Tag Archives: електронно управление

Киберсигурна работа

Post Syndicated from Bozho original https://blog.bozho.net/blog/3389

Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш телевизора – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха НАП, вицепремиер със сертификат за компютърна грамотност заяви, че е достатъчно квалифицирана да ръководи съвет по въпроса, а явно сега ще искаме такъв ресор в Европейската комисия.

Макар че вече съм писал веднъж за киберсигурността, ми се ще да разгледам темата малко повече, особено от гледна точка на публичните институции и накрая ще опитам да отговоря на въпроса „може ли България да е киберсигурна“

Имаме стратегия за киберустойчива България, която не мисля, че се спазва, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има абстрактни организационни мерки (той е транспонирана европейска директива, така че не е по наша инициатива). Имаме наредба към този закон, която е доста причлина, но между съществуването на добра наредба и нейното прилагане има разлика. Имаме и шаблон на техническо задание, което всички нови системи трябва да ползват. Там сме се постарал да опишем възможно най-много неща, които изпълнител и възложител изрчно да проверят – уязвимости като тази в НАП, напр, също са там.

Както стана ясно от теча в НАП, а и от редица пробиви напоследък, нивото на киберсигурност е ниско. (Някои пробиви не стават публично достояние, но можем да питаме govcert-а, звеното за реакция при киберинциденти, колко сигнала за уязвимости е приел). За да имаме пълна картина колко зле са нещата, трябва да един пълен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което вече знаем – че нивото е ниско.

В допълнение на въпроса по-горе, ще отговоря и на още три: „защо системите са уязвими“, „кой може да злоупотреби с това“ и „какво може да се направи“

  • Системите са уязвими по две причини. Първата е, че по принцип е трудно да се поддържат сигурни системи. Дори да е била сигурна в един момент, нещата се променят, оттриват се неизвестни досега уязвимости на компоненти, от които зависи самата система. Затова проактивно обновяване, следене за уязвимости и комбинация от много други мерки са начинът да има по-сигурни системи, но дори това невинаги е достатъчно. Втората причина е, че системите в държавата с много ниско качество (в общия случай). Пишат ги фирми с не особено кадърни хора (защото и малкото кадърни по темата са отишли на по-високи заплати другаде, където не се разчита на обществени поръчки), приемат ги хора, които нямат идея какво приемат, и няма кой да следи този процес да бъде по-адекватен. Дори да има наредби, шаблони и хипотетични санкции, просто няма хора. Наскоро имаше система, разработвана по шаблона за задание. Дори като никога беше спазен закона и кодът беше отворен. И какво имаше там – SQL инжекция. Поправена след съответния сигнал (нагледен пример за ползите кодът да е отворен), но най-базовата грешка при работа с база данни, за която изрично има предупреждение в заданието, беше допусната. В 13 от последните 15 години тези наредби и шаблони ги е нямало, а системите, които се ползват, са на толкова.
  • Кой може да злоупотреби с това – всеки. Причините са няколко. Комерсиални – напр. е полезно за една компания да има данните от Национална база данни „Население“; геополитически – някои държави не одобряват определени решения, които нашата е взела или предстои да вземе, и съответно включват киберарсенала си; „някои хора просто искат да гледат как света гори“ – хакване заради самото хакване и заради деструктивния ефект. Първите могат да разчитат не на експлоатиране на уязвимости, а на корумпирани вътрешни хора, чрез които да източат данните – това също е част от киберсигурността, която включва както външни, така и вътрешни „атаки“.
  • Може да се направи много – да се прилага по-стриктно нормативната уредба, да се използват различни механизми за привличане на по-компетентни хора (вкл. с по-високо заплащане), да се обучават по-активно хората в публичния сектор, да се затегнат вътрешните механизми за контрол на достъпа на служители. Имаше предложения за по-големи наказания в Наказателния кодекс, но според мен това няма да работи – хакерите или не познават НК и той не ги спира, или си мислят, че си прикриват следите достатъчно добре, че да са неоткриваеми. Или и двете.

Сложен въпрос, на който в индустрията се опитва да даде смислен отговор е „какво пък толкова може да стане“. По принцип всичко, но дали може да има дигитален катаклизъм и дали ако няма е нужно да инвестираме в киберсигурност е отворена тема. Засега консенсусът е, че е нужно повече. Повече познание, повече хора, повече инструменти, повече инвестиции.

Киберсигурността е състезание с „лошите“ и включва множество мерки. Не може да се реши просто като си купиш едно устройство или един софтуер (макар че това може да помогне). Най-важният ресурс и тук са хората, които да знаят какви са мерките, да имат уменията да ги приложат в усложнен контекст (процедури по ЗОП и политическа неадекватност), да знаят как да използват и конфигурират наличните инструменти. И това да не са просто двама-трима души тук-там, а да е системно решение.

Дотук би трябвало да е ясно, че нещата не изглеждат розово. Няма хора, няма адекватни доставчици, „лошите“ могат да разполагат с големи ресурси, а защитата е фундаментално трудна задача.

Лесно решениие няма. Със сигурност съвет по киберсгурност, еврокомисар по киберсигурност, закон за киберсигурност и други подобни не са решението. Някои от тях са небезполезни стъпки, други – отбиване на номера, трети – политически опортюнизъм.

Решението е същото, като в една голяма корпорация – висшият мениджмънт да осъзнае критичността на проблема и да насочи ресурси на там. Не, не да купим още техника, която няма кой да конфигурира, а да подредим така пъзела, че да ма хора с мотивация, да има финансов ресурс за това (а не за петорно надценен нов уебсайт, например).

Висшият политически мениджмънт не осъзнава нищо от това. За вицепремиер, отговорен за това, е поставен не човек с управленски опит и с опит в дигитална трансформация (не непременно технически), а някой, който просто се е оказал там по стечение на обстоятелствата. В същото време всички механизми, предвидени законите, за привличане и задържане на повече хора, отпадат един по един. Това е лош сигнал за всички (освен за хакерите). И ако искаме да имаме еврокомисар по киберсигурност, първо може би трябва да имаме някаква вътрешна адекватност по темата. И след като я имаме, успешният ръководител на това усилие да стане еврокомисар.

Дори киберсигурността е повече човешки, отколкото технически проблем. По-скоро управленски и политически, отколкото експертен. Експертната част е трудна и много интересна, но сме много далеч от тази част в публичния сектор. Тепърва трябва да направим първата копка на реалната киберсигурност.

Може ли България да е киберсигурна и дългосрочно киберустойчива? Може, разбира се – задачата е решима. Но не изглежда реалистично в близко бъдеще, защото дори да започнем веднага, при мащаба на публичния сектор и натрупаните системни проблеми, резултати може да има едва след 3-4 години. А дотогава – двайсетгодишни хакери, руски агенти или просто хора, които „имат човек“ някъде, могат да правят (почти) каквото си искат.

Обобщение на теча на данни в НАП

Post Syndicated from Bozho original https://blog.bozho.net/blog/3369

Много се изговори и изписа по повод „НАПЛийкс“. Аз успях да се включа в какафонията с няколко телефонни интервюта и едно телевизионно. Но в такъв формат, дори да е по-дълго, не може да се изложи всичко в структуриран и систематизиран вид. Затова ще опитам тук.

Инцидентът

Към медиите, през имейл в безплатна руска имейл услуга, беше изпратен линк към архив са 11 GB данни от базите данни на НАП. Имаше как да се сдобия с данните, но по ред причини не съм ги разглеждал и анализирал все още – едната е, че имах доста друга работа, а другата – че все пак това са данни, които представляват защитена от закона тайна и нямам добра причина да наруша тази тайна.

По информация на хора, които са разгледали данните, вътре има ЕГН-та, три имена и осигурителни доходи на милиони граждани, номера на лични карти, както и данъчни декларации, граждански договори, а също и данни от други инстутуции – Агенция по заетостта, Агенция Митници, Агенция за социално подпомагане. Има данни за чуждестранни юридически лица, и любопитни данни, като напр. файл, озаглавен QneQnev.

Дали изтичането на тази информация е фатално – не. Дали е голям проблем – със сигурност. Ако не беше, нямаше данъчно-осигурителната информация да се ползва със специален статус (и НАП често да ползва тайната на тази информация като аргумент да не обменя данни с други институции).

Данни на почти всички български граждани са изтекли и това е огромен проблем, без значение колко се опитват някои политически фигури да го омаловажат.

Как?

Няма официална информация как е станал пробивът, но на няколко места излезе слух, че е т.нар. SQL инжекция. Това звучи правдоподобно, така че ще коментирам него. SQL инжекциите са сред най-простите уязвимости – хакерът вкарва специално подготвен текст в дадена поле и получава контрол над базата данни, защото разработчикът не е „почистил“ входните данни (и не използва т.нар. prepared statements). Ако например искаме да използваме формата за вход в системата, то можем да допуснем, че проверката на потребителското име и паролата би изглеждало така: SELECT * FROM users WHERE username={params.username} AND password={transform(params.password)}. (transform, защото паролите никога не трябва да се пазят в явен вид).

Това е псевдо-код, с който виждаме, че параметрите, подадени от потребителя се „залепят“ за заявка, която се изпълнява към базата. Е, ако хакерът вместо потребителско име попълни друга валидна заявка в полето, тя ще се изпълни. Напр. след въвеждане, заявката би изглеждала така: SELECT * FROM users WHERE username=1;CREATE PROCEDURE exfiltrate …;–AND password=…. Създадената процедура може да бъде с произволен код, който да обхожда всички бази данни и техните таблици и да ги изпраща към определен IP адрес.

В момента в който хакерът може да изпълнява произволна, избрана от него заявка към базата данни, всичко е свършило. А откриването на тази уязвимост е тривиално дори и на ръка, а има достатъчно много инструменти, които сканират и откриват автоматично такъв тип уязвимости. Всяка организация с повече от 10 души трябва да прави регулярни проверки за уязвимост на системите си, за да предотврати поне най-тривиалните атаки.

Защо?

Това е сложният въпрос. „Защото някой в НАП е некадърен или в най-добрия случай немарлив“ е простият отговор, но той не е достатъчен. „Защото в администрацията не се дават пазарни ИТ заплати“ е отговорът, който министър Горанов даде, и той е отчасти верен, но е повърхностен. Тъй като преди 3 години се занимавах именно с дългосрочното решаване на този проблем, ще споделя по-задълбочени размисли.

Длъжностите в администрацията са разписани в т.нар. Класификатор на длъжностите в администрацията. До 2016-та там нямаше ИТ длъжности (ИТ кадри бяха наемани на общи експертни позиции). Тогава предложихме изменение на класификатора, така че да включим ИТ длъжности и то на максималните възможни нива на заплащане за съответния опит. Това, разбира се, пак е много под пазарните заплати, но е някаква стъпка.

Паралелно това, с измененията в Закона за електронното управление направихме две неща. По-маловажното беше, че създадохме опция Държавна агенция „Електронно управление“ да създаде програма за привличане на експерти от частния сектор, които краткосрочно да помагат за ИТ услугите на държавата. Нещо, което и аз правех тогава, но в мащаб. Нещо подобно на американските 18F/USDS. Това, излишно е да казвам, не се случва вече 3-та година.

По-важното беше създаването със закон на Държавно предприятие „Единен системен оператор“. Идеята му е да може да дава пазарни ИТ заплати, като предоставя определени услуги на държавната администрация – технически задания, проектен контрол, тестове, в т.ч. за уязвимости, управление на поддръжката на инфраструктурата, консултиране на ключови проекти, спешни мерки по „закърпване“ на проблеми, и др. Това предприятие също 3-та година е блокирано и не се случва. Изпълнителната власт и Горанов в т.ч. като че ли осъзнаха нуждата от нещо такова след срива на Търговския регистър миналата година, но явно просветлението е било краткотрайно. И това не сме си го измислили ние – BRZ (Австрия) и GDS (Великобритания) са едни от примерите за подобни структури в Европа.

Това, че има кадърни хора е много важно условие, но не е единственото. Друг аспект са обществените поръчки и фирмите, които ги изпълняват. Резултатите там рядко са добри по много причини, които съм обсъдил в отделна статия.

Информационна сигурност

Причините за ниското ниво на информационна сигурност са човешкия фактор, който е следствие на политическа неадекватност. Но все пак има начин нещата да станат малко по-добре дори само с подходящо структурирани правила. С промени в наредбите към Закона за електронното управление въведохме редица изисквания за информационна сигурност, в т.ч. шаблон за задание за всички нови проекти. В този шаблон изрично се говори за информационна сигурност и за уязвимости от тип SQL инжекция и XSS, така че проекти, създадени по този шаблон, да са съзнателно проверени за такива уязвимости, а наличието им да се явява неизпълнение на договор. Между другото, тогава НАП бяха против някои текстове, защото те вътрешно си пишели някои системи и някои изисквания не важали за тях.

Самата уязвимост е един проблем, но защо след като хакерът е придобил контрол върху една база данни, той след това е могъл да източи толкова много други такива? Моето допускане е, че потребителят, с който уеб-приложението е ползвало базата данни, е имал пълни права върху всички бази на този сървър. Това е ужасна практика

Информационната сигурност е трудно нещо (говорил съм неведнъж за това), и не е еднократно усилие. Нужни са редица от мерки и постоянно внимание към множество детайли. Рискът никога не е елиминиран на 100%, което е видно и от ежедневните пробиви в уважавани частни компании. Но една държавна институция няма право да допуска толкова прости за изпълнение (и за предотвратяване) пробиви.

GDPR

Да, бизнесът похарчи много за да бъде в съответствие с GDPR и изведнъж държавен орган се оказа най-неподготвен. Това оставя лош вкус в устата, и е разбираемо цялото недоволство. Освен информационната сигурност, има още един аспект на GDPR, на който трябва да обърнем внимание – принципа на свеждане на данните до минимум. Иначе казано, НАП трябва да обработва само данни, които са им необходими и да ги задържа само толкова, колкото да им необходим (което е друг принцип – този на ограничение на съхранението).

В НАП, а и не само, наблюдаваме точно обратното – правят се ежедневни копия на данни от други администрации и те се пазят вечно. Винаги съм бил срещу тази практика, защото освен рисковете за теч на данните, създава и редица други рискове – напр. от неактуални данни. При електронното управление има т.нар. „първични регистри“. Те са единственият актуален и верен източник на данни и проверките трябва да се правят в реално време, а не върху техни копия. Тази практика трябва постепенно да намалее и да спре, като бъде заменена от директния обмен на данни между администрациите. Обмен, който, освен всичко друго, оставя следа – кой, кога какви данни е чел и за кого. В съответствие с принципа на отчетност на GDPR.

Дали КЗЛД ще наложи глоба на НАП или не, не знам. Дали има смисъл да се прехвърлят едни публични средства между институциите (и накрая – пак в бюджетната сметка) – също не знам. Но със сигурност НАП е трябвало да уведоми КЗЛД навреме, и съответно трябва да уведоми гражданите за теча. За целта НАП готви приложение, където всеки може да се провери дали данни са изтекли, което е добре.

