Tag Archives: премахване

Цифрова икономика и цифрово общество

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/26/eu_digital-4/

От сайта на Съвета на ЕС – обобщение за хода на изпълнението на цифровата стратегия на ЕС:

  • премахване на таксите за роуминг;
  • модернизиране на защитата на данни;
  • гарантиране на трансгранична преносимост на онлайн съдържание;
  • насърчаване на електронната търговия чрез преустановяване на необоснованото геоблокиране.

ЕК готви голям нов пакет от амбициозни мерки за подпомагане завършването на цифровия единен пазар  с цел по-нататъшното разширяване на цифровата икономика на ЕС и премахването на регулаторните пречки между държавите от ЕС  като например в областта на

Задачите на дневен ред – от сайта на ЕК:

На 26 април 2018 е поредното 9-то заседание/ триалог за ревизията на Директивата за аудиовизуални медийни услуги

На 26 април 2018 се обявяват и мерките за справяне с дезинформацията онлайн.

Също днес ЕК огласява мерки за справедливо третиране на дружествата от страна на платформите и търсачките.

#CensorshipMachine

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/03/03/illegal_/

 

На 1 март 2018 Европейската комисия публикува Препоръка  относно мерките за ефективно справяне с незаконното онлайн съдържание, която представя идеите на Комисията за това как да се ускори премахването на незаконно съдържание. Отделно от това, подобни идеи са развити в предложенията за ревизия на медийното и авторското право, както и в дискусиите за борба с дезинформацията и фалшивите новини.

Аз също говорих за това на конференцията за фалшивите новини, организирана от АЕЖ през ноември 2017: ЕК препоръчва  на частни търговски дружества да се даде възможност да заличават съдържание, качено от граждани. Сега Европейската комисия продължава идеите в тази посока.

В правна  система, основана на върховенство на правото, съдът е този, който трябва да се произнася при намеса в свободата на изразяване, поне досега това беше неоспорвано положение. ЕК насърчава тенденцията е да се овластят доставчици да правят такава преценка – точно както идеята за трите удара преди време.

Реакцията на European Digital Rights (EDRi):

Европейските политици работят за най-големия интернет филтър, който някога сме виждали. Това може да звучи драматично, но наистина не е преувеличено. Ако предложението бъде прието, уеб сайтове като Soundcloud, eBay, Facebook и Flickr ще бъдат принудени да филтрират всичко, което искате да качите. Алгоритъм ще  определя кое от съдържанието, което качвате, ще се вижда от останалия свят и кое – няма.

Този интернет филтър е предвиден в предложенията за нова европейска нормативна уредба. Интернет филтрите не могат и не трябва да се използват за регулиране на авторското право. Те не работят. Но има много по-голям проблем: след като бъде инсталиран, интернет филтърът може и ще бъде използван за безброй други цели. Обзалагаме се, че политиците радостно очакват интернет филтъра, за да го използват в биткаите си  с фалшиви новини, тероризъм или нежелани политически мнения.

EDRi подчертава, че има много причини да сте срещу тези предложения – ето три:

  • Това е атака срещу вашата свобода на изразяване.
  • Филтри като тези  правят много грешки.
  • Платформите ще  бъдат насърчени да избягват риска  – за сметка на вашата свобода.

Епидемията от туберкулоза в Украйна и смъртта на едно дете

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2018/tb-ukraine/

Тръгнала е „сензационна“ новина по антивакс групите за временно спряна БЦЖ ваксина в Украйна. Ваксината е българска – на БулБио. Мярката е стандартна, временна и е взета след смъртен случай на новородено. Според лекарите е било здраво и са поставили БЦЖ ваксината, както е по календар. Отново според лекарите смъртта няма връзка с ваксината, но в съответствие с процедурата е спряна до изясняване на случая.

Разбира се, върти се заедно с фалшивата новина, че доц. Маркова от БАН била показала, че ваксината е потенциално опасна, което тя самата отрече да е казвала или да може да се направи като извод от изследването ѝ. Това и още подобни са препечатани вече в Actualno и още няколко сайта.

Интересен момент, който пропускат да споменат за Украйна е, че детската смъртност намалява почти толкова бързо колкото в България – докато при нас е намаляла с 58% за 20 години, при тях е с 55%. Случаите на туберкулоза при тях обаче са многократно повече от нас и се увеличават. При нас има намаление от 8% за 10 години. Към миналата година в България е имала 23 случая на 100 хиляди население, а Украйна – 91. В някои градове като Одеса те са над 110. Те също са в списъка на WHO с високорискови държави заради резистентни щамове на туберкулоза. Анализатори посочват, че проблемът с туберкулозата в Украйна може да създаде проблеми и за Европа. Системата им страда от същите проблеми, както и България, в последващото проследяване и грижа за болните, но в много по-голяма степен. Резултатът е, че смъртността заради туберкулоза при тях е 13 пъти по-голяма отколкото при нас – 0.83 спрямо 11 починали на всеки 100 хиляди население.

В този контекст имунизациите при тях са дори по-важни, отколкото при нас. Докато ние сме много по-близко до премахване на нуждата от масова имунизация и вече постепенно намаляваме реимунизациите, при тях тя още има важна роля в сваляне на заболеваемостта. Затова доверието в системата е толкова важна. Инциденти като този поставят това под въпрос. Причините може да са много и разследването тепърва трябва да посочи какво се е случило. Възможно е конкретната ваксина да е била замърсена. Това се е случвало и преди с БулБио, но винаги е било хващано още при доставките и никога такива не са достигали до лекарите. Тогава трябва да има проверки и последствия за компанията. Възможно е да не е съхранявана правилно, каквито проблеми имаше и в България. Лекарите обаче отричат. Не на последно място, както се посочва в самото съобщение на украинските власти, най-вероятно няма нищо общо с ваксината и става въпрос за състояние пропуснато от лекарите при раждането.

Независимо обаче какво е заключението на разследването, то няма да бъде тиражирано както тази новина в следващите седмици. Просто не е толкова сензационно и спекулативно. Твърдения неприсъстващи в съобщението на украинските власти и сега се вкарват от Actualno, за да направят историята по-пикантна. Тези ще бъдат допълвани и украсявани, както обикновено, докато след месец не видим да се споделя нещо почти незвъзано с оригиналното събитие. Точно както се случи с доц. Маркова от БАН и статията в сп. Осем.

Интересното сега е дали родната агенция по лекарствата ще се задейства да направи проверка на БулБио или ще чака случая да нашуми в медиите или Украйна да поиска такава. Министерството на здравеопазването все още далеч от ваксина, която да има същото ниво на ефективност, както останалите ваксини от календара. Инвестиции в такава се правят отдавна, включително от държавите в западна Европа, където все още десетки хиляди се разболяват всяка година.

Препоръка на Комисията относно мерки за ефективна борба с незаконното онлайн съдържание

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/03/01/liability-2/

На 1 март 2018 г.  Европейската комисия прие Препоръка  относно мерки за ефективна борба с незаконното онлайн съдържание (C(2018) 1177 final  Commission Recommendation on measures to effectively tackle illegal content online).

Според прессъобщението на ЕК,  мерките включват  оперативни мерки, с които се осигурява по-бързото откриване и премахване на незаконното онлайн съдържание, за да се укрепи сътрудничеството между предприятията, доверените податели на сигнали и правоприлагащите органи, и да се предоставят повече прозрачност и предпазни механизми за гражданите:

  • По-ясни процедури за уведомяване и предприемане на действия: предприятията следва да определят лесни и прозрачни правила за уведомяване за незаконно съдържание, включително ускорени процедури за „доверени податели на сигнали“. За да се избегне неволното премахване на съдържание, което не е незаконно, доставчиците на съдържание следва да бъдат информирани за такива решения и да имат възможност да ги оспорят.
  • По-ефективни инструменти и проактивни технологии: предприятията следва да определят ясни системи за уведомления от потребители. Те трябва да имат проактивни инструменти за откриване и премахване на незаконно съдържание, по-специално за терористично съдържание и за съдържание, което е незаконно независимо от контекста, материали, показващи сексуално насилие над деца или фалшифицираните стоки.
  • По-добри предпазни механизми за гарантиране на основните права: за да се гарантира, че решенията за премахване на съдържание са точни и добре обосновани, особено когато се използват автоматизирани инструменти, предприятията трябва да въведат ефективни и подходящи предпазни механизми, включително човешки контрол и проверка, като спазват изцяло основните права, свободата на изразяване на мнение и правилата за защита на данните.
  • Специално внимание се отделя на малките предприятия: чрез доброволни договорености в отрасъла трябва да се установи сътрудничество и споделяне на опит, най-добри практики и технологични решения, включително инструменти за автоматично откриване. Тази споделена отговорност ще бъде от полза особено за по-малките платформи с по-ограничени ресурси и експертен опит.
  • По-тясно сътрудничество с органите: при доказателства за тежко криминално престъпление или съмнение, че незаконното съдържание представлява заплаха за живота или безопасността, предприятията трябва незабавно да информират правоприлагащите органи. Държавите членки се насърчават да въведат съответните правни задължения.

Тези мерки могат да се различават в зависимост от естеството на незаконното съдържание и препоръката насърчава предприятията да следват принципа на пропорционалност при премахването на такова съдържание.

Още информация:

  • Memo: Често задавани въпроси: Препоръка на Комисията относно мерки за ефективна борба с незаконното онлайн съдържание
  • Информационен документ за незаконното онлайн съдържание
  • Съобщение за медиите: Съюз на сигурност: Комисията продължава борбата с терористичната радикализация
  • Изявление: Премахване на незаконното онлайн съдържание: Комисията призовава за повече усилия и напредък от всички страни
  • Съобщение за медиите:Съюз на сигурност: Комисията увеличава усилията си за борба с незаконното съдържание онлайн
  • Съобщение от 28 септември 2017: Борба с незаконното онлайн съдържание – повишаване на отговорността на онлайн платформите
  • Press release: Social media companies need to do more to fully comply with EU consumer rules
  • Пресконференция (видео) –  (и на бг) интересна дори с факта, че има различия и нюанси в позициите.

Ансип: Категорично съм против отварянето на Директивата за електронната търговия и промяната на принципите за отговорността онлайн, заложени в нея.

