates -> Digitally sign. Електронните PDF форми на системата за е-форми автоматично извиква диалога за подписване при натискане на съответната кутийка.
  3. Подписване с облачен КЕП – свален документ може да бъде подписан с облачен КЕП през портала на съответния доставчик. Съответно portal.evrotrust.com и my.b-trust.bg. Услугите са интуитивни и поставят електронния подпис след следване на инструкциите.
  4. Подписване с ПИК – това е възможно само на сайта на НАП за целите на техните услуги.
  5. Подписване на хартия и пращане през е-връчване – има възможност да разпечатате (попълнена) бланка, да я подпишете на хартия, да я сканирате (или снимате с телефон) и да я пратите така, през електронното връчване. Тази опция е нежелателна, защото изпратеното не е оригинал и може да ви върнат. Има правна логика да приемат приемат заявлението, но няма да навлизам в нея. В ситуация на извънредно положение може и да бъде допуснато по-леко. Може на някой да му хрумне да напишете „Вярно с оригинала“ на така сканираното заявление.

4. Необходими документи

Необходимите документи, които се прилагат към заявлението, могат да бъдат:

  1. Удостоверения и други документи, доказващи някакво обстоятелство – по принцип тези не би трябвало да бъдат изисквани, а администрацията да си ги събере по служебен път. Но битката кое може да искат и кое не е дълга и е различна с всеки, така че може да си я спестите, като прикачите съответните документи, които съответно сте получили с отделно заявление.
  2. Декларации – намират бланка или пишете декларация в свободен текст и я прикачате, подписана по някой от горните начини
  3. Други придружаващи документи – същото важи и за тях – подписани по някой от горните начини (в краен случай на ръка и сканирани) и прикачени към заявлението. Ако системата позволява прикачане само на един файл, правите zip архив.
  4. Документи за платена такса – това по принцип не трябва да го изискват, но го изискват. Таксите могат да се плащат по банков път (банковите сметки на институциите ги има по сайтовете), като може да ги платите през електронното си банкиране и да приложите screenshot от платежното, генерирано в е-банкирането. Някои услуги поддържат и плащане с карта – там няма нужда да се прикача платежно.

5. Плащане

Често услугите изискват плащане. Тази стъпка се интегрира трудно в неструктуриран процес по заявяване, така че отново възможностите са няколко. По принцип прикачването на платежни не е нужно, защото те могат да видят, че именно от вас са получили превод в справката от банката си, но както писах и по-горе – изискват го. Така че ето опциите:

  1. Плащане с банкова карта чрез платежен оператор – някои услуги са интегрирани я с БОРИКА директно, я с ePay, я със системата за електронни плащания на Държавна агенция „Електронно управление“. При плащане с карта е лесно, а администрацията получава потвърждение автоматично
  2. Плащане по банков път с електронно банкиране – когато няма интеграция с платежна система, на сайта на администрацията има банковите ѝ сметки. Ако не са видими, може да потърсите в Гугъл „<Име на администрация> IBAN“. Електронните банкирания имат отделен интерфейс за преводи към бюджета, с малко по-сложни форми. В някои случаи административните услуги изискват определен код за плащане, което не е интуитивно и трябва да се намери на сайта. Може да звъннете в съответната администрация, за да питате за кода за съответната услуга, ще ви го кажат. След това електронните банкирания позволяват експорт на платежните за печат – избирате „Print to PDF“ и прикачате получения PDF към услугата. Ако няма такава опция, може да приложите и Screenshot (Клавиш Print screen -> Paste в Paint)
  3. Плащане по банков път на гише – когато нямате е-банкиране или пък имате клон на банка наблизо, може да платите и на гише. След това сканирате платежното (или го снимате със смартфон) и го прикачвате към заявлението.</ли>

6. Получаване

Получаването е важен момент. Трябва да искате получаване също по електронен път. В редки случаи това не е приложимо (например лична карта или паспорт), но в повечето случаи електронен документ върши работа. В краен случай може да получите документа (резултат от услугата) по пощата. Много администрации ще приемат заявлението, но вътрешният им процес е на хартия и ще държат да ви пратят подпечатан оригинал.

7. Нормативни основания

Понякога при заявяване ще ви откажат предоставяне, защото „не може по електронен път“. Или „не може по този начин“. Или „изисква се лично явяване“. Или „това не е истински подпис“. Или „трябва да има печат“. Или някоя друга глупост. Надявам се да не стигате до това, защото тогава вероятно ще се откажете и ще отидете на гише, но все пак ето няколко члена, които да цитирате в разговор с администрацията:

  • Закон за електронното управление: Чл. 11. Доставчиците на електронни административни услуги не могат да отказват приемането на електронни документи, изявления, издадени и подписани като електронни документи съгласно изискванията на закона, както и да отказват издаването на електронни документи.
  • Закон за електронното управление: Чл. 19. Получателите на електронни административни услуги могат да извършват електронни изявления и да ги изпращат по електронен път при спазване на изискванията, определени със закон.
  • Закон за електронното управление: Чл. 25. (1) Получателят на електронната административна услуга е длъжен да приема електронните изявления от доставчика за потвърждаване на получаването и за резултата от проверката на редовността на подадените документи.
  • Закон за електронното управление: Чл. 26. (5) Подаването и връчването на документи по електронен път, свързано с предоставянето на електронни административни услуги, се осъществява и чрез система за сигурно електронно връчване, поддържана от Държавна агенция „Електронно управление“.
  • Административнопроцесуален кодекс: Чл. 18а. (2) Административните органи, органите на съдебната власт, лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги, осигуряват техническата възможност исканията, сигналите и предложенията, жалбите, протестите, молбите, исковете и приложенията към тях да се подават по електронен път по реда на Закона за електронното управление в производствата пред административен орган или съответно по електронен път по реда на Закона за съдебната власт в производствата пред съд.
  • Административнопроцесуален кодекс: Чл 13а. Административните органи прилагат комплексно административно обслужване (обслужване, при което административната услуга се извършва от административни органи, от лица, осъществяващи публични функции, или от организации, предоставящи обществени услуги, без да е необходимо заявителят да предоставя информация или доказателствени средства, за които са налице данни, събирани или създавани от извършващия административната услуга първичен администратор на данни, независимо дали тези данни се поддържат в електронна форма или на хартиен носител.)
  • Регламент (ЕС) 910/2014: Чл. 12, 2. Правната сила на квалифицирания електронен подпис е равностойна на тази на саморъчния подпис.
  • Наредба за общите изисквания към информационните системи, регистрите и електронните административни услуги: Чл. 20. (3) При липса на информационна система за приемане на заявление за определена административна услуга се допуска електронно заявяване чрез попълване на електронен документ с неструктурирано съдържание във формат по чл. 36 и изпращането му на електронната поща на доставчика на административни услуги.

При отказ, в краен случай може да им казвате, че подлежат на глоба между 500 и 1500 лева и че подавате сигнал до Държавна агенция „Електронно управление“. Глоба едва ли ще има (никой досега не е налагал глоби по тоя закон, сакън), но сигнал до ДАЕУ е добра идея (на [email protected]).

8. Обобщение

Информацията, описана горе е доста и бих искал да представя нагледно в табличен вид:

ИдентификацияПодписванеПлащане
Система за е-услуги на отделна администрацияКЕП, в някои случаи ПИККЕП, ПИК (само за услуги на НАП)С карта, по банков път
Система за сигурно електронно връчванеКЕП, Облачен КЕП, ПИК на НОИКЕП, Облачен КЕП, ръчноПо банков път
Система за електронни формиКЕП, Облачен КЕП, ПИК на НОИКЕП, ОБлачен КЕПС карта (pay.egov.bg)

9. Заключение

Има много варианти за заявяване на услуги, в зависимост от обстоятелствата (с какво средство за идентификация и подписване разполагате, можете ли и искате ли да се разходите до някой офис или не, какво предоставя администрацията). Никой не е напълно удобен и интуитивен, поради което се използват рядко. В случай, че горното описание не е достатъчно, винаги може да се обадите на контактния център на ДАЕУ (ако ползвате е-връчване или е-форми), за да ви помогнат.

Бих посъветвал администрациите на сайтовете си да разпишат в прости стъпки, дори с картинки, как се ползват техните услуги, евентуално в структурата, която съм ползвал.

Електронното управление е в този си вид, защото няма достатъчно търсене за него. Когато на никой не му и хрумва да провери има ли електронна услуга за нещо (защото няма как да я ползва, например), е нормално нещата да са неудобни и „забутани“. Ще цитирам клишето, че всяка криза е и шанс. В случая – шанс електронното управление да заработи по-активно и по-добре.

Квалифициран електронен подпис на юридическо лице не съществува

Post Syndicated from Bozho original https://blog.bozho.net/blog/3494

Юридическите лица у нас (или по-точно законните им представители) си имат квалифицирани електронни подписи, с които ползват електронни услуги от държавата (и по-рядко – подписват договори, макар че това би било чудесно). Само че такова нещо като квалифициран електронен подпис на юридическо лице няма в правната рамка на електронните подписи. Да цитирам Регламент (ЕС) 910/2014, който урежда материята:

14) „удостоверение за електронен подпис“ означава електронен атестат, който свързва данните за валидиране на електронен подпис с физическо лице и потвърждава най-малко името или псевдонима на това лице

Та, електронните подписи на юридически лица доставчиците ги водят делегирани електронни подписи (или нещо подобно), за да бъдат все пак коректни спрямо законодателството. Но какво всъщност правят – вписват ЕИК (и името) на фирмата в удостоверението за квалифициран електронен подпис. Толкова. Това, обаче е голям проблем. И голяма глупост. Тя е глупост както на администрацията, която изисква ЕИК в удостоверението за електронен подпис, така и на доставчиците, че го издават. Нека да обясня защо.