Проблемът със защитата на данните е голям в световен мащаб. Всеки ден текат данни от всякакви компании. Това не е оправдание за елементарните грешки на НАП, но поставя нещата в перспектива. А GDPR е опит да намали риска това да се случи. Разбира се, GDPR не може да спре теча на данни поради немарливост. Целта му е да направи такива течове по-малко вероятни и с по-малък ефект чрез редица мерки и по-важното – чрез няколко основни принципа, с които всички участващи в изграждането и оперирането на софтуер да са наясно. Засега не е ясно дали успява да намали този риск.

Мерките?

Какви мерки могат да се вземат на този етап. Краткосрочните: спиране на уязвимата услуга (вече направено), пълен одит на сигурността на всички системи не само в системата на Министерство на финансите, ами в цялата държава. Проверка дали всички информационни системи са включени в одита на Държавна агенция „Електронно управление“ и последователната им автоматизирана проверка за уязвимости.

Средносрочните са провеждане на обучения на всички служител в ИТ дирекциите за информационна сигурност и защита на данните и запознаване с приложимата нормативна уредба, ама не само като членове и алинеи, а и какво стои зад нея. Евентуално сертифициране на всички първостепенни и второстепенни разпоредители по ISO 27001 (стандарт за информационна сигурност).

А дългосрочните мерки задължително включват повишаване на капацитета, което според мен минава най-накрая през създаване на Държавно предприятие „Единен системен оператор“. Той няма да е панацея и със сигурност ще има свои проблеми за разрешаване, но е крайно необходим.

Това, което по принцип препоръчвам всеки да направи, без значение дали данните могат да се използват директно за злоупотреба или не – да си активираме известия за движение по банкови сметки, както и за движения по партиди в търговския и имотния регистър. Само с ЕГН или дори с лична карта никой не може да ви вземе пари, имот или фирма, но по-добре човек да се застрахова, защото измамниците са изобретателни.

Комуникацията

Комуникацията на официалните лица може да се раздели на две части – от една страна тази на експертите в НАП, начело с пиара Росен Бъчваров, и от друга страна всички останали.

Комуникацията от страна на НАП беше адекватна. Максимално бързо обясниха проблема, обясниха обхвата му, обясниха защо се е случило и какви мерки са предприети. В такива ситуации така се прави – казваш фактите без да ги захаросваш, защото това не помага.

Комуникацията от страна на политическите фигури (министър, депутати, премиер) стигна до висоти на неадекватността, които могат да обобщя като „е кво толкова е станало“, „руснаците заради самолетите ни хакват“, „като има електронни услуги, ще има течове“ и „е тоа хакер колко е добър само“. Нито едно от тези послания не помага по никакъв начин, освен може би сред партийните ядра, които вече имат опорки в споровете на маса.

Хакерът

Хакерът първо беше руски, после уж го намериха и се оказа български. Първо, това, че хакер твърди, че е някакъв, не значи абсолютно нищо. Всеки може да си регистрира поща в Яндекс и да твърди каквото си иска.

Дали заловеният наистiна е извършител ще реши съдът. ГДБОП трябва да събере доказателства и от тях да следва еднозначно, че той е извършителят. Дали намереният файл, в който се съдържа името му е истински или не – не можем да кажем. Има много варианти, в които е истински. И такива, в които не е.

Ако това не беше истинският хакер, може би истинският щеше да напише писмо, с което опровергава, че е заловен. Но трябва да е от същия имейл адрес (и пак няма гаранция, че не е дал паролата на друг). Проверка по онлайн форуми показва, че потенциално уличаващи коментари изчезват, т.е. вероятно някой друг има достъп до акаунтите му.

Дали хакерът е „магьосник“, обаче, е сравнително ясно – не е. Злоупотреба с SQL инжекция може да направи почти всеки. Ако е оставил да бъде открит, значи не си е покрил добре следите.

Интересно е да се изследва архива за всякакви странности – останали метаданни на файлове, останали служебни файлове, като този, в който пише името на хакера, хедъри на изпратените писма, скриптове и логове на иззетата техника, логове на сървърите на НАП. Все неща, които ГДБОП трябва да направи и от които ще зависи в крайна сметка присъдата. На този етап човекът не невинен и последно като проверих Наказателно-процесуалния кодекс, присъди не се произнасят в интернет.

Заключение

В заключение, имаме много да научим от този инцидент. За информационната сигурност, за защитата на данните, за политическата адекватност и за дългосрочните реформи, чието неслучване води до очаквани ефекти. Такъв инцидент беше неизбежен при нивата на компетентност в администрацията. С това не казвам, че там няма никакви компетентни хора, а просто, че са малко и не могат да огреят навсякъде. Аз, например, съм кърпил системи, докато бях в Министерски съвет, но фокусът ми беше по-скоро към формулиране на решения на системните проблеми. Защото ще закърпя една система, а други три ще останат пробити.

За такива инциденти трябва да се носи политическа отговорност. Дали чрез оставки или на избори, не знам. Но всеки инцидент е следствие от нечие действие или бездействие.

Все пак, трябва да имаме предвид, че институциите ще продължават да обработват данните ни. Може би ще са по-внимателни какво събират и защо го събират, но те няма да изчезнат. И трябва да измислим как да „сглобим“ някакво базово доверие към тях. Това е работа предимно на институциите – чрез мерките, които вземат и чрез говоренето им. Но е задача и на експертите, които коментират темата. Никой няма полза от пълно сриване на доверието, колкото и скандален да е един пробив.

Все пак инцидентът е много сериозен и този път политическите ръководства трябва да разберат, че има системни проблеми за решаване, които не могат след всеки инцидент да смитат под килима. Кърпенето на дупки е до време, в един момент трябва да се подменя целият път.

Цацаров и Имотният регистър

Post Syndicated from Bozho original https://blog.bozho.net/blog/3332

Не вярвах, че ще защитавам някога Цацаров. Но казусът е прекалено интересен, за да не го коментирам.

Та, в имотния регистър, при търсене на Сотир Цацаров, излизат един апартамент, който няма продавач, а само купувач – самият Цацаров. Тъй като в събота имотният регистър беше спрян, това породи съмнения, че някой е искал да скрие нещо.

Само че данните са си там – при други търсения излизат. Т.е. едва ли става дума за заличаване на данни, а по-скоро за проблем при визуализацията ми. Дали пък някой не е добавил тайно в кода условие if (Цацаров) скрий данни;? Оказва се, че не.

Според отговор от Агенция по вписванията, който Капитал е получил, става дума за нещо доста по-тривиално, но и доста сериозно в същото време.

„акт №196, том 8 от 2007 г. е въведен в стара информационна система през 2007 г (…). В старата система са се въвеждали поотделно данни за всеки имот и лице, свързано с него, т.е. не е имало възможност да се отразяват връзки между страните в акта и имота. От приложената справка/снимка от медията ясно се виждат 3 отделни записа/генерирани справки. Това е така поради начина на въвеждане на данни в старата информационна система, а именно три отделни записа за всяка страна“

Ще опитам да го обясня на човешки език – вместо в базата данни всеки имот да е уникален запис, а всеки участник в сделката да бъде свързан към този запис, системата явно е била направена така че за сделката на Цацаров (която е била с един дарител/продавач и двама надарени/купувачи) е имало три записа – един запис „имот – Цацаров“, един запис „имот – жената на Цацаров“ и един запис „имот – дарителя/продавача“.

Пиша „дарител/продавач“, защото според Бивол и Капитал преди 7 години това е било променено в имотния регистър. Т.е. от дарение се е превърнало в продажба (защо и как е друга тема).

Ако чета отговора на Агенция по вписванията правилно, след като са мигрирани данните от старата система (която по спомен е функционирала преди повече от 10 години), те не са представени в новата като един имот, а като три имота с един и същи номер на документа. Поради което цялата информация излиза при търсене по документ, но не излиза при търсене на някоя от страните. Към момента на миграцията това може да е било приемливо решение, но описаното е изключително ужасен модел на данните, който дори не би ми хрумнал да направя. За да направи мазалото още по-тежко, това не е било винаги така – някои имоти са въвеждани по един начин, други по друг.

Така че изглежда, че този уикенд е нямало действия по скриване на информация, която така или иначе вече е била известна. Агенцията казва „то така си беше“ и съм склонен да им вярвам.

Казано на шега – лош модел на данните води до политически скандал. Но всъщност това е част от големия проблем тук. Че данните в един от най-важните регистри в държавата с в такъв вид вече над 10 години. И че агенцията не е предприела никакви мерки да ги „почисти“. Цацаров не е изолиран случай и регистърът реално не предоставя адекватна справочна информация.

Реформата в Агенция по вписванията трябваше да е започнала. Трябваше тези сриващи се регистри да бъдат закрепени отдавна, а данните в тях – почистени от проблеми като горния. Трябваше да се е случила интеграцията на имотния регистър с кадастъра. Трябваше отдавна да е преразгледан ЗКИР и имотният регистър да се превърне в истински първичен такъв (в момента водещото са хартиите, на база на които съществува той).

Паралелно с това е нужно да се гарантира интегритета на данните в такива ключови регистри. Не може да се разчита единствено на организационни мерки, които се заобикалят с „една заповед отгоре“. Макар в случая манипулация да няма (или поне тя да не е станал тази година), трябва да има технически гаранции, че манипулации е нямало никога. Квалифицирани електронни времеви печати е първа стъпка към това.

Може в случая Цацаров да не е виновен и манипулация в регистъра да няма, но Агенция по вписванията трябва най-накрая да спре да се движи по инерция. Но за това е нужен не само технически капацитет, но и политическа адекватност.

Електронното управление срещу корупцията

Post Syndicated from Bozho original https://blog.bozho.net/blog/3315

Апартаменти, тераси, къщи за гости. Скандалите, които „бушуват“ от повече от месец и могат да променят политическия пейзаж. Всички параметри на корупционните практики вече са ясни и няма нужда да ги повтарям. Иска ми се обаче да разгледам скандалите от една друга гледна точка – електронното управление.

Може би не изглежда свързано, но всъщност е ключов фактор. Първо – какво е електронното управление? То не е просто електронни услуги, те са само върхът на айсберга. Електронното управление стъпва на електронизираното събиране и съхранение на информация, и то информация имаща правно значение. С други думи, това, че имаме електронни регистри и законоустановени правила по тяхното поддържане е в основата на електронното управление.

Какво общо има това с корупцията? Да проследим как бяха установени апартаментите, терасите и къщите за гости. Свободна Европа, Антикорупционният фонд и Бивол използваха публични електронни източници – Имотния регистър, регистъра на имуществените декларации, регистъра на получилите помощи по програмата за развитие на селските райони. Без тези източници скандалите щяха да са непроверими слухове.

А имотният регистър, регистрите по оперативните програми (обединени в системата ИСУН), имуществените декларации, търговският регистър, регистърът на обществените поръчки и още един куп регистри представляват основата на електронното управление. Администрацията е длъжна да ги попълва и въздействието „отгоре“ е трудно до невъзможно. Никой не може да „пипне тайно“ информация за фирмата ви, никой не може ей така да влезе и да изтрие данни за имот в Имотния регистър. Ако декларация за имуществено състояние липсва, това само по себе си би генерирало скандал. Обществените поръчки се вписват не само в българския регистър, но се изпращат и към европейски такъв.

Но какво като са електронни – и на хартия да бяха, пак щеше да може някой да отиде и рови в информацията. Това има два аспекта. Първият е автоматизирането на работата – с данни в електронен вид могат не само да се намират по-бързо нещата, които търсиш, но неща, които не търсиш стават видими в процеса на търсенето. Вторият аспект е достъпността. Чувал съм слухове как преди въвеждането на Търговския регистър много хора спешно са излизали от органите на дружества, с които не са искали да бъдат свързвани. Защото едно е някой да отиде да рови фирменото дело в мазето на съдебната палата, друго е информация да е достъпна с няколко натискания на мишката.

Друг много важен фактор е прозрачността на информацията. Ако регистрите не бяха публични, щяха ли да са полезни? Според мен – да. Защото самото наличие на информацията в структуриран вид я прави достъпна. Да, понякога ще се налага искане по Закона за достъп до обществена информация, ще последва отказ, ще се отиде до административен съд, но накрая информацията е там. Информацията за къщите за гости не е била публична, но в крайна сметка е била намерена (и то по всичко изглежда без да „изтича“ отвътре).

Също така от непрозрачни или полу-прозрачни, регистрите могат да станат прозрачни много по-лесно. Когато преди 3 години отваряхме масиви от данни, в т.ч. Търговския регистър и регистъра на обществените поръчки в машинно-четим вид, с една малка стъпка от полу-прозрачни направихме тези регистри напълно прозрачни. Вече остарелият и неудобен потребителски интерфейс не е пречка пред търсенето на свързани фирми и съмнителни обществени поръчки, защото данните са вкарани в по-удобните за целта търсачки на Бивол. Затворени регистри понякога могат с едно изменение на наредба да станат публични. Ако не бяха събирани в електронен вид, това нямаше да е възможно.

Ако нямаше имотен регистър, апартаментите и терасите на властта нямаше да могат да бъдат открити. Съседите щяха да знаят кой живее там, но дотам. Ако нямаше регистър на имуществените декларации, нямаше да е ясно кой какво е решил да скрие. Ако нямаше регистър на получателите на средства по ПРСР, къщите за гости щяха да са само слух сред консултанти по европрограми (макар и този регистър да е бил съзнателно скриван, все пак Бивол са го открили на сайта на Държавен фонд „Земеделие“)

Да, наличието на тази информация не е достатъчно. Трябват грамотни журналисти, които да ги използват, за да откриват информация и да проверяват слухове. Защото явно органите или нямат компетенцията, или нямат мотивацията да търсят корупция. Ако беше реализирана системата за анализ на корупционния риск, може би поне първото нямаше да е в сила (системата ще обединява данни от много регистри и ще засича потенциално корупционно поведение на лица, заемащи публични длъжности). Но мотивацията за търсене на корупцията и чадърите остават.

Затова електронното управление е толкова важно. Не просто защото ще оптимизира работата на администрацията, а защото корупцията става по-трудна за извършване, а и за криене след това.

Не че е невъзможно – възможно ще е, разбира се. Но „махленската“, апартаментна, терасна и вилна корупция все по-трудно ще минава. Не че не може да има и електронна корупция – може. Ако няма адекватни технически мерки, тези регистри могат да бъдат манипулирани. Но в електронния свят манипулирането също може да оставя следа. И ако веднъж нещо бъде направено както трябва от гледна точка на защита от манипулации (като например Търговския регистър), после връщане назад няма (дори след неадекватна поддръжка и срив).

