Category Archives: интернет

Отговорност за щетите в Министерството на електронното управление

от Божидар Божанов
лиценз CC BY

Онзи ден Борисов каза, че преговорният екип на ГЕРБ се е борил за това министър на електронното управление да остане Йоловски. Мисля, че е важно да маркирам този факт, защото поне вече е ясно кой носи отговорност за щетите, нанесени там в последните месеци.

В министерството има общо 9 дирекции, главен секретар и една изпълнителна агенция. За последните 9 месеца са уволнени, помолени да напуснат, принудени да напуснат или преместени: главния секретар, изпълнителния директор на агенцията и директорите на 8 от 9-те дирекции.

И тази своеобразна чистка е само една от многото причини за липсата на резултати. Още в края на есента писах, че нямам очаквания, че политическото ръководство на МЕУ ще се справи със задачите, а напредъкът по управленската програма беше основно заради това, което свършихме в парламента. И това е разбираемо – при това разбиване на министерството, няма как там да се работи продуктивно.

Политиката за електронно управление е изключително важна за цялостното развитие на страната – за намаляване на административната тежест, за повече проследимост и прозрачност, за киберсигурността. И има нужда да бъдат придвижвани напред компетентно и систематично – нещо, което в последните 9 месеца се случваше в парламента, но далеч не толкова в МЕУ.

Материалът Отговорност за щетите в Министерството на електронното управление е публикуван за пръв път на БЛОГодаря.

Хронология на неосъществилата се ротация

от Божидар Божанов
лиценз CC BY

Малко хронология на неосъществилата се ротация:

На 17-ти март Мария Габриел предложи: ротация на премиера и вицепремиера, без смяна на министри, и отлагане на подписването на споразумение за неопределено време.

ППДБ отказахме, защото за нас споразумението беше ключово.

На 19-ти март Мария Габриел внесе несъгласуван състав на Министерския съвет на втория ден от седемте за изпълнение на мандата без логично обяснение защо.

На 24-ти март Николай Денков предложи ротация на премиера и вицепремиера, без смяна на министри, но с подписано споразумение.

ГЕРБ отказаха. Вчера отказаха и повторно аналогично предложение с втория мандат, но с номиниран от тях премиер.

Разликата между предложенията на двете страни е ясна – споразумението. А какво има в него?

Съдебна реформа, реформа на службите, избор на независими регулатори, избор на органи на съдебната власт без гарантирани места за никого.
Все неща, без които държавата не може да върви напред. Неща, които щяха да бъдат протакани, отлагани и подменяни, ако ги няма черно на бяло.
И затова отиваме на избори – защото изглежда ГЕРБ са решили, че предпочитат избори пред това да имат твърд ангажимент по тези реформи, а ние (противно на обвиненията) не искаме да стоим във властта самоцелно, без да правим тези фундаментални за страната промени.

А всички „лакърдии“ от преговорния процес са шум и отклоняване на вниманието – кой с кого се срещал, какви имена задраскал, кой какво поискал, кой колко бил обиден и т.н.

България може да реши фундаменталните си проблеми само с независима съдебна система (без политици да назначават хора по върховете ѝ), с независими регулатори и с работещи служби. И това е най-трудната, но и най-важната политическа задача.

Материалът Хронология на неосъществилата се ротация е публикуван за пръв път на БЛОГодаря.

Какви да са партидите в Имотния регистър?

от Божидар Божанов
лиценз CC BY

Имотен регистър в България има на теория, но на практика няма. Или обратното – на практика има, но не е спазен закона. Това е и становището на Нотариалната камара. Миналата зима бях внесъл текстове в Закона за кадастъра и имотния регистър, които да позволят по-бързо преминаване към истински, пълен имотен регистър, но тогава не намериха подкрепа.

Какво е имотен регистър – по закон това е съвкупността от партидите, свързани с недвижимите имоти. И тук идва въпросът какво е „партида“. Има две „школи“ – едната смята, че партидите трябва да са персонални – т.е. имотите да се описват на база на техния собственик (и да преминават от един към друг собственик), а другата – че трябва да са имотни партиди – т.е. водещото е имотът, а собствениците са атрибути, които се сменят. Всичко до 2009 г. е именно в такива папки в кашони. Към момента електронни имотни партиди по смисъла на закона няма, а правилника за вписванията предвижда персонални партиди в електронния регистър.

