Обединяване на властите | k-47-2019

Не знам дали обърнахте внимание, но в точка 3 на концепцията на новия главен прокурор Гешев се споменава някаква Единна информационна система за противодействие на престъпността (ЕИСПП). Работата на тази система е да улеснява информационния обмен между съдебните и следствени служби, финансовите, данъчни и митническите органи, затворите, Военната полиция, МВР, така че ходът на едно разследване да може да бъде лесно проследен от подаването на сигнала до самото производство. Прави ли ви впечатление, че изброявам ведомства както от изпълнителната, така и от съдебна власт? Сиреч, ако ЕИСПП работи, а според мониторинговия доклад на ЕК от декември 2013 тя работи, то в нея властите се обединяват, а не разделят. Разделението на властите очевидно доста вълнува, защото присъстваше във въпросите на няколко НПО-та на изслушването на Гешев. Само дето в случая става дума за технология, прототипът на която е внедрен у нас още през 1985 г., и отговорността за надграждането, експлоатацията, поддържането, законовото й уреждане никога не са зависели от личните качества на новия кандидат. Освен това е проблем, засягащ всяко единно информационно пространство, и произтича от факта, че свободата на обмена в него винаги е за сметка на сигурността.

ЕИСПП бе наследена от тоталитарната администрация, но не само не изчезна с началото на прехода, ами, без даже да промени принципала си – Националния статистически институт – бе инкорпорирана в „Стратегията за развитие на информационното общество в България“ на Костов, финансирана от Световната банка. Самата ЕИСПП не бе финансирана от Световната банка, защото система, пълна с чувствителна информация, може да се разработва само с развойни и технически средства на държавата с пари от бюджета й. Иронията бе в това, че първият изпълнител на поръчката по обновяването й бе консорциум от частни фирми.

При смяната на властта през лятото на 2001 г. проектът ЕИСПП спря и рестартира наново в рамките на съдебната реформа, финансирана по ФАР, но не под опеката на съдебната власт, а на един Междуведомствен съвет, отчетливо доминиран от изпълнителната власт с председател Министъра на правосъдието. Целта е уж баланс между властите, които трябва да комуникират, а не да си пречат в ЕИСПП, но дори това не помогна, когато към вече изграденото ядро на системата трябваше да се включат системите на полицията, затворите, прокуратурата, съда. Класифицираната информация за наказателната политика на държавата винаги циркулира трудно между ведомствата, но беше трудно и когато НАП и агенция „Митници” трябваше да се включат. Да не говорим, че с влизането ни в ЕС трябваше да позволим и свободен наднационален достъп до системите си. (За бъдещето на тези партньорства се споменава в концепцията на Гешев.) Регламентите и общите стандарти – технологични, информационни, комуникационни, необходими за коректния информационен обмен, се постулират със закон, но у нас това не бе достатъчно. По времето на министър Тачева системата бе в клинична смърт и възкръсна с идването на ГЕРБ на власт, само че на цената на драстични промени. Именно тогава в Закона за съдебната власт бе заложено ЕИСПП да се прехвърли от Министъра на правосъдието на Главния прокурор. Прокуратурата е страна в наказателния процес и контролът над ЕИСПП би й дал огромно предимство, но не беше само това проблемът. Покрай ЕИСПП, без да е ясно като представител на коя точно власт, Прокуратурата стана и бенефициент по ОПАК – системата с класифицирана национална информация започна да се финансира наднационално! Според мониторинговия доклад на ЕК от декември 2013, всичко е точно – ЕИСПП работи – само дето няма как да го установим, защото по закон (Чл.384. (1) ЗСВ) нямаме достъп до базите й.

Тук стигаме до друг един голям проблем, вълнуващ и НПО-тата – достъпът до информация. До каква информация има достъп Главният прокурор? Кой има достъп до информация за Прокурора? Какво съдържа така нареченото „ядро“ на ЕИСПП и дали изобщо съдържа нещо повече от данните, ползвани при тестването на системата, и ЕИСПП не е само повод за източване на огромни суми?

Отговорът на тези въпроси трябва да се търси в полето на технологиите, не в пленарната зала на ВСС. Иначе НПО-тата никому не пречат в опита да симулират съпротива. Същите тези, които от наше име протестираха, и през 2016 промениха закона и направиха избора на Гешев възможен.

Поредният гейт | K-40 – брой 27, 26 юли 2019

Дали „НАП скандалът” успя да втръсне на публиката и тя вече копнее да го забрави така, както забрави Търговския регистър, КТБ, чумата по добитъка, ремонтите на ремонтите, машините за гласуване, покупко-продажбата на медии и телекоми? Нищо чудно! Колко версии се смениха в медиите само за няколко дни? Първа беше версията за руско посегателство. Добре познатите ни „инфлуенсъри” от социалните мрежи чевръсто се захванаха да си скубят косите как „някакви хора явно не разбират”, че това е „безпрецедентен удар по националната ни сигурност” (…) и „носи всички белези на хибридната война на Русия” (…) „с нас и съюзите, към които цивилизационно принадлежим (ЕС и НАТО)”. После руската връзка се разми и виновникът се оказа ИТ специалистът, обучавал ГДБОП на киберсигурност, Кристиян Бойков. Накрая и тази версия отпадна, защото се появи подозрение за подправяне на уликите срещу Кристиян, а и нали уж данните били източвани 11 години, пък Кристиан е само на 20. Накрая следата зави на 180 градуса и отведе към самия финансов министър, понеже се оказа, че живее на адреса, на който е и фирмата на Кристиян, и на публиката съвсем й се зави свят.