Вероятно електронното управление генерира неосъзнат страх у корупционно-зантересованите. Или може би все по-осъзнат страх. Затова е важно да го промотираме и защитаване. И ако някой, например, реши, че заради защитата на личните данни трябва имуществените декларации да бъдат скрити или Търговският регистър да бъде затворен, трябва да знаем каква точно е целта зад такова предложение.

Електронното управление звучи като някаква далечна експертна техническа тема или в добрия случай – дъвка за това как „още трябва да обикаляме по гишета и опашки“. Но всъщност е нещо много по-сериозно. Електронното управление е начин за създаване на по-стабилни и по-прозрачни институции. Нещо, което в западните държави се е случило след дълги години демократична традиция. У нас такава традиция няма и всяка институция се огъва под политическите и корупционните желания. Електронното управление, според мен, е начин да съкратим дългия път към стабилните институции, които, ако не разследват корупцията, то поне дават възможност на журналистите да го правят.

Не си въобразявам, че електронното управление ще реши всички проблеми. Но е важен и ефективен инструмент за справянето с тях. Технологията няма да ни спести демократичния процес и политическата еволюция, но може да ги направи малко по-лесни.

Борба с фалшиви лекарства по грешния начин

Post Syndicated from Bozho original https://blog.bozho.net/blog/3263

Вчера прочетох новина, че половината аптеки в България трябвало да затворят на 9-ти февруари, защото нямало да отговарят на европейска директива.

Става дума за директивата за верифициране на лекарства с цел борба с фалшиви такива, при която всеки производител на лекарства ги вкарва в една база данни, а всяка аптека или болница, която ги (про)дава на краен потребител, ги верифицира в системата преди да ги даде.

Първото двуминутно проучване показа, че директивата е от 2011-та и какво по дяволите са правили всички 8 години, не им е виновен ЕС за това.

После обаче се разрових в темата, и… Европейската комисия е сътворила една тъпотия, за която не можем да обвиняваме българските аптеки. Тъпотия, която не е изключено да е примесена и с корупция, за да може едни фирми да си доставят софтуера за националните звена на системата на 28 държави-членки.

Та, това на пръв поглед просто за техническа реализация решение, е толкова усложнено, че според мен едвам е заработило и поддръжката му ще бъде ужас. Направили са централен EU Hub, и 28 национални системи, които да се синхронизирт с този hub. Защо това е нужно и защо е задължително? На теория, защото държавите-членки са суверенни и трябва да имат базата си данни. На практика няма нужда. Която държава желае, може да има копие „за четене“ на данните. Така или иначе производителите ги публикуват в централната система. Ако пък идеята е била да се разтовари централната система от заявки за проверка – не звучи като добра идея да създадеш организационно усложнение, за да си спестиш централизираното управление на няколко десетки сървъра.

Българската организация, която въвежда системата си е свършила прилично работата – една от първите държави сме, която въвежда националната система, използвали са одобрен доставчик, провели са кампании, изпращали са писма, отчели са колко са получени и по какви причини. С URL-а не са се справили, де.. nbsbgiqe1.emvs-nbs.eu:8637 не е точно удобен за въвеждане.

Но тук идва фундаменталният проблем – би трябвало една такава система да има интерфейси, базирани на отворени стандарти (или дори да не са стандарти, да са публично-достъпни и утвърдени от ЕК).

Аз за 1 час търсене не успях да намеря такива. Допускам дори, че двата различни доставчика имат различни интерфейси. Единият (който се ползва в други държави), позволява след регистрация да получиш някаква документация. Но дали интерфейсите са същите? И защо не са просто отворени, а регистрацията да се изисква само за ползване на Sandbox.

Но да се върнем на аптеките. На по-малките такива би им било напълно достатъчно едно безплатно приложение за смартфон, с който да сканират баркодове и приложението да изпраща данните за верификация. Приложение, което може да се направи за 2 дни.

Само че такова няма. Пардон, има едно, но то е от доставчик, който се връзва не към националната система директно, а към своя, от която пък изпраща данните на националните. И иска пари за това, разбира се. 220 лв годишно (за до 1000 лекарства на месец) и 660 лв годишно без ограничения може и да е добра оферта. (Но не съм сигурен има ли български превод). Приложението го няма в play store-a. А, има и един сайт на фирмата-доставчик на националната система, откъдето можели да се правят проверки. verilite.eu .. ако намерите бутон за регистрация, кажете.

Отворените интерфейси биха дали възможност за по-висока степен на конкуренция, и за това малките аптеки да бъдат покрити с безплатни приложения. Обаче ЕК е оставила всичко на доставчиците и националните организации (които не са публични органи, а сдружения) и сега всичко е една мъгла от споразумения, скрити регистрации, одобрения, и пълна липса на документация. Одобрението не трябва да е на ниво „достъп до интерфейсите“, а на ниво аптека – всеки фармацевт се регистрира и получава одобрени да сканира. През какъв софтуер точно ще го прави, няма значение, стига да спазва протокола.

Та от чудесната идея да проследяват лекарства и да се борят с фалшиви такива, които реално струват животи, ЕК изглежда е създала едно ИТ чудовище, което не просто ще вдигне разходите на аптеките, ами ще им стесни избора на софтуер, с който да оперират.

Въпреки първоначалната ми реакция „какво чакаха 8 години“, сега бих подкрепил искането на аптеките за отлагане на крайния срок. И бих поискал от ЕК да си оправи подхода и повече да не прави хубави неща по грешния начин.

Да поговорим за ИТ фирмите и обществените поръчки

Post Syndicated from Bozho original https://blog.bozho.net/blog/3254

Покрай поръчката за тол системата и електронните винетки, както и преди това покрай падането на Търговския регистър, както и винаги, когато има някакъв публично видим проблем с някоя държавна или общинска информационна система, често се срещаше тезата за некадърните фирми, които правят обществени поръчки и как само някоя читава фирма да вземе поръчка, всичко ще е наред.

Отдавна си мисля да напиша нещо по въпроса и ще използвам случая. Няма обаче да споменавам фирми и да ги класифицирам като добри или лоши, защото, както ще видим по-долу, нещата изобщо не са черно-бели. Може би ни се иска да се направи един черен списък на фирми, на които да не се дават обществени поръчки и всичко ще си дойде на мястото. Само че факторите са доста повече – ще опитам да ги събера в списък, без да опитвам да ги подреждам по важност.

А този въпрос е важен, защото в крайна сметка реализацията

  • Некадърни фирми – да, ясно е, че има такива и то немалко – фирма с 1 старши разработчик и 7-8 младши за колкото може по-малки заплати, да наливат код, и все нещо ще излезе. Старшият разработчик ще следи процеса, и готово. Той самият може да не е достатъчно добър, но поне има опит. След това тези младши разработчици се изстрелват при първа по-адекватна възможност, защото виждат какъв ужас е. Има и други фирми – които си имат разработчици и мениджъри с опит, но просто никога не са правили софтуер както трябва. Винаги е било с процес „каубойско писане на код“, и „мазане“ – без оглед за производителност, информационна сигурност, удобство… и все някой друг е виновен. Някои не ползват контрол на версиите, не знаят какво е уеб-услуга и като цяло – останали са в 90-те. Виждал съм такива неща, че и за курсов проект не стават.
  • „Окопани“ фирми – когато „гаражна“ фирма е направила някакъв софтуер преди 20 години, който е успяла с някакви връзки да пробута я на някоя община, я на някоя областна или централна администрация, и после само тя може да го надгражда или поддържа. Промяната така или иначе е трудна, но дори при опит от страна на администрацията да се смени софтуера, има тежък отпор, който понякога стига до това да не се дава базата данни за миграция към евентуална нова система или пък до абсурдни твърдения, че фирмата има авторско право върху информацията в базата данни. Такива примери има твърде много и те са сериозен фактор.
  • Корупция – да, ясно е, че корупция има. И то доста. Някои фирми са „установени“ в някои администрации не просто заради предишен опит, ами и по линия на някакви политически връзки. Това го разбрах с почти челен сблъсък със системата на корупция – в една фирма, в която работех за кратко, едни шеф ме помоли да отида в едно министерство и да участвам в работна група по писане на задание. За поръчка, която явно е трябвало да спечелим. Трябваше ми около половин ден да загрея за какво точно става дума, но на въпроса „значи аз трябва да се правя на независим експерт и да напиша задание, по което после ние да кандидатстваме и да спечелим“ отговорът беше „Ами да. Те всички така правят“. Отказах да го направя (имайки лукса на гъвкавия и гладен софтуерен пазар), и в крайна сметка поръчката така и не се случи, но важното беше, че „всички така правят“. В случаите, когато фирмите не си пишат сами заданията, им ги пишат приятелски фирми, а след това се редуват. И после като резултатът е зле – „ами то така пишеше в заданието“. (Периодично има по някой скандал с това, че в метаданните на документите за някоя поръчка пише като автор – служител на някой от кандидатите). Противно на очакванията, обаче, не мисля, че ако махнем корупцията, всичко ще цъфне и върже. Останалите проблеми ще са налице и няма да позволят магическия прогрес (това не значи, че не трябва да се борим против нея, естествено). Корупцията има и друг аспект – фирми, които не са „в играта“ не кандидатстват, защото не знаят дали поръчката не е нагласена за някого. Нерядко стои въпросът „абе тая поръчка гласена ли е за някого или да участвам?“.
  • Недостатъчен капацитет – някоя фирма може да е добра, но да се е надценила и е кандидатствала по повече поръчки, отколкото може да поеме, но пък е взела, че ги е спечелила, и сега се чуди как да ги изпълни. Приоритизира един, забавя друг, наема хора „от кол и въже“, колкото да спази сроковете.
  • Остарели основни системи – когато основните ти системи са остарели и нямам как да направиш адекватна интеграция с тях, задачи, които са изглеждали лесни, стават доста трудни. Примери много, но да вземем МВР, където доскоро имаше стара система за регистрация в КАТ. На база на тази система нови функционалности, оптимизиране на процеси и други неща нямаше как да станат, или поне не лесно. Имаше един регистър, който е правен през 90-те. Доста неща зависеха от него, но просто нямаше как да се интегрират. И съответно интеграцията с него става „ръчно“. Примерите с носене на флашки рядко са заради липса на мрежда – по-често са заради стари системи без никакви точки за интеграция
  • Лоши задания – дори когато сме извън сценария „изпълнителят сам си пише заданието“, заданията са лоши. Администрацията рядко има капацитет да напише адекватно задание. Или копира от стари задания, или възлага на някой консултант да го напише (който я разбере за какво е поръчката, я не…а и да разбере, предава нещо полу-грамотно, което после трябва да се пише от нулата). А резултатът зависи в немалка степен от заданието – фирмите, разбираемо, често си дават зор повече от това, което се изисква от тях (има и похвални изключения). И съответно могат да свършат и чудесна работа, и никаква работа – зависи какво им се търси. Именно заради проблема със заданията въведохме две мерки. Едната е шаблонно задание с всички настъпвани през годините „мотики“, така че да не се правят нещата грешно. Разбира се, шаблонът допуска редакции за конкретния случаи (напр. ако системата не предполага пълнотекстово търсене, такова няма нужда да се изисква), но като цяло ограничава полето за ТНТМ-та. Другата мярка беше Държавно предприятие „Единен системен оператор“, което да поеме писането на задания (както и други дейности по проектите). Второто така и не се е случило все още.
  • Лошо управление на проектите от възложителя – това често е голям проблем. Може фирмата да има доброто желание и капацитета да направи проекта както трябва, но в администрацията просто няма никой, който да знае как се движи проект. Това беше още една причина, поради която въведохме Държавно предприятие, а също така и кратко преживял Project management office в Администрацията на Министерския сътвет. И двете в момента отсъстват и затова нещата се движат от редови служители в администрацията, които в добрия случаи са викали неволята достатъчно много пъти и горе-долу знаят как се управлява проект. В лошия (и вероятно по-масов) случай просто разписват протоколи и приемат проекта. Има десетки неща, за които възложителят има задължения – да осигури права за интеграция с други системи, да осигури хардуер (ако такъв не е заложен), да осигури помещения за хардуера (ако такъв е заложен), да осигури уточнения по изискванията на нормативната уредба в частта с бизнес анализа, и т.н. Има и друг тип проблеми – възложителят да има необмислени изисквания и да държи на тях, въпреки съветите на изпълнителя – напр. „това на уебсайта трябва да е точно както е на хартия“.
  • Независещи от никого обстоятелства – често срещан пример е срокове по някой закон (или Регламент на ЕС), които администрацията е опитала да спази в срок, ама заради тромави процедури, обжалвания, събаряне на търгове, КЗК, ВАС (малко корупцийка, съответно), нещата не са се получили. И когато все пак се стигне до изпълнение на проект, сроковете вече са „за вчера“, обаче политическият натиск расте, и съответно резултатът се приема с едно затворено око и едно гледащо в другата посока.
  • Липса на политическа подкрепа – един проект може да бъде неглижиран от политическото ръководство и това да го направи невъзможен за изпълнение. Например често се налага изменение на някоя наредба или заповед, за да може да се използват всички възможности на софтуера. Обаче ако никой от политическият кабинет „не даде едно рамо“, наредбата си остава от 94-та и програмистите псуват какви глупости ги карат да правят
  • ЗОП – на последно място, но изобщо не по важност, Законът за обществените поръчки е неподходящ за софтуерни проекти. Прекалено е бюрократичен и предполага до голяма степен т.нар. waterfall модел, което предполага много ниска гъвкавост. Освен всичко друго, за кандидатстване по процедура по ЗОП, фирмата трябва да има хора, които могат да се оправят с бюрократичния процес (който с новата директива е малко по-добър, но все пак изисква познаване на процедурите и опит с писане на документи). Как да напишеш офертата и техническото предложение, така че да покрият критериите за оценка, как да се вместиш в сроковете за кандидатстване. Ако нямаш опит със ЗОП, т.е. ако предимно работиш за частни клиенти, например извън България, то едва ли имаш голям шанс в една процедура по ЗОП. Съответно пък по ЗОП не можеш да оцениш реално кандидатите – всичките имат сертификати, всичките имат годишен оборот и всички ще напишат в техническото си предложение, че ще изпълнят всичко. И особено ако администрацията не е достатъчно технически грамотна, няма да може да оцени кой е вникнал повече в заданието и е разписал по-адекватно предложение. Бях предложил преди време като част от документацията по кандидатстване, да се представя код от предходни проекти, на база на който да се извличат някакви метрики – качество на кода, покритие с тестове и др. Само че „по ЗОП не може“.