Тази дилема – персонални срещу имотни – е напълно валидна в хартиения свят – регистърът представлява документи в папки в кашони и е важно как ще подредиш папките и кашоните, за да може да търсиш в тях. Ако ги подредиш по ЕГН на собственика, ще можеш да търси лесно по собственик. Ако ги подредиш по идентификатор или адрес на имота, ще можеш да търсиш по имот.

В електронния свят, обаче, регистърът се реализира не чрез папки в кашони, а чрез т.нар. система за управление на релационни бази данни. Там може да има таблица с имотни сделки, като за всяка сделка да има една колона „идентификатор на имот“ и една колона „идентификатор на собственик“ и така може да се търси и по двата критерия. Т.е. партидата не е нито персонална, нито имотна. Това се постига чрез т.нар. индекси, които са виртуалната реализация на папките в кашоните – подреждане по определен ред, за да може да бъде търсено по-бързо. („Сделка“, разбира се, е опростено, защото има много хипотези за придобиване – наследство, делба, давност…). Именно така е реализирана информационната система ИКАР, в която след 2009 г. се вписват извършените имотни прехвърляния.

Представете си три групи кашони. В единия са номерата на актовете, а в другите два – ЕГН-та и идентификатори/адреси на имоти, като във вторите два, в папката на всеки човек и на всеки имот се вписват само номерата на актовете от първата група кашони. Това заема доста място и е сложно за водене в хартиения свят. Но в електронните е най-елементарното нещо.

Действащият Закон за кадастъра и имотния регистър предвижда имотни партиди: „чл. 3. (1) Имотният регистър се състои от партидите на недвижимите имоти“. За мен това трябва да се преосмили – имотният регистър е съвкпуността от актовете, с които се признава или прехвърля правото на собственост или се учредява, прехвърля, изменя или прекратява друго вещно право върху недвижими имоти. Логическата организация на тези актове по партиди – имотни и персонални – е подробност. Чрез информационната система на имотния регистър могат да бъдат постигнати целите на партидите без да ги уреждаме нормативно като такива.

Сигурен съм, че това е непопулярно и дори еретично мнение и че „не може ИТ-та да определят как ще работи един толкова важен регистър“. Но смятам, че следва технологичните възможности да бъдат отчетени при избор на концептуалния модел на регистрите – нещо, което е било невъзможно или непрактично преди, сега вече е тривиално. А от позицията на нотариалната камара е видно, че електронен имотен регистър, след толкова години действащ Закон за кадстъра и имотния регистър, официално няма.

По Плана за възстановяване и устойчивост (ПВУ) се предвижда дигитализация на хартиените архиви на Имотния регистър и според мен трябва да обсъдим задълбочено концептуалните положения в закона, за да не се окажем и след това с половин имотен регистър. Защото по ПВУ ще се сканират документи, но тяхната правна стойност ще остане под въпрос. Запазването на настоящия концептуален модел само по себе си не е пречка пред реализирането на истински имотен регистър, но според мен е пречка пред цялостното осмисляне на начина, по който данните се съхраняват и търсят в електронен вид.

Материалът Какви да са партидите в Имотния регистър? е публикуван за пръв път на БЛОГодаря.

Какъв механизъм за скрининг за рискови чуждестранни инвестиции приехме

от Божидар Божанов
лиценз CC BY

Приехме закон за скрининг на рискови чуждестранни инвестиции. Тъй като той е много важен за инвестиционния климат, по него имаше процедурни особености – мина два пъти на второ четене в комисия, за да сме сигурни, че няма да създадем административни пречки пред чуждестранните инвестиции.