Вписването на ЕИК в КЕП (наложило се съкращение, значещо „квалифициран електронен подпис“, но реално визиращо удостоверението за квалифициран електронен подпис или по терминологията на eIDAS – квалифицираното удостоверение за електронен подпис) означава едно нещо – този човек, който е приносител на удостоверението, има представителна власт по отношение на дружеството, вписвано в удостоверението. Тази представителна власт (дали в качеството му на управител или упълномощено от управител лице) се проверява в момента на издаването на удостоверението за електронен подпис и се вписва там. Оттам нататък администрациите, предоставящи електронни услуги (напр. НАП), разчитат на вписаното ЕИК в удостоверението. Проблемът идва, когато управител бъде сменен или пълномощно бъде оттеглено преди изтичане на срока на КЕП-а (който може да се издава за три години).

В този момент човек без представителна власт продължава да може да представлява дружеството пред администрацията (а и някои банки) и това ще бъде прието, защото удостоверението е валидно. Какви щети могат да бъдат нанесени така – не съм навлизал в такива хипотези, но най-малкото може да бъде причинено неудобство на новия управител.

А не трябва ли, при смяна на управителя, съдружниците да уведомят всички доставчици на електронни подписи за промяната, за да могат те да прекратят действието на удостоверението? По принцип може, само че надали много хора ще се сетят. Освен това, при единния цифров пазар, това значи уведомяване не само на няколко български доставчици, а на всички доставчици в ЕС. Защото управителят може през това време да си е извадил КЕП в Белгия (ако е успял да убеди белгийския доставчик да впише допълнително поле за ЕИК, така че да работи с е-услугите). Така че трябва да се уведомят всички доставчици в ЕС. Поне ги има на списък от европейската комисия, но задачата става безумна.

Друг вариант би бил доставчиците на електронни подписи да получават всеки ден от търговския регистър променените обстоятелства и ако са издали удостоверение на някой, който вече не е управител (т.е. не са налице обстоятелствата, на база на които е издадено удостоверението), да го прекратят автоматично. Това е възможно, но безмислено, тъй като доставчикът е грешното място да се случва това.

Правилният подход е да няма ЕИК в удостоверението, да няма изобщо различна услуга за юридически лица. С моя личен КЕП трябва да мога да се идентифицирам и заявявам услуги на всички дружества, които представлявам (въпросът дали КЕП трябва да може да се ползва за идентификация е отделен, разгледал съм го тук). В момента на идентификация, без значение дали с КЕП или с друго средство, доставчикът на услугата трябва в реално време да проверява в Търговския регистър или регистъра Булстат дали представлявам съответното дружество. В повечето случаи отговорът се получава еднозначно и нещата могат да продължат автоматизирано. В редки случаи на по-сложна представителна власт (напр. само заедно за определени неща), тъй като Търговският регистър не поддържа номенклатури за такъв тип представителство, се налага ръчна проверка от страна на предоставящия услугата, но това са много малка част от случаите. Когато става въпрос пък за упълномощени лица, автоматичната проверка трябва да работи в за съжаление все още несъществуващия регистър на овластяванията по Закона за електронната идентификация.

Вместо това доставчиците на услуги или изобщо не признават личния КЕП като вариант да се идентифицираш и заявиш услуга като представител на юридическо лице, или изискват да отидеш на място (НАП, вас гледам), за да потвърдиш с декларация, че ти наистина си управител на това дружество (да, НАП искат да се подпишеш, че данните от Търговския регистър са верни, не си го измислям. Сигнализирах на Агенция по вписванията, но мисля, че нищо не направиха по въпроса, даже не ми отговориха). И в крайна сметка администрацията разчита на доставчиците на електронни подписи да са направили необходимите проверки, а не на актуалните данни в Търговския регистър, които са единствените, на които може да се има доверие в реално време. А първичните администратори на данни имат задължение да предоставят данни за представителна власт в реално време (чл. 24б от Закона за електронното управление). И Агенция по вписванията дори го спазва отчасти.

Не знам кой и защо е измислил и приел този начин на работа и дали просто не е е наложил като много по-прост, защото е по-лесно да прочетеш едно поле от удостоверение за електронен подпис, отколкото да правиш връзка с Търговския регистър. Но това е неправилно, незаконно (чл. 27 от ЗЕУ) и създава излишни рискове.

Но както често се случва и тук практиката се разминава от нормативната уредба и от правилния подход. И почти никой не може да каже на администрациите да сменят тази своя практика. Защото те винаги така са го правили. Доставчиците на електронни подписи пък изобщо не се оплакват, че могат да продават на тройна цена същата услуга (с усложнението да направят проверка в Търговския регистър при издаване). И така всичко си тече. Не че това е фатален проблем, но е един от многото проблеми, едно от многото малки неща, които са не баш както трябва. И като се съберат всички тези малки неща, се оказва, че имаме нездрави основи, на които трудно можем да построим смислено електронно управление.

Няма WiFi – да решим въпроса политически!

Post Syndicated from Bozho original https://blog.bozho.net/blog/3488

В парламента спира WiFi-ът. Депутатите свикват извънредно заседание, на което да се съгласят, че проблем има. Опозицията обяснява, че по тяхно време WiFi винаги е имало. Управляващите се оправдават, че има кофти рутери, купени с обществена поръчка от опозицията, когато е била на власт, и това в основата на проблема. Все пак депутатите приемат, че WiFi няма и това трябва да се реши.

Председателят на комисията по транспорт, информационни технологии и съобщения свиква работна група – участват заинтересовани депутати, експерти от академичната общност и от ИТ сектора. В рамките на месец работната група се събира три пъти, но дискусията рядко е по същество. Минава се през изграждането на мрежата на държавната администрация НАМДА и кой какво е направил за нейното функциониране, през милионите дадени за инфраструктура, през това как са идвали наскоро гости от САЩ и Израел и какво са казали за WiFi-а в хотелите си.

Накрая работната група стига до заключение, че трябва да има устойчивост в комуникационната инфраструктура и това е национален приоритет. В доклад от една страница (защото по-дълъг би отнел година работа на работната група), се препоръчва приемане на законодателство по въпроса и създаване на държавен орган, който да е натоварен с политиката по изграждане и поддържане на комуникационна инфраструктура.

„Група народни представители“ дават доклада на адвокатска кантора, където няколко стажанти за месец написват законопроект. Депутатите го внасят (както си е – без пълен член и с редица правни неточности). Официално е Закон за комуникационната инфраструктура, но всички го наричат Закон за WiFi-a.

Но WiFi все още няма.

Дебатът на първо четене не е по същество. Говори се за важността на компютрите. За това как не може в 21-ви век една институция да няма WiFi. Един по-технически запознат депутат взема думата и споменава, че е хубаво като тръгне WiFi-ът, да се ползва WPA3, защото WPA2 е несигурен, но бързо бива скастрен от председателя с фразата „не технологизирайте дебата!!“

Между първо и второ четене фирмите, изграждащи мрежи, вкарват свои поправки през депутати, за да могат да продадат старото си оборудване, религиозни организации вкарват текст за освещаване на рутерите, а Менда Стоянова вкарва с преходни и заключителни разпоредби изменения на държавното устройство в Конституцията.

Шест месеца след спирането на WiFi-а законът е приет. Ще се създаде Държавна агенция за електронна и безжична администрация (защото никой не е обърнал внимание какво съкращение се получава), към нея ще има Съвет по комуникационна инфраструктура. Свикана е работна група към Министерски съвет са изготвяне на устройствен правилник и друга – за изработване на наредба към закона. Наредбата включва стандарти като IEEE 802.11, но няколко специалисти по ЗОП настояват да се запише „или еквивалентен“, за да нямало наказателна процедура от Европейската комисия за фаворизиране на един стандарт.

След година и половина агенцията е създадена, но два месеца по-късно все още WiFi няма. Депутатите от опозицията отправят питане до ресорния вицепремиер, а той от трибуната отговаря, че това управление е свършило изключително много за наличието на WiFi, а това, че в момента в сградата няма е неприятно обстоятелство, но важното е, че е отчетен сериозен напредък, покрити са редица индикатори – за наличие на нормативна уредба, за транспониране на европейски норми, за стратегическа рамка, и всеки момент ще стигнат до индивидуални проблеми, които институциите или гражданите може да имат въпреки бляскавия успех на политиките по комуникационната инфраструктура.

На втората година от спирането, в парламента постъпва на работа младши системен администратор (разбира се, племенник на заместник-министър) и рестартира рутера. WiFi-ът тръгва. Управляващите отчитат успеха, по националните медии се изреждат говорители (предимно бивши ченгета), които да величаят колко напредничаво е управлението. „Ето, даже вече мога да отварям сайтове на телефона си“ показва в ефир един депутат.

Междувременно Илон Мъск каца на Марс.

Забраната на Airbnb – аналогови хора в дигиталния свят

Post Syndicated from Bozho original https://blog.bozho.net/blog/3449

Тези дни депутати предложиха Airbnb да бъде на практика забранен – предложението е да не могат некатегоризирани обекти по Закона за туризма да се предлагат през платформата. Ограничението не е само за Airbnb, а за Booking, Facebook и други платформи за предлагане на места за настаняваме. Надолу в текста ще ползвам Airbnb като събирателно за всички тях, поради сходния модел.

Тази забрана е още един пример как аналогови хора достигат тавана на възможностите си да възприемат дигиталния свят.

Airbnb е проблем на много места, по много различни начини. И правилното решение почти никога не е „забраняваме го“. Най-малкото защото контролът е скъп и труден до невъзможен и на моменти граничещ с умствено изоставане – задължаваш интернет доставчици да блокират Airbnb за своите клиенти? „Давам апартаменти под наем“ е новото „продавам оръжие“, явно.