 

Как да допуснем услуги като Uber? [законопроект]

Post Syndicated from Bozho original https://blog.bozho.net/blog/3032

Съдът в Люксембург реши, че Uber е транспортна компания и предоставя таксиметрови услуги. Това е проблем не само за Uber, а за всички по-съвременни начини да предоставяш транспортна услуга, в това число децентрализирани варианти (например чрез блокчейн, въпреки целия ми скептицизъм към публичните такива).

За да бъдат допустими на пазара тези бизнес модели – дали Uber, дали Lyft, дали дори TaxiMe и TaxiStars, към които таксиметровите компании проявяват недоверие и се оптиват да ги изтикат за сметка на свои приложения, трябва законодателството да го позволява. Докато преди това решение Uber оперираше в (според тях) сива зона на нерегулиран бизнес, вече е ясно, че това не е така. И макар Uber да е най-популярният пример, те не са най-светлият такъв – компанията е на загуба и съвсем не е „цвете за мирисане“. Така че всичко недолу не би следвало да се разглежда като „как да узаконим Uber“, а как да не ограничаваме транспорта в градовете до „жълти коли с табелки, светлинки и таксиметрови апарати“.

Както бях писал преди време – регулациите могат да бъдат правени умно, така че да не ограничават технологични бизнес модели, за които регулаторите не са се сетили. За съжаление, Законът за автомобилните превози е доста остарял и със сигурност не допуска нищо различно от кола с таксиметров апарат с фискална памет, която можеш да си спреш на улицата. Освен това режимът, предвиден в закона е доста утежнен дори за съществуващите превозвачи. Първо, трябва да има регистрация на превозвач. След това всеки шофьор полага изпити и получава удостоверение за водач на таксиметров автомобил. Но това удостоверение на му е достатъчно – трябва да получи и разрешение от общината, която да разгледа удостоверението му и регистрацията на превозвача, чрез който ще осъщестява услугата. Не на последно място, законът предвижда общинските съвети да определят максимален брой таксита, както и разпределението им между регистрираните превозвачи. Това последното звучи доста непазарна мярка и със сигурност би ограничило някои по-иновативни модели.

Поради всичко това реших да напиша законопроект за изменение и допълнение на Закона за автомобилните превози. Докато пишех черновата, видях, че Естония вече е направила нещо такова, с доста сходен подход. Основните цели са:

  • Разграничаване на такситата, които можеш да си вземеш на улицата от тези, които можеш да вземеш единствено чрез диспечерска система (дали мобилно приложение, дали по друг начин, няма значение)
  • Допускане на измерване на разстоянието и съответно отчитането пред НАП със средства, различни от таксиметров апарат (например GPS + система, интегрирана с тази на НАП, както са направили в Естония преди време)
  • Улекотяване на регистрационния режим чрез премахване на разрешението от общината – общините, в които оперира даден автомобил се вписват от превозвача в регистъра на Изпълнителна агенция „Автомобилна администрация“, откъдето се черпи информация и за дължимия местен данък.
  • Запазване на данъка за таксиметрови превози към общините
  • Запазване на изискванията за техническа изправност, възраст на автомобилите, психическа годност и липса на присъди на водачите
  • Спазване на принципите на елекетронното управление – извличане на данните за автомобилите от регистъра на КАТ, позволяване на подаване на заявления по електронен път, включително автоматизирано, така че превозвачите да могат да интегрират вътрешните си системи за управление на автопарка с централния регистър. Премахване на задължението от носене на документи от страна на таксиметровите шофьори (като удостоверения) и проверката ми по електронен път
  • Премахване на централизираните изпити и обучения и заменянето им с обучителни материали (де факто прехъвлрне на отговорноста за обучение на шофьорите на превозвачите, които така или иначе имат интерес шофьорите им да не са неадекватни)
  • Премахване на възможността общината да определя размера на пазара и да разпределя участниците в него

Последните две точки са пожелателни, но според мен принципно важни. Ето и самият текст, с мотиви към всеки параграф:

Закон за изменение и допълнение на Закона за автомобилните превози

§1. В чл. 12а се правят следните изменения и допълнения:
1. В ал. 1, т.5 се изменя както следва: „Данни за моторните превозни средства, с които превозвачът извършва превозите:
а) регистрационен номер
б) дали автомобилът ще извършва таксиметров превоз единствено при повикване чрез диспечерска система
в) общините, в които моторното превозно средство ще извършва превози
2. Ал. 2 се отменя;
3. Създава се нова ал. 6: „(6) Заявления за вписване и за промяна на обстоятелства в регистъра, могат да се подават по автоматизирано и по електронен път по реда на Закона за електронното управление“
4. Създава се нова ал. 7: „(7) Обстоятелства за регистрираните автомобили, определени с наредбата по ал. 5, се извличат автоматично на база на регистрационния номер от националния регистър на пътните превозни средства по реда на Закона за електронното управление“
5. Създава се нова ал. 8: „(8) Изпълнителна агенция „Автомобилна администрация“ извъшва автоматизирани проверки за платен данък за таксиметров превоз на пътници и заличава вписаните в регистъра моторни превозни средства, за които данъкът не е платен за съответната година“
6. Създава се нова ал. 9: „(9) Изискванията към външния вид на автомобилите, които са регистрирани за извършване на таксиметров превоз единствено при повикване чрез диспечерска система могат да са различни от тези за останалите автомобили“
7. Създава се нова ал. 10: „(10) Автомобилите, които са регистрирани за извършване на таксиметров превоз единствено при повикване чрез диспечерска система, нямат право да престояват на местата, обозначени за престояване на таксиметрови автомобили“

Мотиви: Регистърът трябва да съдъдржа актуална информация за автомобилите, с които се извършват таксиметров превоз. Тя трябва да може да бъде променяна по елекетронен път, чрез интеграция на информационната система на превозвача с регистъра.
Достатъчно е вписването единствено на регистрационния номер на автомобилите – останалите данни следва да бъдат извличани (при нужда) от националния регистър на превозните средства в МВР, следвайки принципа на еднократното събиране на данни, заложен в Закона за електронното управление.
Премахва се и ограничението за възраст на автомобила при първа регистрация като превозвач – важното изискване е автомобилите да не са над определена възраст (чл. 24). Премахването на това ограничение допуска динамичното променяне на „автопарка“ на превозвача.
Поради отменените по-надолу разпоредби от чл. 24а, в регистъра в ИААА се предвижда водене и на общините, в които съответните автомобили на превозвача извършват дейност. Това се налага с оглед на плащането на данъка върху таксиметровия превоз на пътници.
Въвежда се важно разграничение на автомобилите, извършващи таксиметров превоз – такива, които извършват услугата единствено при повикване чрез диспечерска система (което включва мобилни приложения и както централизирани, така и разпределени диспечерски системи) и други, които могат да бъдат спирани на пътното платено или вземани от предвидени за това места.
Изрично се допуска възможността автомобилите, които няма да бъдат спирани на пътя, да имат неунифициран външен вид (напр. табела „Такси“, жълт цвят и др.), като обаче нямат право да престояват на т.нар. стоянки за таксита.

§2. В чл. 24 се правят следните изменения и допълнения:
1. в ал. 1 след думите „електронен таксиметров апарат с фискална памет“ се добавят думите „или по други начини, позволяващи точно измерване на разстояние и отчитане пред данъчната администрация“, а думите „след издаване на разшрение за таксиметров превоз на пътници“ се заменят с думите „след вписване в регистрите по чл. 12, ал. 2 и по ал. 3, т.5“.
2. в ал. 3, т.5 изменя така: „Вписан е в регистър на водачи, извършващи таксиметров превоз, воден от председателя на Изпълнителна агенция „Автомобилна администрация“
3. ал. 4 се изменя така: „Ръководителят на съответното регионално звено на Изпълнителна агенция „Автомобилна администрация“ вписва лицата, отговарящи на изискванията по ал. 3, т. 1-4 и е декларирало, че се е запознало с обучителна информация, определена с наредбата по чл. 12а, ал. 5. Вписването се подновява на всеки 5 години по заявление на водача.
4. ал. 5 се отменя.
5. ал. 6 се изменя така: „Редът за вписването и подновяването на вписването в регистъра на водачите, извършващи таксиметров превоз, и за доказване на съответствието с изискванията по ал. 3, т. 1-4 се определя с наредбата по чл. 12а, ал. 5., като обстоятелствата, необходими за доказване на изискванията, се събират по служебен път“
6. в ал. 17 думите „отнема със заповед удостоверението на водач на лек таксиметров автомобил“ се заменят с думите „заличава вписването на водач, извършващ таксиметрови превоз“

Мотиви: Носенето на удостоверение е излишно, при положение, че контролиращите органи имат електронен достъп в реално време до регистъра. Поради тази причина изискването за удостоверение се заменя с наличие на вписване в регистъра.
Централизираните обучения не са добър механизъм за информираност на шофьорите (което е видно на практика), но създават административна тежест. Обученията и изпитите се заменят с деклариране (възможно по електронен път) от страна на водача, че се е запознал с обучителните материали. Тези материали могат да бъдат текстови или видео-уроци.
Чрез въвеждане на електронни услуги, водачите ще могат отдалечено и лесно да заявяват вписване в регистъра.
Въвежда се възможност за използване на алтернативни технологии на таксиметровия апарат с фискална памет, като например GPS устройства. С наредба ще бъдат определени условията за интегриране на отчетеното от тези устройства разстояние и съответна цена с данъчната администрация.

§3. В чл. 24а се правят следните изменения и допълнения:
1. ал. 1 се изменя така: „Водач, вписан в регистъра на водачи, извършващи таксиметров превоз, имат право да извършват такъв с всеки автомобил, вписан в регистъра по чл. 12, ал. 2 в рамките на общините, за които е валидно вписването“
2. ал. 2-9 се отменят
3. ал. 10 се изменя така: „Административните органи нямат право да определят ограничения на броя таксиметрови автомобили, опериращи на територията на дадена община“
4. ал. 11 се изменяе така: „Общинските съвети могат да определят минимални и максимални цени за таксиметров превоз на пътници за един километър пробег и за една минута престой по съответната тарифа, валидни за територията на съответната община“

Мотиви: допълнителните административни процедури извън регистрацията на превозвача и на водача са излишна административна тежест. Контролът на таксиметровия пазар от страна на общинския съвет, в т.ч. броя автомобили и тяхното разпределение между превозвачи е потенциален източник на корупция и пречи на конкуренцията.
Чрез регистъра по чл. 12, ал. 2 се събира информация в коя община оперират таксиметровите автомобили. Допуска се един автомобил да оперира в повече от една община, което е приложимо например в курортните комплекси.