И да, не можем просто да посочим една фирма и да кажем „вие сте виновни“, защото те пък може да са си свършили работата съвестно, да имат много добри експерти и да имат доста добри други проекти, в т.ч. в частния сектор, просто в един конкретен проект цялата съвкупност от други фактори да е била против тях. Може и да е била някоя фирма, я родена от партийни касички, я допринасяща за партийни касички, я на някое бивше ченге, в която просто не биха се заседели кадърни технически експерти. А може и да е някъде по средата – средно-кадърна фирма, в средно-важен проект, със средно-кадърна администрация… и съответно произвеждаща посредствени резултати. Но тук идва въпросът „спрямо какво“. Спрямо перфектния резултат, или спрямо хартиената джунгла, която е била преди това?

Тези проблеми далеч не са в сила само за администрацията – в частния сектор провалени проекти и проекти с незадоволителни резултати са масови. Помня като в една друга фирма бяха наели 3 екипа от Аржентина да ни „помагат“ и накрая им пренаписвахме всичко и проектът продължи година повече, отколкото трябваше. Софтуерът не е асфалт, да го налееш и да си ходиш (опростявам, разбира се – пътното строителство не е просто да излееш асфалт). Има много „движещи се части“, които могат да се объркат и много човешки фактор.

С това не искам да кажа, че всичко е нормално и да си стои така – както отбелязах по-горе опитахме да въведем мерки, които да подобрят нещата. Дали ще успеят, зависи от тяхното прилагане. И въвеждане на още мерки, на допълнителни обучения на администрацията, на премахване на корупцията.

Но със сигурност няма да стане ако просто глобим едни фирми и ги сложим в черен списък (не че за някои не би ми се искало). Защото после няма да има кой да се явява. И като се намери кой, няма никаква гаранция, че резултатът няма да е същият. (А фирмите, които правят проекти „за навън“, като видят как се работи с администрацията, може и да се откажат)

Може би е звучало странно как в текста по-горе едновременно критикувам и подкрепям както фирмите, така и администрацията. Защото всеки случай е различен, има много некадърни хора, има и много хора, които искат да си свършат работата. Със сигурност настоящото положение не е добро и реформата трябва да се продължи – с повишаване на капацитета на администрацията за възлагане, управление и контролиране на проекти. А изпълнителите ще се нагодят.

Електронна държава [презентация]

Post Syndicated from Bozho original https://blog.bozho.net/blog/3251

Преди месец изнесох презентация във Велико Търново и Варна на тема „Електронна държава“. Идеята беше да разкажа какво има, какво трябва да стане съгласно заложените в закони и стратегии идеи, какво не е станало и защо. И също така – какво е електронното управление и защо е важно.

Слайдовете можете да разгледате тук:

В общи линии, нещата се случват по-бавно отколкото би ми се искало, а някои ключови (и отключващи) проекти – като електронната идентификация и системата за създаване на регистри – се отлагат и бавят твърде много.

Основната ми теза в крайна сметка е, че електронното управление не е просто улеснение за разглезени жълтопавтници, нито е просто оптимизация на процесите в администрацията. Електронното управление е средство, чрез което държавата да стане по-прозрачна, по-некорумпирана и по-малко натрапваща се в живота на гражданите със своята бюрокрация. И не на последно място – по-ориентирана към бъдещето.

Без регистри идва хаос

Post Syndicated from Bozho original https://blog.bozho.net/blog/3245

Често разбираме колко е важно нещо чак когато спре да го има. Такъв беше примерът с Търговския регистър – бяхме свикнали всичко да е достъпно онлайн, да можем да проверяваме актуалното състояние на фирма, без да разнасяме хартиени удостоверения, да подаваме онлайн документи за регистрация и промяна на обстоятелства за дружества.

Докато през август регистърът не спря за повече от две седмици. И тогава се оказа, че не могат да се осъществяват сделки, че някои фирми не могат да превеждат заплати. Търговският оборот не спря, но беше затруднен заради липсата на регистъра.

Регистърът „оцеля“ и ни остави важна поука – че публичните регистри са изключително важни и тяхната липса създава хаос. Търговският регистър е един от най-важните, но далеч не е единствен. Други ключови за държавата регистри са Националната база данни „Население“, поддържана от ГД „ГРАО“, имотният регистър, кадастърът, регистърът на МПС, регистърът на особените залози, кредитният регистър, регистърът на обществените поръчки, регистърът на акционерите към Централния депозитар. И още стотици секторни регистри и регистърчета – в сектор „Здравеопазване“, в сектор „Правосъдие“, в сектор „Туризъм“ и т.н.

Тези регистри не са просто следствие от желанието на държавата да контролира всички аспекти на обществения живот. Те до голяма степен допринасят за повече прозрачност и по-голямо спокойствие на участниците. Търговският регистър например ни гарантира, че правим бизнес с истинските представители на съответното дружество. Имотният регистър ни позволява да знаем пълната история на един имот. Регистърът на МПС позволява (макар и неефективно реализиран към момента) контрол на правилата за движение и съответно безопасността на участниците. Кредитният регистър позволява на банките да правят по-добра преценка за своите кредитополучатели. Регистърът на населението пък е необходимо условие за каквото и да било електронно управление.

Немалка част от всички регистри се водят и на хартия, но в дългосрочен план хартията ще отпадне. Това означава, че поддържането на дигиталната инфраструктура става все по-важна задача. За съжаление, много от тези регистри имат съществени проблеми – с поддръжката, с архитектурата, със сигурността и с прозрачността.

По всичко изглежда, че Търговският регистър „падна“, защото поддръжката му е била управлявана изключително зле. Други регистри са разработени по начин, който не предполага голямо натоварване – каквото би имало при работещо електронно управление. Сигурността на данните в регистрите също е спорна – криптирани ли са данните, кой има достъп, кой може да променя данни, оставя ли това следа? Не на последно място е прозрачността – регистрите уж са електронни, но не предоставят достатъчно информация публично или пък я предоставят по твърде неудобен и бюрократичен начин.

За решаване на всички тези проблеми има нормативна уредба (закони и наредби), стратегии и проекти. Но не бихме могли да кажем, че нещата се подобряват. В случаи като този с Търговския регистър може би дори се влошават – такъв сериозен срив се случва за първи път.

Проблемът в крайна сметка се корени не просто в експертизата, която държавата няма, или в невъзможността да контролира и използва външната експертиза, която си купува. Проблемът е в неразбирането на важността и критичността на тези регистри на политическо и управленско ниво.

Един регистър не е просто тетрадка с няколко графи, каквито вероятно са представите на много хора, не е дори и проста база данни с няколко колони. Регистрите са сложна система от данни и процеси, от софтуер и хардуер. Система, в която трябва да се прилагат настоящите добри практики и която има нужда от постоянно осъвременяване.

Регистрите, особено някои, са необходими както за електронното управление, така и за гражданския и търговския оборот. И тяхното неглижиране и неразбиране е проблем без тривиално решение.

(статията е първоначално публикувана в сп. Мениджър)

Администрацията ще обменя документи електронно

Post Syndicated from Bozho original https://blog.bozho.net/blog/3214

От днес администрацията е длъжна да обменя документи електронно. Ще разкажа малко предистория.

Документите между администрациите (между министерства, агенции, общини, областни управи) се разменяха чрез куриерски и пощенски услуги. Това е бавно, струва пари и като цяло излишно в 21-ви век. Но също така (почти) всяка администрация има електронна деловодна система от един от няколко (неголям брой) доставчици. В даден момент е бил съставен протокол, който да позволи електронния обмен, но по ред причини не се е стигнало до неговото използване.

Наредбата към Закона за електронно управление, която прокарахме през есента на 2016-та, въвеждаше следните неща:

  • Държавна агенция „Електронно управление“ да направи въпросният протокол официален. Да го съгласува, „дооправи“ и да му сложи „печат“, че е официален протокол за комуникация
  • Всички администрации да са длъжни да ползват този протокол за обмен на документи помежду си и нямат право да обменят документи на хартия
  • Това да стане до 1-ви ноември 2018-та (т.е. за срок от две години).

С активна роля на Държавна агенция „Електронно управление“, това всичко се случваше, макар и бавно и с препятствия по пътя. Деловодните системи бяха надградени и поддържат протокола за комуникация (който (почти) всички доставчици са одобрили и в чието съставяне са участвали).

Така с помощта на нормативни изменения благодарение на политическа воля и достатъчна експертиза на политическо ниво (ние в кабинета на Румяна Бъчварова преди две години и след това подкрепа от Томислав Дончев), на проактивна администрация (ДАЕУ) и на бизнеса (доставчиците на деловодни системи), най-накрая хартиите между администрациите са към своя край.

Да, не всички ще го правят, да, ще има сканирани и разпечатани документи, да ще има мрънкане и може би технически проблемчета за отстраняване. Но ще има и доста пари спестени на бюджета и доста по-ефективна комуникация между администрациите.

Хубавите неща стават бавно, особено когато става дума за огромни структури (в администрацията има десетки хиляди служители, които работят с документи ежедневно). И всяка реформа е трудна в такива мащаби. Но когато стане, ефектите са силно позитивни.

Общински електронни услуги и защо никой не ги ползва

Post Syndicated from Bozho original https://blog.bozho.net/blog/3167

Когато говорим за електронно управление, почти винаги си представяме електронизация на централната власт. Само че немалка част от административните услуги са общински. Или по-точно – предоставени от общините.

Някои общини имат електронни услуги, като те са се случили по един от следните начини:

  • По някой проект по ОПАК (Оперативна програма „Административен капацитет“), като индивидуално усилие на съответната община. Често тези проекти нямат устойчивост
  • Чрез публичен модул на деловодната система (най-често Акстър)
  • Чрез интеграция на системата за местни данъци и такси с НАП
  • По проект за общински електронни услуги на МТИТС, който имаше две итерации – първата внедри услугите в Столична община, а втората – с Радомир, Бургас и Габрово

Проектите по ОПАК често остават без поддръжка и електронните услуги вече дори не са достъпни. Преди доста години работех в една фирма, с която направихме електронни услуги в две общини – проверих, и в двата случая вече не работят. Даже едната община явно е имала нови електронни услуги, които да заменят старите, но и те в момента не работят. Не е новина, че ОПАК беше едно неадекватно разхищение на европари, но това е друга тема – надявам Оперативна програма „Добро управление“ (наследник на ОПАК) да бъде по-успешна, макар че в момента там има друг проблем – много малко проекти реално са стартирали, вероятно отчасти заради високите изисквания за качество и невъзможността за „пари на калпак“.

Публичните модули на деловодните системи са полезни, като плюсът е, че няма нужда от специална интеграция с това, което така или иначе администрацията ползва всеки ден – деловодната система. Много от проектите за електронни услуги създаваха де факто паралелна деловодна система (в някои случаи прехвърлянето в реалната става с copy-paste), което не е добре от процесна гледна точка.

Местните данъци и такси, с малки изключения, работят прилично – влизаш на сайта на НАП, проверяваш колко дължиш и плащаш – с банкова карта онлайн. Като истинско (само трябва да имаш ПИК или КЕП, тъй като още сме доникъде с електронната идентификация).

Проектите на МТИТС за електронни услуги дават възможност една и съща инсталация да се използва в няколко общини, с леки модификации. Т.нар. multi-tenant софтуер, залегнал и в чл. 26, ал. 2 от наредбата към Закона за е-управление.

Всичко чудесно, но какво всъщност са общинските услуги? Най-често заявяваните такива се оказва, че на практика не са „общински“. Да, заявяват се в общината, но реално са услуги на ГД „ГРАО“, т.нар. „гражданска регистрация“. Промяна на адрес (постоянен, настоящ), удостоверения за куп неща – адреси, семейно положение, наследници, идентичност на имена, акт за раждане, разни дубликати. За всичко това общината е фронт-офис на ГРАО – ползва информационната система на ГРАО.

Т.е. подходът всеки да си прави отделни услуги за гражданска регистрация е дълбоко погрешен, но така или иначе вече има такива, реших да видя как се използват. По-конкретно – в Столична община. Аз успях да си сменя постоянния адрес чрез тях, а преди три години си извадих така удостоверение за семейно положение. Макар и след тежка битка и в двата случая. Попитах Столична община по Закона за достъп до обществена информация колко пъти са предоставяни електроните услуги. И резултатът не беше изненадващ. Пълната справка можете да свалите тук.

Но ето извадка за категорията „Гражданска регистрация“ (където има най-много заявления, като изключим една вътрешно-административна услуга категория „Местни данъци и такси“).

наименование на електронна услуга/справкаброй постъпили заявления за 2016 г.брой постъпили заявления за 2017 г.брой постъпили заявления за 2018 г.
Удостоверение за наследници41414
Удостоверение за настоящ адрес при вече регистриран настоящ адрес3131
Удостоверение за настоящ адрес след подаване адресна карта за заявяване или за промяна на настоящ адрес254
Удостоверение за постоянен адрес при вече регистриран постоянен адрес684
Удостоверение за постоянен адрес след подаване на заявление за заявяване или за промяна на постоянен адрес263
Удостоверение за промени на постоянен адрес регистриран след 2000 година123
Удостоверение за промeни на настоящ адрес регистриран след 2000 година007
Удостоверение за раждане – дубликат550
Удостоверение за родените от майката деца110
Удостоверение за семейно положение72730
Удостоверение за семейно положение, съпруг/а и деца266554
Удостоверение за сключен граждански брак – дубликат041
Удостоверение за съпруг/а и родствени връзки011
Удостоверение за идентичност на лице с различни имена032
Препис-извлечение от акт за смърт, за втори и следващ път352
Заверен препис или копие от личeн регистрационeн картон или страница от семейния регистър на населението100
Удостоверение за вписване в регистрите на населението200

Та, на практика никой не ползва тези услуги. Защо?

  • Столична община не ги промотира – почти никой не знае за съществуването им.
  • Трудни са за използване – когато аз подавах заявление имаше бъг с подписването на големи документи, а подкарването на коректната версия на Java в коректния браузър беше трудно дори за Java програмист. Трудно и да измислиш коя точно услуга ти трябва – много от тях не трябва да бъдат различни услуги, а една, с разлика от едно поле.
  • Нужен е и квалифициран електронен подпис. Малко хора имат.

Защо това е така – мога да обяснявам цял ден, но обединяващата причина е, че неразбирането на концепцията за е-управление и липсата на електронна идентификация. Ако всеки имаше средство, с което удобно да може да ползва тези услуги, със сигурност щяха да са използвани много повече. Също така, поне половината от тези услуги щяха да са излишни – те не са услуги, а издаване на удостоверения, които да послужат пред друг орган…който вместо това трябва (и вече може) да си ги вземе служебно.

Накратко и много опростено – електронното управление не е трупане на електронни услуги без осигурена поддръжка. То е две неща:

  • намаляване на услугите чрез елиминиране на удостоверителните (и превръщането им във вътрешно-административни)
  • масова и удобна електронна идентификация, с която гражданите да могат да ползват останалите услуги

А що се отнася до общинските услуги – ако изключим всички тези, които са реално услуги на централната администрация, ще останат неща като общинска собственост, туризъм, местни данъци и такси, които подлежат на сериозна унификация, така че да няма нужда всяка община да ги прави поотделно. И разработвайки общински услуги с отворен код, всяка друга община ще може да ги използва – дали чрез централна инсталация, или чрез собствена.