Факт е, че хотелиери, собственици на къщи за гости (ама от истинските), и като цяло туристическият бранш е недоволен, че някой може да заобикаля правилата, които важат за тях. И са прави – бизнесът трябва да работи при максимално изравнени външни условия, за да има истинска конкуренция.

Само че тия правила са от преди минимум 20 години, като начин ма мислене поне. Табели, тарифи, категории – все неща, които имат за цел да гарантират удобство на клиента, но не са единствения начин за това – Airbnb дава други начини за гарантиране на това удобство.

Та, вместо да ги забраняваме, каквато е вечната рецепта тук (както стана и с Uber), имам две конкретни предложения, които са със същата философия като предложенията ми за Uber тогава

  • интегриране на Airbnb със системите на НАП за автоматично изпращане на данни за получените плащания. Така данъци няма да могат да се укриват. Естония направи така с Uber – „върза“ ги с API на данъчните.
  • олекотяване на режимите за хотелите, къщите за гости и другите места за настаняване. Всичко да може да става онлайн, за да може усилието да си регистрираш апартамента в Airbnb да е съизмеримо с това да си го регистрираш в Министерство на туризма. А ако сме особено амбициозни, Министерство на туризма да даде API (програмен интерфейс), през който Airbnb автоматично да регистрира обявените места за настаняване, с някакви смятани за важни параметри – тоалетни/бани, квадратура, асансьор, пушене, които така или иначе са важните неща за клиента, а не че нещо е 3 или 4 звезди. Ако МТ пусне такъв интерфейс, ще видим, че за няколко месеца и хотелиерските софтуери ще започнат да го ползват и да обявяват местата си там

Напомням, че в Закона за електеронното управление и подзаконовата нормативна уредба вкарахме изискване всички системи да предоставят всичките си функционалности през програмен интерфейс. Именно за да позволим такива интеграции. За Airbnb това ще е една седмица работа, а те така или иначе са си организирали кода да позволява национални специфики. Само че важността на програмните интерфейси (APIs) за електронното управление остава недоразбрана.

Хората ползват Airbnb не защото искат да бягат от правилата, а защото правилата са неадекватни и начинът на комуникация с институциите е неудобен и тромав. Публикуването на обява в Airbnb е не толкова просто, но удобно и предсказуемо занимание. Ако отворим сайта на Министерство на туризма, виждаме това. Списък с новини в CMS-а на сайта, като всяка препраща към страница със стена от текст и няколко формуляра в doc или pdf, които да разпечатаме и занесем в общината и/или министерството. Еми, не, мерси.

(Знам, че преди време Ангелкова обяви, че всички електронни услуги са достъпни и с eID от един частен доставчик, но за 10 минути търсене не ги открих. Знаейки за една малко известна система – портала за е-форми, все пак ги намерих, но и там са под формата попълване на PDF и изпращането му по електронен път – все пак е нещо, но много далеч от потребителското изживяване на Airbnb)/

Дигиталната трансформация понякога изисква малко мисъл и малко усилия, но аналоговите човечета предпочитат просто да сложат хикса и да кажат „интернет – лош; хора в интернет – лоши“.

Електронни документи – имат ли почва у нас?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3438

Електронните документи се въвеждат у нас със Закона за електронния документ и електронния подпис през 2001. На теория това значи, че всички документи и в публичния, и в частния сектор, могат да бъдат електронни и да имат правна стойност. На практика нещата стоят доста по-различно, макар ползите да са огромни.

На първо място трябва да бъде разгледан електронния подпис. Много документи изискват подпис, за да бъдат признати за валидно волеизявление. Квалифицираният електронен подпис е единственият, който е автоматично приравнен на саморъчен, поради което и у нас той се счита за единствено приемлив. Той обаче има редица технически предизвикателства – поддръжката му в браузърите, удостоверенията на доставчиците и форматите, в които се съхранява. Дори да успеем да подпишем електронен документ, отсрещната страна често казва „не се валидира“, „не се показва“, или дори да не може да разбере кое е подписът. Това кара много организации и в частния и в публичния сектор да изискват хартиен документ, за всеки случай. Държавата е опитала да реши частично този проблем със система за електронно валидиране, но тя на практика не се използва и никой не знае за нея, макар да има нормативно задължение за използването ѝ.

На второ място е вътрешният документооборот – за него не е необходим квалифициран електронен подпис, тъй като в рамките на една организация и други данни могат да се използват за електронно подписване. В една деловодна система документът може да се води подписан без реално да се срещат всички усложнения на квалифицираните подписи. Т.е. на теория всички документи в една администрация могат да са електронни. На практика, обаче, много служители, а и главни секретари, продължават да искат да работят с хартиени документи. Отново въпреки изискването на нормативната уредба целият вътрешен обмен на документи да бъде електронен. Сканирането на хартиени (и подписани на хартия) документи е една „кръпка“, която се използва много често – ако директорът на дирекция не иска или не може да работи електронно, секретарката му разпечатва документите за подпис и след това ги сканира. Когато граждани подават документи на гише, се случва същото. Проблемът с това е, че съдържанието на документа става недостъпно – не може да се търси, не може да се копира. За да се стигне до истински електронен обмен на документи, разпечатването и сканирането трябва да са на практика забранени, с изключение на гражданите, подаващи документи на гише.

Що се отнася до гражданите, стигаме до третия проблем – приемането и връчването на електронни документи. Приемането и връчването може да става по имейл или през специална система – за е-услуги или за електронно връчване. Последната съществува и се развива в последните години в администрацията като универсално средство за обменяне на документи между държава и граждани. Връчването на електронни документи има и друга важна функция – да определи еднозначно от кой момент започват да текат сроковете (за обжалване, за коригиране и др.) и би трябвало системи за е-връчване да се налагат все повече и в публиичния, и в частния сектор, тъй като пестят време, пари и главоболия – куриери, обратни разписки, закъснения.

На последно място е дигитализирането на архиви – то е времеемка и скъпа задача, тъй като тоновете хартия, която е генерирана с десетилетия, трябва да бъде обърната не просто в снимка, а в текст, чрез автоматично разпознаване на символи. Тази задача, за съжаление, е избягвана от много институции. Имотният регистър, например, не е дигитализиран все още и това създава редица проблеми.

За да не става все по-скъпа задачата с дигитализиране на архиви е необходимо много скоро администрацията да премине изцяло към електронни документи – и вътрешно, и в общуването с граждани. Електронните документи не са просто удобство – на база на тях могат да се извличат данни, да се правят анализи и в крайна сметка – политики. А съхранението им, ако към него се подходи сериозно, е по-сигурно от това на хартиени документи и манипулации и „изчезвания“ стават много по-малко вероятни. А колкото повече документи се приемат по електронен път, толкова по-малко човекочасове ще губят гражданите и бизнесът в мъкнене на папки по опашки.

(статията е написана за сп. Мениджър и публикувана първоначално там)

Киберсигурна работа

Post Syndicated from Bozho original https://blog.bozho.net/blog/3389

Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш телевизора – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха НАП, вицепремиер със сертификат за компютърна грамотност заяви, че е достатъчно квалифицирана да ръководи съвет по въпроса, а явно сега ще искаме такъв ресор в Европейската комисия.

Макар че вече съм писал веднъж за киберсигурността, ми се ще да разгледам темата малко повече, особено от гледна точка на публичните институции и накрая ще опитам да отговоря на въпроса „може ли България да е киберсигурна“

Имаме стратегия за киберустойчива България, която не мисля, че се спазва, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има абстрактни организационни мерки (той е транспонирана европейска директива, така че не е по наша инициатива). Имаме наредба към този закон, която е доста причлина, но между съществуването на добра наредба и нейното прилагане има разлика. Имаме и шаблон на техническо задание, което всички нови системи трябва да ползват. Там сме се постарал да опишем възможно най-много неща, които изпълнител и възложител изрчно да проверят – уязвимости като тази в НАП, напр, също са там.

Както стана ясно от теча в НАП, а и от редица пробиви напоследък, нивото на киберсигурност е ниско. (Някои пробиви не стават публично достояние, но можем да питаме govcert-а, звеното за реакция при киберинциденти, колко сигнала за уязвимости е приел). За да имаме пълна картина колко зле са нещата, трябва да един пълен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което вече знаем – че нивото е ниско.

В допълнение на въпроса по-горе, ще отговоря и на още три: „защо системите са уязвими“, „кой може да злоупотреби с това“ и „какво може да се направи“

  • Системите са уязвими по две причини. Първата е, че по принцип е трудно да се поддържат сигурни системи. Дори да е била сигурна в един момент, нещата се променят, оттриват се неизвестни досега уязвимости на компоненти, от които зависи самата система. Затова проактивно обновяване, следене за уязвимости и комбинация от много други мерки са начинът да има по-сигурни системи, но дори това невинаги е достатъчно. Втората причина е, че системите в държавата с много ниско качество (в общия случай). Пишат ги фирми с не особено кадърни хора (защото и малкото кадърни по темата са отишли на по-високи заплати другаде, където не се разчита на обществени поръчки), приемат ги хора, които нямат идея какво приемат, и няма кой да следи този процес да бъде по-адекватен. Дори да има наредби, шаблони и хипотетични санкции, просто няма хора. Наскоро имаше система, разработвана по шаблона за задание. Дори като никога беше спазен закона и кодът беше отворен. И какво имаше там – SQL инжекция. Поправена след съответния сигнал (нагледен пример за ползите кодът да е отворен), но най-базовата грешка при работа с база данни, за която изрично има предупреждение в заданието, беше допусната. В 13 от последните 15 години тези наредби и шаблони ги е нямало, а системите, които се ползват, са на толкова.
  • Кой може да злоупотреби с това – всеки. Причините са няколко. Комерсиални – напр. е полезно за една компания да има данните от Национална база данни „Население“; геополитически – някои държави не одобряват определени решения, които нашата е взела или предстои да вземе, и съответно включват киберарсенала си; „някои хора просто искат да гледат как света гори“ – хакване заради самото хакване и заради деструктивния ефект. Първите могат да разчитат не на експлоатиране на уязвимости, а на корумпирани вътрешни хора, чрез които да източат данните – това също е част от киберсигурността, която включва както външни, така и вътрешни „атаки“.
  • Може да се направи много – да се прилага по-стриктно нормативната уредба, да се използват различни механизми за привличане на по-компетентни хора (вкл. с по-високо заплащане), да се обучават по-активно хората в публичния сектор, да се затегнат вътрешните механизми за контрол на достъпа на служители. Имаше предложения за по-големи наказания в Наказателния кодекс, но според мен това няма да работи – хакерите или не познават НК и той не ги спира, или си мислят, че си прикриват следите достатъчно добре, че да са неоткриваеми. Или и двете.