Очевидно е, че скандалът е изкуствено раздухван, но също толкова очевидно е, че има проблем. Какъв е той? Течът на лични данни? Има държави, в които тези данни (имена, ЕГН, адреси, регистрационни номера на автомобили и доходи) са публични. И да, тези данни се събират, за да бъдат обменяни свободно, но това трябва да се случва по ясно определени правила. На територията ни, която вече трудно може да се нарече държава, такива правила няма. Има само съмнително и произволно законотворчество. Ето, из медии и социални мрежи плъзна новината, че данните са по някаква причина селектирани: потърпевши са най-вече политици, мениджъри, магистрати, футболисти, любители на онлайн-хазарта и май даже на онлайн-игрите. Защо? Този път НАП и финансовото министерство не бива да се изплъзнат без обяснение.

Колкото и да е тревожно това обаче, не мисля, че застрашава „цивилизационната ни принадлежност” към ЕС и НАТО. Тъкмо обратното – проблем евентуално би могъл да дойде тъкмо от страна на ЕС. Просто информационните системи на НАП са свързани с тези на ЕС. Това са, например, VIES (от VAT Information Exchange System) – системата за обмен на информация за ДДС (VAT); системите на митниците… също така, без да е част от структурата на НАП, и европейската статистическа служба Интрастат е свързана с НАП и комуникира с нея. За да подаде Интрастат декларация, един наш счетоводител влиза с електронния си подпис в системата му тъкмо през НАП. Няма как да не обменяме данни с ЕС, защото те са нужни на Съюза да планира политиките си в разните сектори, от една страна, а, от друга, да спомага за справедливото данъчно облагане поне в собствените си рамки. Има няколко евро-регламента, според които вече много офшорни зони са длъжни да подават автоматично обмен с европейските данъчни служби и това е с цел да няма щети за фиска на една или друга държава. Това обаче съвсем не изключва злоупотребата със стратегическо инфо. Шпионаж винаги е имало и ще има, но е проблем от друг мащаб, надхвърлящ рамките на битовия тормоз, на който сме подложени почти ежедневно. Нашият най-голям и хронифицирал се проблем, както вече отбеляза и ИТ експертът Константин Веселинов пред БТВ, е, че нямаме орган, а и кадри, на които да може да се повери одитирането на държавните системи. Това е страшно!

Иначе това, което ще последва, би трябвало да си го знаем от опит: страната ни (т.е. ние) със сигурност ще бъде глобена, а после ще трябва пак да се бръкнем и за ъпгрейд на киберсигурността. Защото, по думите на министър Горанов, държавните системи, колкото и да бъдат съвършени, винаги ще бъдат уязвими. Ние сме в една ситуация, в която киберсигурността ще бъде все по-голямо предизвикателство“.

По-голямата част от парите за киберсигурност ще бъде открадната, защото (цинично казано) идват избори, а избори се правят с много пари. А в добавка, може да бъдем ощастливени и с някой нов съмнителен закон-бухалка, който уж да регламентира нещата. Докато в същото време медиите ни забавляват с глупости.

И така до следващия „гейт”…

 

Невъзможната реформа | K-37-2019

Тия дни медиите съобщиха, че у нас най-сетне ще започне да функционира „истински имотен регистър”, като при това „поименната система на вписване ще бъде сменена с поимотна”. На колко от нас тази новина говори нещо? Колко от нас са наясно с радикалността на тази промяна – в случай, че се осъществи?

Опит за такава промяна у нас е правен още през 90-те, когато се ковеше Законът за кадастъра и имотния регистър съгласно новия политически дневен ред – приватизацията и въвеждането на валутен борд. Налагаше го появата на чуждестранни инвеститори, които настояваха за екзотичната ни поименна система (вписване на името и данните на собственика) да бъде заменена с по-разпространената и по-сигурна поимотна (въз основа на кадастралните данни). Тогава трябваше да бъде изградена и компютърна автоматизирана информационна система за кадастъра и имотния регистър (ИИСКИР). За целта през 2000 г. министърът на регионалното развитие и благоустройството Евгени Чачев се срещна с Лий Холстейн, отговарящ в Световната банка за страните от Европа и Централна Азия, и Томас О’Брайън, представител на банката за България, за да договори заем от 33,5 милиона евро за изграждането на системата. Изпълняващите агенции щяха да са Агенцията по геодезия, картография и кадастър и Агенцията по вписванията, а фирмата-изпълнител – „Сименс Бизнес Сървисис“ ЕООД. Тази система трябваше да е свързана с Единната система за гражданска регистрация и административно обслужване на населението (ЕСГРАОН), с регистрите на общините и уверенията бяха, че до края на 2008 г. ще е готова. Според медиите, тя не само бе готова, но и наградена от Вашингтон „за изключителни резултати и положително въздействие върху икономическия живот у нас”. Ако обаче някой си е правил регистрация в ИИСКИР, сигурно е забелязал, че сайт има, но не и система; има регистри, не и „единен регистърен център“. Просто регистрите не общуват помежду си, не обменят данни с Кадастъра, който би трябвало да има централна роля при поимотната система на вписване! Всъщност, самата система на вписване никога не бе променена, въпреки че медиите дълго предъвкваха темата. И ето че пак се връщат на нея! Тази объркваща непоследователност в реформата ни може да се обясни с едно малко допускане. Да речем, че до 2000 г. у нас е имало една Национална стратегия за реформа, изцяло съгласувана с препоръките на тогавашния спонсор – Световната банка: имотният регистър да бъде обединен с Кадастъра, а системата на вписване да стане поимотна. От 2001 г. нататък обаче, след идването на НДСВ на власт, стигналата донякъде реформа е трябвало да спре и да почне отначало, но по друг проект на друг донор – брюкселски. В тази обстановка е било съвсем логично Световната банка да се оттегли от нещо, което вече не е неин проект. Така клаузата, включваща изграждането на Търговския регистър (ТР) заедно с Имотния и Кадастъра по договора, е отпаднала и Търговският регистър, предвиден за изграждане заедно с Имотния и Кадастъра, останал за доизграждане по PHARE, а 4 милиона от договора на Чачев – недоусвоени (толкова е струвала клаузата). Така вече изграденият с пари на Световната банка Кадастър останал изолиран в ИИСКИР.