§4. В чл. 24б след думите „таксиметровите апарати“ се добавят думите „или другите допустими технологични средства“

Мотиви: с наредба се определят и условията за използване и отчитане на други технологични средства, например GPS устройства.

§5. В чл. 95, се правят следните допълнения:
1. В ал. 1 след думите „таксиметров апарат“ се добавят думите „или друго допустимо технологично средство за отчитане на разстояние“
2. В ал. 2 се създава нова т.3: „3. извършва таксиметрови услуги в община, за която автомобилът, който управлява, не е регистриран в регистъра по чл. 12, ал 2“
§6. В чл. 96, ал. 4 след думите „таксиметров апарат“ се добавят думите „или друго допустимо технологично средство за отчитане на разстояние“

Разбира се, по-сложната част ще бъде коригирането на наредбите след това, включително намирането на начин за признаване на GPS координатите – ясно е, че както такситата имат „помпички“, така и GPS-ите на телефоните могат да бъдат „лъгани“.

Това е само предложение, на база на което да започне обсъждане. Далеч съм от мисълта, че мога да измисля решение на всички проблеми за един следобед. Нямам законодателна инициатива и не мога да го внеса, а и някои от точките може да не са приемливи за таксиметровия бранш, т.е. да трябва да се търсят компромиси. Все пак смятам, че допускането на повече технологични начини за осъществяване на таксиметрова услуга е добър за пазара и за клиентите.

Пет мита за електронното гласуване

Post Syndicated from Bozho original https://blog.bozho.net/blog/3004

Тази седмица ЦИК ще направи демонстрация на електронно гласуване в рамките на проекта, който преди малко повече от година заложихме в пътната карта за електронно управление. На „дистанционно електронно гласуване“, ако трябва да сме коректни – терминологията не е унифицирана, и често само „електронно гласуване“ може да значи и „машинно“. Та във връзка с раздвижването по темата, по медиите канят знайни и незнайни хора (сред които и уважавани експерти) да коментират. Случват се и разни събития/кръгли маси/конференции по темата, на някои от които присъствам.

Това, което чувам са доста неинформирани мнения и разпространяване и преповтаряне на митове. Затова реших да си избера пет мита, които говорещите против електронното гласуване разпространяват. Винаги дяволът е в детайлите, а с една подхвърлена полуистина в ефира се създават настроения в обществото.

„Много държави го забраниха или се отказаха“ – тук посланието е „всички се отказват от него, ние къде сме тръгнали“. Разбира се, това е невярно. Половината от държавите, които се изреждат, не са и опитвали дистанционно електронно гласуване, а само машинно. И поради машини „черни кутии“ (със затворен код) и висока цена, наистина се отказват от тях. Но когато говорим за дистанционно електронно гласуване, картинката е по-различна. Експертимент, след който не е пристъпено към реално гласуване, е имало в Норвегия. Причината за да не се пристъпи нататък? В официалния доклад техническият проблем е тривиален – функцията за генериране на случайни числа не е била добра. Но по-важният фактор е, че на власт е дошла опозицията (социалистическата партия) и тя е спряла проекта на предишното правителство. Германският Конституционен съд пък е взел решение – експерименти е нямало, та докато нашия Конституционен съд не вземе такова решение за действащия изборен кодекс, нямаме такъв проблем (има решения за предишни текстове в кодекса, но това е по вина на текстовете – новите адресират мотивите на съда). Холандия е забранила машини, не дистанционно електронно, и то по много специфични за конкретната машина съображения, така че не е по темата с дистанционно електронно. „Франция го забрани/се отказа“ също не е вярно. Франция позволява дистанционно електронно гласуване от 2012-та, но конкретно на тазгодишните избори реши да не позволява този канал за гласуване, заради потенциалната руска намеса. Това не значи, че на следващите избори няма да имат електронно гласуване, нито, че решението е било мотивирано с нещо различно от страх. В нашия изборен кодекс тази опция е предвидена – ЦИК може да вземе решение да не прилага дистанционно електронно гласуване, ако мотивира това с технически доклад за неизбежни и непосредствени рискове. Това обаче не е „винаги“. Та, като някой тръгне да ви изрежда държави, които го били „забранили“…не приемайте това като чиста истина.

„Само Естония гласува електронно“ – на национални избори – Естония и Франция (за живеещите извън Франция), но няколко швейцарски кантона гласуват електронно, един австралийски щат (Нови Южен Уелс, в който е Сидни), Аляска и общини на различни места по света, в т.ч. Мексико Сити. Това, разбира се, не е аргумент сам по себе си – другите държави имат много различен дневен ред и изборна ситуация. Структурата на нашето население е специфична – немалка част от него е в чужбина, а това не може да се каже за много други европейски държави. Според доклад на ООН 14% от българите живеят в чужбина. Другите държави са нямали референдум за електронно гласуване, нямат и такъв проблем с купен и контролиран вот, имат по-висока избирателна активност и т.н. Много други държави обаче позволяват гласуване по пощата, което е аналоговото решение на сходен проблем. На нашите пощи обаче не може да се разчита, нито на процеса, в който се отварят пликовете.

„Естонското беше хакнато“ – това е съвсем невярно. Базира се на един доклад на Алекс Халдерман, който критикува някои аспекти на оперативната сигурност (т.е. практиките на длъжностните лица при провеждане на изборите). Отговорът на естонската агенция за електронно управление е доста ясен – нямало е манипулации, а оперативните практики се подобряват постоянно. И имайки предвид, че Русия организира сериозна кибератака срещу Естония преди десетина години (във връзка с премахване на паметник), липсата на проблеми след над 10 години електронно гласуване е показателна. Освен докладът на Халдерман, тази година стана ясно, че производителят на чипа в естонските лични карти е допуснал грешка, заради която те не са толкова сигурни, колкото сме си мислели. Това не засяга всички естонски лични карти, а засегнатите се подменят. Ако по това време имаше електронно гласуване, то просто щеше да бъде спряно и хората щяха да бъдат уведомени да отидат да гласуват на хартия, както позволява естонският изборен кодекс, и съответно нашият (в който сме заимствали от естонския). Т.е. не, естонското не е хакнато, а при установяване на нерешим проблем, избирателната комисия има правото да го спре и да прати хората да гласуват на хартия (защото електронното е няколко дни преди изборния ден).

„Ще улесни купуването на гласове“ – не, няма. По много причини, някои технологични, други – пазарни. Кодексът предвижда предварителна регистрация за електронно гласуване, предвижда и двустепенна оторизация (т.е. използване на мобилен телефон освен електронната личната карта), предвижда технически мерки за ограничаване на много последователни гласувания от един компютър. И докато всички тези неща са заобиколими със стройна организация и технически умения на купуващите, това ще бъде много по-трудно, отколкото просто да купиш гласовете и да пратиш хората да гласуват на хартия в секция. Да сравним правенето на списък и чакането пред секция на неквалифициран персонал (най-често цигански тартор), със зачистване на регистри/смяна на мак адреси, събиране на лични карти И телефони, и то за период от няколко дни, за да не може купеният да си промени гласа след това. И отгоре на всичко, в ЦИК и МВР ще има карта на регистрираните за електронно гласуване, така че ако в рискови райони има концентрация, да бъде направена проверка. Т.е. бариерите пред купуването (а и контролирането) на гласове при електронното гласуване са много повече от тези при хартиеното. Сценарият „ще им събере личните карти и ще напуска гласове“ звучи възможен само ако човек не познава подробностите.

„Трябва да има първо електронно управление и чак тогава електронно гласуване“ – бившият председател на естонската комисия за електронно гласуване ми разказа интересна история. Преди първото електронно гласуване (2005-та) броят активно използвани електронни лични карти е бил около пет хиляди. Да, Естония ги въвежда 2001-ва, но докато хората ги получат, докато започнат да ползват услуги, докато се появяват услуги, минават няколко години. На първото електронно гласуване онлайн гласуват 9300 души, т.е. почти два пъти повече. Електронното гласуване е катализатор на електронното управление и няма причина да чакаме да си вържем всички регистри, за да имаме електронно гласуване. Единствената предпоставка е електронната идентификация (електронна лична карта или друго средство). За съжаление, там правителството доста изостава от планираните срокове (това лято отложи електронната лична карта с още една година).

Почти всичко това съм го разказал в детайли в лекцията си от преди две години. Но детайлите са скучни и затормозяващи и затова пръскането на митове в ефира е по-ефективно и по-въздействащо.

Аз също съм против прибързаното въвеждане на технология в толкова важен процес като изборите, и съм го казвал неведнъж. Но референдумът беше 2015-та, а първите обвързващи електронни избори трябва да са 2019-та. Три години и половина не е „прибързване“. Затова има пътна карта, има проект, има изборен кодекс, има предвидени симулации и експерименти.

Но линията, която в момента започва все по-отчетливо да се появява е „абе, то не е сигурно, дай да го отложим за неопределено време“. Иска ми се да я отдам на неиформираност, а не на конспирация. И когато януари 2019-та стигнем до момента на вземане на решение „спазваме или изборния кодекс или не“, силно се надявам решението да бъде доста по-информирано от простото цитиране на горните митове.

Мария Габриел в София: #AVMSD

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/12/02/avmsd-16/

Мария Габриел, член на Европейската комисия с ресор Цифрова икономика и цифрово общество, участва в кръгла маса на тема: “Предизвикателства пред медийния сектор в Европа“,  организирана от Представителството на Европейската комисия в България и Съветът за електронни медии. Бяха представени две теми:

  • актуалните въпроси по Директивата за аудиовизуалните медийни услуги и 
  • обявената обществена консултация по въпросите на фалшивите новини и дезинформацията.

I

Първата тема – ход на ревизията на Директивата за аудиовизуални медийни услуги.

Първоначалният проект и развитията по 2016/0151(COD) могат да се следят тук.