Сложен въпрос, на който в индустрията се опитва да даде смислен отговор е „какво пък толкова може да стане“. По принцип всичко, но дали може да има дигитален катаклизъм и дали ако няма е нужно да инвестираме в киберсигурност е отворена тема. Засега консенсусът е, че е нужно повече. Повече познание, повече хора, повече инструменти, повече инвестиции.

Киберсигурността е състезание с „лошите“ и включва множество мерки. Не може да се реши просто като си купиш едно устройство или един софтуер (макар че това може да помогне). Най-важният ресурс и тук са хората, които да знаят какви са мерките, да имат уменията да ги приложат в усложнен контекст (процедури по ЗОП и политическа неадекватност), да знаят как да използват и конфигурират наличните инструменти. И това да не са просто двама-трима души тук-там, а да е системно решение.

Дотук би трябвало да е ясно, че нещата не изглеждат розово. Няма хора, няма адекватни доставчици, „лошите“ могат да разполагат с големи ресурси, а защитата е фундаментално трудна задача.

Лесно решениие няма. Със сигурност съвет по киберсгурност, еврокомисар по киберсигурност, закон за киберсигурност и други подобни не са решението. Някои от тях са небезполезни стъпки, други – отбиване на номера, трети – политически опортюнизъм.

Решението е същото, като в една голяма корпорация – висшият мениджмънт да осъзнае критичността на проблема и да насочи ресурси на там. Не, не да купим още техника, която няма кой да конфигурира, а да подредим така пъзела, че да ма хора с мотивация, да има финансов ресурс за това (а не за петорно надценен нов уебсайт, например).

Висшият политически мениджмънт не осъзнава нищо от това. За вицепремиер, отговорен за това, е поставен не човек с управленски опит и с опит в дигитална трансформация (не непременно технически), а някой, който просто се е оказал там по стечение на обстоятелствата. В същото време всички механизми, предвидени законите, за привличане и задържане на повече хора, отпадат един по един. Това е лош сигнал за всички (освен за хакерите). И ако искаме да имаме еврокомисар по киберсигурност, първо може би трябва да имаме някаква вътрешна адекватност по темата. И след като я имаме, успешният ръководител на това усилие да стане еврокомисар.

Дори киберсигурността е повече човешки, отколкото технически проблем. По-скоро управленски и политически, отколкото експертен. Експертната част е трудна и много интересна, но сме много далеч от тази част в публичния сектор. Тепърва трябва да направим първата копка на реалната киберсигурност.

Може ли България да е киберсигурна и дългосрочно киберустойчива? Може, разбира се – задачата е решима. Но не изглежда реалистично в близко бъдеще, защото дори да започнем веднага, при мащаба на публичния сектор и натрупаните системни проблеми, резултати може да има едва след 3-4 години. А дотогава – двайсетгодишни хакери, руски агенти или просто хора, които „имат човек“ някъде, могат да правят (почти) каквото си искат.

Обобщение на теча на данни в НАП

Post Syndicated from Bozho original https://blog.bozho.net/blog/3369

Много се изговори и изписа по повод „НАПЛийкс“. Аз успях да се включа в какафонията с няколко телефонни интервюта и едно телевизионно. Но в такъв формат, дори да е по-дълго, не може да се изложи всичко в структуриран и систематизиран вид. Затова ще опитам тук.

Инцидентът

Към медиите, през имейл в безплатна руска имейл услуга, беше изпратен линк към архив са 11 GB данни от базите данни на НАП. Имаше как да се сдобия с данните, но по ред причини не съм ги разглеждал и анализирал все още – едната е, че имах доста друга работа, а другата – че все пак това са данни, които представляват защитена от закона тайна и нямам добра причина да наруша тази тайна.

По информация на хора, които са разгледали данните, вътре има ЕГН-та, три имена и осигурителни доходи на милиони граждани, номера на лични карти, както и данъчни декларации, граждански договори, а също и данни от други инстутуции – Агенция по заетостта, Агенция Митници, Агенция за социално подпомагане. Има данни за чуждестранни юридически лица, и любопитни данни, като напр. файл, озаглавен QneQnev.

Дали изтичането на тази информация е фатално – не. Дали е голям проблем – със сигурност. Ако не беше, нямаше данъчно-осигурителната информация да се ползва със специален статус (и НАП често да ползва тайната на тази информация като аргумент да не обменя данни с други институции).

Данни на почти всички български граждани са изтекли и това е огромен проблем, без значение колко се опитват някои политически фигури да го омаловажат.

Как?

Няма официална информация как е станал пробивът, но на няколко места излезе слух, че е т.нар. SQL инжекция. Това звучи правдоподобно, така че ще коментирам него. SQL инжекциите са сред най-простите уязвимости – хакерът вкарва специално подготвен текст в дадена поле и получава контрол над базата данни, защото разработчикът не е „почистил“ входните данни (и не използва т.нар. prepared statements). Ако например искаме да използваме формата за вход в системата, то можем да допуснем, че проверката на потребителското име и паролата би изглеждало така: SELECT * FROM users WHERE username={params.username} AND password={transform(params.password)}. (transform, защото паролите никога не трябва да се пазят в явен вид).

Това е псевдо-код, с който виждаме, че параметрите, подадени от потребителя се „залепят“ за заявка, която се изпълнява към базата. Е, ако хакерът вместо потребителско име попълни друга валидна заявка в полето, тя ще се изпълни. Напр. след въвеждане, заявката би изглеждала така: SELECT * FROM users WHERE username=1;CREATE PROCEDURE exfiltrate …;–AND password=…. Създадената процедура може да бъде с произволен код, който да обхожда всички бази данни и техните таблици и да ги изпраща към определен IP адрес.

В момента в който хакерът може да изпълнява произволна, избрана от него заявка към базата данни, всичко е свършило. А откриването на тази уязвимост е тривиално дори и на ръка, а има достатъчно много инструменти, които сканират и откриват автоматично такъв тип уязвимости. Всяка организация с повече от 10 души трябва да прави регулярни проверки за уязвимост на системите си, за да предотврати поне най-тривиалните атаки.

Защо?

Това е сложният въпрос. „Защото някой в НАП е некадърен или в най-добрия случай немарлив“ е простият отговор, но той не е достатъчен. „Защото в администрацията не се дават пазарни ИТ заплати“ е отговорът, който министър Горанов даде, и той е отчасти верен, но е повърхностен. Тъй като преди 3 години се занимавах именно с дългосрочното решаване на този проблем, ще споделя по-задълбочени размисли.

Длъжностите в администрацията са разписани в т.нар. Класификатор на длъжностите в администрацията. До 2016-та там нямаше ИТ длъжности (ИТ кадри бяха наемани на общи експертни позиции). Тогава предложихме изменение на класификатора, така че да включим ИТ длъжности и то на максималните възможни нива на заплащане за съответния опит. Това, разбира се, пак е много под пазарните заплати, но е някаква стъпка.

Паралелно това, с измененията в Закона за електронното управление направихме две неща. По-маловажното беше, че създадохме опция Държавна агенция „Електронно управление“ да създаде програма за привличане на експерти от частния сектор, които краткосрочно да помагат за ИТ услугите на държавата. Нещо, което и аз правех тогава, но в мащаб. Нещо подобно на американските 18F/USDS. Това, излишно е да казвам, не се случва вече 3-та година.

По-важното беше създаването със закон на Държавно предприятие „Единен системен оператор“. Идеята му е да може да дава пазарни ИТ заплати, като предоставя определени услуги на държавната администрация – технически задания, проектен контрол, тестове, в т.ч. за уязвимости, управление на поддръжката на инфраструктурата, консултиране на ключови проекти, спешни мерки по „закърпване“ на проблеми, и др. Това предприятие също 3-та година е блокирано и не се случва. Изпълнителната власт и Горанов в т.ч. като че ли осъзнаха нуждата от нещо такова след срива на Търговския регистър миналата година, но явно просветлението е било краткотрайно. И това не сме си го измислили ние – BRZ (Австрия) и GDS (Великобритания) са едни от примерите за подобни структури в Европа.

Това, че има кадърни хора е много важно условие, но не е единственото. Друг аспект са обществените поръчки и фирмите, които ги изпълняват. Резултатите там рядко са добри по много причини, които съм обсъдил в отделна статия.

Информационна сигурност

Причините за ниското ниво на информационна сигурност са човешкия фактор, който е следствие на политическа неадекватност. Но все пак има начин нещата да станат малко по-добре дори само с подходящо структурирани правила. С промени в наредбите към Закона за електронното управление въведохме редица изисквания за информационна сигурност, в т.ч. шаблон за задание за всички нови проекти. В този шаблон изрично се говори за информационна сигурност и за уязвимости от тип SQL инжекция и XSS, така че проекти, създадени по този шаблон, да са съзнателно проверени за такива уязвимости, а наличието им да се явява неизпълнение на договор. Между другото, тогава НАП бяха против някои текстове, защото те вътрешно си пишели някои системи и някои изисквания не важали за тях.