Със закона (който въвежда текстове в Закона за насърчаване на инвестициите) се предвижда задължение за разрешение от междуведомственя комисия за скрининг за пряка чуждестранна инвестиция в секторите, свързани със сигурността и обществения ред. Приемането на закона е задължение на България по европейския Регламент (ЕС) 2019/452, но регламентът дава възможност на държавите да го адаптират спрямо своите приротитети и нужди. Скринингът цели да ограничи т.нар. корозивен капитал – капитал с неясен произход, със спорна пазарна ориентация, мотивиран от екплоатирането на административни пропуски в държавата, където се осъществява инвестицията и придобиване на контрол върху стратегически обекти. Тези рискови инвестиции, според регламента на ЕС, трябва да бъдат подложени на скрининг.

Това, което успяхме да постигнем (от ППДБ) за облекчение на инвестиционния процес, са следните неща:

  • скринингът да е само, когато дейността на дружеството, в което се инвестира, е в обхвата на регламента – т.е. сигурност и обществен ред. По принцип това само по себе си може да бъде тълкувано разширително от администрацията, което налага и останалите мерки по-долу.
  • на скрининг да не се полдагат държави, които смятаме за нискорискови , като такива се определят по два начина – единият е със списък, предложен от Министерски съвет и одобрен от парламента, а другият е с конкретен списък в закона – САЩ, Обединеното кралство, Япония, Корея, Канада, Нова Зеландия, Австралия, ОАЕ и Саудитска Арабия. Дали последните две са нискорискови е дълга тема, но там потенцеиалните проблеми не са свързани с т.нар. „корозивен капитал“, а евентуално с други рискове за финансовата система, които скрининга не решава така или иначе. Има дискусия дали списъците с държави са в съответсвие с всички международни договори, по които България е страна, но предвид, че на европейско ниво текат процеси по надграждане и уеднаквяване на скрининговите механизми, нашата временна мярка е с цел защита на инвестиционния климат от излишна бюрокрация.
  • сделки, които все пак подлежат на скрининг, се ползват от мълчаливо съгласие при изтичане на 45-дневния срок за издаване на разрешение. Мълчаливото съгласие по принцип е общият ред за такъв тип разрешителни режими, съгласно Закона за ограничаване на административното регулиране и административния контрол върху стопанската дейност, но тук го записахме изрично, за да не влиза администрацията в тълкуване дали се прилага. Мълчаливите съгласия са индивидуални административни актове, т.е. имат силата на изрично разрешение. Има рискове, произтичащи от връчването на решенията за скрининг (т.е. ако решение е взето преди срока, но е комуникирано след срока), но те се елиминират при използване на Системата за сигурно електронно връчване, при която връчването се случва в реално време и гарантира датата и часа на изпращане и получаване.
  • скрининговият процес не спира производствата за други лицензи и разрешения – т.е. не може процедурата по скрининг да се използва от КЗК, КЕВР, КФН, КРС или някой друг държавен орган за спиране или забавяне на прозиводства по техните специални закони. А много от сделките в обхвата на регламента са регулирани от някой такъв регулатор.
  • държавата ще носи отговорност за вреди по нейна вина, т.е. ако напр. след мълчаливо съгласие отвори ад-хок скрининг и това навреди на инвеститора, той може да осъди държавата за причинените вреди.
  • гарантиране, че всички становище, вкл. на службите за сигурност, са мотивирани, за да няма бланкетни становища от типа „препоръчва да не разреши инвестицията, поради налична информация в Държавна агенция „Национална сигурност““. Съответно решенията на съвета трябва да са мотивирани и пропорционални, а не бланкетни и прекомерни. Това на пръв поглед са декларативни текстове, но дават повече сигурност, че при съдебен процес, той ще бъде в полза на инвеститора, в случай, че държавен орган направомерно е ограничил дадена инвестиция.
  • съветът за скрнинг ще публикува данни за получените заявления за скрининг и за това какви решения е взел. По този начин ще е възможно да се следи как се движи процесът по скрининг и дали той не е прекалено рестриктивен.

На задължителен скриниг подлежат инвестиции от Русия и Беларус, както и от компании, в които има 25% собственост на лица от тези държави. Руските капитали са най-корозивни, и когато става дума за национална сигурност в контекста на войната, е нужен специален ред за тях. За останалите трети страни се прилага изискването за контрол – т.е. 50%+1, пряко или непряко, вкл. чрез група лица, всяко от които под 50%.