Ако поразровим, ще видим договора, сключен от Чачев, споменат в някои медии като 33 млн. евро, в други – 25 млн. долара, а в трети – 29 млн. долара. И може да си помислим, че става дума за различни договори, но договорът беше един и за онзи тип заеми, които Световната банка отпускаше в еднаква форма и в един и същи размер и на други страни от източния блок, независимо от степента им на изпадналост: Словения, Румъния, Унгария… Този заем си беше част от добре изучената вече тактика на Световната банка спрямо закъсали държави „пари срещу реформи“. Тази реформа обаче у нас бе саботирана с една смяна на правителството и от съмнителна стана невъзможна.

Невъобразимият хаос в регистрите ни е нещо, което никой никога у нас не се осмели да анализира, но от което всички продължаваме да страдаме, защото де факто у нас нищо не гарантира собствеността. Това, което би я гарантирало, е идентификаторът, който имотът получава при вписването си, независимо от системата, по която това става. Проблемът у нас е некомпетентният, лишен от всякаква логика (а може би съвсем злоумишлен) опит да бъдат съчетани двете системи. Излиза, че у нас държавата нарушава собствените си закони!

Държава-мишена | K-24-2019

Между 25-и и сутринта на 29 март сайтът на Националния статистически институт бе недостъпен. Хиляди юридически и физически лица в страната, примерни собственици на електронен подпис и изрядни данъкоплатци, се оказаха застрашени от глоби заради невъзможността да подадат навреме годишните си отчети.

Причината, според НСИ: хакерска DoS атака. Тези неща са обичайни у нас. Бяхме информирани, че е информиран Националният център за действие при инциденти в информационната сигурност (CERT Bulgaria) и сега се очаква всичко да утихне.

Аз обаче ще вметна: CERT идва от „computer emergency response team“ – „компютърна група за реагиране на извънредни ситуации“. CERT Bulgaria е част от европейската мрежа от национални CERT-ове (EGC), а партньор им е наднационалната Европейска агенция за мрежова и информационна сигурност (ENISA). Тя е средище на висока експертиза, макар и никой да не знае с какво точно се занимава извън издаването на шарени буклети и организирането на уъркшопове.

„DoS атака“ пък идва от английското „denial-of-service“ и значи „отказ от услуга“, тоест, представлява опит даден ресурс да бъде блокиран чрез претоварване с трафик или злоупотреба с някой бъг.

Защитата от DoS атаки най-често е филтриране на трафика на ниво рутери и суичове или с помощта на специални устройства, блокиращи всичко, което счетат за необичайна мрежова активност, не отговаряща на „шаблона“.

Тези, които трябва първи да реагират при атака, да я ограничат и да окажат първа помощ, са CERT. Тези, които действат постфактум с анализ на атаката, са одитните органи. По средата е мишената и това, което може сама да направи, е малко. Може да разчита донякъде на подсилване на ресурсите си – повече оперативна и физическа памет, по-мощен процесор никога не са излишни. Полезни са и дублиращите системи – те ще продължат да работят, докато някои елементи са извън строя. Пълна защита от DoS атаки обаче няма, защото винаги има някой по-мощен, някой извън „шаблона“ или просто някой калпав системен администратор, който да конфигурира лошо рутера и да го превърне в мишена.

Колкото до нашия НСИ… За да добием донякъде представа за отговорния за неговата сигурност, добре е да погледнем в регистъра за обществените поръчки и да видим кой е изпълнявал задания, свързани със сигурността на институцията.

Ще изредя по номера на преписките това, което открих в регистъра на АОП, след като проверих абсолютно всички поръчки, спускани от НСИ за 11-те години, откакто регистърът съществува (забележете, че поръчките са от последните 3 години):

00403-2016-0002 – „Доставка, монтаж, конфигурация и интеграция на комуникационно оборудване към съществуващата ИТ инфраструктура на НСИ“. Изпълнител – ТЕЛЕЛИНК.