Самата уязвимост е един проблем, но защо след като хакерът е придобил контрол върху една база данни, той след това е могъл да източи толкова много други такива? Моето допускане е, че потребителят, с който уеб-приложението е ползвало базата данни, е имал пълни права върху всички бази на този сървър. Това е ужасна практика

Информационната сигурност е трудно нещо (говорил съм неведнъж за това), и не е еднократно усилие. Нужни са редица от мерки и постоянно внимание към множество детайли. Рискът никога не е елиминиран на 100%, което е видно и от ежедневните пробиви в уважавани частни компании. Но една държавна институция няма право да допуска толкова прости за изпълнение (и за предотвратяване) пробиви.

GDPR

Да, бизнесът похарчи много за да бъде в съответствие с GDPR и изведнъж държавен орган се оказа най-неподготвен. Това оставя лош вкус в устата, и е разбираемо цялото недоволство. Освен информационната сигурност, има още един аспект на GDPR, на който трябва да обърнем внимание – принципа на свеждане на данните до минимум. Иначе казано, НАП трябва да обработва само данни, които са им необходими и да ги задържа само толкова, колкото да им необходим (което е друг принцип – този на ограничение на съхранението).

В НАП, а и не само, наблюдаваме точно обратното – правят се ежедневни копия на данни от други администрации и те се пазят вечно. Винаги съм бил срещу тази практика, защото освен рисковете за теч на данните, създава и редица други рискове – напр. от неактуални данни. При електронното управление има т.нар. „първични регистри“. Те са единственият актуален и верен източник на данни и проверките трябва да се правят в реално време, а не върху техни копия. Тази практика трябва постепенно да намалее и да спре, като бъде заменена от директния обмен на данни между администрациите. Обмен, който, освен всичко друго, оставя следа – кой, кога какви данни е чел и за кого. В съответствие с принципа на отчетност на GDPR.

Дали КЗЛД ще наложи глоба на НАП или не, не знам. Дали има смисъл да се прехвърлят едни публични средства между институциите (и накрая – пак в бюджетната сметка) – също не знам. Но със сигурност НАП е трябвало да уведоми КЗЛД навреме, и съответно трябва да уведоми гражданите за теча. За целта НАП готви приложение, където всеки може да се провери дали данни са изтекли, което е добре.

Проблемът със защитата на данните е голям в световен мащаб. Всеки ден текат данни от всякакви компании. Това не е оправдание за елементарните грешки на НАП, но поставя нещата в перспектива. А GDPR е опит да намали риска това да се случи. Разбира се, GDPR не може да спре теча на данни поради немарливост. Целта му е да направи такива течове по-малко вероятни и с по-малък ефект чрез редица мерки и по-важното – чрез няколко основни принципа, с които всички участващи в изграждането и оперирането на софтуер да са наясно. Засега не е ясно дали успява да намали този риск.

Мерките?

Какви мерки могат да се вземат на този етап. Краткосрочните: спиране на уязвимата услуга (вече направено), пълен одит на сигурността на всички системи не само в системата на Министерство на финансите, ами в цялата държава. Проверка дали всички информационни системи са включени в одита на Държавна агенция „Електронно управление“ и последователната им автоматизирана проверка за уязвимости.

Средносрочните са провеждане на обучения на всички служител в ИТ дирекциите за информационна сигурност и защита на данните и запознаване с приложимата нормативна уредба, ама не само като членове и алинеи, а и какво стои зад нея. Евентуално сертифициране на всички първостепенни и второстепенни разпоредители по ISO 27001 (стандарт за информационна сигурност).

А дългосрочните мерки задължително включват повишаване на капацитета, което според мен минава най-накрая през създаване на Държавно предприятие „Единен системен оператор“. Той няма да е панацея и със сигурност ще има свои проблеми за разрешаване, но е крайно необходим.

Това, което по принцип препоръчвам всеки да направи, без значение дали данните могат да се използват директно за злоупотреба или не – да си активираме известия за движение по банкови сметки, както и за движения по партиди в търговския и имотния регистър. Само с ЕГН или дори с лична карта никой не може да ви вземе пари, имот или фирма, но по-добре човек да се застрахова, защото измамниците са изобретателни.

Комуникацията

Комуникацията на официалните лица може да се раздели на две части – от една страна тази на експертите в НАП, начело с пиара Росен Бъчваров, и от друга страна всички останали.

Комуникацията от страна на НАП беше адекватна. Максимално бързо обясниха проблема, обясниха обхвата му, обясниха защо се е случило и какви мерки са предприети. В такива ситуации така се прави – казваш фактите без да ги захаросваш, защото това не помага.

Комуникацията от страна на политическите фигури (министър, депутати, премиер) стигна до висоти на неадекватността, които могат да обобщя като „е кво толкова е станало“, „руснаците заради самолетите ни хакват“, „като има електронни услуги, ще има течове“ и „е тоа хакер колко е добър само“. Нито едно от тези послания не помага по никакъв начин, освен може би сред партийните ядра, които вече имат опорки в споровете на маса.

Хакерът

Хакерът първо беше руски, после уж го намериха и се оказа български. Първо, това, че хакер твърди, че е някакъв, не значи абсолютно нищо. Всеки може да си регистрира поща в Яндекс и да твърди каквото си иска.

Дали заловеният наистiна е извършител ще реши съдът. ГДБОП трябва да събере доказателства и от тях да следва еднозначно, че той е извършителят. Дали намереният файл, в който се съдържа името му е истински или не – не можем да кажем. Има много варианти, в които е истински. И такива, в които не е.

Ако това не беше истинският хакер, може би истинският щеше да напише писмо, с което опровергава, че е заловен. Но трябва да е от същия имейл адрес (и пак няма гаранция, че не е дал паролата на друг). Проверка по онлайн форуми показва, че потенциално уличаващи коментари изчезват, т.е. вероятно някой друг има достъп до акаунтите му.

Дали хакерът е „магьосник“, обаче, е сравнително ясно – не е. Злоупотреба с SQL инжекция може да направи почти всеки. Ако е оставил да бъде открит, значи не си е покрил добре следите.

Интересно е да се изследва архива за всякакви странности – останали метаданни на файлове, останали служебни файлове, като този, в който пише името на хакера, хедъри на изпратените писма, скриптове и логове на иззетата техника, логове на сървърите на НАП. Все неща, които ГДБОП трябва да направи и от които ще зависи в крайна сметка присъдата. На този етап човекът не невинен и последно като проверих Наказателно-процесуалния кодекс, присъди не се произнасят в интернет.

Заключение

В заключение, имаме много да научим от този инцидент. За информационната сигурност, за защитата на данните, за политическата адекватност и за дългосрочните реформи, чието неслучване води до очаквани ефекти. Такъв инцидент беше неизбежен при нивата на компетентност в администрацията. С това не казвам, че там няма никакви компетентни хора, а просто, че са малко и не могат да огреят навсякъде. Аз, например, съм кърпил системи, докато бях в Министерски съвет, но фокусът ми беше по-скоро към формулиране на решения на системните проблеми. Защото ще закърпя една система, а други три ще останат пробити.

За такива инциденти трябва да се носи политическа отговорност. Дали чрез оставки или на избори, не знам. Но всеки инцидент е следствие от нечие действие или бездействие.

Все пак, трябва да имаме предвид, че институциите ще продължават да обработват данните ни. Може би ще са по-внимателни какво събират и защо го събират, но те няма да изчезнат. И трябва да измислим как да „сглобим“ някакво базово доверие към тях. Това е работа предимно на институциите – чрез мерките, които вземат и чрез говоренето им. Но е задача и на експертите, които коментират темата. Никой няма полза от пълно сриване на доверието, колкото и скандален да е един пробив.

Все пак инцидентът е много сериозен и този път политическите ръководства трябва да разберат, че има системни проблеми за решаване, които не могат след всеки инцидент да смитат под килима. Кърпенето на дупки е до време, в един момент трябва да се подменя целият път.

Цацаров и Имотният регистър

Post Syndicated from Bozho original https://blog.bozho.net/blog/3332

Не вярвах, че ще защитавам някога Цацаров. Но казусът е прекалено интересен, за да не го коментирам.

Та, в имотния регистър, при търсене на Сотир Цацаров, излизат един апартамент, който няма продавач, а само купувач – самият Цацаров. Тъй като в събота имотният регистър беше спрян, това породи съмнения, че някой е искал да скрие нещо.

Само че данните са си там – при други търсения излизат. Т.е. едва ли става дума за заличаване на данни, а по-скоро за проблем при визуализацията ми. Дали пък някой не е добавил тайно в кода условие if (Цацаров) скрий данни;? Оказва се, че не.

Според отговор от Агенция по вписванията, който Капитал е получил, става дума за нещо доста по-тривиално, но и доста сериозно в същото време.

„акт №196, том 8 от 2007 г. е въведен в стара информационна система през 2007 г (…). В старата система са се въвеждали поотделно данни за всеки имот и лице, свързано с него, т.е. не е имало възможност да се отразяват връзки между страните в акта и имота. От приложената справка/снимка от медията ясно се виждат 3 отделни записа/генерирани справки. Това е така поради начина на въвеждане на данни в старата информационна система, а именно три отделни записа за всяка страна“

Ще опитам да го обясня на човешки език – вместо в базата данни всеки имот да е уникален запис, а всеки участник в сделката да бъде свързан към този запис, системата явно е била направена така че за сделката на Цацаров (която е била с един дарител/продавач и двама надарени/купувачи) е имало три записа – един запис „имот – Цацаров“, един запис „имот – жената на Цацаров“ и един запис „имот – дарителя/продавача“.