Според Стратегическата 18-месечна програма на Съвета (председателство Естония, България, Австрия) трите председателства ще приключат работата по ключови инициативи, свързани с цифровия единен пазар, включително

улесняване на свързаността и постигане на напредък в развитието на конкурентоспособен и справедлив цифров единен пазар чрез насърчаване на трансграничната електронна търговия (онлайн продажба на стоки, предоставяне на цифрово съдържание, реформа на авторското право, аудиовизуални медийни услуги, доставяне на колетни пратки) и чрез преход към интелигентна икономика (свободно движение на данни, преглед на регулаторната рамка в областта на далекосъобщенията, инициативи в областта на дружественото право) и укрепване на доверието и сигурността в сферата на цифровите услуги (нов пакет за защита на данните)

Работата по  медийната директива (впрочем и по директивата за авторското право) продължават по време на Българското председателство – в този дух е съобщението на посланика на Естония в ЕС:

https://platform.twitter.com/widgets.js

 

От изложението на г-жа Габриел стана ясно, че е тази седмица е проведен  пети триалог, в който тя участва лично. Работата продължава (“финализиране се очаква”) по време на Българското председателство. Като открити бяха посочени три тематични области:

(1) разширяване на обхвата на директивата, включване на стрийминга в услугите,  нови адресати – социалните медии и платформите за видеосподеляне;

(2) квотата на произведенията, създадени от европейски продуценти – и празмерът на квотата (предложения: 20 на сто –  ЕК, 30 на сто –  ЕП), и дефинициите са дискусионни;

(3) търговските съобщения – и правилата (почасова продължителност и продължителност за денонощие), и разполагането (предложение: двоен лимит за светло и тъмно време), и прекъсването (предложение: 20-минутно правило) са още предмет на обсъждане.

По повод откритите въпроси:

  • Директивата разширява обхвата си с всяка ревизия. Все пак, когато се обсъжда отговорност на платформите, да бъде в контекста на Директивата за електронната търговия – защото има риск да се стигне  до мълчаливо преуреждане или отмяна на нейните принципи.  В допълнение практиката на ЕСПЧ (решението Делфи за отговорността за съобщения във форумите) илюстрира проблемите, възникващи при нееднозначно разбиране на отговорността в правото на ЕС и в международното право.  По подобни съображения е важна обсъжданата Директива за авторското право, в частност чл.13 – който (споделям позицията на EDRI) трябва да бъде заличен, а нови права не следва да бъдат създавани (чл.11 проекта).
  • Квотата на европейските произведения съществува реално на по-високи нива от предвиденото в директивата. В тази област проблем  е отношението европейска – национална  квота, защото местните индустрии  настояват именно за национална квота – а това би било мярка със съвсем различни цели от   европейската квота (единен пазар).
  • Уредбата на електронните търговски съобщения се либерализира (в България  – и дерегулира) непрекъснато. Все някъде е добре този процес да спре, за да не се превърне телевизията в поредица търговски съобщения, прекъсвани с основно съдържание. Слушаме уверенията на доставчиците, че потребителите  са най-голямата им ценност и телевизиите не биха програмирали против интересите на зрителите, но все пак нека останат и правни гаранции срещу океаните от търговски съобщения.

Ключови за регулацията остават балансите:

  • индустрии / аудитории – както обикновено, натискът на индустриите е мощен и организиран, докато аудиториите са слабо организирани и слабо представени в диалога – дано ЕП  защити интересите на гражданите;
  • гъвкавост / недопускане на фрагментиране – съвсем точно наблюдение: неслучайно при предната ревизия ЕК обърна внимание, че гъвкавост и свобода е добре, но не и свобода при  дефинициите – защото различните дефиниции в националните мерки компрометират ефективното прилагане;
  • регулиране / саморегулиране – никой не е против саморегулирането, но самата ЕК преди време беше заявила, че има области като интелектуалната собственост и конкурентното право, които не могат по естеството си да бъдат оставени само на саморегулиране.

II

По втората тема – фалшивите новини –   г-жа Габриел поясни, че ЕК работи по следната логика:  дефиниция – обзор на добри практики – мерки, като на този етап не се мисли за законодателство. Още за тази част от срещата –  в медиите.

През 2018 г. се очаква:

  • създаване на работна група на високо равнище и доклад в тримесечен срок;
  • Евробарометър по въпроси, свързани с фалшивите новини;
  • Съобщение на ЕК към средата на 2018 г.

Съвсем наскоро (9 ноември 2017 ) Асоциацията на европейските журналисти проведе международна конференция с последващо обучение по въпросите на дезинформацията и фалшивите новини. Имах възможност да участвам (вж последната част от  записа на конференцията):

  • Смятам, че трябва да се започне с  дефиниране, но на следващо място да се продължи с категоризиране на фалшивите новини.
  • Реакцията към различните категории фалшиви новини  трябва да е различна. Правото вече предвижда санкции за някои категории лъжа – напр. клеветата или подвеждащата реклама. Не съм   сигурна, че правото няма да се намеси с нови мерки в най-сериозните случаи, когато става дума за дезинформационни кампании, които могат да заплашат националната сигурност.
  • Няма единно мнение по въпроса кой идентифицира фалшивите новини или – с други думи: кой владее истината.  Италия предлага това да са нов тип конкурентни регулатори (аналогия с регулирането на подвеждащата реклама), Чехия – звено в МВР (при риск за националната сигурност). ЕК казва, че няма нужда от Министерство на истината – но по-добре ли е това да е частна компания? Виждали сме как Facebook различава морално/неморално – предстои ли да се заеме и с преценката вярно/невярно?  Не всички са съгласни. Но точно това се случва, неслучайно се обсъжда – научаваме – контранотификация срещу свръхпремахване на съдържание.

 

Filed under: EU Law, Media Law Tagged: давму, fake

Facebook срещу т.нар. revenge porn

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/11/11/fb-revenge-porn/

Facebook ще изпробва нов превантивен метод за блокиране на неразрешеното разпространение на интимни снимки в социалната мрежа.  Методът ще се приложи първо експериментално –  с помощта на австралийски потребители на Facebook.

Компанията ще се бори с т.нар. ‘revenge porn’, разпространение на снимки без съгласието на лицето като отмъщение. Няма съмнение, че задачата е важна – но проблемът  е кой иска премахване на достъпа и как да се установи, че това е точно засегнатото лице.

Доколкото става ясно, ще трябва засегнатото лице да достави на компанията материал за сравнение – оригинала на снимките. Не звучи достоверно, но така се разбира от  съобщението в медиите.

Filed under: Media Law

Господа министри, мерете си данните

Post Syndicated from Bozho original https://blog.bozho.net/blog/2965

Когато някой „по телевизора“ изкаже някакво твърдение, никога не е ясно откъде са му данните. Разпространяват се доста митове, основани на гледане в тавана. Но в тези случаи има поне частично обяснение – хората може би просто няма откъде да вземат данните, за да ги анализират.

Не така стоят нещата с министрите, обаче. Министрите (и председателите на агенции) разполагат с администрация, която може да им даде данни. Прави впечатление обаче фриволното боравене с метарията, и разпространяване на данни, които просто са грешни. Боян Юруков вече е писал за председателя на агенцията за българите в чужбина, който напълно необосновано обяви, че има 6-7 милиона българи в чужбина.

Аз ще се спра на министъра на околната среда, Нено Димов, който през седмицата е обявил, че „през 2016 г. в столицата е имало едва две минимални превишения на показателите за замърсяване с фини прахови частици“. Това ми звучеше доста малко вероятно, предвид, че данните за 2015-та, които съм разглеждал, показваха 60 дни над нормата (при допустими 35). За 1 година такъв напредък, въпреки позитивния тренд, изглеждаше невероятен.

За съжаление ИАОС не публикува суровите данни във формата, в който бях взел тези до 2015 (с искане за обществена информация), но благодарение на инициативата за отворени данни все пак всеки ден качват данни от бюлетина за качеството на въздуха, където пише коя станция е превишила дадена норма. На база на тези данни не мога да направя същите графики като в предишния анализ, но мога да проверя твърдението на министъра.

И то, разбира се, се оказа грешно. Ето броя дни, в които нормата е превишена:

Превишена стойност в поне 1 станция: 74 дни
Превишена стойност в поне 2 станции: 48 дни
Превишена стойност в поне 3 станции: 43 дни
Превишена стойност в поне 4 станции: 36 дни
Превишена стойност в поне 5 станции: 15 дни

По спомен, станциите са 6, но последната е на Копитото и там винаги е чисто. С наличните данни (които са качени за 340, а не за 365 дни) не мога да кажа за средната стойност за града, но когато 4 от 5 станции имат превишение 36 дни (1 над европейската норма), министърът просто изнася грешни данни. Или „е имал предвид друго“, в който случай – нека обясни.

Пак подчертавам, че трендът наистина изглежда позитивен. Също така приветствам вземането на мерки срещу замърсяването от страна на министерството – именно национална политика по въпроса е начинът за решаване на проблема. Но не е редно да имаш цялата администрация на МОСВ и ИАОС под себе си и да кажеш, че само 2 дни била превишена нормата. Надявам се мерките, които се подготвят, да са основание на по-верни данни.

Всъщност, трендът може би изглежда възходящ заради факта, че от няколко години измервателната станция на Орлов мост е премахната. Там, разбира се, фините прахови частици са в най-големи количества. Вероятно има разумно обяснение за премахването (наистина Орлов мост е граничен случай), но трябва да го имаме предвид.

И в това всъщност е част от проблема – в София има доста малко измервателни станции, за да придобием пълна картина. Най-близката станция до мен е на километри. За щастие има проекта airbg.info, чрез който всеки може да си постави измервателна станция и да докладва данните. Така се създава доста по-пълна картина на замърсяването. В съботната сутрин, без мъгли и без нужда от сериозно отопление, картата на София изглежда добре.

Но да се върнем на министрите и данните. Политиката за отворени данни има за цел както повече прозрачност, така и по-информирани решения в управлението. Второто засега не изглежда да е постигнато, решения продължават често да се вземат „по интуиция“, а официални лица продължават да разпространяват неосновани на данни твърдения. Но поне данните ги има, та гражданите можем да посочим грешките.

Съобщение на ЕК за отговорността на онлайн платформите

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/09/28/com_platforms/

Европейската комисия днес публикува съобщение COM(2017)555 за справянето с незаконното съдържание онлайн и засилената отговорност на онлайн платформите.

Нарастващата наличност и разпространение на терористични материали и съдържание, които подбуждат насилие и омраза онлайн, представляват сериозна заплаха за сигурността  на гражданите на ЕС. Днес Комисията представя насоки и принципи за  проактивна  профилактика, откриване и премахване на незаконно съдържание, подбуждащо омраза, насилие и тероризъм онлайн.

Като първа стъпка за ефективно противодействие на незаконното онлайн съдържание Комисията предлага общи инструменти за бързо и проактивно откриване, ефективно отстраняване и предотвратяване на повторното появяване на такова съдържание.