00403-2016-0003 – „Строително-монтажни работи и дейности по модернизация на сървърните помещения на Национален статистически институт”. Това включва и инсталиране на системи за контрол на достъпа и видеонаблюдение. Изпълнител – ТЕЛЕЛИНК.

00403-2017-0002 – „Привеждане на информационните активи на НСИ в съответствие с изискванията на Евростат и миграция към хибриден частен облак“. Това включва доставка, монтаж, пускане и обслужване на сървъри, дискови масиви; създаване и управление на резервни копия; на мрежови устройства плюс система за мрежова сигурност и управление на достъпа… Пак изпълнител е ТЕЛЕЛИНК.

00403-2017-0008 – „Доставка и гаранционно обслужване на комуникационно оборудване“. Това са десетки суичове и рутери плюс конфигурирането на един комплект от тях за работа с наличното в НСИ. Пак – ТЕЛЕЛИНК.

Може би е крайно време държавата да смени пасивния подход за защита чрез презапасяване с железа и софтуер с по-активен, включващ и организационно-правни средства. Защото, както казва експертът Брус Шнайер, само атаките на аматьори са насочени към машините. Атаките на професионалистите са насочени към хората.

 

Секретност и сигурност | K-15-2019

На 23 януари на сайта на пресцентъра на МС се появи странна новина, а именно, че с промяна в Постановление № 181/2009 г. правителството е включило Агенцията по вписванията в Списъка на стратегическите обекти и дейности, сиреч, засекретява я. Вестник „Сега“ нарече това „прецедент“, понеже сред засекретените обекти досега не е имало агенции, а само язовири, военни и енергийни съоръжения, мобилни оператори, седалища на властта и държавната администрация и други подобни. Защо пък да няма и агенция, ще попитате. На няколкото, предполагаемо свързани помежду си публични регистъра, които Агенцията по вписванията администрира, се намира важна информация за статута и правата на субектите в страната, т.е. информация за нас самите, поддържана с наши пари. Защо да не искаме тя да е защитена, особено ако знаем, че тези същите регистри сегиз-тогиз се сриват? През август миналата година в продължение на 18 дни Търговският регистър бе вън от строя и целият търговски оборот в страната бе блокиран. Така беше и през 2011. В момента, в който пиша това, Регистърът пак не работи! Ако ви е правило впечатление, сривовете всеки път биват обяснявани с хардуерна недостатъчност, а после биват потулвани с някой по-малък, но много шумен скандал – за раздаване на бонуси, например. А накрая, уж с цел предотвратяване на бъдещи катастрофи, биват похарчени милиони за осъвременяване на системите. И следват рестрикции. При сривовете през 2011 се вдигна доста шум около ограничаването на достъпа до фирмените дела. Ако сте следили изявите на Александър Кашъмов, ръководител на правния екип на „Програма достъп до информация“, сигурно помните изказването му, че „достъпът до фирмените дела твърде много заприличва на достъпа до държавна тайна”. Достъпът е важен, той е основание тези регистри изобщо да съществуват, но така и не стана ясна тогава връзката между ограничаването на достъпа и сривовете. Дали имаше връзка? Необходимостта от сигурност на регистрите съвсем не променя характера им на публични, но в медийната шумотевица тогава като че ли и без това не много ясната разлика между „сигурност“ и „секретност“ се замаза още повече. Сега пък ни грози засекретяване. Какво точно й засекретяват на тази Агенция, след като електронните регистри са част от инфраструктура, която така или иначе е секретна (мобилните оператори, осигуряващи комуникационната мрежа, са си в Списъка на стратегическите обекти); сървърите, съхраняващи базите данни на регистрите пък, по закон се намират в сграда, сертифицирана и отговаряща на всички възможни европейски стандарти за сигурност. Това е сградата на Агенцията на ул. „Елисавета Багряна“ № 20.

Нима сървърите на администрираните от Агенцията по вписванията регистри не са там? Къде са тогава? Кой знае? Сигурно фирмата, която е изграждала системата, но коя е тя? Със сигурност е някоя частна фирма, но къде можем да видим договора с нея? Интересно би било да видим “exit клаузата” в този договор. Да не би пък контролът над системата (пароли за рутери, ключове за сървърни шкафове) да са си останали в тази фирма? Защото, ако е така, как се справя със задачата си фирмата по поддръжката? Къде можем да видим договора и с нея; и изобщо с всички фирми, сключвали договори с Агенцията? Важно е.

Във вестник „Сега” се появи предположение, че засекретяването ще създаде възможност за „заобикаляне на Закона за обществените поръчки, както и да се направи всичко възможно оттам да не излиза неудобна информация“. Оттам, но откъде? Информацията за обществените поръчки, поне откакто сме в ЕС, се намира в регистъра на друга агенция – Агенцията за обществени поръчки.

Да не би пък промяната на Постановление № 181/2009 г. да цели просто да се закрепи с нормативен документ вече съществуваща секретност? Защото, реално погледнато, около Агенцията имаше доста проблеми и неясноти дори още преди създаването й. И ако тази секретност досега осуетяваше разследването и публикуването на информация за фирмите, сключвали договори с Агенцията по вписванията, то излиза, че оттук нататък това ще е незаконно.