Пиша „дарител/продавач“, защото според Бивол и Капитал преди 7 години това е било променено в имотния регистър. Т.е. от дарение се е превърнало в продажба (защо и как е друга тема).

Ако чета отговора на Агенция по вписванията правилно, след като са мигрирани данните от старата система (която по спомен е функционирала преди повече от 10 години), те не са представени в новата като един имот, а като три имота с един и същи номер на документа. Поради което цялата информация излиза при търсене по документ, но не излиза при търсене на някоя от страните. Към момента на миграцията това може да е било приемливо решение, но описаното е изключително ужасен модел на данните, който дори не би ми хрумнал да направя. За да направи мазалото още по-тежко, това не е било винаги така – някои имоти са въвеждани по един начин, други по друг.

Така че изглежда, че този уикенд е нямало действия по скриване на информация, която така или иначе вече е била известна. Агенцията казва „то така си беше“ и съм склонен да им вярвам.

Казано на шега – лош модел на данните води до политически скандал. Но всъщност това е част от големия проблем тук. Че данните в един от най-важните регистри в държавата с в такъв вид вече над 10 години. И че агенцията не е предприела никакви мерки да ги „почисти“. Цацаров не е изолиран случай и регистърът реално не предоставя адекватна справочна информация.

Реформата в Агенция по вписванията трябваше да е започнала. Трябваше тези сриващи се регистри да бъдат закрепени отдавна, а данните в тях – почистени от проблеми като горния. Трябваше да се е случила интеграцията на имотния регистър с кадастъра. Трябваше отдавна да е преразгледан ЗКИР и имотният регистър да се превърне в истински първичен такъв (в момента водещото са хартиите, на база на които съществува той).

Паралелно с това е нужно да се гарантира интегритета на данните в такива ключови регистри. Не може да се разчита единствено на организационни мерки, които се заобикалят с „една заповед отгоре“. Макар в случая манипулация да няма (или поне тя да не е станал тази година), трябва да има технически гаранции, че манипулации е нямало никога. Квалифицирани електронни времеви печати е първа стъпка към това.

Може в случая Цацаров да не е виновен и манипулация в регистъра да няма, но Агенция по вписванията трябва най-накрая да спре да се движи по инерция. Но за това е нужен не само технически капацитет, но и политическа адекватност.

Електронното управление срещу корупцията

Post Syndicated from Bozho original https://blog.bozho.net/blog/3315

Апартаменти, тераси, къщи за гости. Скандалите, които „бушуват“ от повече от месец и могат да променят политическия пейзаж. Всички параметри на корупционните практики вече са ясни и няма нужда да ги повтарям. Иска ми се обаче да разгледам скандалите от една друга гледна точка – електронното управление.

Може би не изглежда свързано, но всъщност е ключов фактор. Първо – какво е електронното управление? То не е просто електронни услуги, те са само върхът на айсберга. Електронното управление стъпва на електронизираното събиране и съхранение на информация, и то информация имаща правно значение. С други думи, това, че имаме електронни регистри и законоустановени правила по тяхното поддържане е в основата на електронното управление.

Какво общо има това с корупцията? Да проследим как бяха установени апартаментите, терасите и къщите за гости. Свободна Европа, Антикорупционният фонд и Бивол използваха публични електронни източници – Имотния регистър, регистъра на имуществените декларации, регистъра на получилите помощи по програмата за развитие на селските райони. Без тези източници скандалите щяха да са непроверими слухове.

А имотният регистър, регистрите по оперативните програми (обединени в системата ИСУН), имуществените декларации, търговският регистър, регистърът на обществените поръчки и още един куп регистри представляват основата на електронното управление. Администрацията е длъжна да ги попълва и въздействието „отгоре“ е трудно до невъзможно. Никой не може да „пипне тайно“ информация за фирмата ви, никой не може ей така да влезе и да изтрие данни за имот в Имотния регистър. Ако декларация за имуществено състояние липсва, това само по себе си би генерирало скандал. Обществените поръчки се вписват не само в българския регистър, но се изпращат и към европейски такъв.

Но какво като са електронни – и на хартия да бяха, пак щеше да може някой да отиде и рови в информацията. Това има два аспекта. Първият е автоматизирането на работата – с данни в електронен вид могат не само да се намират по-бързо нещата, които търсиш, но неща, които не търсиш стават видими в процеса на търсенето. Вторият аспект е достъпността. Чувал съм слухове как преди въвеждането на Търговския регистър много хора спешно са излизали от органите на дружества, с които не са искали да бъдат свързвани. Защото едно е някой да отиде да рови фирменото дело в мазето на съдебната палата, друго е информация да е достъпна с няколко натискания на мишката.

Друг много важен фактор е прозрачността на информацията. Ако регистрите не бяха публични, щяха ли да са полезни? Според мен – да. Защото самото наличие на информацията в структуриран вид я прави достъпна. Да, понякога ще се налага искане по Закона за достъп до обществена информация, ще последва отказ, ще се отиде до административен съд, но накрая информацията е там. Информацията за къщите за гости не е била публична, но в крайна сметка е била намерена (и то по всичко изглежда без да „изтича“ отвътре).

Също така от непрозрачни или полу-прозрачни, регистрите могат да станат прозрачни много по-лесно. Когато преди 3 години отваряхме масиви от данни, в т.ч. Търговския регистър и регистъра на обществените поръчки в машинно-четим вид, с една малка стъпка от полу-прозрачни направихме тези регистри напълно прозрачни. Вече остарелият и неудобен потребителски интерфейс не е пречка пред търсенето на свързани фирми и съмнителни обществени поръчки, защото данните са вкарани в по-удобните за целта търсачки на Бивол. Затворени регистри понякога могат с едно изменение на наредба да станат публични. Ако не бяха събирани в електронен вид, това нямаше да е възможно.

Ако нямаше имотен регистър, апартаментите и терасите на властта нямаше да могат да бъдат открити. Съседите щяха да знаят кой живее там, но дотам. Ако нямаше регистър на имуществените декларации, нямаше да е ясно кой какво е решил да скрие. Ако нямаше регистър на получателите на средства по ПРСР, къщите за гости щяха да са само слух сред консултанти по европрограми (макар и този регистър да е бил съзнателно скриван, все пак Бивол са го открили на сайта на Държавен фонд „Земеделие“)

Да, наличието на тази информация не е достатъчно. Трябват грамотни журналисти, които да ги използват, за да откриват информация и да проверяват слухове. Защото явно органите или нямат компетенцията, или нямат мотивацията да търсят корупция. Ако беше реализирана системата за анализ на корупционния риск, може би поне първото нямаше да е в сила (системата ще обединява данни от много регистри и ще засича потенциално корупционно поведение на лица, заемащи публични длъжности). Но мотивацията за търсене на корупцията и чадърите остават.

Затова електронното управление е толкова важно. Не просто защото ще оптимизира работата на администрацията, а защото корупцията става по-трудна за извършване, а и за криене след това.

Не че е невъзможно – възможно ще е, разбира се. Но „махленската“, апартаментна, терасна и вилна корупция все по-трудно ще минава. Не че не може да има и електронна корупция – може. Ако няма адекватни технически мерки, тези регистри могат да бъдат манипулирани. Но в електронния свят манипулирането също може да оставя следа. И ако веднъж нещо бъде направено както трябва от гледна точка на защита от манипулации (като например Търговския регистър), после връщане назад няма (дори след неадекватна поддръжка и срив).

Вероятно електронното управление генерира неосъзнат страх у корупционно-зантересованите. Или може би все по-осъзнат страх. Затова е важно да го промотираме и защитаване. И ако някой, например, реши, че заради защитата на личните данни трябва имуществените декларации да бъдат скрити или Търговският регистър да бъде затворен, трябва да знаем каква точно е целта зад такова предложение.

Електронното управление звучи като някаква далечна експертна техническа тема или в добрия случай – дъвка за това как „още трябва да обикаляме по гишета и опашки“. Но всъщност е нещо много по-сериозно. Електронното управление е начин за създаване на по-стабилни и по-прозрачни институции. Нещо, което в западните държави се е случило след дълги години демократична традиция. У нас такава традиция няма и всяка институция се огъва под политическите и корупционните желания. Електронното управление, според мен, е начин да съкратим дългия път към стабилните институции, които, ако не разследват корупцията, то поне дават възможност на журналистите да го правят.

Не си въобразявам, че електронното управление ще реши всички проблеми. Но е важен и ефективен инструмент за справянето с тях. Технологията няма да ни спести демократичния процес и политическата еволюция, но може да ги направи малко по-лесни.

Борба с фалшиви лекарства по грешния начин

Post Syndicated from Bozho original https://blog.bozho.net/blog/3263

Вчера прочетох новина, че половината аптеки в България трябвало да затворят на 9-ти февруари, защото нямало да отговарят на европейска директива.

Става дума за директивата за верифициране на лекарства с цел борба с фалшиви такива, при която всеки производител на лекарства ги вкарва в една база данни, а всяка аптека или болница, която ги (про)дава на краен потребител, ги верифицира в системата преди да ги даде.

Първото двуминутно проучване показа, че директивата е от 2011-та и какво по дяволите са правили всички 8 години, не им е виновен ЕС за това.

После обаче се разрових в темата, и… Европейската комисия е сътворила една тъпотия, за която не можем да обвиняваме българските аптеки. Тъпотия, която не е изключено да е примесена и с корупция, за да може едни фирми да си доставят софтуера за националните звена на системата на 28 държави-членки.