Комисията очаква онлайн платформите да предприемат бързи действия през следващите месеци, по-специално в областта на тероризма и незаконната реч на омразата.

Прессъобщение на ЕК

Filed under: Digital, EU Law, Media Law

Електронно управление – ефективност или изтичане на милиони?

Post Syndicated from Bozho original https://blog.bozho.net/blog/2922

(статията е публикувана първоначално в списание „Мениджър“ под заглавие „Криво-ляво електронно управление“)

Думата „приемственост“ се е превърнала в нищо незначещо клише. Но именно нейната липса е сред основните причини все още да нямаме електронно управление. Не единствената, разбира се. Липсата на визия, липсата на институции, липсата на правила, липсата на капацитет, корупцията са също доста важни фактори за това в немалко институции все още да обикалят хора с папки, гражданите все още да разнасят хартийки между институции, управлението да е непрозрачно, а в цялата тази „мъгла“ да процъфтява „другият начин“ – на дребно и на едро.

С риск да прозвучи особено нескромно, смятам, че много от тези негативни фактори бяха ако не премахнати, то застрашени, благодарение на усилията на вицепремиера Румяна Бъчварова и нейния кабинет, от който бях част. А това, което наблюдаваме в момента като заявки на правителството за борба с административната тежест е по същество приемственост (макар вицепремиерът Дончев да не го представя като такова) – стъпване на основните, които бяха поставени, и продължаване на реформата.

Защото електронното управление не е просто да се направи един сайт, или да се обучат няколко служители, или да се усвоят едни пари по оперативна програма, или да се приемат едни пожелателни закони. Електронното управление е държавата да не занимава гражданите и бизнеса със себе си, а това изисква промяна на мисленето. Такава промяна не се случва за три месеца.

За добро или за лошо, държавата е тромава структура и промени се случват бавно. Доста по-бавно отколкото на мен ми се иска. Но ако има както ясна визия, така и познаване на проблемите в детайл, тази промяна непременно се случва.

Защо все още няма истинско електронно управление? През годините са похарчени милиони за софтуер и хардуер. Създавани са и са разформировани различни структури (МДААР, ДАИТС, МТИТС/ЕСМИС). Приети са редица закони, като Закона за електроното управление, закона за ограничаване на административното регулиране, административнопроцесуалния кодекс. Милионите (или дори милиардите) са изтекли в нищото, структурите са били просто многобуквени съкращения, а законите никой не ги е спазвал. Да, в не един закон отдавна пише, че администрацията няма право да изисква от гражданите да представят документи, които администрацията сама може да си събере служебно от друга администрация. Но това са просто думи в Държавен вестник.

А дяволът е в детайлите. Новата оперативна програма („Добро управление“) може да изглежда като „втори ОПАК“ отстрани, но всъщност много грешки на ОПАК вече ги няма – най-вече раздаването на пари „на калпак“ без оглед на резултата. Измененията в Закона за електронното управление, наредбите към него и новия Закон за електронната идентификация изглеждат като поредния нормотворчески напън, но зад всяка изменена алинея, стои конкретен проблем, който до момента е пречил на реализирането на електронното управление.

Един пример – администрациите бяха свикнали да сключват тристранни споразумения, за да обменят данни (между първичният администратор на данни, ползвателят, и операторът на инфраструктурата за комуникация, към 2016-та МТИТС). Това беше бавен процес и често беше спънка пред реализиране на електронно управление, защото първичните администратори просто не даваха достъп. Общини с месеци и години чакаха такъв, за да реализират електронни услуги, но това така и не се случваше. С измененията на закона тези споразумения бяха забранени и вече никой първичен администратор няма право да налага допълнителни изисквания извън тези в закона. Само месец след приемането на измененията, общини, чакащи отдавна, получиха достъп и най-накрая пуснаха услуги за гражданите си. И то чрез вече изградени системи, които просто никога не са били ползвани както е предвидено.

Информационните системи, които се изграждат за държавата пък, никога не са се славили с високо качество, и като потребители можем да потвърдим това. Администрацията никога е нямала капацитетът да напише техническо задание, което да изиска разработването на софтуер, отговарящ на съвременни изисквания за качество. Затова със закона и наредбата се въведе шаблонно задание, с което се покриват повечето от често срещаните пропуски. С въвеждането на отворения код за всеки разработен по поръчка софтуер пък станахме първата държава в света с такова ниво на прозрачност, а Европа и САЩ се опитва да ни догони (и това не е преувеличение – малко след нас САЩ въведе сходни на нашите изисквания).

Но дори с най-добрите правила, с премахването на всички административни пречки и с най-качествения софтуер, промяната не е гарантирана. Нужна е институция, която да бъде инструмент за такава промяна. И Държавна агенция „Електроно управление“ не е създадена да бъде просто поредното съкращения. Създадена е по примера на такива агенции в успешни държави като Естония, и със законовите си правомощия тя не е безгласна буква в процеса, а реално може да налага на останалите администрации как и какво да правят, за да въведат електроно управление.

Визията пък е компасът, който дава посоката. Защото електронното управление не е магистрала, която свързва два града, а сложна комбинация от технологии, процеси и начин на мислене. Визия почти никога е нямало – само отделни парчета от цялата система са били на дневен ред, което е оставяло усилията да висят и рано или късно да бъдат изоставяни.

Именно тези основни – визията, правилата, оправомощената инстутуция правят възможно в момента реформата да се случи и тя да бъде устойчива. „Акциите“, за които чуваме по медиите са само повърхността на огромното количество вътрешни правила и процедури, някои от които са от времето на социализма, които трябва да бъдат променени или дори изкоренени. Защото положението е „царят дава, пъдарят не дава“ (в закона пише, че удостоверения не трябва да се изискват, но във вътрешните правила, които следва съответнията служител, пише, че се изисква).

Дали това ще стане – не е ясно. Както често се случва, политическата воля може да потъне в небитието след липсата на бързи резултати, администрацията може да удави процесите със своето умение да се снишава, докато поривът за реформа отмине, корупцията може да продължи да изяжда милиони, без да доставя качествени продукти. Агентите на промяната може да се отвратят от средата и да си тръгнат, оставяйки електронното управление отново „за следващата петилетка“.

И това са реални рискове – държавната агенция няма достатъчно хора, с които да изпълни реформата, а такива трудно се намират. Корупцията чука на вратата, а някои проекти, заложени като част от визията, се отлагат и забавят. Лошото е, че липсва гражданският натиск, контрол и подкрепа. Електронното управление никога не е централна тема, което я прави и слабо политически популярна. Говори се за нея когато няма за какво друго (например както в случая – през лятото). Ефектът не е осезаем – не се появява изведнъж нов, лъскав път, или детска площадка. Просто отпадат неща, за които преди сме си вземали отпуск, а вече или не се налага да правим, или можем да правим отдалечено. Интересът дори в иначе популярни административни услуги е нисък – отчасти защото не са популяризирани, отчасти защото първата мисъл на гражданина не е „дали има електронна услуга за това?“.

Дали ще има електронно управление? То и сега има, криво-ляво. Някои системи си говорят, някои институции имат що-годе прилични електронни услуги. Според мен в момента има предпоставки този процес да се забърза, и до няколко години да имаме по-електронна и по-прозрачна администрация. Но това зависи най-вече от човешкия фактор – от политическото ръководство, от администрацията и не на последно място – от гражданите.

И с всяка стъпка в правилната посока, държавата ще става по-ефективна и по-прозрачна. А с всяка стъпка в грешната посока, просто още милиони ще изтичат в нищото.

2017-03-12 апокрифи

Post Syndicated from Vasil Kolev original https://vasil.ludost.net/blog/?p=3344

От време на време докато пием се случва да си разказваме разни истории от едно време, кои апокрифни, кои истински, но всички заслужаващи да бъдат записани. Събрал съм няколко от спомени и участия, без имена (да предпазим виновните).

Една от най-любимите ми е за ISP-то (във времената на dial-up-а), на което един от админите по погрешка направил UPDATE на passwd таблицата без WHERE клауза и потрил всички пароли. Нямало backup (разбира се) или начин да се възстановят, за това си patch-нали radius-а ако един потребител три пъти напише същата парола, да я приеме и да я запише в базата. Така успели да възстановят почти всичко.

Един млад хакер една вечер в средно пияно състояние решил, че всичките internet доставчици в града му не струват и за да им отмъсти, написал един троянски кон, който правел безогледен flood по всичките им IP range-ове. В един момент се усетил как сам си е отрязял^Wзапушил клона, ама нямало какво да направи. След около седмица по различни начини (смяна на IP range-ове, филтри, черна магия) flood-ът бил спрян, но поне според някои хора още 10на години след това имало останал такъв трафик.

Администратор на ISP и известен irc сървър към него бил много приличен и мирен човек, който локалните хакери много тормозели. Накрая го пропили, и една вечер така след много пиене го питали “Абе, я си кажи root-ската парола”. Той просто се усмихнал и заспал на масата.

В един hosting имало shell скриптове, викани през sudo-подобна система за добавяне и триене на потребители. Скриптовете не били помислени достатъчно добре и когато един потребител си написал интервал в края на username-а, системата chown-нала ВСИЧКО на неговия потребител. Много неща спрели да работят, хората по навик рестартирали сървъра, и той повече не изгрял…
(тук не съм сигурен дали нямаше подобна случка и с rm при премахване на потребител, отнесло целия сървър)

В една фирма хората от нямане какво да правят си направили etherkiller (от едната страна RJ45, от другата щепсел). Забавлявали се, показвали го на хората, снимали го и го забравили. След няколко месеца се оказало, че щепселът бил останал включен в един контакт и само по чудо не била станала по-голяма беля.

В едно ISP младши админа написал rm /home/somewhere/something/ * (забележете интервала), докато се намирал в /usr/sbin. Понеже това било във времената преди не-ужасяващо-бавния интернет и пакетните системи в linux, отнело някакво време да се намери какво точно се е потрило и да се възстанови, поне една част от него.

В друго ISP на основния Cisco router изгоряло захранването (във времената на бавния интернет, малкото пари и никаквата резервираност). Въпреки знанията на хората по електротехника, не успели да се ориентират къде точно е проблема на захранването, та техни колеги от конкурентно ISP им дали под наем такъв router (НА ЧАС). Седнали с работещото и неработещото захранване отворени едно до друго и проследявали, докато намерят проблема (мотае ми се нещо като 10 часа).