А дотогава – аз и още 40-тина ентусиасти ще ползват общински електронни услуги на Столична община, общината ще е отчела, че „има електронни услуги, ето“. И всичко ще си върви както винаги – на хартия и по гишета.

 

За едно дарение

Post Syndicated from Bozho original https://blog.bozho.net/blog/3132

През седмицата компанията, която стартирах преди шест месеца, дари лицензи на Държавна агенция „Електронно управление“ за използване (без ограничение във времето) на нашия софтуер, LogSentinel. В допълнение на прессъобщенията и фейсбук анонсите ми се иска да дам малко повече детайли.

Идеята за продукта и съответно компанията се роди няколко месеца след като вече не бях съветник за електронно управление. Шофирайки няколко часа и мислейки за приложение на наученото в последните две години (за блокчейн и за организационните, правните и техническите аспекти на големите институции) реших, че на пазара липсва решение за сигурна одитна следа – нещо, към което да пращаш всички събития, които са се случили в дадена система, и което да ги съхранява по начин, който или не позволява подмяна, или подмяната може да бъде идентифицирана изключително бързо. Попрочетох известно количество научни статии, написах прототип и след няколко месеца (които прекарах в Холандия) формализирахме създаването на компанията.

Софтуерът използва блокчейн по няколко начина – веднъж вътрешно, като структури от данни, и веднъж (опционално) да запише конкретни моменти от историята на събитията в Ethereum (криптовалути обаче не копае и не продава). В този смисъл, можем да го разгледаме като иновативен, макар че тази дума вече е клише.

В един момент решихме (със съдружниците ми), че държавата би имала полза от такова решение. Така или иначе сигурната одитна следа е добра практика и в немалко европейски нормативни актове има изисквания за такава следа. Не че не може да бъде реализирана по други начини – може, но ако всеки изпълнител пише отделно такова решение, както се е случвало досега, това би било загуба на време, а и не би било с такова ниво на сигурност. Пилотният проект е за интеграция със системата за обмен на данни между системи и регистри (т.е. кой до какви данни е искал достъп, в контекста на GDPR), но предстои да бъдат интегрирани и други системи. За щастие интеграцията е лесна и не отнема много време (ако се чудите как ни излиза „сметката“).

Когато журналист от Дневник ме пита „Защо го дарявате“, отговорът ми беше „Защо не?“. Така или иначе сме отделили достатъчно време да помагаме на държавата за електронното управление, не само докато бяхме в Министерски съвет, но и преди и след това, така че беше съвсем логично да помогнем и не само с мнения и документи, а и с това, което разработваме. Нямам намерение да участвам в обществени поръчки, които и да спечеля честно, винаги ще оставят съмнения, че са били наредени – хората до голяма степен с право имат негативни очаквания, че „и тоя си постла да намаже от държавния пост“. Това не е случаят и не искахме да има никакви съмнения по въпроса. Основният ни пазар е частният сектор, не обществените поръчки.

Даряване на софтуер за електронно управление вече се е случвало. Например в Естония. Там основни софтуерни компоненти са били дарени. Е, след това фирмите са получавали поръчки за надграждане и поддръжка (ние нямаме такова намерение). Но благодарение на това взаимодействие между държава и частен сектор, в Естония нещата „потръгват“. Нашето решение не е ключов компонент, така че едно дарение няма да доведе значителни промени и да настигнем Естония, но със сигурност ще бъде от помощ.

Като цяло реакцията на дарението беше позитивна, което е чудесно. Имаше и някои разумни притеснения и критики – например защо не отворим кода, като сме прокарали законово изменение за отворения код. Както неведнъж съм подчертавал, изискването важи само за софтуер, чиято разработка държавата поръчва и съответно става собственик. Случаят не е такъв, става дума за лицензи на готово решение. Но все пак всички компоненти (библиотеки и др.) около продукта са с отворен код и могат да се ползват свободно за интеграция.

Не смятам, че сме направили геройство, а просто една позитивна стъпка. И е факт, че в следствие на тази стъпка продуктът ще получи малко повече популярност. Но идеята на председателя на ДАЕУ беше самото действие на даряване да получи повече популярност и съответно да вдъхнови други доставчици. И би било супер, ако компании с устойчиви бизнеси, дарят по нещо от своето портфолио. Да, работата с държавата е трудна и има доста непредвидени проблеми, а бизнесите работят за да печелят, не за да подаряват. Но допринасянето за по-добра среда е нещо, което бизнесите по света правят. Например в САЩ големи корпорации „даряват“ временно най-добрите си служители на USDS, станал известен като „стартъп в Белия дом“. При нас също има опция за такъв подход (заложена в Закона за електронно управление), но докато стигнем до нея, и даренията на лицензи не са лош подход.

Може би все още не личи отвън, но след промените в закона, които бяха приети 2016-та, електронното управление тръгна, макар и бавно, в правилна посока. Използване на централизирани компоненти, използване на едни и същи решения на няколко места (вместо всеки път всичко от нулата), централна координация на проектите. Нашето решение се вписва в този подход и се надявам да допринесе за по-високата сигурност на системите в администрацията.

Критика към новия Закон за движението по пътищата

Post Syndicated from Bozho original https://blog.bozho.net/blog/3099

Прочетох предложението за нов Закон за движение по пътищата, в частта с административното наказване, връчване на наказателни постановления и фишове, електронни фишове, камери.

С две думи – никаква реформа.

Буквално текстовете са преписани от стария закон. И то текстове, които са омазани, хаотични, неработещи и непокриващи 50% от хипотезите в реалния живот. По същество:

  • не се дефинират възможности за електронно връчване
  • малоумният анахронизъм „контролен талон“ остава. Тоя син парцал ще си го носим и като се върнем от някое пътуване до Марс след 50 години.
  • процесът по връчване на електронен фиш (което е тъпо наименование; трябва да е „електронно-съставен фиш“, щото фишът си е хартиен) оставя същите вратички за измъкване с даване на копие на чужда книжка или лична карта на чужденец. Познайте в google images дали няма такива. И дали тарикатите не ги ползват. Специфични случаи като „фирма с повече от един управител“, „електронен фиш издаден от орган различен от МВР“ изобщо не са засегнати.
  • в ЗАНН продължава да се говори за „препис“, а административният съд е обявявал, че разпечатките не са преписи – трябвало индиго. В тази връзка вероятно е въведна глупостта „връчване на разпечатка за издадени, но невръчени наказателни постановления“. WAT. Ако наказателното постановление е в електронен вид, ще може да му се връчи самото то на пътя, няма нужда от „разпечатки“, че после да ходиш да си вземаш и постановлението. Да не говорим, че не е покрита хипотезата на НП, което е връчено, но е платено след принудително събиране от НАП. Сега излиза, че талонът не се връща.
  • електронното управление значи да не се изискват копия на всевъзможни документи, които държавата има (напр. трудови договори). Но ЗДвП изисква „копие от“ на доста места
  • доомазали са Закона за българските лични документи, но са пропуснали важна подробност – че макар на книжката да няма адрес, сме длъжни да си я сменим, ако си сменим адреса. Чл. 81 иска корекция, ама кой да се сети

Общо взето, законопроектът е преписване на стария закон, без да се отчетат проблемите с него, ниската събираемост, бъдещите нужди, възможностите за по-ефективен контрол, удобството на гражданите.

Докато бях съветник, макар МВР да не ми беше ресор, с колегата Величков написахме и оставихме законопроект за тази част с решения за всички тези проблеми. Сигурно се е загубил в някой шкаф.

Ще дойде денят, в който министрите ще осъзнаят, че реформа не се прави като кажеш на администрацията „направете тука някаква реформа“. Ама няма да е скоро.

Има ли електронно управление?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3073

Мине се не мине време и някой каже колко милиони били изхарчени за е-управление и как нищо нямало срещу тия пари. Наскоро беше БСК с несполучливия си анализ, след това имаше парламентарни питания, конференции, репортажи по телевизии, коментари във фейсбук.

Както и в предната статия се съгласих с общия сантимент – много е изхарчено, много малко е приложимо. Обаче сега искам да представя една малко по-различна перспектива и да задам въпроса – има ли всъщност е-управление?

Предвид, че „електронно управление“ няма универсално признато значение като термин, но при всички положения е има широко тълкуване, то най-вероятно „има“. Да видим обаче по-тесния компонент – административното обслужване на граждани по електронен път. То има няколко аспекта, но двата основни са: електрони административни услуги за граждани и вътрешни електронни административни услуги, в които администрацията си обменя данни и документи.

Второто тепърва започва да се случва, след нормативните промени, които прокарахме, като администрациите започват да обменят документи електронно, а използването на системата за междурегистров обмен се увеличава.

Но първото – електронните услуги за граждани – са нещо, което всички твърдят, че няма и никога не са ползвали. Аз имам обаче друг поглед. За последните две години не съм ходил в администрация за да давам удостоверения или да искам някоя услуга.

Декларирам си данъците онлайн. Плащам си данъците (включително местните) онлайн. Декларирах се като самоосигуряващо се лице и си платих осигуровки онлайн. Извадих си две удостоверения онлайн (семейно положение и липса на задължения). Смених си постоянния адрес онлайн. Смених си личната карта оналйн (само трябваше да отида да си я взема). Пререгистрирах си фирмата онлайн. Счетоводителят подава данни всеки месец към НАП онлайн. Свидетелство за съдимост си вадих онлайн, а отскоро вече и няма нужда. Подадох декларация по ЗПУКИ по електронен път. Извадих скица от кадастъра за един имот на баба ми. Подавам заявления за достъп до обществена информация (и получавам отговори) онлайн

Де факто всичко правя онлайн. Тогава какво се оплакваме, че няма електронно управление?

Оплакваме се, защото нещата, дето ги има, работят само за хора, дето познават закона, технологията и процесите. Т.е. за твърде малко хора. За останалите всичко е ужасно неудобно, та чак до невъзможно, а и навсякъде ти казват, че „не може“.

Да, декларирам си данъците, ама да се оправиш с данъчната декларация на НАП е близо до ракетна наука. Като си платих осигуровките, на следващия ден се генерираха стотинки лихва, дето пак трябваше да ги платя и пак да се генерират. Удостоверението за липса на задължение го заявих електронно, но го получих в най-близкия офис на НАП, а не в този по постоянен адрес, и то само защото проведох 10 минутен разговор със служителка, която накрая капитулира и призна, че са в нарушение на закона и предложи да ми го прати до близък до мен офис. Постоянния си адрес успях да го сменя само защото знам за конкретен бъг в електронните услуги на Столична община и мога да го заобиколя. Личната си карта получих, но не пишеше къде трябва да отида да я получа, а като отидох най-накрая на правилното място, опрях до фразата „не ви трябва да ви давам удостоверение, системата го е проверила автоматично, аз съм я внедрявал и съм писал закона“. Декларацията ми по ЗПУКИ мина през една итерация с фразата „това не е истински електронен подпис“. А за повечето изредени неща ми трябва квалифициран електронен подпис, за който плащам 10-15 лева годишно, и който и аз понякога се затруднявам да подкарам в правилния браузър с правилната версия на Java.

Т.е. нещата ги има, ама не съвсем. Работят, ама трябва да инвестираш време да разбереш как работят. И това не е окей. Но какво може да се направи?

Дали има едно нещо, което ако направим, всичко ще потече в правилната посока? Не, разбира се. Факторите са много, включват недостиг на квалифицирани кадри в администрация, некадърни и/или корумпирани изпълнители (и възложители, разбира се), юристи със силно мнение за хартиения процес, до съвсем скоро липса на общи правила и на идея как нещата могат да се правят качествено.

Има обаче едно нещо, което със сигурност е отключващ фактор – електронната идентификация. Ако няма лесно и удобно средство да се идентифицираме онлайн и да заявяваме услуги, ще ги ползваме шепа хора. (И счетоводителите и юристите, на които им се налага). Но след Закона за електронната идентификация нищо не се е случило. В 2017-та новите лични карти с е-идентификация не станаха, бяха отложени за 2018-та, ама Капитал тези дни писа, че нещата отиват към 2020-та. Масово и достъпно средство не е само личната карта, но знаейки, че тя така или иначе идва, няма смисъл да се инвестира в нещо друго. Т.е. ще си останем с КЕП още известно време. Появяват се частни схеми (в България и Европа), които обаче най-вероятно също ще са платени, а и не е ясно дали ще поддържат подписване на заявления (ЗЕУ допуска подписване с усъвършенстван електронен подпис, но ифраструктурата за е-идентификация, предвидена от ЕС, не предвижда всички схеми да могат да се ползват и за подпис; дори напротив).

Второто нещо е т.нар. UX (User Experience). Това не значи просто потребителския интерфейс да е удобен – значи процесите зад този интерфейс да са оптимизирани и удобни. Не в рамките на процеса по заявяване да минаваш през 4 стъпки и 2 имейла, защото така било според вътрешна наредба от 96-та (#truestory). UX-ът е причината никой (дори хора с КЕП) да не използват услугите. Защото в UX-а влиза и това гражданите да знаят, че има такива услуги. Кога последно Столична община ви каза, че има електронни услуги? Никога. Доскоро бяха скрити на сайта дотолкова, че и аз не можех да ги открия. Тестове с реални потребители въведохме като задължително изискване както в наредба, така и в условия за финансиране. Само че ако и изпълнителят, и възложителят не знаят какво е UX, то ще бъде отчетено като изпълнено и пак ще получим някоя деветдесетарска грозотия.

Но ако получим електронна идентификация, ще може повече хора да видят колко е неудобно всичко и да поискат да стане по-удобно. И то малко по малко ще става. Но когато 5 човека ползваме тия услуги така или иначе (а тези на НАП счетоводителите ги намират за удобни, щото наистина са…много по-удобни от хартиения процес), няма откъде да дойде натискът.

А електронна идентификация няма да има още година и половина. Поне не масова. И тук опираме до за съжаление вярното клише – политическата воля. Ако един проект не може да стане за 3-4 години, значи просто няма желание той да стане. Когато имаше желание, за 4 месеца от приемането на закона имахме готово качествено техническо задание. Когато няма политическа воля, година и половина по-късно, сме на същото място.

Електронно управление има. Но разликата между това просто да го има, и реално да бъде полезно на хората, би дошла от политическата класа и не просто нейното желание нещо да се случи, а и способността да го разбере и прокара. Администрацията ще прави опити, понякога добре информирани и смислени опити, но ако няма кой да премести политическите камъни от пътя, ще имаме услуги, които ще ползваме шепа хора.