Излиза, че на сегашната власт й е нужен закон, с който да осигури успешното сриване на системите и в бъдеще.

Да управляваш голямо царство… | K11 – 14 декември 2018

От известно време четем в The AtlanticWiredForeign PolicyBoingBoing, Indipendent разни ужасии за някаква Оруеловска антиутопия за тотален контрол, въведена в Китай под името „система за социален кредит“.

Какво е „социален кредит“ ли? Това е интердисциплинарно учение, обединяващо икономика, политика, история и счетоводство. Разработено е от британски инженер Клифърд Дъглас в смутните години на Първата световна война, когато той забелязал, че стойността на произведеното е винаги по-висока от разпределеното сред хората под формата за заплати, премии и дивиденти; и че тази разлика води до засилване на икономическата и политическата власт на монополите. На Дъглас принадлежи фразата, че „системите са създадени за хората, а не хората за системите“. И макар учението му дълги години да е в забвение, на 14 юни 2014 г. Държавният съвет на Китай публикува документ, кръстен не инак, а „План за създаване на система за социален кредит“. До 2020 г. системата трябва да е факт и да обхваща всички (това са над 1,3 милиарда!) китайци. Според Индипендънт, първите резултати от работата й са вече налице: от май тази година правителството е блокирало полетите на 11,14 млн. души и 4,25 млн. пътувания с високоскоростни влакове, защото системата ги е класирала като неблагонадеждни. Какво е довело до това ли? Много неща: пушене, прекаляване с видеоигри и публикуване на фалшиви новини онлайн; и дори пускане на „необичайна брада“ понижават кредита, а го повишават доброволческата работа, даряването на кръв… В „Индипендънт” четем също за около милион неблагонадеждни мюсюлмани уйгури, затворени в центрове за „превъзпитание“ с цел превенция на религиозния екстремизъм. Наказанията, освен ограничаване на пътуванията, могат да бъдат: забавяне на скоростта на интернет, ограничаване на достъпа до добри училища, до определени работни места, до резервации в определени хотели, загуба на правото на домашни любимци…

Във Форин Полиси обаче можем да прочетем, че тези мрачни описания са силно преувеличени. Вярно, с помощта на големи данни и изкуствен интелект, държавните агенции събират и споделят между министерства, региони и сектори информация за спазването на определени закони, подзаконови актове и споразумения; вярно е, че сериозни нарушители могат да бъдат поставени в черни списъци, публикувани на интегрирана национална платформа, наречена „Credit China“, но няма такова нещо като национален “социален кредитен рейтинг”.

Друго заблуждение е, че се събират данни за всеки човек. Държавата събира данни за компании и социални организации, правителствени служби и съдебна власт и това е главно регулаторна информация от рода на лицензи, съдебни решения. В нея хора попадат само ако са еднолични собственици или представители на предприятия, взели лош заем, нарушили закон или не изпълнили съдебно решение. Вярно, разните организации може и да поддържат бази данни с досиета за персонала, но „Credit China“ не ги ползва.

Третата заблуда е, че социално поведение, потребителски навици и политическа лоялност влияят на социалния кредит. Вероятно заблудата идва от преливането на разни частни програми за лоялност на клиента, отчитащи пазарното и социално поведение, със системата „Credit China“, спонсорирана от правителството, но основните правителствени документи, санкциите се налагат въз основа на стандарти в спазването на закони, подзаконови актове и договорни задължения, а не на хлабави концепции за добро поведение или случайна активност в мрежата.

Опасността, че Китайската партийна държава все пак може да разработи система за оценяване на гражданите и да почне да използва странни алгоритми за контрол, не е изключена, но и САЩ са доста напред в това отношение: техният „черен списък“ – No Fly List – пречи на хора да пътуват не защото някога са били съдени, а защото някакъв алгоритъм изчислява, че вероятно ще бъдат.

Китай е огромна, пренаселена държава и нуждата от автоматизирано управление и добра логистика е насъщна – от улиците и магазините, та до някое спешно отделение, в което спасяват животи на конвейр. Да управляваш голямо царство е като да пържиш дребна риба, е казал още Лао-дзъ – прекомерното бъркане разваля нещата. Затова алгоритмите само помагат.