Та, това на пръв поглед просто за техническа реализация решение, е толкова усложнено, че според мен едвам е заработило и поддръжката му ще бъде ужас. Направили са централен EU Hub, и 28 национални системи, които да се синхронизирт с този hub. Защо това е нужно и защо е задължително? На теория, защото държавите-членки са суверенни и трябва да имат базата си данни. На практика няма нужда. Която държава желае, може да има копие „за четене“ на данните. Така или иначе производителите ги публикуват в централната система. Ако пък идеята е била да се разтовари централната система от заявки за проверка – не звучи като добра идея да създадеш организационно усложнение, за да си спестиш централизираното управление на няколко десетки сървъра.

Българската организация, която въвежда системата си е свършила прилично работата – една от първите държави сме, която въвежда националната система, използвали са одобрен доставчик, провели са кампании, изпращали са писма, отчели са колко са получени и по какви причини. С URL-а не са се справили, де.. nbsbgiqe1.emvs-nbs.eu:8637 не е точно удобен за въвеждане.

Но тук идва фундаменталният проблем – би трябвало една такава система да има интерфейси, базирани на отворени стандарти (или дори да не са стандарти, да са публично-достъпни и утвърдени от ЕК).

Аз за 1 час търсене не успях да намеря такива. Допускам дори, че двата различни доставчика имат различни интерфейси. Единият (който се ползва в други държави), позволява след регистрация да получиш някаква документация. Но дали интерфейсите са същите? И защо не са просто отворени, а регистрацията да се изисква само за ползване на Sandbox.

Но да се върнем на аптеките. На по-малките такива би им било напълно достатъчно едно безплатно приложение за смартфон, с който да сканират баркодове и приложението да изпраща данните за верификация. Приложение, което може да се направи за 2 дни.

Само че такова няма. Пардон, има едно, но то е от доставчик, който се връзва не към националната система директно, а към своя, от която пък изпраща данните на националните. И иска пари за това, разбира се. 220 лв годишно (за до 1000 лекарства на месец) и 660 лв годишно без ограничения може и да е добра оферта. (Но не съм сигурен има ли български превод). Приложението го няма в play store-a. А, има и един сайт на фирмата-доставчик на националната система, откъдето можели да се правят проверки. verilite.eu .. ако намерите бутон за регистрация, кажете.

Отворените интерфейси биха дали възможност за по-висока степен на конкуренция, и за това малките аптеки да бъдат покрити с безплатни приложения. Обаче ЕК е оставила всичко на доставчиците и националните организации (които не са публични органи, а сдружения) и сега всичко е една мъгла от споразумения, скрити регистрации, одобрения, и пълна липса на документация. Одобрението не трябва да е на ниво „достъп до интерфейсите“, а на ниво аптека – всеки фармацевт се регистрира и получава одобрени да сканира. През какъв софтуер точно ще го прави, няма значение, стига да спазва протокола.

Та от чудесната идея да проследяват лекарства и да се борят с фалшиви такива, които реално струват животи, ЕК изглежда е създала едно ИТ чудовище, което не просто ще вдигне разходите на аптеките, ами ще им стесни избора на софтуер, с който да оперират.

Въпреки първоначалната ми реакция „какво чакаха 8 години“, сега бих подкрепил искането на аптеките за отлагане на крайния срок. И бих поискал от ЕК да си оправи подхода и повече да не прави хубави неща по грешния начин.

Да поговорим за ИТ фирмите и обществените поръчки

Post Syndicated from Bozho original https://blog.bozho.net/blog/3254

Покрай поръчката за тол системата и електронните винетки, както и преди това покрай падането на Търговския регистър, както и винаги, когато има някакъв публично видим проблем с някоя държавна или общинска информационна система, често се срещаше тезата за некадърните фирми, които правят обществени поръчки и как само някоя читава фирма да вземе поръчка, всичко ще е наред.

Отдавна си мисля да напиша нещо по въпроса и ще използвам случая. Няма обаче да споменавам фирми и да ги класифицирам като добри или лоши, защото, както ще видим по-долу, нещата изобщо не са черно-бели. Може би ни се иска да се направи един черен списък на фирми, на които да не се дават обществени поръчки и всичко ще си дойде на мястото. Само че факторите са доста повече – ще опитам да ги събера в списък, без да опитвам да ги подреждам по важност.

А този въпрос е важен, защото в крайна сметка реализацията

  • Некадърни фирми – да, ясно е, че има такива и то немалко – фирма с 1 старши разработчик и 7-8 младши за колкото може по-малки заплати, да наливат код, и все нещо ще излезе. Старшият разработчик ще следи процеса, и готово. Той самият може да не е достатъчно добър, но поне има опит. След това тези младши разработчици се изстрелват при първа по-адекватна възможност, защото виждат какъв ужас е. Има и други фирми – които си имат разработчици и мениджъри с опит, но просто никога не са правили софтуер както трябва. Винаги е било с процес „каубойско писане на код“, и „мазане“ – без оглед за производителност, информационна сигурност, удобство… и все някой друг е виновен. Някои не ползват контрол на версиите, не знаят какво е уеб-услуга и като цяло – останали са в 90-те. Виждал съм такива неща, че и за курсов проект не стават.
  • „Окопани“ фирми – когато „гаражна“ фирма е направила някакъв софтуер преди 20 години, който е успяла с някакви връзки да пробута я на някоя община, я на някоя областна или централна администрация, и после само тя може да го надгражда или поддържа. Промяната така или иначе е трудна, но дори при опит от страна на администрацията да се смени софтуера, има тежък отпор, който понякога стига до това да не се дава базата данни за миграция към евентуална нова система или пък до абсурдни твърдения, че фирмата има авторско право върху информацията в базата данни. Такива примери има твърде много и те са сериозен фактор.
  • Корупция – да, ясно е, че корупция има. И то доста. Някои фирми са „установени“ в някои администрации не просто заради предишен опит, ами и по линия на някакви политически връзки. Това го разбрах с почти челен сблъсък със системата на корупция – в една фирма, в която работех за кратко, едни шеф ме помоли да отида в едно министерство и да участвам в работна група по писане на задание. За поръчка, която явно е трябвало да спечелим. Трябваше ми около половин ден да загрея за какво точно става дума, но на въпроса „значи аз трябва да се правя на независим експерт и да напиша задание, по което после ние да кандидатстваме и да спечелим“ отговорът беше „Ами да. Те всички така правят“. Отказах да го направя (имайки лукса на гъвкавия и гладен софтуерен пазар), и в крайна сметка поръчката така и не се случи, но важното беше, че „всички така правят“. В случаите, когато фирмите не си пишат сами заданията, им ги пишат приятелски фирми, а след това се редуват. И после като резултатът е зле – „ами то така пишеше в заданието“. (Периодично има по някой скандал с това, че в метаданните на документите за някоя поръчка пише като автор – служител на някой от кандидатите). Противно на очакванията, обаче, не мисля, че ако махнем корупцията, всичко ще цъфне и върже. Останалите проблеми ще са налице и няма да позволят магическия прогрес (това не значи, че не трябва да се борим против нея, естествено). Корупцията има и друг аспект – фирми, които не са „в играта“ не кандидатстват, защото не знаят дали поръчката не е нагласена за някого. Нерядко стои въпросът „абе тая поръчка гласена ли е за някого или да участвам?“.
  • Недостатъчен капацитет – някоя фирма може да е добра, но да се е надценила и е кандидатствала по повече поръчки, отколкото може да поеме, но пък е взела, че ги е спечелила, и сега се чуди как да ги изпълни. Приоритизира един, забавя друг, наема хора „от кол и въже“, колкото да спази сроковете.
  • Остарели основни системи – когато основните ти системи са остарели и нямам как да направиш адекватна интеграция с тях, задачи, които са изглеждали лесни, стават доста трудни. Примери много, но да вземем МВР, където доскоро имаше стара система за регистрация в КАТ. На база на тази система нови функционалности, оптимизиране на процеси и други неща нямаше как да станат, или поне не лесно. Имаше един регистър, който е правен през 90-те. Доста неща зависеха от него, но просто нямаше как да се интегрират. И съответно интеграцията с него става „ръчно“. Примерите с носене на флашки рядко са заради липса на мрежда – по-често са заради стари системи без никакви точки за интеграция
  • Лоши задания – дори когато сме извън сценария „изпълнителят сам си пише заданието“, заданията са лоши. Администрацията рядко има капацитет да напише адекватно задание. Или копира от стари задания, или възлага на някой консултант да го напише (който я разбере за какво е поръчката, я не…а и да разбере, предава нещо полу-грамотно, което после трябва да се пише от нулата). А резултатът зависи в немалка степен от заданието – фирмите, разбираемо, често си дават зор повече от това, което се изисква от тях (има и похвални изключения). И съответно могат да свършат и чудесна работа, и никаква работа – зависи какво им се търси. Именно заради проблема със заданията въведохме две мерки. Едната е шаблонно задание с всички настъпвани през годините „мотики“, така че да не се правят нещата грешно. Разбира се, шаблонът допуска редакции за конкретния случаи (напр. ако системата не предполага пълнотекстово търсене, такова няма нужда да се изисква), но като цяло ограничава полето за ТНТМ-та. Другата мярка беше Държавно предприятие „Единен системен оператор“, което да поеме писането на задания (както и други дейности по проектите). Второто така и не се е случило все още.
  • Лошо управление на проектите от възложителя – това често е голям проблем. Може фирмата да има доброто желание и капацитета да направи проекта както трябва, но в администрацията просто няма никой, който да знае как се движи проект. Това беше още една причина, поради която въведохме Държавно предприятие, а също така и кратко преживял Project management office в Администрацията на Министерския сътвет. И двете в момента отсъстват и затова нещата се движат от редови служители в администрацията, които в добрия случаи са викали неволята достатъчно много пъти и горе-долу знаят как се управлява проект. В лошия (и вероятно по-масов) случай просто разписват протоколи и приемат проекта. Има десетки неща, за които възложителят има задължения – да осигури права за интеграция с други системи, да осигури хардуер (ако такъв не е заложен), да осигури помещения за хардуера (ако такъв е заложен), да осигури уточнения по изискванията на нормативната уредба в частта с бизнес анализа, и т.н. Има и друг тип проблеми – възложителят да има необмислени изисквания и да държи на тях, въпреки съветите на изпълнителя – напр. „това на уебсайта трябва да е точно както е на хартия“.
  • Независещи от никого обстоятелства – често срещан пример е срокове по някой закон (или Регламент на ЕС), които администрацията е опитала да спази в срок, ама заради тромави процедури, обжалвания, събаряне на търгове, КЗК, ВАС (малко корупцийка, съответно), нещата не са се получили. И когато все пак се стигне до изпълнение на проект, сроковете вече са „за вчера“, обаче политическият натиск расте, и съответно резултатът се приема с едно затворено око и едно гледащо в другата посока.
  • Липса на политическа подкрепа – един проект може да бъде неглижиран от политическото ръководство и това да го направи невъзможен за изпълнение. Например често се налага изменение на някоя наредба или заповед, за да може да се използват всички възможности на софтуера. Обаче ако никой от политическият кабинет „не даде едно рамо“, наредбата си остава от 94-та и програмистите псуват какви глупости ги карат да правят
  • ЗОП – на последно място, но изобщо не по важност, Законът за обществените поръчки е неподходящ за софтуерни проекти. Прекалено е бюрократичен и предполага до голяма степен т.нар. waterfall модел, което предполага много ниска гъвкавост. Освен всичко друго, за кандидатстване по процедура по ЗОП, фирмата трябва да има хора, които могат да се оправят с бюрократичния процес (който с новата директива е малко по-добър, но все пак изисква познаване на процедурите и опит с писане на документи). Как да напишеш офертата и техническото предложение, така че да покрият критериите за оценка, как да се вместиш в сроковете за кандидатстване. Ако нямаш опит със ЗОП, т.е. ако предимно работиш за частни клиенти, например извън България, то едва ли имаш голям шанс в една процедура по ЗОП. Съответно пък по ЗОП не можеш да оцениш реално кандидатите – всичките имат сертификати, всичките имат годишен оборот и всички ще напишат в техническото си предложение, че ще изпълнят всичко. И особено ако администрацията не е достатъчно технически грамотна, няма да може да оцени кой е вникнал повече в заданието и е разписал по-адекватно предложение. Бях предложил преди време като част от документацията по кандидатстване, да се представя код от предходни проекти, на база на който да се извличат някакви метрики – качество на кода, покритие с тестове и др. Само че „по ЗОП не може“.