Технологиите изпреварват политиките?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3069

(статията е публикувана първоначално в списание „Мениджър“)

Технологичното развитие в днешно време е толкова бързо, че законодателството и националните политики по редица въпроси, изглежда, изостават сериозно.

Това изоставане има три аспекта. Първият се отнася до вече съществуващи бизнес модели и практики, които биват променяни с развитието на технологиите. Пример за това са таксиметровите и хотелиерските услуги. Uber и Airbnb не са били възможни преди 10-15 години. И съответно законодателството в тези сфери не ги допуска като възможност – такситата трябва да имат таксиметров апарат и да бъдат жълти, а хотелите трябва да са категоризирани и да отговарят на определени изисквания. Новите технологии позволяват създаването на репутационни системи (например за таксита или хотели), базирани на оценката на потребителите, а не на това какво смята държавата. Съответно законодателството изостава от реалностите и трябва да наваксва.

Вторият аспект на изоставането е свързан с тези технологии, които изцяло променят обществените отношения. Такава област е например изкуственият интелект, а в известен смисъл и блокчейн и криптовалутите. Те имат потенциал да създадат изцяло нови обществени отношения, като решенията при възникнали казуси много трудно може да се съпоставят с вече съществуващи практики.

Третият аспект на изоставащите политики е в електронното управление, т.е. приложението на новите технологии в администрацията. Тъй като проектите имат забавяне от няколко години между идея и реализация, рядко може да бъдат приложени най-новите добри технологични практики. Това обаче не е същественият проблем, тъй като не се прилагат дори и добри практики на по десет години.

Всъщност фундаментални технологични промени не се случват чак толкова бързо. Интернет и уеб набраха скорост за повече от десетилетие, а социалните мрежи и смартфоните също ги има над десет години. Т.е. оправданието, че технологиите се изменят твърде бързо, не е напълно приемливо. По-скоро причината за усещането за изоставане на публичните политики е резултат от няколко фактора: инерцията на администрацията, липсата на технологична адекватност на политическото лидерство, както и неумението за създаване на технологично неутрална нормативна уредба.

Инерцията и мудността на администрацията са естествено явление, което доскоро е можело да бъде разгледано и като преимущество, даващо стабилност и приемственост на институциите. Към това може да причислим и липсата на готовност за използване на новите технологии. Политическото лидерство също не е източник на иновации. Дори в западните демокрации няма много технологично ориентирани лидери и (с изключение на Естония) технологиите достигат до политическия елит едва когато придобият масова популярност.

Технологично неутралните регулации са умение, което нито инертната администрация, нито „нетехнологичното“ лидерство е успяло да усъвършенства. Това е умението да правиш такива закони, че да не се налага да ги променяш при напредък на технологиите. Например не е разумно да се фиксира технологията „таксиметров апарат“, защото при поява на други начини за сигурно измерване на разстояние ще се наложи промяна в закона. От гледна точка на електронното управление например не е разумно в закона за електронната идентификация да се определя, че идентификацията е на картов носител, защото същото ниво на сигурност в близко бъдеще ще бъде предоставяно от смартфоните. Чрез технологично неутрални регулации новите технологии няма да доведат до чак такова изоставане, защото за въвеждането им няма да е необходимо да се чака решение на Народното събрание.

Проактивното изграждане на електронно управление и технологично неутралните регулации ще намалят усещането за изоставане на политиките от технологиите. При изцяло новите технологии обаче, които създават принципно различни обществени отношения, това изоставане е неизбежно. Правото върви след реалния и виртуалния свят. Създаването на правни норми винаги идва със закъснение и няма как да предхожда новите развития.

Дали липсата на регулация на изкуствения интелект или криптовалутите ще доведе до сериозни проблеми? Едва ли, тъй като и тяхното развитие е сравнително бавно. Те съществуват от около десетилетие, така че оставят достатъчно време публичните политики да се възползват от тях, както и да ги регулират.

Все пак иновациите се случват до голяма степен в частния сектор, като публичният следва да ги използва и в краен случай – да ги регулира, само след като те вече са се наложили. В този смисъл технологиите, които изпреварват политиките, не са нещо, което би трябвало да ни притеснява.

Визия за електронно бъдеще

Post Syndicated from Bozho original https://blog.bozho.net/blog/3047

Не се имам за визионер. Най-вече защото смятам за нужно да мога да си представя почти всички стъпки, необходими за реализирането на всичко, което предлагам. И тогава то не е точно „визия“, а по-скоро „план“. Но така или иначе, наскоро се замислих какво бих искал да имаме след като реализираме пътната карта за е-управление (която е доста конкретен план). Нещо като … визия за 2025-та. И направих следния списък:

  • Електронно гражданство – това естонците вече го имат, а в заданието за системата за електронна идентификация бяхме заложили гъвкавост в идентификаторите – в момента са само ЕГН и ЛНЧ, но ако законодателството позволи на произволни чужди граждани да се издава електронна идентичност, това да бъде възможно и със съществуващата система. Това би позволило на чужденци да откриват фирми, да плащат данъци и да развиват дигитален бизнес без да са стъпвали в страната.
  • Гъвкава електронна идентификация – в момента електронната идентификация се предвижда на носител (смарткарта). Това не е най-удобното решение, но за желаните нива на сигурност е горе-долу единствената опция. Но след 5-6 години мобилните телефони, а и други преносими устройства ще имат, надявам се, същото ниво на сигурност (в момента са възможни хибридни схеми със split key между телефон + HSM, но да не влизаме в подробности.)
  • Пълен контрол на гражданите върху данните им – всеки да може да определя кой има достъп до данните му, да вижда кога са четени – не само в публичния сектор но и в частния. Това технологично изглежда трудно, но за публичния сектор е напълно постижимо, а за частния – с развитието на криптографията се надявам да има как да управляваме данните си без да се налага да правим „крипто-шаманизми“, които са трудни дори за напреднали.
  • Всички системи да имат програмни интерфейси и да си „говорят“. Това вече е заложено като изискване, но ще стане реалност най-рано след 4-5 години. Това ще превърне системите на държавата (а и не само) в лего-блокчета, от които и държавата, и бизнесът ще могат да сглобяват нови приложения.
  • Единен портал за граждани – и това е заложено като „първа версия“ в системата за електронна идентификация, но в неговата пълнота би изглеждало така – влизате (с електронната си идентичност) в портала и там виждате всички данни за себе си, всички данъци и такси, които дължите (и история на тяхното плащане), срокове, в които да извършите някакви задължения или препоръчителни действия (технически прегледи, гражданска отговорност, смяна на лична карта, записване на дете в детска градина или училище, профилактични медицински прегледи) и всичко това да може да се направи с един бутон – „плати данъци“, „записи дете в детска градина Х“, „поднови гражданска отговорност“, „запази си час за личния лекар“ и т.н. Някои от нещата може да стават и автоматично и само да получаваме известия, че са станали. Това разбира се би изисквало оптимизиране или изграждане наново на стотици процеси, но е постижимо.
  • Хартия в администрацията и в отношенията между бизнеса и гражданите – само в тоалетната. Това е шега на естонците, но колкото по-малко хартия размотаваме напред-назад, толкова по-добре. И не само заради спасените гори, а защото това би значело, че всичко можем да свършим в движение, отдалечено, лесно и бързо.

Това са неща пряко свързани с електронното управление. Ето още някои идеи за по-добро управление в по-общ смисъл. Те разчитат на голямо хранилище от данни, което може да звучи и малко антиутопично (напр. като в този разказ), но всичко това биха били данни, които държавата вече има и събира и в голямата си част не са данни за отделния гражданин, т.е. не биха нарушили личната му свобода:

  • Автоматична оценка на въздействието на законодателството – всеки закон или наредба в момента трябва да бъде приеман само след като е оценено въздействието му (напр. върху бизнеса). Това обаче далеч не се прави винаги. Според мен може да бъде автоматизирано до голяма степен – ако всички данни на държавата са налични в голямо хранилище и поддържани и класифицирани прилежно, а текстът на законопроектите не се твори „на колянце“, а следват адекватен, електронизиран и прозрачен процес, то той ще може да бъде анализиран машинно и съпоставян с данните, като така ще може по време на писането да е ясно какви аспекти засяга. Разбира се, това няма как да е пълно (освен ако изкуственият интелект не напредне драматично), но поне ще можем да имаме частична картина.
  • Изкуствен интелект за идентифициране на проблемни сфери – следейки гореспоменатите данни за дълги периоди от време, изкуствен интелект ще може да вдига „червени флагчета“ за проблемни сфери – ако раждаемостта намалява 7-8 години поред, значи може би е нужна политика, която да адресира проблема; ако чуждите инвестиции намаляват, значи е нужна политика по привличането им; ако броят на деца, оставащи извън детски градини расте, значи спешно трябва политика по осигуряването на такива (стимул за частни; ускорено строене на общински и др.); ако въздухът е мръсен за продължителен период… и т.н, и т.н. И всеки управляващ (министър/кмет) да има едно табло, на което да вижда проблемите сфери подредени по риск и приоритетност.
  • Система за идентифициране на корупция – в предложения проект за анализ на корупционния риск в пътната карта е залегнало автоматичен анализ, но той не е проактивен – на база на хранилището за данни може да се идентифицира корупция много по-ефективно.

Има обаче и много други аспекти на дигитализацията:

  • Пряко гражданско участие – не само електронно дистанционно гласуване и електронни референдуми, а възможност за активно участие във вземането на решения. Не смятам, че представителната демокрация е лоша и че пряката непременно ще реши всички проблеми, но със сигурност повече възможности за електронно гражданско участие (напр. в гласувания в парламентарни комисии; в изготвяне на законопроекти и др.) биха значели по-демократично-осъзнатео общество.
  • Дигитална грамотност (e-literacy) – в момента България е на последните място в Европа по дигитална грамотност. Не ползваме възможностите, които новите технологии предоставят, не се ориентираме в интернет-лабиринта, вярваме на фалшиви новини, не умеем да комунимираме онлайн и т.н. Това всичко може и трябва да се подобри, за да не изоставаме и да не ставаме по-бедни поради това си изоставане. Политика на министерство на образованието е необходима, но не достатъчна. Трябва електронното ограмотяване да се случва на всички нива, във всички възрасти. И не просто „как да ползваме компютър, за да се обаждаме на децата в чужбина“. А дори да можем да програмираме прости програми, ако щете. Защото това би повишило ефективността ни многократно, без значение от професията.
  • ИТ индустрията да премине отвъд аутсорсинга. Отвъд това да изпълнява тривиални (но времеемки) задачи на големи компании. Имаме потенциала да решаваме световни и местни проблеми и поне някой от е-гигантите на бъдещето да бъде тук. Да, за това е нужно не само технологична експертиза и предприемчивост, а и инвеститорска екосистема, но напредваме в това отношение.
  • Реален единен цифров пазар в Европа (а защо не и Европа+САЩ+други държави). В момента регулациите в различните европейски държави са толкова различни, че ако един бизнес иска да продава навсякъде, трябва да си наема юристи във всяка държава (образно казано). Опитите на настоящата комисия не бяха достатъчни и много сфери останаха или нехармонизирани, или хармонизирани проформа (напр. директивата за авторското право, за която ще пиша скоро, няма изгледи да постигне желания ефект). Дали европейските регламенти и директиви ще премахват местни особености или ще ги хармонизират между нациите, резултатът трябва да е един – единствената разлика между България, Франция, Естоняи и Испания да бъде езикът на потребителския интерфейс. А той би трябвало да бъде превеждан машинно в следващите 5-6 години.
  • Позволяване на реална споделена икономика чрез умни и гъвкави регулации и дерегулации – не твърдя, че Uber и AirBNB „са бъдещето“, но и такива и по-децентрализирани модели на предоставяне на услуги трябва да бъдат допустими, а не „по ръба на закона“. Схемите за репутация на шофьори, хотели, ресторанти и какво ли още не не трябва да са държавен монопол – държавата трябва да ги делегира на технологично по-адекватните.

„Абе т’ва ваш’то не е точно визия“. Сигурно не е, но поне е част от представата ми за възможното и постижимото след 10 години. И наличието просто на един списък с идеи, хрумнали в трамвая, не е начин нещо от тях да се случи. Но може би е първа стъпка, която в комбинация с достатъчна активност, попътен вятър и късмет, може пък и да стане.

Но защо всичко да е дигитално? Защо ни е този напън към електронизация, към преминаване към виртуалния свят? Не е ли това лошо, рисковано, откъсващо ни от корените, антиутопично? Не мисля. Технологията е и ще си остане само средство, а не самоцел, но като средство може да бъде много ефективна – за това да прави хората по отделно, и обществата като цяло, по-щастливи, по-богати (и материално и нематериално) и дори по-добра версия на самите себе си. „Само“ трябва да се научим как да я използваме.

Как да допуснем услуги като Uber? [законопроект]

Post Syndicated from Bozho original https://blog.bozho.net/blog/3032

Съдът в Люксембург реши, че Uber е транспортна компания и предоставя таксиметрови услуги. Това е проблем не само за Uber, а за всички по-съвременни начини да предоставяш транспортна услуга, в това число децентрализирани варианти (например чрез блокчейн, въпреки целия ми скептицизъм към публичните такива).

За да бъдат допустими на пазара тези бизнес модели – дали Uber, дали Lyft, дали дори TaxiMe и TaxiStars, към които таксиметровите компании проявяват недоверие и се оптиват да ги изтикат за сметка на свои приложения, трябва законодателството да го позволява. Докато преди това решение Uber оперираше в (според тях) сива зона на нерегулиран бизнес, вече е ясно, че това не е така. И макар Uber да е най-популярният пример, те не са най-светлият такъв – компанията е на загуба и съвсем не е „цвете за мирисане“. Така че всичко недолу не би следвало да се разглежда като „как да узаконим Uber“, а как да не ограничаваме транспорта в градовете до „жълти коли с табелки, светлинки и таксиметрови апарати“.

Както бях писал преди време – регулациите могат да бъдат правени умно, така че да не ограничават технологични бизнес модели, за които регулаторите не са се сетили. За съжаление, Законът за автомобилните превози е доста остарял и със сигурност не допуска нищо различно от кола с таксиметров апарат с фискална памет, която можеш да си спреш на улицата. Освен това режимът, предвиден в закона е доста утежнен дори за съществуващите превозвачи. Първо, трябва да има регистрация на превозвач. След това всеки шофьор полага изпити и получава удостоверение за водач на таксиметров автомобил. Но това удостоверение на му е достатъчно – трябва да получи и разрешение от общината, която да разгледа удостоверението му и регистрацията на превозвача, чрез който ще осъщестява услугата. Не на последно място, законът предвижда общинските съвети да определят максимален брой таксита, както и разпределението им между регистрираните превозвачи. Това последното звучи доста непазарна мярка и със сигурност би ограничило някои по-иновативни модели.