Като си спомня още, ще ги опиша и тях 🙂

Оттегляне на коментари в блога и промяна в лиценза – част 2

Post Syndicated from Боян Юруков original http://yurukov.net/blog/2017/komentari-licenz-2/

През ноември писах за молба към мен да залича определени коментари в този блог. Авторът посочи като причина, че е съзрял и се приоритетите му са се променили. Не искаше да го идентифицират с това, което е написал в блога ми. Разбирам го напълно предвид всичко, което беше изредил като мнения.

Както знаете, не трия мнения, освен когато не става въпрос за открита реклама или не нападат семейството и близките ми. Затова вместо да изтрия написаното от него, го скрих за всички посетители и търсачки. Условието обаче беше, че ако видя индикации, че заявената промяна в позицията му не отговаря на истината, ще възстановя коментарите. Това е съдържание публикувано на сайта ми и според лиценза то става публична собственост. Не може току-така да се заличава само, защото вижда, че коментарите му в миналото са били безсмислени и срамни.

Точно това направих днес – възстанових всички 90 коментара. Става въпрос за един антиваксър коментиращ под статията ми Зли ваксини или глупави родители. Той администрира един от сайтовете им на български език, който разпространява най-много заблуди по темата сред младите родители. Също така е сред най-активните в антивакс групите и съответните теми в БГ Мама. Нямам намерение да ги линквам тук.

Не съм очаквал да промени мнението си. Нямам илюзии, че това ще стане при някои от тази група хора. В молбата му обаче имаше заявка за промяна на поведение, а такова не се видя в последните месеци. Нито е спрял сайта си, нито е спрял да разпространява фалшиви новини. Това означава, че молбата му е била куха и няма причина коментарите му да останат скрити.

Някои идеи за електронното гласуване

Post Syndicated from Delian Delchev original http://feedproxy.google.com/~r/delian/~3/3SzV7avcgtQ/blog-post_24.html

Чета постоянно истерия от представители или почитатели на партии с твърд пенсионерски електорат или партии разчитащи на по малко грамотни граждани срещу електронното гласуване, как то нямало да бъде сигурно.


Аз смятам, че това е най смешната теза на противниците на електронното гласуване преди референдума. Дали електронното гласуване ще бъде сигурно или не, зависи единствено и само от това как ще бъде реализирано. Това е технически проблем, който няма отношение към това дали ще го има или не. Електронното гласуване може да бъде много сигурно, всъщност може да бъде значително по-сигурно отколкото настоящето ни не електронно присъствено гласуване. Но също така може да бъде направено и много несигурно, по малко сигурно отколкото е сегашното ни присъствено гласуване.
Няма принципна причина, която да прави дистанционното гласуване несигурно, различна от избраните процедури за провеждането му. Но това няма отношение към дискусията по референдума – да има или да няма електронно гласуване. Това са техническите детайли, които трябва да се обсъждат открито и активно, ако референдума е положителен и предизвика публична дускусия, която да доведе до промяна на законодателството, която да разреши да има електронно гласуване.


За мен технологичните дискусии на този етап са преждевременни. Те са еквивалентни на дискусиите – дайте да нямаме гласуване въобще, защото може да се подправя. По добре ли ще ни е с един неподправен цар или дикатура на партията? 🙂 Няма съществена разлика в тезите. И вероятно за това царските движения и почитатели на диктатурата на партии, са основните противници на електронното гласуване.


Това не значи, че бягам от обсъждане на технологии. Това ми е страст. В този текст, искам да опиша един процедурен модел, как може да бъде реализирано електронно гласуване сигурно и анонимно. Това не е предложение как да бъде реализирано. Нито твърдение, че ще бъде реализирано точно така. Това е само илюстрация, че може. Технологичната дискусия е въпрос за обсъждане след като бъде взето решение да има електронно гласуване. Там трябва да сме внимателни, за да няма издънки от държавата. Но същевременно, не можем да смятаме, че държавата цели или съществува само за да прави издънки, защото иначе какъв е смисъла от нея? Най добре да дойде друг цар и господар, който да ни управлява нали? Ах, да, рязясних още една от тезите на противниците 🙂


Всъщност няма значение дали говорим за електронно или хартиено, присъствено или дистанционно гласуване, всяко нещо може да бъде реализирано сигурно или несигурно, като основният момент в него никога не е технологията по същество, а алгоритъма – процедурата използвана за реализацията.


В този смисъл нека за момент да не говорим за технология. Нека говорим за процедури-процедура.
И аз нямам за цел, да кажа, че дадена процедура за дистанционно гласуване гарантира абсолютна сигурност. Аз искам само да отбележа, че във всеки един момент, тя е винаги по-добра и по-сигурна отколкото моментната процедура за присъствено гласуване.


Изискванията към гласуването, без значение дали е присъствено или дистанционно, са да бъде лично, тайно, и гарантирано (тоест да не може да се подмени вота).


Тук не става въпрос за електронно гласуване или не. Можем да имаме електронно безприсъствено гласуване и електронно присъствено (което се експериментира от години при вотовете у нас, наричано машинно гласуване, заради помощ от машина), технологията е от не особено съществено значение. Основният въпрос е в процедурите за прилагане (включително и на технология).


Процедурата, която коментирам, е приложима за присъствено и безприсъствено гласуване, машинно или с бюлетини. Подобна процедура вече се разработва и в подходяща законодателна форма от друга група ентусиасти, но основните идеи (макар и да изказвам различно някой специфични детайли) са същите.


При присъственото гласуване, “личното” се гарантира типично чрез механизмите за аутентикация предвидени за личната карта. Ако снимката ти отговаря на личната карта, и ти имаш доверие на картата и издателят и, то ти приемаш (но няма абсолютна гаранция), че лицето е това, за което се представя и идва да гласува лично.


Тайната на вота се гарантира от безименни бюлетини и от гласуване в (макар и) обществена стая, такава в която трети страни твърдят, че е сигурно, че няма никой друг (но няма абсолютна гаранция).


Сигурноста на вота трябва да се гарантира от това, че няма как друга бюлетина да е влязла в урната, освен такава от гласуващи. Бюлетината не може пък да се подмени, защото е пазена зорко, от хора, които се предполага, че са врагове и ще се дебнат един друг (изборната комисия съставена от представители на различни партии).


Ние добре знаем обаче, че над 1 на 10000 лични карти са фалшифицирани.
Знаем, за мъртвите души – хора, които имат право да гласуват, и са в списъците за гласоподаватели, но са починали, и се използват за да се позволи да има останали свободни бюлетини добавяни в последният момент в урните, без това да създава подозрения при централното преброяване, тъй като броят на бюлетините е под или около очакваната бройка.
Само сега, за тези избори са премахнати над 500000 мъртви души (заради правилото за уседналост), но това не са всички, и ни дават чудесен индикатор колко неточни са всъщност изборните списъци. На по-предни избори бяха премахнати други 700000. Но постоянната урбанизация (при местните избори има изискване за уседналост), емиграция, динамика на смъртността, създават естествен процес на проява на мъртви души, тъй като списъците по места, физически няма как да са идеално актуални (макар централно да има как).

Знаем, че някой хора гласуват едновременно на две различни физически места, и поради невъзможност при присъственото гласуване да се подсигури в реално време национална проверка дали вече си гласувал или не, гласът се приема, а поради невъзможност за валидация на бюлетината по произход, не може да се премахнат двойни гласувания и следователно въпреки, че знаем за нарушението, то остава в преброеният резултат и какво ли още не.

Нещо повече, на някой места местни картели от представители в ИК си добавят бюлетини в последният момент, и дори да са преброени много над подписалите се, че са гласували, тъй като няма как да се разбере, кои са истински и кои не са, се броят всички и участват в преброяването. Общо, грешките (невалидни, дублирани бюлетини, мъртви души) плават между 5 и 15% на изборите и обикновено нямат съществено значение по отношение на цялостният изборен резултат. Но имат съществено значение при преразпределението на локалните мандати и при местните избори, където често един мандат (заради фрагментацията) или кмет се избират с по малко от 5000 гласа. Тези грешки, както и ниската избирателна активност имат значение и за партиите, които влизат в парламента или получават субсидия. За пример, на предните парламентарни избори само 50000 гласа по голяма изборна активност (под 1% от всички имащи право на глас) деляха дали АБВ и АТАКА ще влязат в парламента или не. Даже, нямаше значение за кого са гласували тези хора, тъй като става въпрос за фрагментацията от разпределението на мандати. Само ниска избирателна активност. Дали това е една от причините и двете партии да са твърди противници на всякакви методики за повишаване на изборната активност (от реклами, през задължително гласуване, до против електронното гласуване, всъщност АБВ официално е за електронно гласуване, но негови представители се изказват публично против) не знам.

Всички тези дефекти, и други, са породени от това, че няма въведен механизъм за двустранна валидация.
Ние знаем за тях от години, коментират се на всички избори, и постоянно променяме изборният кодекс така че да атакуваме един или друг проблем, до момента не особено ефективно.


Състемата за сигурност на присъственото гласуване разчита прекоменрно много на заплахи (глоби), политически присъствени изборни комисии (които ще се следят едни други поради естествената политическа конкуренция), и изборни наблюдатели за защита. Но с години, постепенно се съкращава количеството хора и партии имащи право да присъстват в изборна комисия, до парламентарно представени или до коалиционно партниращи си субекти, и така започват да се толерират естествени картелни съглашения, които отслабват значително присъственият контрол. Отделно независимите изборните наблюдатели се съкращават (сложна процедура за регистрация, и изискване да трябва да идват от политически партии предимно), а самите сътрудници или наблюдатели от своя страна злоупотребяват като гласоподаватели (предимно с дублиране на гласовете – пример ББЦ, БСП и ДПС на предни избори, те когато гласуват могат да заобикалят правилото за уседналост, което автоматично допуска злоупотреби с дублиране на гласовете, двойно гласуване, и други).


Нека да си представим обаче, следната хипотетична ситуация –


Че имаме разеделние между компонентите – лична оторизация, придобиване на право да гласуваш (бюлетина), асоциирането на бюлетина с вот (гласуване) и преброяване на гласовете. Всеки един от тези елементи се оторизира и проверява в отделна и независима организация, а нещо друго (например математиката?) ни гарантира съседна двустранна асоциация, но не и такава, която прескача съсед. Тогава много изкривявания (но не всички) на текущият модел биха били преодолени автоматично.