Държавата като услуга | Култура – Брой 7 (3061), 23 февруари 2018

След като блокчейн технологията навлезе в света на банките и почти отне на държавата прерогатива да печата пари, въпрос на време беше тази технология да навлезе и в света на държавната администрация.
Според едно скорошно изследване на Института за бизнес стойност на IBM и разузнавателния отдел на The Economist, проведено сред 200 политици в 16 страни, девет от всеки десет правителствени организации възнамеряват до 2018 да инвестират в блокчейн технологията за управление на финансовите транзакции, управление на активи, сключване на договори и спазване на нормативните изисквания. Това – с цел да се намали бюрокрацията и да се възвърне доверието в държавата.
Звучи като изтъркана демагогия, но ето, че швейцарският стартъп Procivis предлага на основата на блокчейн пълна гама от услуги на публичната администрация, включително подаване на данъчни декларации, вписвания в поземлен и търговски регистър. На сайта на Procivis можем да прочетем, че началото е поставено през октомври 2016 благодарение на платформата eID+ с тенденцията да се работи съвместно и с други правителства в трансгранична посока. Погледът в дигиталното бъдеще обаче идва с блокчейн платформата за персонални данни VALID, която Rrocivis са разработили върху концепцията за личен суверенитет в дигиталния свят и развиване на peer-to-peer икономика[1].
Procivis е швейцарски проект, главната му квартира е в Цюрих, но амбицията му е да се превърне в глобален криптографски център, разчитайки на напредничава регулаторна рамка и на високия професионализъм на специалистите си.
Ограниченията биха могли да дойдат от новия европейски регламент за неприкосновеността на личния живот, който ще влезе в сила на 25 май 2018 г.[2] и с който всеки бизнес в ЕС или бизнес, който борави с данни за граждани на ЕС, ще трябва да се съобразява. Според създателите на Procivis, VALID не само няма да е в нарушение, но “би могло да бъде ново решение и за GDPR“.
Но Procivis не е единственият blockchain проект за електронно правителство. Наскоро се чу и за естонският Neocapita.
Neocapita е частно начинание, регистрирано в Естония, но с офиси във Виена и Букурещ. Разработената от него платформа се казва Stoneblock. Наскоро в Bitcoin Magazine се появи изявлението наТони Виленберг, основателят на Neocapita, че в момента екипът на начинанието преговаря с различни организации и юрисдикции по конкретни пилоти, като например с Програмата на ООН за развитие, благотворителната организация World Vision и с две правителства – Афганистан и Папуа Нова Гвинея. С World Vision и правителството на Афганистан предложените пилоти са с цел осигуряване на прозрачност в процедурите по предоставяне на финансова помощ. Вноските ще бъдат вписвани с помощта на блокчейн технологията и ще бъдат отворени за всички дарители.
С правителството на Папуа Нова Гвинея пък Neocapita обмисля ползване на платформата Stoneblock за записване на трансгранични транзакции, като по този начин се осигури по-голяма прозрачност.
„Не всяка технология може да бъде пренесена в контекста на развиващите се страни“, казва Виленберг, „но в тези страни усвояването на мобилни технологии се случва с темп, около три пъти по-висок от този в развитите страни.
Интересен е пътят, по който еволюира идеята за Neocapita. Първоначално е била обмисляна платформа, която да е удобна, да обслужва страна с относително малка гъстота на населението, пръснато на относително голяма площ, каквато е Естония. Впоследствие се е стигнало до идеята, че такава платформа би могла да е от полза и за естонската диаспора по света. А накрая се стига и до идеята да се предложи електронна резиденция в страната на всеки желаещ по света. Т.е. всеки би могъл да стане виртуален гражданин на е-Естония.
Как GPDR би третирала екосистема като Stoneblock, в която данните, принадлежащи на различни граждани и правителствени агенции, ще водят ефективно съвместен живот? Според създателите, това е категорично разрешено.
Засега като че ли никой не бърза да коментира достойнствата и недостатъците на подобни публични администрации, поместени върху частни платформи. Само бъдещето ще покаже.


[1] Партньорска икономика, при която посредникът става излишен.
[2] Общ регламент за защита на данните или „GDPR“.