Поради всичко това реших да напиша законопроект за изменение и допълнение на Закона за автомобилните превози. Докато пишех черновата, видях, че Естония вече е направила нещо такова, с доста сходен подход. Основните цели са:

  • Разграничаване на такситата, които можеш да си вземеш на улицата от тези, които можеш да вземеш единствено чрез диспечерска система (дали мобилно приложение, дали по друг начин, няма значение)
  • Допускане на измерване на разстоянието и съответно отчитането пред НАП със средства, различни от таксиметров апарат (например GPS + система, интегрирана с тази на НАП, както са направили в Естония преди време)
  • Улекотяване на регистрационния режим чрез премахване на разрешението от общината – общините, в които оперира даден автомобил се вписват от превозвача в регистъра на Изпълнителна агенция „Автомобилна администрация“, откъдето се черпи информация и за дължимия местен данък.
  • Запазване на данъка за таксиметрови превози към общините
  • Запазване на изискванията за техническа изправност, възраст на автомобилите, психическа годност и липса на присъди на водачите
  • Спазване на принципите на елекетронното управление – извличане на данните за автомобилите от регистъра на КАТ, позволяване на подаване на заявления по електронен път, включително автоматизирано, така че превозвачите да могат да интегрират вътрешните си системи за управление на автопарка с централния регистър. Премахване на задължението от носене на документи от страна на таксиметровите шофьори (като удостоверения) и проверката ми по електронен път
  • Премахване на централизираните изпити и обучения и заменянето им с обучителни материали (де факто прехъвлрне на отговорноста за обучение на шофьорите на превозвачите, които така или иначе имат интерес шофьорите им да не са неадекватни)
  • Премахване на възможността общината да определя размера на пазара и да разпределя участниците в него

Последните две точки са пожелателни, но според мен принципно важни. Ето и самият текст, с мотиви към всеки параграф:

Закон за изменение и допълнение на Закона за автомобилните превози

§1. В чл. 12а се правят следните изменения и допълнения:
1. В ал. 1, т.5 се изменя както следва: „Данни за моторните превозни средства, с които превозвачът извършва превозите:
а) регистрационен номер
б) дали автомобилът ще извършва таксиметров превоз единствено при повикване чрез диспечерска система
в) общините, в които моторното превозно средство ще извършва превози
2. Ал. 2 се отменя;
3. Създава се нова ал. 6: „(6) Заявления за вписване и за промяна на обстоятелства в регистъра, могат да се подават по автоматизирано и по електронен път по реда на Закона за електронното управление“
4. Създава се нова ал. 7: „(7) Обстоятелства за регистрираните автомобили, определени с наредбата по ал. 5, се извличат автоматично на база на регистрационния номер от националния регистър на пътните превозни средства по реда на Закона за електронното управление“
5. Създава се нова ал. 8: „(8) Изпълнителна агенция „Автомобилна администрация“ извъшва автоматизирани проверки за платен данък за таксиметров превоз на пътници и заличава вписаните в регистъра моторни превозни средства, за които данъкът не е платен за съответната година“
6. Създава се нова ал. 9: „(9) Изискванията към външния вид на автомобилите, които са регистрирани за извършване на таксиметров превоз единствено при повикване чрез диспечерска система могат да са различни от тези за останалите автомобили“
7. Създава се нова ал. 10: „(10) Автомобилите, които са регистрирани за извършване на таксиметров превоз единствено при повикване чрез диспечерска система, нямат право да престояват на местата, обозначени за престояване на таксиметрови автомобили“

Мотиви: Регистърът трябва да съдъдржа актуална информация за автомобилите, с които се извършват таксиметров превоз. Тя трябва да може да бъде променяна по елекетронен път, чрез интеграция на информационната система на превозвача с регистъра.
Достатъчно е вписването единствено на регистрационния номер на автомобилите – останалите данни следва да бъдат извличани (при нужда) от националния регистър на превозните средства в МВР, следвайки принципа на еднократното събиране на данни, заложен в Закона за електронното управление.
Премахва се и ограничението за възраст на автомобила при първа регистрация като превозвач – важното изискване е автомобилите да не са над определена възраст (чл. 24). Премахването на това ограничение допуска динамичното променяне на „автопарка“ на превозвача.
Поради отменените по-надолу разпоредби от чл. 24а, в регистъра в ИААА се предвижда водене и на общините, в които съответните автомобили на превозвача извършват дейност. Това се налага с оглед на плащането на данъка върху таксиметровия превоз на пътници.
Въвежда се важно разграничение на автомобилите, извършващи таксиметров превоз – такива, които извършват услугата единствено при повикване чрез диспечерска система (което включва мобилни приложения и както централизирани, така и разпределени диспечерски системи) и други, които могат да бъдат спирани на пътното платено или вземани от предвидени за това места.
Изрично се допуска възможността автомобилите, които няма да бъдат спирани на пътя, да имат неунифициран външен вид (напр. табела „Такси“, жълт цвят и др.), като обаче нямат право да престояват на т.нар. стоянки за таксита.

§2. В чл. 24 се правят следните изменения и допълнения:
1. в ал. 1 след думите „електронен таксиметров апарат с фискална памет“ се добавят думите „или по други начини, позволяващи точно измерване на разстояние и отчитане пред данъчната администрация“, а думите „след издаване на разшрение за таксиметров превоз на пътници“ се заменят с думите „след вписване в регистрите по чл. 12, ал. 2 и по ал. 3, т.5“.
2. в ал. 3, т.5 изменя така: „Вписан е в регистър на водачи, извършващи таксиметров превоз, воден от председателя на Изпълнителна агенция „Автомобилна администрация“
3. ал. 4 се изменя така: „Ръководителят на съответното регионално звено на Изпълнителна агенция „Автомобилна администрация“ вписва лицата, отговарящи на изискванията по ал. 3, т. 1-4 и е декларирало, че се е запознало с обучителна информация, определена с наредбата по чл. 12а, ал. 5. Вписването се подновява на всеки 5 години по заявление на водача.
4. ал. 5 се отменя.
5. ал. 6 се изменя така: „Редът за вписването и подновяването на вписването в регистъра на водачите, извършващи таксиметров превоз, и за доказване на съответствието с изискванията по ал. 3, т. 1-4 се определя с наредбата по чл. 12а, ал. 5., като обстоятелствата, необходими за доказване на изискванията, се събират по служебен път“
6. в ал. 17 думите „отнема със заповед удостоверението на водач на лек таксиметров автомобил“ се заменят с думите „заличава вписването на водач, извършващ таксиметрови превоз“

Мотиви: Носенето на удостоверение е излишно, при положение, че контролиращите органи имат електронен достъп в реално време до регистъра. Поради тази причина изискването за удостоверение се заменя с наличие на вписване в регистъра.
Централизираните обучения не са добър механизъм за информираност на шофьорите (което е видно на практика), но създават административна тежест. Обученията и изпитите се заменят с деклариране (възможно по електронен път) от страна на водача, че се е запознал с обучителните материали. Тези материали могат да бъдат текстови или видео-уроци.
Чрез въвеждане на електронни услуги, водачите ще могат отдалечено и лесно да заявяват вписване в регистъра.
Въвежда се възможност за използване на алтернативни технологии на таксиметровия апарат с фискална памет, като например GPS устройства. С наредба ще бъдат определени условията за интегриране на отчетеното от тези устройства разстояние и съответна цена с данъчната администрация.

§3. В чл. 24а се правят следните изменения и допълнения:
1. ал. 1 се изменя така: „Водач, вписан в регистъра на водачи, извършващи таксиметров превоз, имат право да извършват такъв с всеки автомобил, вписан в регистъра по чл. 12, ал. 2 в рамките на общините, за които е валидно вписването“
2. ал. 2-9 се отменят
3. ал. 10 се изменя така: „Административните органи нямат право да определят ограничения на броя таксиметрови автомобили, опериращи на територията на дадена община“
4. ал. 11 се изменяе така: „Общинските съвети могат да определят минимални и максимални цени за таксиметров превоз на пътници за един километър пробег и за една минута престой по съответната тарифа, валидни за територията на съответната община“

Мотиви: допълнителните административни процедури извън регистрацията на превозвача и на водача са излишна административна тежест. Контролът на таксиметровия пазар от страна на общинския съвет, в т.ч. броя автомобили и тяхното разпределение между превозвачи е потенциален източник на корупция и пречи на конкуренцията.
Чрез регистъра по чл. 12, ал. 2 се събира информация в коя община оперират таксиметровите автомобили. Допуска се един автомобил да оперира в повече от една община, което е приложимо например в курортните комплекси.

§4. В чл. 24б след думите „таксиметровите апарати“ се добавят думите „или другите допустими технологични средства“

Мотиви: с наредба се определят и условията за използване и отчитане на други технологични средства, например GPS устройства.

§5. В чл. 95, се правят следните допълнения:
1. В ал. 1 след думите „таксиметров апарат“ се добавят думите „или друго допустимо технологично средство за отчитане на разстояние“
2. В ал. 2 се създава нова т.3: „3. извършва таксиметрови услуги в община, за която автомобилът, който управлява, не е регистриран в регистъра по чл. 12, ал 2“
§6. В чл. 96, ал. 4 след думите „таксиметров апарат“ се добавят думите „или друго допустимо технологично средство за отчитане на разстояние“

Разбира се, по-сложната част ще бъде коригирането на наредбите след това, включително намирането на начин за признаване на GPS координатите – ясно е, че както такситата имат „помпички“, така и GPS-ите на телефоните могат да бъдат „лъгани“.

Това е само предложение, на база на което да започне обсъждане. Далеч съм от мисълта, че мога да измисля решение на всички проблеми за един следобед. Нямам законодателна инициатива и не мога да го внеса, а и някои от точките може да не са приемливи за таксиметровия бранш, т.е. да трябва да се търсят компромиси. Все пак смятам, че допускането на повече технологични начини за осъществяване на таксиметрова услуга е добър за пазара и за клиентите.

Пет мита за електронното гласуване

Post Syndicated from Bozho original https://blog.bozho.net/blog/3004

Тази седмица ЦИК ще направи демонстрация на електронно гласуване в рамките на проекта, който преди малко повече от година заложихме в пътната карта за електронно управление. На „дистанционно електронно гласуване“, ако трябва да сме коректни – терминологията не е унифицирана, и често само „електронно гласуване“ може да значи и „машинно“. Та във връзка с раздвижването по темата, по медиите канят знайни и незнайни хора (сред които и уважавани експерти) да коментират. Случват се и разни събития/кръгли маси/конференции по темата, на някои от които присъствам.

Това, което чувам са доста неинформирани мнения и разпространяване и преповтаряне на митове. Затова реших да си избера пет мита, които говорещите против електронното гласуване разпространяват. Винаги дяволът е в детайлите, а с една подхвърлена полуистина в ефира се създават настроения в обществото.

„Много държави го забраниха или се отказаха“ – тук посланието е „всички се отказват от него, ние къде сме тръгнали“. Разбира се, това е невярно. Половината от държавите, които се изреждат, не са и опитвали дистанционно електронно гласуване, а само машинно. И поради машини „черни кутии“ (със затворен код) и висока цена, наистина се отказват от тях. Но когато говорим за дистанционно електронно гласуване, картинката е по-различна. Експертимент, след който не е пристъпено към реално гласуване, е имало в Норвегия. Причината за да не се пристъпи нататък? В официалния доклад техническият проблем е тривиален – функцията за генериране на случайни числа не е била добра. Но по-важният фактор е, че на власт е дошла опозицията (социалистическата партия) и тя е спряла проекта на предишното правителство. Германският Конституционен съд пък е взел решение – експерименти е нямало, та докато нашия Конституционен съд не вземе такова решение за действащия изборен кодекс, нямаме такъв проблем (има решения за предишни текстове в кодекса, но това е по вина на текстовете – новите адресират мотивите на съда). Холандия е забранила машини, не дистанционно електронно, и то по много специфични за конкретната машина съображения, така че не е по темата с дистанционно електронно. „Франция го забрани/се отказа“ също не е вярно. Франция позволява дистанционно електронно гласуване от 2012-та, но конкретно на тазгодишните избори реши да не позволява този канал за гласуване, заради потенциалната руска намеса. Това не значи, че на следващите избори няма да имат електронно гласуване, нито, че решението е било мотивирано с нещо различно от страх. В нашия изборен кодекс тази опция е предвидена – ЦИК може да вземе решение да не прилага дистанционно електронно гласуване, ако мотивира това с технически доклад за неизбежни и непосредствени рискове. Това обаче не е „винаги“. Та, като някой тръгне да ви изрежда държави, които го били „забранили“…не приемайте това като чиста истина.

„Само Естония гласува електронно“ – на национални избори – Естония и Франция (за живеещите извън Франция), но няколко швейцарски кантона гласуват електронно, един австралийски щат (Нови Южен Уелс, в който е Сидни), Аляска и общини на различни места по света, в т.ч. Мексико Сити. Това, разбира се, не е аргумент сам по себе си – другите държави имат много различен дневен ред и изборна ситуация. Структурата на нашето население е специфична – немалка част от него е в чужбина, а това не може да се каже за много други европейски държави. Според доклад на ООН 14% от българите живеят в чужбина. Другите държави са нямали референдум за електронно гласуване, нямат и такъв проблем с купен и контролиран вот, имат по-висока избирателна активност и т.н. Много други държави обаче позволяват гласуване по пощата, което е аналоговото решение на сходен проблем. На нашите пощи обаче не може да се разчита, нито на процеса, в който се отварят пликовете.

„Естонското беше хакнато“ – това е съвсем невярно. Базира се на един доклад на Алекс Халдерман, който критикува някои аспекти на оперативната сигурност (т.е. практиките на длъжностните лица при провеждане на изборите). Отговорът на естонската агенция за електронно управление е доста ясен – нямало е манипулации, а оперативните практики се подобряват постоянно. И имайки предвид, че Русия организира сериозна кибератака срещу Естония преди десетина години (във връзка с премахване на паметник), липсата на проблеми след над 10 години електронно гласуване е показателна. Освен докладът на Халдерман, тази година стана ясно, че производителят на чипа в естонските лични карти е допуснал грешка, заради която те не са толкова сигурни, колкото сме си мислели. Това не засяга всички естонски лични карти, а засегнатите се подменят. Ако по това време имаше електронно гласуване, то просто щеше да бъде спряно и хората щяха да бъдат уведомени да отидат да гласуват на хартия, както позволява естонският изборен кодекс, и съответно нашият (в който сме заимствали от естонския). Т.е. не, естонското не е хакнато, а при установяване на нерешим проблем, избирателната комисия има правото да го спре и да прати хората да гласуват на хартия (защото електронното е няколко дни преди изборния ден).