Регламентът предвижда задължителен скрининг на т.нар. „критични технологии“, като изкуствен интелект, роботика, киберсигурност и др. В нашия закон има специфична разпоредба за високотехнологични компании в секторите, свързани със сигурност и обществен ред, като единствената разлика спрямо останалите инвестиции е в праговете за скрининг. Но високотехнологични инвестиции от нискорискови държави също не подлежат на скрининг, така че технологичната ни индустрия няма да има повишена административна тежест за привличане на капитал.

Законът не е е перфектен, но тъй като такъв тип закони се въвеждат в Европа за първи път, все още европейските държави, вкл. България, намират правилния баланс. Смятам, че ние намерихме добър баланс между гарантиране на националната сигурност чрез ограничаване на корозивен капитал и свободата на движението на капитали и свободния инвестиционен климат.

Материалът Какъв механизъм за скрининг за рискови чуждестранни инвестиции приехме е публикуван за пръв път на БЛОГодаря.

Технологиите като „пета власт“

от Божидар Божанов
лиценз CC BY

Трите власти – законодателна, изпълнителна и съдебна – са разделени с цел взаимен контрол и предотвратяване на концентрация на власт. Традиционно към тях се добавя и т.нар. „четвъртна власт“ – медиите, които осигуряват допълнителен контрол върху трите власти чрез прозрачността, която осигуряват. Затова между властите има различни механизми – законоустановени или имплицитни – за проверки и баланси (checks and balances).

Поради все по-активното навлизане на технологиите в държавното управление, моята теза е, че те плавно се превръщат в „пета власт“. Във времето много елементи на обществения живот са били обявявани за „пета власт“, така че не твърдя, че това е единственият допълнителен механизъм за проверки и баланси, отвъд утвърдените 3+1 власти, но смятам, че ще става все по-централен и трябва да му обърнем специално внимание.

Общоприета теза е, че „властта корумпира“. Макар това да е опростена теза, както е разгледано в литературата, в сърцевината си тя е вярна – позициите на власт, върху които няма достатъчно външен контрол, създават корупционни практики – не само свързани със злоупотреби със средства, но и по-общо със злоупотреби с власт. Механизмите за възпиране на корупцията са много – съдебен контрол на актове, наказателна отговорност, публичност, парламентарен контрол и др.

Технологиите са много силен механизъм за възпиране на корупционните практики. В малко по-техническа публикация съм изредил множество начини, по които технологиите могат да бъдат използвани за превенция на корупцията. Това включва:

  • проследимост на действията и техните автори, и то по начин, който не позволява да бъдат подменяни;
  • невъзможност за промяна и антидатиране на документи
  • защита на данните от неоторизиран достъп (т.е. без „само да погледна тука една папка“)
  • прозрачност и публичност на данни и докименти, с което да се подхранят разследванията на четвъртата власт
  • истинско случайно разпределени на преписки, проверки, дела – много експерименти показват, че използването на принципа на случайност намалява корупционния риск
  • автоматична валидация на данните, което премахва човешкия фактор и възможността за „затваряне на очите“ за някои пропуски
  • автоматизиране на максимално много дейности, което намалява дискрецията на овластените лица
  • автоматизиран анализ на риска на база на натрупаните данни, така че да бъдат откривани злоупотреби проактивно

Но преди да бъда обвинен в техно-утопизъм – че виждам технологично решение на всеки проблем – ще отбележка и негативната страна. Както всяка власт, и петата може да е неефективна, корумпирана и да работи в нечий интерес. Както изпълнителната може да се корумпира, както съдебната може да решава дела не само в съответствие със закона, както законодателната може да е прокарва частни интереси и както медиите могат да бъдат необективни и дори „бухалки“, така и технологиите могат да бъдат инструмент за корупция.

И трябва сериозно усилие, за да не бъде така. Институционално и технологично усилие, за да бъде проследимостта реална, а не „наши хора“ да могат да си зачистват следите, за да има реално случайно разпределени, а не едни административни ръководители да могат с тайни клавишни комбинации да предопределят избора, за да се публикуват максимално много данни, а не да се спестяват с оправдания „тя системата няма да издържи“.