Невестулки в чувал | Култура – Брой 43 (2965), 11 декември 2015

Темата за мигрирането на държавитеот Евросъюза към „облачната“ инфраструктура доби особена актуалност през изминаващата година и понеже не се съмнявам, че ще е актуална и през идната, ще ви припомня един доклад на ENISA (Европейската агенция за мрежова и информационна сигурност) относно възприемането на това „нещо“, на този “GovCloud”, дефиниран от нея като „Модел за развитие на системата за изграждане и предоставяне на услуги на държавни агенции (вътрешни), на гражданите и бизнеса“.
Съгласно доклада, повечето държави признават ползите от бизнес модел, основан на “облака”, и неоспоримите качества на тази нова технология –мащабируемост, устойчивост и преносимост, но има и някои сериозни пречки. Едната е свързана със стандартите. Става дума за голямо разнообразие на решения и подходи; и е трудно да се постигне консенсус между различните държави по основните аспекти на сигурността като общи клаузи в договора, общ модел за представяне на услуги и т.н.
Докладът ползва израза „широк и хетерогенен пейзаж“, за да опише разногласията, и разделя страните в няколко групи в съответствие с някои основни характеристики:
Ранни застъпници: Обединеното кралство, Франция, Испания, Естония и Гърция. Това са страните, чиито правителства имат стратегии, взели са конкретни решения за прилагането на цифровия „облак“ и даже вече са стартирали „облачни“ инициативи.
Иноватори: Италия, Австрия, Словения, Португалия и Турция. Те все още нямат държавна стратегия и ясен дневен ред за внедряване на облачния компютинг, но вече имат някои работещи облачни услуги, задействали се отдолу нагоре, без да са били покровителствани от националната или европейска политика.
Колебаещи се: Малта, Румъния, Кипър, Полша. Те нямат стратегия, нямат и стартирани инициативи, но евентуално може и да ги имат в дневния ред на националните си политики.
Страната ни не присъства в тази класация, но ние редовно четем в родните медии за ентусиазма на нашите политици да внедряват „облака“.
Докладът на ENISA обаче не споменава нищо колко централизирана услуга е „облакът“, поне според вече натрупания опит на „ранния застъпник“, Великобритания, нито за това как Приходната и митническа служба на Нейно Величество потули фиаското на GOV.UK през 2013. По този повод даже вдъхващите уважение The Register коментират доклада на ENISA с конспиративното подозрение, че е платен от Европейската асоциация за аутсорсинг в облаковия компютинг.
Друга сериозна обструкция пред внедряването на „облака“, спомената в доклада, е сигурността и поверителността на данните.
Имат ли идея европейските политици какво представлява тази технология всъщност? През септември миналата година във Виена, във Федералния компютърен център, се проведе събитие под надслов „Изграждане на доверие в Облака„, но как се справят политиците с неудобството да пропагандират пред избирателите си доверие към технология, която ще предостави личната им информация – и изобщо чувствителна държавна информация като финансови и данъчни регистри, митнически регистри, бази данни на правоприлагащите органи, здравни и социални осигуровки на населението – на трети страни – външни хранилища на данни? С каква цел едно правителство би правило това? От любов към модната думичка „облаков компютинг“? От желанието да пести парите на същите тези избиратели?
„Облакът“ може да е наистина много удобен като платформа за дистрибуцията на нещо, но да се подменя изцяло съществуваща и добре работеща и сигурна държавна инфраструктура с нова и все още недобре изучена е, меко казано, странно.
„Облаковият компютинг“ е икономичен, биха казали ИТ чиновниците, но и простите данъкоплатци вече знаят, че поводът да се харчат пари под предлог да се пестят пари в бъдеще означава само, че някой има намерението да открадне повечето от тези пари и да направи така, че да краде още и още по същата схема.
Ще завърша с остроумното предложение на TheRegisterподобни „проекти, дето са твърде големи, за да се провалят“, да не стартират преди обстоен и независим, превантивен срещу фиаско одит, като отговорността, в случай на провал, да предвижда зашиване на провинилите се чиновници в чувал с невестулки и потапяне в реката.

За облака накратко | Култура – Брой 39 (2961), 13 ноември 2015

Помните ли как в началото на тази година медиите ни обещаваха, че до края й „електронното управление има шанс да навлезе в живота ни“. Ще ви припомня дори една конкретна статия в „Капитал” от февруари 2015, озаглавена „Новата вл@ст идва“. Статията, разбира се, няма информативна стойност – “Капитал” периодически съобщава за старта на е-правителството, та сме свикнали, но някои места в тази статия са наистина интересни. Трудно мога да коментирам в рамките на 4000 знака мащабна тема като въвеждането на облачни услуги в администрацията ни, затова ще се задоволя само с маркиране на някои от тези места.
Например, четем, че за да има електронно управление, „са нужни четири неща: софтуер, хардуер, подходящите закони и наредби и промяна в системата на работа на самите държавни и общински структури. По думите на зам.-министър Борисов, първите две неща вече до голяма степен са факт, а третото е на път да стане такъв до месеци.“ Това, което смущава, е, че, логично, всяка реформа започва с писане на закони и уредби; следва преструктуриране на институциите и едва след това идва софтуерът. Той просто следва логиката на закона и обслужва нуждите на администрацията. Възможно ли е зам.-министърът да твърди, че софтуерът е готов, „спуснат“ е от някъде, а всичко останало – законите и администрацията ни, ще бъдат приспособени така, че да го обслужват?
И още нещо: държавните данни, знаем, се съхраняват в регистри. „От общо 150 активни регистъра в държавата най-важни са не повече от десет“, цитира статията заместник-министъра Валери Борисов. Ами да, има едно понятие – „първични администратори на данни“. Регистрите, които тези първични администратори управляват, са с примордиално значение за държавата, но са и голямата амбиция на няколко частни фирми. Освен това, всяко ведомство у нас е като затворено феодално владение и не предоставя данни току така. През февруари е текла тепърва процедура за идентификация на тези регистри с пари от Оперативна програма „Административен капацитет“ (ОПАК), а до края на октомври тази година евро средствата е трябвало да бъдат усвоени. Е, октомври току що мина. Вярва ли някой у нас, че облакът ще се случи?
Друг интересен момент – описание на „мястото, където физически ще се помещава т.нар. електронно правителство (…) център за данни, облак, който да консолидира всички системи в държавата: на Министерство на финансите, митници, НАП, МВР, МРРБ и т.н.“ В статията с упоение се описва този „таен обект“, помещаващ се на „таен адрес“, в който ще се съхраняват държавните (т.е. нашите) данни. Обектът е „таен“ с цел сигурност, поне с такова впечатление ни оставя статията. Щом данните на държавата вече няма да са в онази барака в Бояна, а в подсигурен срещу всякакви бедствия бункер, то вече можем да спим спокойно. Но представете си все пак, че „облакът“ се случи. Какво представлява облаковият компютинг изобщо? Според популярното определение, „облакът“, известен също и като „компютинг до поискване“, е един вид интернет базирана услуга на споделяне на ресурси и информация с трети страни (други компютри, други дигитални устройства, центрове за данни или сървъри) по заявка. Дори в българската Wikipediа, която е възможно най-безполезният ресурс в мрежата, пише за „няколко проблема, свързани с възприемането на технологиите на облачния компютинг: наличност на обслужването, сигурност и неприкосновеност на личните данни, поддръжка, оперативна съвместимост и съгласуваност. Те произлизат от това, че данните, приложенията и изчислителните ресурси вече не са под прекия контрол на потребителите. Тъй като облачният компютинг не дава на потребителите възможност да разполагат с данните си физически (освен ако ползваната услуга не съдържа опция за запазване на твърдия диск на резервно копие, back-up), това прехвърля отговорността за съхраняването и контрола над данните в ръцете на доставчика.“
Е, като са се заканили политиците ни да се приключи с хартиения терор и драконовските такси по гишетата, готови ли сме оттук нататък да поверим информацията за своя бизнес, за своята недвижимост, банковите си сметки, здравния си статус на доставчик, който със сигурност е частен и най-вероятно офшорен субект, за който май нищо не знаем? Поне статията в „Капитал“ не споменава нищо за него.