Обяснявам малко по детайлно – всичко това си го имаме и сега, но нека си представим че то е напълно отделено в отделни организации и процесите се случват независимо. Следните отделни и независими компоненти, мога да определя:


  1. Оторизация на едно място, че ти си си ти (еквивалент на издаване на личната карта) и получаване на съответният идентификатор за това (сега това е личната карта издадена от МВР, но може да бъде и електроне подпис или друго, от една организация)
  2. Оторизация, че имаш право да получиш бюлетина, с която да гласуваш (сега това го прави изборната комисия, проверяваща те в изборният списък и гарантираща, че ти си ти, чрез сертификата издаден от организация 1, в електронният можеш да получиш генериран математически случаен електронен сертификат, проверяем математически (може да е hash функция) и подписан със сертификата на тази втора организация, така че да е непроменим)
  3. Асоцииране на вот с бюлетина (сега го правиш пред изборната комисия, която подпечатва бюлетината ти, за да гарантира пред трети страни че е валидна, електронно може да е трета организация, например сайт, в който ти подписваш електронно избора си с полученият от 2 сертификат)
  4. Преброяване на бюлетините (прави го ЦИК, с под изпълнител типично ИО, в електронният свят това е преброяване и двойно валидиране на валидноста на електронната бюлетина, от четвърта организация)


Нека си представим преднатата система реализирана така (отново, технологията е примерна, не е важна, важна е процедурата и принципа) –
  1. Отиваш и си издаваш електронен подпис, който валидира, че ти си си ти. Той съдържа уникален твой сертификат валидиран от издателят на сертификата (всъщност днес това го правят всички клонове на банки, за 15 лева), което има това право (еквивалент на МВР). Електронният подпис е само пример. Може да бъде електронната ти идентификационна карта (личната ти карта, която ще можеш да получиш от 2017-та година нататък), може да е One-Time-Password система от друга форма. Няма голямо значение. Технологията не е важна, на този етап.
  2. Отиваш и получаваш електронна бюлетина срещу електронният си подпис, тя представлява да речем hash функционално число, подписано от твоят сертификат (но без идентификационна информация) или от алтернативен по-анонимен алгоритъм, като да речем модифициран DH (или уникален случаен частен ключ, и двете могат да дойдат пак през електронният ти подпис). Получената информация пък е подписана със сертификат от организацията издаваща електронните бюлетин (тук можем да правим вариации, може да имаш уникален публичен и частен ключ, генерирани случайно и дадени за теб например).
  3. Отиваш на сайта за гласуване, там с полученият частен ключ подписваш бюлетината и я пращаш обратно на сайта за гласуване, който я подписва със своят си сертификат (сертификатите играят роля на печатите при ИК) и предава веднага или по късно на организацията за преброяване (или пък я предава веднага на междинна организация, но тя я предава на организацията за преброяване след приключване на изборният ден).
  4. Организацията за преброяване получава всички сертификати. Тя има публичните ключове на (1), 2 и 3 (но не и частните). Като резултат тя може да чете информацията (но никой друг не може да чете освен своята си част) и да направи преброяване и пълна валидация. Отделно от 2 е получила списъка с генерираните хешове, има как да ги валидира математически (че са истински) и приема само тези сертификати, които съдържат коректен хеш.


Какъв е резултата от това разделение на отделни независими и несвързани организации:


Имаме невъзможност за генериране на фалшификати (подписванията при 2 и 3 стават локално при гласуващият, през мрежата пътуват и сайтовете получават само подписани сертификати), за да има фалшификат трябва някой да е компрометирал едновременно 1, 2 и 3 (което може да стане само при личният компютър на гласуващият, но дори той да е компрометиран, пак не може да стане лесно – опитайте се да подмените съдържанието на подписваната информация от електронният подпис в ръцете ви на собственият ви компютър. Ако успеете, ми се обадете).
Дори да приемем това за възможно при компютъра на гласуващият, то ще бъде невъзможно да бъде направено масово (няма как в ограничен период от време да повлияеш и да проконтролираш милиони компютри и милиони сертификати), което го прави по добре стоящо от сегашният модел (ЦИК публикува на всяко гласуване статистика показваща близо поне 100к невалидни или дублирани бюлетини, и то по доста консервативният механизъм на оценка, който имат). Също така, подмяната изисква интерактивно действие в момента, в който потребителят се оторизира. Ще ми бъде изключително интересно да чуя как може да стане при един масов електронен вот, в реално време, в рамките на изборният ден. Дори да имаме 1-2 случая на подмяна, те ще са много малко за да повлияят на резултата, и отделно точно електронното гласуване може да допусне механизъм как да се откриват и поправят.


Имаме и гаранция за тайна на вота. Защото само 1 знае дали имаш право да гласуваш и кой си ти. Само 2 издава бюлетина срещу информацията от 1 (но не е задължително да знае кой си, стига да знае, че имаш валиден сертификат, чиято валидация може да се подсигури анонимно), но не знае дали и за кой си гласувал. Само 3 може да знае (това е опционално, 3 може да не разполага със собственият си публичен ключ и да не може да знае), електронната бюлетина с кой вот е асоциирана, но не знае кой е гласувал. Само 4 може да преброи и да валидира бюлетините, пак без да знае кой е гласувал.
За да компрометираш тайната на вота, трябва да компрометираш всичките едновременно. Това е теоретично възможно за държавата да се организира и да го направи, но това е малко вероятно, защото първо може лесно да се установи (много по лесно от при физическото гласуване, понеже тук всички записи се пазят на всякъде), и второ това не е проблем да се прави и сега, така че за него няма технологичен проблем при присъственото гласуване, има принципен държавен и морален проблем, и не можем да кажем, че е нещо, което ще го докара електронното гласуване. Проблемът ако съществува, ще е проблем е на организацията, държавата и културата.


Тъй като подписите стават локално там където ги извършва гласуващият, то хакер хакнал по отделно 2 или 3 или 4 не може да генерира фалшиви подписи. Нито може да подпише (няма частните ключове или сертификатите при клиента от предната организация), нито да създаде валиден сертификат (защото той изисква участие от край до край). Теоретично е възможно да създаде масови фалшиви подписи ако хакне 1, но пък красотата на всичко тук, е че това може лесно да се установи (от ГРАО, в реално време или постфактум при проверката при 4) и всички гласове генерирани по този начин да се извадят от вота (да се инвалидизират хешовете от 2 или сертификатите от 1 и ще се получи инвалидизация при преброяването при 4), включително пост фактум, отново при запазване на пълна анонимност за гласуващият.


Дублирането е премахнато заради валидацията по активен хеш в организация 4. Но за дублирането ще кажа още нещо по-късно. Всеки електронно гласувал ще има само един единствен валиден вот.


Как гарантираме личното гласуване? Това в хипотезата ми го прави електронният подпис, но той може да бъде валидизиран (при 2) ако трябва от видео или снимка обаждане, и ще получи същата форма на валидизация, каквато има и при изборната комисия (да те видят че си приличаш).


Ами подслушването? Дори да гледаме логове и IP адреси, можем да догадаем че някой е гласувал, но не със сигирност кой е той точно, и определено не и за кого е гласувал. Ако криптираната информация е с еднаква дължина, дори статистически механизми не биха могли да помогнат да се различи от подслушване, кой или колко за кого са гласували. Този отговор може да даде само организация номер 4.
Защитата, която имаме тук е дори значително по-добра, при това дори при пълна откритост, отколкото тази, която имаме при присъственото гласуване. Ако например журналист следи пред сградата с изборни секции и да снима кой влиза и излиза (а това го виждаме по телевизията на всички избори), той получава много по-голяма и точна информация, отколкото ако подслушвате мрежата за електронно гласуване.


Как ще гарантираме, че подписите не се дават на други хора? Гаранция, че не си си дал подписа (паспорта) на някой друг е същата, каквато е и при нормалното гласуване. Никаква. Но отново, много е трудно и малко вероятно това да стане масово, и може да се валидира с видео обаждане (или заснемане при получаване на правото за гласуване).


Звучи сложно? На пръв поглед технологията изглежда сложна и многостъпкова. Сигурно ще е трудно за потребителите да я следват? Всъщност не. Идеята с разделението и многото подписвания не е нова и не е случайна. Всъщност тя се изпълнява от ИК и сега, в присъственото гласуване (личната ти карта е сертификат/електронен подпис издаден от МВР, бюлетина с воден знак е сертификат от издателя на бюлетините, проверката по ИК и лична карта и подписа в избирателният списък е еквивалента на получаването на право за гласуване е моята стъпка 2, гласуването в стаичаката и последващият печат върху бюлетината е еквивалента на стъпка 3, валидацията на печатите, и водният знак бюлетините и съдържанието от ЦИК и ИО е еквивалента на стъпка 4). Тази технология с 3-ен подпис е класическата технология използвана от технологията за оторизация KERBEROS на MIT, която до сега не е разбивана, а всъщност е изключително масово употребявана (Active Directory оторизацията в Windows е базирана на нея). Използва се и от свръх популярната OAUTH2 система за оторизация. За потребителят изглежда че попълва данните си само на едно място, но отзад има двойна (или дори тройна) оторизация, и нито една организация не разполага с цялата и пълната информация за личните данни на участника. По важното е, че потребителите дори не разбират как става, и не се налага да се логват на 3 сайта едновременно. Но това не премахва гаранциите за сигурността.


Компрометирани броусъри, операционни системи, троянски коне не компрометират автоматично например електронният подпис (всъщност всички хакове, за които знаем не компрометират системата по същество, а само дебнат ситуация в която потребителят подписва в реално време и се опитват да изземат сесията. Дори да заподозрем 1-2 такива случая, това е невъзможно да се изпълни масово в изборният ден по начин по който да се повлияе на изборният резултат).


За дублиранията – тъй като имаме вторична анонимна проверка (при 4), потребителят може да гласува безброй пъти анонимно (издавайки си безброй бюлетини), и да му се брои само последният вот. Това не само не е недостатък, но може да е и предимство. Дори да бъде принуден от някой “да се гласува правилно” пред него, по късно потребителят може да гласува пак, и да инвалидизира предното си гласуване. Така насилственият вот може да стане много по труден (но не и продаденият, но той не може да бъде преборен с технология – това е лично решение), тъй като хората ще имат алтернатива. Особено в малките населени места локалното влияние (в изборната секция със заплаха от кмета, както често се случва) може да стане много трудно, тъй като хората могат да отидат и пак да си гласуват валидно – другаде.