„Ще улесни купуването на гласове“ – не, няма. По много причини, някои технологични, други – пазарни. Кодексът предвижда предварителна регистрация за електронно гласуване, предвижда и двустепенна оторизация (т.е. използване на мобилен телефон освен електронната личната карта), предвижда технически мерки за ограничаване на много последователни гласувания от един компютър. И докато всички тези неща са заобиколими със стройна организация и технически умения на купуващите, това ще бъде много по-трудно, отколкото просто да купиш гласовете и да пратиш хората да гласуват на хартия в секция. Да сравним правенето на списък и чакането пред секция на неквалифициран персонал (най-често цигански тартор), със зачистване на регистри/смяна на мак адреси, събиране на лични карти И телефони, и то за период от няколко дни, за да не може купеният да си промени гласа след това. И отгоре на всичко, в ЦИК и МВР ще има карта на регистрираните за електронно гласуване, така че ако в рискови райони има концентрация, да бъде направена проверка. Т.е. бариерите пред купуването (а и контролирането) на гласове при електронното гласуване са много повече от тези при хартиеното. Сценарият „ще им събере личните карти и ще напуска гласове“ звучи възможен само ако човек не познава подробностите.

„Трябва да има първо електронно управление и чак тогава електронно гласуване“ – бившият председател на естонската комисия за електронно гласуване ми разказа интересна история. Преди първото електронно гласуване (2005-та) броят активно използвани електронни лични карти е бил около пет хиляди. Да, Естония ги въвежда 2001-ва, но докато хората ги получат, докато започнат да ползват услуги, докато се появяват услуги, минават няколко години. На първото електронно гласуване онлайн гласуват 9300 души, т.е. почти два пъти повече. Електронното гласуване е катализатор на електронното управление и няма причина да чакаме да си вържем всички регистри, за да имаме електронно гласуване. Единствената предпоставка е електронната идентификация (електронна лична карта или друго средство). За съжаление, там правителството доста изостава от планираните срокове (това лято отложи електронната лична карта с още една година).

Почти всичко това съм го разказал в детайли в лекцията си от преди две години. Но детайлите са скучни и затормозяващи и затова пръскането на митове в ефира е по-ефективно и по-въздействащо.

Аз също съм против прибързаното въвеждане на технология в толкова важен процес като изборите, и съм го казвал неведнъж. Но референдумът беше 2015-та, а първите обвързващи електронни избори трябва да са 2019-та. Три години и половина не е „прибързване“. Затова има пътна карта, има проект, има изборен кодекс, има предвидени симулации и експерименти.

Но линията, която в момента започва все по-отчетливо да се появява е „абе, то не е сигурно, дай да го отложим за неопределено време“. Иска ми се да я отдам на неиформираност, а не на конспирация. И когато януари 2019-та стигнем до момента на вземане на решение „спазваме или изборния кодекс или не“, силно се надявам решението да бъде доста по-информирано от простото цитиране на горните митове.

Изхарчени са милиарди за електронно управление?

Post Syndicated from Bozho original https://blog.bozho.net/blog/2999

Излязоха данни на БСК за разходите за електронно управление, сравнени с Естония. Изхарчени са милиарди от 2001-ва до 2016-та.

Като цяло данните най-вероятно са верни.

Е, Естония не е похарчила само 50 милиона. Всъщност, притеснително е, че БСК не е проверила тези данни и няма източник (Евростат дава разбивка по функции, но там няма е-управление/информационните технологии). Ето един очевиден източник през Google: https://www.nytimes.com/2014/10/09/business/international/estonians-embrace-life-in-a-digital-world.html (Естония харчи 60 милиона годишно за информационните технологии).

Но да оставим настрана тази грешка – тя прави нещата по-бомбастични, но не прави останалите наблюдения неверни. Всъщност, в доклада, с който внесохме пакета от реформи през 2015-та, имаше почти същите числа. И тогава, след заседание на парламентарната комисия по транспорт, излязоха новини колко много е похарчено. И пак бяхме недоволни за половин ден, и пак ги забравихме.

Всъщност е доста трудно да се измерят парите за „електронно управление“ – централен регистър за проекти и дейности за електронно управление нямаше допреди последните изменения на закона – оценките са „на око“ и никога не са пълни.

Но важни са причините – похарченото няма да се върне.

До 2016-та нямаше ясни правила и ясна посока за електронно управление, и най-вече – орган, който да преследва, стъпка по стъпка, политиката за е-управление. Да, има стратегии отдавна, има дори закон отдавна, но това всичко са пожелания. Докато не обвържеш разходите на министерствата и агенциите с контрол по същество и оценка на постигнатите резултати, те ще си харчат колкото им дойде за каквото им дойде. И в редките случаи, когато имат доброто желание нещо да направят, няма да имат експертизата да го направят.

Другата фундаментална разлика е електронната идентификация. БСК правилно посочват, че естонците имат електронна лична карта от 2001-ва. Според естонският президент това е ключов фактор и без него нищо не става. Затова и прокарахме законови изменения, за да имаме и ние електронна лична карта, макар и 17 години по-късно. През август правителството обаче ги отложи с още една година.

Държавна агенция „Електронно управление“, макар и с малък капацитет, успява да бута нещата напред. По-бавно, отколкото ни се иска, и не с темпове, с които да настигнем Естония, но и БСК отбелязва напредъка по някои направления (подкарването на системата за електронно връчване, например). За съжаление все още не е влязла в пълните си правомощия, които сме предвидили в закона и все още е неефективна по немалко направления – „държавен облак“, например, още няма. Няма и електрона идентификация, която да даде необходимата масовост на използване. Писал съм за всички тези неща многократно (обобщени тук), но нещата в крайна сметка опират до два фактора. И те не са колко пари са изхарчени.

Политическа воля и експертен потенциал. Ако няма минимум вицепремиер, който да натиска постоянно за случването на електронното управление, то няма да се случи. Но простото желание също не е достатъчно, защото администрацията, министрите, опитните „играчи“ имат добри оправдания защо нещо не може да стане или защо не трябва да стане. Затова трябва експертния потенциал на високо ниво, който да отсее оправданията от реалните проблеми и да ги реши почти собственоръчно, с помощта на „белите лястовици“ в администрацията (има такива).

Иначе ще продължава да има стратегии, ще продължаваме през две години да отчитаме колко милиарда са изхарчени, ще въздъхваме, като чуем Естония. А там се е получило много „лесно“. Просто е имало политически консенсус, че страната ще става дигитална и достатъчно добронамерени експерти, които да вземат правилните технологични решения. И Естония не е започнала от 2001-ва година дигитализацията – започнала е много по-рано, в училищата, с изграждане на дигиталната култура у гражданите. Далновидно. В годините, в които у нас са се гонили мутри, а БСП е фалирало държавата. 20 години по-късно ние отлагаме електронните лични карти още веднъж и говорим основно за инфраструктурни проекти.

А парите за електронно управление си изтичат, нерядко към „наши фирми“, нерядко много повече, отколкото предполага обхвата на проекта.

Просто начин на мислене. Който не се санкционира на избори, така че продължава да се възпроизвежда.

Отворено законодателство [лекция]

Post Syndicated from Bozho original https://blog.bozho.net/blog/2996

Преди година написах, че макар гражданите да са длъжни да знаят законите, държавата не им помага по никакъв начин за това — законите се публикуват само като изменения в държавен вестник (чиято електронна форма е PDF), а за нормален човек това не е четимо и полезно но никакъв начин. Това ни прави почти последни в Европа по достъпност на законодателството. Причините за това са много, свързани и с авторски права, и с неспособността на държавата да върши качествено И тази работа, но в крайна сметка гражданите ползваме lex.bg и се надяваме версията там да е актуална.

Това обаче е недостатъчно и поради това реших да направя лекция за „Отворено законодателство“ на OpenFest, на която да разкажа както за текущия законодателен процес и проблемите, свързани с него, така и да предложа технически решения. В рамките на лекцията предложих създаване на проект OpenLex, чрез който законодателството да стане по-достъпно.

Видео от лекцията може да видите тук:

А слайдовете са тук:

Три седмици след OpenFest, все още не съм намерил време да инициирам координационна среща по проекта с хората изявили желание, което е сериозен пропуск от моя страна, но ще се опитам да го коригирам скоро.

А ако проектът бъде реализиран, ще имаме не просто по-удобно и достъпно законодателство (каквото lex.bg до известна степен дава), но и реализирани компоненти и взети технически решения, чрез които държавата (в лицето или на Народното събрание, или на Министерския съвет) да поддържа законодателството в електронен, машинно-четим вид. А самият законодателен процес да не минава през разпечатване, сканиране и разпращане на doc файлове с 10 цвята в допълнение на track changes, а да бъде структуриран и да позволява съвместна работа на много участници. Това би предполагало технически грамотни депутати, разбира се. Ама и до там ще стигнем все някой ден.

Надявам се и лекцията ми да е полезна за всеки, който в даден бъдещ момент ще иска да оптимизира законодателния процес и достъпа до законодателство.

Нюансиран поглед върху държавната администрация

Post Syndicated from Bozho original https://blog.bozho.net/blog/2948

Свикнали сме да наричаме държавния служител с пренебрежителното „чиновник“. Или дори „хрантутник“. Образът на държавния служител е намръщена лелка, която по цял ден нищо не върши. Има вицове от рода на „Какво правят държавните служители, като се пенсионират? Пак нищо“. Държавата е неефективна, и затова сме склонни да обвиняваме винаги държавните служители. Обвинява ги обществото, обвиняват ги и политиците.

И това не е без основание. Много от държавните служители наистина ги мързи, наистина не могат да свършат работа „за 5 стотинки“, наистина са назначени, защото са „човек на някого“. Но това по никакъв начин не ги прави уникални – същото можем да кажем за работещите и в частния сектор. Да, частният сектор може да ги уволни по-лесно, но държавният служител не е отделна, по-низша каста – те са същите хора като всички други, просто работят за държавата.

Аз съм работил с администрацията, бил съм по срещи и работни групи, участвал съм в опита да бъде реформирана и имам сравнително добра представа за ситуацията. И бих искал да изкажа по-нюансирана гледна точка. Но нека първо спомена два мита:

  • „Държавните служители непрекъснато се увеличават“. Когато се появи новина за създаване на нова административна структура (например Държавна агенция „Електронно управление“), коментарите са – „още хора на държавна хранилка“. Това всъщност е невярно. Държавната администрация е ограничена до 120 хиляди души със Закона за администрацията от 2012-та:

    § 16. (1) Общо числеността на персонала на администрацията на изпълнителната власт по чл. 36 – 38, установена в съответните устройствени актове към датата на влизането в сила на този закон, не може да бъде увеличавана.

    В цялата администрация има т.нар. „щатни бройки“ – незаети места. Когато се създава нова структура, те се прехвърлят от администрациите, където са незаети, към новите администрации. Има разбира се и извънщатни служтели, както и такива на граждански договори, но те не се ползват с привилегиите по Закона за държавния служител.

    Т.е. не, администрацията не се увеличава. В най-лошия случай си стои колкото е била през 2012-та – около 120 хиляди души.

  • „Имаме най-голямата администрация в Европа“ – това е грешното схващане, че нашата администрация е огромна. Евростат обаче ни дава съвсем друга картинка. Тези данни са за размера на централната администрация. Можем да сметнем колко е тя спрямо населението, и да видим, че например Португалия и Гърция, които имат население с 2-3 милиона повече от нас, имат 2-3 пъти по-голяма администрация, и то след сериозните реформи, които проведоха през последните години (поне португалците, де). Общо взето, по численост на администрацията сме зад държавите от южна Европа. Тук разбира се е важно какво мерим – централна администрация или местна администрация; държавни служители или хора на държавна издръжка, в което влизат учители, лекари, полиция и т.н. Но нека се фокусираме върху администрацията, а не целия публичен сектор.

Не, не ги защитавам затова, че са неефективни. Просто поставям нещата в перспектива. И както отбелязах по-горе, админситрацията е огледало на обществото, не е изолирана прослойка. И там има нормални хора, има хора, които „толкова си могат“, има хора, които ги мързи, та две не виждат, има хора, които са толкова пияни, че две не виждат.

Но ако хванеш и уволниш няколко средностатистически, среднонекомпетентни, средномързеливи държавни служители… няма да промениш нищо. Нито ще спестиш кой знае колко бюджет, нито ще успееш да намериш някой по-адекватен да свърши работата. Най-много да назначиш някой роднина, че нали, обещал си…

Идеята ми е, че колкото и да плюем администрацията, това няма да промени нищо. Тя има определени от закон задължения, които трябва да върши, за което трябват определен брой хора. Сигурно ако заплатите бяха 5 хиляди лева, конкуренцията щеше да е прекрасна и най-добрите да вършат тая работа много ефективно. Но такива заплати са нереалистични.

А в администрацията всъщност има и такива хора, които не ги мързи (или поне не много), които имат желание нещата да стават както трябва и работят с желание. Може би не ми вярвате, ама аз съм ги виждал. Може би ще е леко преувеличение, но на тези хора се крепи държавата. Те вършат работата, която никой не вижда, но ако спрат да я вършат, всичко ще се разпадне. Въпреки средата, в която работят, въпреки шефа им, който е партийно назначен неграмотник, или корумпиран схемаджия, или и двете. Въпреки липсата на каквато и да е външна мотивация. Не, не са герои, това им е работата. Но трябва да отчетем, че такива хора има и да видим как да направим възможно кариерното им издигане.

Има и още един аспект, заради който трябва да сме по-малко негативни към администрацията – тя е единствения ни съюзник срещу политическото ръководство. Ако Пеевски си сложи министър, или главен секретар, или директор на агенция, именно администрацията може да бъде съюзник на гражданите. Тих, дори може би подмолен. Но администрацията е много добра в това да отлага, да забавя, да прави междуведомствени работни групи и да не върши нещата, които някоя марионетка ѝ нареди. И може да има аргументи за това. Не че винаги ще го направят – по-вероятно е да се „снишат“, но могат да създават и пречки пред глупостите на някой партиен герой.

А трябва ли да намалим администрацията? Трябва, ама това минава през промяна на законите, които изискват определена работа от тази администрация. Между другото, електронното управление често се възприема като начин, по който администрацията изведнъж ще намалее и хиляди ще останат без работа. Това не е вярно – малка част от хората вършат изцяло „електронизируеми“ неща. Въвеждането на електронно управление ще направи работата им по-лесна и по-ефективна, но ще направи излишни само малка част от държавните служители. Поне в краткосрочен план.

Не казвам, че не можем да сме недоволни от някоя намръщена лелка (макар че аз в последната година почти не съм видял намръщена лелка – станали са доста отзивчиви, поне тези, на които попадам), или да си мълчим, когато някоя институция прави глупости. Даже напротив – аз съм „пръв трол“ на администрацията, заливам я с писма (като гражданин), и ѝ казвам колко не е права. Но не печелим нищо ако просто обявим администрацията за „вредна“. Не е. И ако колективно я смятаме за такава, намаляваме вероятността читави хора да попаднат там. Просто каквото обществото, такава и администрацията.