И да, не можем просто да посочим една фирма и да кажем „вие сте виновни“, защото те пък може да са си свършили работата съвестно, да имат много добри експерти и да имат доста добри други проекти, в т.ч. в частния сектор, просто в един конкретен проект цялата съвкупност от други фактори да е била против тях. Може и да е била някоя фирма, я родена от партийни касички, я допринасяща за партийни касички, я на някое бивше ченге, в която просто не биха се заседели кадърни технически експерти. А може и да е някъде по средата – средно-кадърна фирма, в средно-важен проект, със средно-кадърна администрация… и съответно произвеждаща посредствени резултати. Но тук идва въпросът „спрямо какво“. Спрямо перфектния резултат, или спрямо хартиената джунгла, която е била преди това?

Тези проблеми далеч не са в сила само за администрацията – в частния сектор провалени проекти и проекти с незадоволителни резултати са масови. Помня като в една друга фирма бяха наели 3 екипа от Аржентина да ни „помагат“ и накрая им пренаписвахме всичко и проектът продължи година повече, отколкото трябваше. Софтуерът не е асфалт, да го налееш и да си ходиш (опростявам, разбира се – пътното строителство не е просто да излееш асфалт). Има много „движещи се части“, които могат да се объркат и много човешки фактор.

С това не искам да кажа, че всичко е нормално и да си стои така – както отбелязах по-горе опитахме да въведем мерки, които да подобрят нещата. Дали ще успеят, зависи от тяхното прилагане. И въвеждане на още мерки, на допълнителни обучения на администрацията, на премахване на корупцията.

Но със сигурност няма да стане ако просто глобим едни фирми и ги сложим в черен списък (не че за някои не би ми се искало). Защото после няма да има кой да се явява. И като се намери кой, няма никаква гаранция, че резултатът няма да е същият. (А фирмите, които правят проекти „за навън“, като видят как се работи с администрацията, може и да се откажат)

Може би е звучало странно как в текста по-горе едновременно критикувам и подкрепям както фирмите, така и администрацията. Защото всеки случай е различен, има много некадърни хора, има и много хора, които искат да си свършат работата. Със сигурност настоящото положение не е добро и реформата трябва да се продължи – с повишаване на капацитета на администрацията за възлагане, управление и контролиране на проекти. А изпълнителите ще се нагодят.

Електронна държава [презентация]

Post Syndicated from Bozho original https://blog.bozho.net/blog/3251

Преди месец изнесох презентация във Велико Търново и Варна на тема „Електронна държава“. Идеята беше да разкажа какво има, какво трябва да стане съгласно заложените в закони и стратегии идеи, какво не е станало и защо. И също така – какво е електронното управление и защо е важно.

Слайдовете можете да разгледате тук:

В общи линии, нещата се случват по-бавно отколкото би ми се искало, а някои ключови (и отключващи) проекти – като електронната идентификация и системата за създаване на регистри – се отлагат и бавят твърде много.

Основната ми теза в крайна сметка е, че електронното управление не е просто улеснение за разглезени жълтопавтници, нито е просто оптимизация на процесите в администрацията. Електронното управление е средство, чрез което държавата да стане по-прозрачна, по-некорумпирана и по-малко натрапваща се в живота на гражданите със своята бюрокрация. И не на последно място – по-ориентирана към бъдещето.

Без регистри идва хаос

Post Syndicated from Bozho original https://blog.bozho.net/blog/3245

Често разбираме колко е важно нещо чак когато спре да го има. Такъв беше примерът с Търговския регистър – бяхме свикнали всичко да е достъпно онлайн, да можем да проверяваме актуалното състояние на фирма, без да разнасяме хартиени удостоверения, да подаваме онлайн документи за регистрация и промяна на обстоятелства за дружества.

Докато през август регистърът не спря за повече от две седмици. И тогава се оказа, че не могат да се осъществяват сделки, че някои фирми не могат да превеждат заплати. Търговският оборот не спря, но беше затруднен заради липсата на регистъра.

Регистърът „оцеля“ и ни остави важна поука – че публичните регистри са изключително важни и тяхната липса създава хаос. Търговският регистър е един от най-важните, но далеч не е единствен. Други ключови за държавата регистри са Националната база данни „Население“, поддържана от ГД „ГРАО“, имотният регистър, кадастърът, регистърът на МПС, регистърът на особените залози, кредитният регистър, регистърът на обществените поръчки, регистърът на акционерите към Централния депозитар. И още стотици секторни регистри и регистърчета – в сектор „Здравеопазване“, в сектор „Правосъдие“, в сектор „Туризъм“ и т.н.

Тези регистри не са просто следствие от желанието на държавата да контролира всички аспекти на обществения живот. Те до голяма степен допринасят за повече прозрачност и по-голямо спокойствие на участниците. Търговският регистър например ни гарантира, че правим бизнес с истинските представители на съответното дружество. Имотният регистър ни позволява да знаем пълната история на един имот. Регистърът на МПС позволява (макар и неефективно реализиран към момента) контрол на правилата за движение и съответно безопасността на участниците. Кредитният регистър позволява на банките да правят по-добра преценка за своите кредитополучатели. Регистърът на населението пък е необходимо условие за каквото и да било електронно управление.

Немалка част от всички регистри се водят и на хартия, но в дългосрочен план хартията ще отпадне. Това означава, че поддържането на дигиталната инфраструктура става все по-важна задача. За съжаление, много от тези регистри имат съществени проблеми – с поддръжката, с архитектурата, със сигурността и с прозрачността.

По всичко изглежда, че Търговският регистър „падна“, защото поддръжката му е била управлявана изключително зле. Други регистри са разработени по начин, който не предполага голямо натоварване – каквото би имало при работещо електронно управление. Сигурността на данните в регистрите също е спорна – криптирани ли са данните, кой има достъп, кой може да променя данни, оставя ли това следа? Не на последно място е прозрачността – регистрите уж са електронни, но не предоставят достатъчно информация публично или пък я предоставят по твърде неудобен и бюрократичен начин.

За решаване на всички тези проблеми има нормативна уредба (закони и наредби), стратегии и проекти. Но не бихме могли да кажем, че нещата се подобряват. В случаи като този с Търговския регистър може би дори се влошават – такъв сериозен срив се случва за първи път.

Проблемът в крайна сметка се корени не просто в експертизата, която държавата няма, или в невъзможността да контролира и използва външната експертиза, която си купува. Проблемът е в неразбирането на важността и критичността на тези регистри на политическо и управленско ниво.

Един регистър не е просто тетрадка с няколко графи, каквито вероятно са представите на много хора, не е дори и проста база данни с няколко колони. Регистрите са сложна система от данни и процеси, от софтуер и хардуер. Система, в която трябва да се прилагат настоящите добри практики и която има нужда от постоянно осъвременяване.

Регистрите, особено някои, са необходими както за електронното управление, така и за гражданския и търговския оборот. И тяхното неглижиране и неразбиране е проблем без тривиално решение.

(статията е първоначално публикувана в сп. Мениджър)