Тъй като само потребителят може да е в състояние да прочете информацията от подписите си, то системата може да бъде направена така, че потребителят да може да провери как е гласувал (ако се предостави такава услуга от 4) и да открие фалшификации, хакове, или да инвалидизира гласа си. Нещо повече, никой няма да бъде в състояние да му попречи да го направи, или да разбере, че това се е случило, без да има абсолютно цялата информация от 1,2,3 и 4 (а пък ако дори само един се оплаче, това лесно ще се открива проблема и ще се хваща виновника. При добре работеща полиция, много бързо и точно ще се излавят хората опитващи да правят компрометиране на системата).


Обърнете внимание, технологиите не са толкова важни (ползвам публични-частни ключове, защото са добра и позната илюстрация), а процедурата и разделението са важни. Ние следваме същата процедура и сега, но нямаме разделение, просто всичко е концентрирано на едно място и не се проверява вторично. Така там където е концентрацията (ИК) може да се правят фалшификации, а поради липсата на вторична проверка, не могат да се изфилтрират. Също така в приръственото гласуване днес използваме значително по-лесни за фалшификация идентификатори (номера на кочани, водни знаци), отколкото в една електронна система.


Аз лично не само че не виждам по големи недостатъци при така описаната по горе процедура, за дистанционно електронно гласуване, отколкото при сегашният ни физически модел, но и виждам адресирани едни от най важните технически проблеми при сегашното гласуване – повишаване на изборната активност (с което пък адресираме изкривяванията, които имаме от ниската изборателна активност) поради улесняване, премахване на възможностите за валидно преброяване на дубликати, и също така създаване на алтернативи за запазване на гражданските права и личният избор, с което при добра комуникация с избирателите, можем директно да атакуваме (минимум с оскъпяване на) платеният вот и (да обезсмислим) феодализираният вот.


До момента няма нито един случай, на наистина хакната система за електронно гласуване или за електронно банкиране. Нямаме познат случай, при който да е хакнат електронен подпис (но знаем за хиляди подправени паспорти). Нямаме случай, в който да е хакнат алгоритъм за оторизация.
Имаме случаи на откраднати (физически) електронни подписи (но както и при личният паспорт, те могат да се инвалидизират и за разлика от личният паспорт инвалидизацията може да е мигновенна). Имаме случаи на откраднати статични сертификати. Имаме случаи на пробити банкови системи по друг начин (достъп до софтуера управляващ трансферите на парите). Имаме класически Denial of Service атаки, които блокират или забавят скороста на работа на системите. Но те не нарушават анонимноста или оторизационната система на потребителите, а са плод на грешен дизайн в други части от софтуера. Така че не могат да се ползват като доказателство за несигурност. Сигурността за личноста и решенията накрайните потребители си се запазва. Но некадърността на системите си е друг проблем.


В предложената от мен схема, нито една организация и дори нито една произволна комбинация от две организации, не може да генерира фалшива система за оторизация, фалшива бюлетина, фалшива асоциация с вот, които да минат на проверка при номер 4. Всички те само ги записват, подписванията прави само потребителят локално.
Можем да имаме (умишлено) фалшиво преброяване при 4, но пък всички сертификати/бюлетини си стоят и подлежат на вторична проверка, така че при всяко подозрение, могат да се проверят и изловят. Доста по добре, отколкото при сегашният модел на присъствено гласуване.


Отделно, една от красотите на цялата работа е, че 1,2,3 и частично дори 4, могат да бъдат реализирани частно, и повече от веднъж едновременно. Можете да имате много издатели на оторизационни системи (електронен подпис), много издатели на електронни бюлетини, много сайтове за асоцииране на вот, много преброители. Това не само че не нарушава сигурността, но дори я увеличава. Потребител, който има подозрения, или ако направи проверка за собственият си вот, какво е гласувал и види несъвпадение, може да смени в рамките на изборният период (ден) и да гласува пак на друго място, и така да инвалидизира грешката, както и да заобиколи проблема. Обратно, полицията пък може да сваля фалшиви сайтове.


Фишинг атаки (сайтове за фалшиво гласувне) няма да сработят, тъй като не разполагат със сертификатите от публичните ключове, както за да вземат гласа на потребителя, така за да го пратят валидно към 3 или 4.


Единствената атака, която остава е DoS атака, към електронните места за гласуване, така че да бъдат блокирани и потребителите да не могат да гласуват и да се нервят. Но DoS атаките се решават лесно, с добре дистрибутирани и скалирани системи. Дори и без атака, системата може да бъде крайно бавна, защото е проектирана лошо (и тук мога да дам пример с Търговският Регистър или сайта за електронно преброяване на предните избори). Но това не е причина да няма електронно гласуване, това може да е причина да притиснем държавните организации да бъдат много по сериозни в разработката на софтуера си.


Послепис:
За незапознатите, ще кажа няколко думи за основни алгоритми в криптографията, които могат да се ползват (и всъщност се ползват във всички системи с електронни подписи, онлайн оторизация и електронно банкиране):


Challenge алгоритъм – Представете си че имате две страни които си комуникират през несигурна среда. Страна А иска да валидира, че страна Б е тази, за която се представя. Страна А знае, че страна Б ще се валидира с информация, която страна А знае (да кажем парола).
Когато Б иска да се представи, той моли А да му даде едно случайно число. А му изпраща случайно число. Б използва случайното число, за да криптира (или hash-не) информацията си, и я подава на А. А знае числото, знае алгоритъма за криптация (hash), и извършва действието на Б локално, след което сравнява резултата с това, което е получил от Б. Ако има съвпадение, значи Б е този, за когото се представя.
Ако някой подслушва мрежата, той знае че Б се опитва да се оторизира пред А. Но не знае паролата на Б, тя никога не минава некриптирана. Отделно не може да използва информацията, получена от Б за да се представи за Б някъде другаде, понеже друго случайно число ще бъде използвано в онази оторизация.
В резултат – имаме активна оторизация, която не може да се декриптира, и не може да се използва другаде или тук по друго време.


Асиметрични алгоритми за криптиране – Това са алгоритми с публични частни ключове. Идеята е проста – имаме математически алгоритми, които ни гарантират, с изключително високо ниво на сигурност, че имаме два ключа, наричани условно публичен и частен. С частният ключ можем да криптираме информация, която може да се декриптира само с публичният ключ. Частният не може да я декриптира. А по частният ключ не можем да създадем публичен и обратно. Така ако вземем частен ключ и криптираме с него някакъв текст, то знаем, че той е криптиран и подписан от този, за който се представя отсрещната страна, ако можем да му го декриптираме с публичният ключ. Без да имаме публичният ключ, не можем да декриптираме, без да е криптиран с реципрочният частен ключ, не можем да декриптираме с публичният. Този алгоритъм е хитър, защото можете да раздадете на приятелите си вашият публичен ключ, и само те ще могат да четат криптираната информация, която им пращате. Но никой друг, освен вас, няма да може да им пише и изпраща информация.


Електронен Сертификат – Двоен (или повече) подпис с публични и частни ключове. Пример – представете си, че вие си създадете своя двойка публичен и частен ключ. Частният си е винаги у вас. Но искате публичният да е достъпен за група хора или всички. Отивате в полицията (или Certificate Authority) и те проверяват, че вие сте вие. След което криптират с техният си частен ключ информация-текст, която казва – да, това е лицето Пешо Пешев, и неговият публичен ключ е този и този (записан вътре). Полученото нещо се нарича сертификат, и можете да го публикувате публично (или да го изпращате, с криптираната от вашият частен ключ поща).
Всеки, който получи вашият сертификат, ако има публичният ключ на полицията (CA) ще може да го прочете. И ще знае, че полицията (гарантирано от нейният частен ключ) твърди, че вие сте този, за когото се представяте, и вашият публичен ключ кой е. С него пък получателят ще декриптира вашата поща, и ще знае че тя е написана от вас, защото само вие имате вашият частен ключ.


Дифъл-Хелман алгоритъм – друга форма на асиметрично криптиране, при което участниците дори си разменят публично индикатори за ключовете, от които може да се регенерира публичният (или друг) ключ, но подслушващият не може да го направи.


Еднократна парола – частна форма на challenge алгоритъма, при която криптираната информация, която се обменя за валидация (паролата) се допълва от компонент, който е зависим от времето (или последователността на събитието), примерно времето е добавено към паролата. Така дори някой да подслуша и да се опита да кракне с речник паролата, няма да може, понеже само след да речем минута информацията е чисто нова, и старата инвалидизирана.


Електронен подпис – Това е комбинация от електронен сертификат и еднократна парола. През мрежата се транспортира сертификационна информация, модифицирана и криптирана с форма на еднократна парола. Може да бъде реализиран и по опростено (например чиповете на кредитните карти са с много по опростена форма на оторизация), и по сложно. Но това е избор на имплементацията, а не е проблем на технологията. Технологията може да бъде удивително сигурна, дори и всички публични ключове и информация, да бъдат свободно достъпни в мрежата.

Безспорно е, че нещо може да бъде реализирано несигурно. Но също така е безспорно, че може да бъде реализирано и сигурно. Това обаче не е въпрос на дискусията дали да има или да няма електронно гласуване. Това е дискусия, след като решим да има електронно гласуване, как точно да бъде направено то. Да казваш, по добре да няма, защото може да бъде направено лошо, е същото, като да отказваш да летиш със самолети, защото от време на време падат. Да, няма да паднеш със самолет, но не значи, че ще живееш вечно, или че самолет няма да ти падне на главата. Значи само, че ще си винаги по бавен от тези, които пътуват със самолет.

ППС:
Може по детайлно да го разпиша, но основната идея е в разделението. Ако си представим, че асоциацията на бюлетина с вот, е всъщност като действието по създаване на сертификат, само че имаме частен ключ генериран локално, и публичен ключ асоцииран с анонимен хеш, който половината да речем отива при асоциятора на вота и половината при преброителя директно, то асоциатора (3) може само да валидира информацията, но не и да знае кой е гласувал и какво. Преброителя може да валидира, но не и да знае кой е гласувал. Само потребителят, ще има възможност да провери, да чете и да (пре)гласува, локално при него.
Математиката допуска това. Така работят вече и много електронни системи за оторизации. Така че може да стане сигурно. Въпросът в действителност обаче никога не е бил технологичен, нали?