 

ЦИК безподобен! | Култура – Брой 37 (2959), 30 октомври 2015

В не много ранната сутрин на изборния ден (25 октомври 2015 г.) сайтът на Централната избирателна комисия отброяваше, че до изборите остават 1 ден, 14 часа и 49 минути. Сайтът беше застинал на датата 23 октомври! Появи се недоумение: на коя планета се хоства сайтът на ЦИК? На Марс?
В един момент (около 10.30) се установи, че сайтът изобщо го няма в мрежата. Сайтът очевидно е бил в срив още от петък и е зареждал индекс-страницата си от „кеша“ във вида, в който е била тогава.
DoS-атака! – разбръмча се мрежата тутакси. „Сайтът на ЦИК падна!“, „ЦИК зацикли! Даде фира!“ – побързаха да повторят медиите. Данни няма! Не може да се обобщи избирателната активност!
Интересно как се сриват сайтовете на държавните ни служби винаги, когато най-много се разчита на тях. Помните ли колко навременен беше течът в системата на НАП в началото на 2009? През февруари Мургина подаде оставка и на нейно място дойде Красимир Стефанов, а през юни бяха изборите. Знаем кой спечели. Ами сривът на Търговския регистър през 2010, помните ли? Ами Здравната каса през февруари 2014? Държавата страда от хронична „сървърна недостатъчност“. Дали и този път диагнозата ще е такава? Колко му е да се похарчат едни грешни милиони за нов хардуер! Кой и как стопанисва сървърите на ЦИК? Да се ползва безплатната whois услуги, за да се разбере това, е несериозно. Най-много да видим зад кое прокси се крие ЦИК. Но пък и ЦИК са малко несериозни, защото дори и whois протоколът е достатъчен, за да видим, че се крият зад безплатните услуги на Cloudflare[1].
Чудесна защита, няма що! В ранния следобед сайтът продължаваше да липсва, като междувременно стана ясно, че и сайтът на ГРАО го няма. А също и този на МВР. И даже на Интегратора, (Информационно обслужване АД), който е в най-висша степен отговорен за безпроблемното протичане на изборите, електронни или не.
В момента (18.30, 25 октомври 2015г.) сайтовете, с известни засечки, са вече на линия, а директорът на Информационно обслужване проф. Константинов дава интервюта как в изборния ден е имало „масирана атака от България и чужбина, но тя е овладяна“; и че тя, „за щастие, няма никакво отношение към изборния резултат“, защото системата за обработка на резултатите изобщо не е свързана с Интернет.
Според проф. Константинов, това е саботаж от страна на „противниците на електронното гласуване и ентусиазирани хакери“. Нали противниците на е-вота все търсят доводи „против“ и злорадстват при всеки сринат сайт, насилена банка или мейл на висш политик.
Но, така и така, пак споменах „електронното гласуване“, ще взема да завърша с него. Паралелно с местните изборите протече и подобието на референдум „за и против електронния вот“. „Подобие“, защото мина при доста неясна процедура. От една страна, привържениците на е-вота пищяха, че Централната избирателна комисия саботира референдума като нарочно е наредила да се питат хората дали искат да гласуват в референдума, вместо да им напъхват всички бюлетини в ръката, а те сами да решават. От друга – противниците се оплакват от точно обратното.
Привържениците на електронния вот заплашват, че ще направят недоволството си „viral“ из медиите, но не виждам засега и един публичен статус, който да споделя, затова ще цитирам един противник на е-вота, зеления активист Кирил Ценев:
„Първо трябва да питат дали желаем да участваме (…), после да връчват бюлетините, които сме заявили; после да ни впишат данните в списъка/списъците; после – да се подпишем. Това е правомерната последователност на действията. Ако не питат, значи правят нарушение (…).Но и ако я връчват по дефолт, и това е нарушение. Това изкуствено повишава активността на референдума. Казаха ми: „Ако не желаете, пуснете я празна!!! Нямат никакво право да ми дават такава препоръка! Казах им, че и празна нямам желание да я пускам, но вече ми бяха внесли данните в другия списък. Не знаеха какво да правят. Обясних им, че трябва да заличат данните ми в другия списък, щом са ги внесли прибързано. Останаха много смутени.“