Технологиите сами по себе си не са власт, но всички дейности около тях, са именно такава. Петата власт в момента е в ръцете на едни не особено видими хора – ИТ директори, системни администратори, администратори на бази данни, програмисти – в частни компании, в администрацията и в държавната компания Информационно обслужване. Това не е обвинение към тях и не е презумпция за злоупотреба – в мнозинството си това са честни експерти, които си вършат съвестно работата. Но отговорността е далеч по малка спрямо колективната тежест, която все повече ще имат (или „имаме“ – защото и аз продължавам да се причислявам към ИТ експертите).

Допълнителен проблем е и това, че технологиите трудно се разбира и от широката публика, и от политическата класа – както стана болезнено ясно от измислените скандали с машинното гласуване. Но те са само един пример.

Именно заради тези проблеми – че петатат власт се упражнява „между другото“, понякога неосъзнато и без политическа отчетност, трябва технологиите, използвани в държавното управление, да бъдат балансирани от останалите четири власти. Например в законите да е уредено, че не могат да се подменят данни; че има технически-гарантирано случайно разпределение; че кодът на системите е публичен, актуален и одитиран; че за достъп до определени данни не се разчита само на един човек; че чувствителни данни се съхраняват логически разделени; че се използват актуални криптографски методи за защита на конфиденциалността и целостта на данните. Нужно е в съдебната власт (и съдът, и органите на досъдебното производство) да разполага с по-широк набор от експерти по технологични теми. Нужно е изпълнителната власт да разработи механизми за повече прозрачност и проследимост в управлението на информационните и комуникационни технологии.

Петата власт – технологиите в държавното управление – е все още недостатъчно видима, но сме длъжни да говорим за нея, за да бъде използвана за предотвратяване на злоупотреби в другите власти, а не за скрито и трудно-разбираемо вмешателство в тях.

.

Материалът Технологиите като „пета власт“ е публикуван за пръв път на БЛОГодаря.

Why Facebook’s Lack of Customer Support Is a Problem

от Божидар Божанов
лиценз CC BY

Facebook is arguably the biggest social network. The network effect makes it hard for people to leave Facebook, and so many businesses, celebrities, institutions, politicians rely on it for reaching out to their customers/fans/citizens/voters.

Yet, at least in my part of the world, the customer support of Facebook is practically non-existent. Because I’m a member of parliament and former minister that had handled disinformation and relations with Meta, many people turn to me for their Facebook woes. And they are almost never resolved.

A few examples: a deep fake of the Bulgarian prime minister was circulating on Facebook for several days, after two institutions submitted official take-down notices. Profiles of fellow members of parliament were blocked/hacked. None of their support requests succeeded and their profiles remained blocked for months. A fellow member of parliament with paid subscription could not change his cover photo during an election campaign for mayor, and Facebook’s support stopped answering. Facebook bulk-deleted our candidate pages after one election campaign (after it has been taking ad money), and its support did not respond adequately (pages remained deleted). One colleague’s ad account was hacked and a malicious actor used his credit card to promote ads. He was unable to remove the intruder and Facebook’s support didn’t manage to do it either, so my colleagues had to remove the credit card. When I became a minister, my request for a blue checkmark was initially rejected and the official support channel didn’t answer. And in all of those cases support was requested in English, so it’s not about language-specific limitations.

I’m sure anyone using Facebook for business has similar experiences. In a nutshell, support is useless, even if you are paying customer or advertiser. And clearly there is no market pressure to change that.

The European Union recently introduced the Digital Services Act which at least pushes forward a long-time proposal of mine for appeals and independent arbitration for decisions that block access. I don’t know if that’s working already, but at least it’s a step.

So why is that a problem? Facebook argues it is not a ‘natural monopoly’, and I’ll agree with that to an extent – it faces competition from different types of social networks. But its scale and the network effect means it is not just a regular market player – it is (as the digital services act puts it) – a very large online platform that has gained a broad influence and therefore needs to be required to bear extra responsibility. The ability for some entity with 4 million users in a country of 7 million to arbitrarily ban members of parliament or candidates for mayors, or to choose (because of inefficiency) to leave a deep fake of a prime minister up for days, is a systemic risk. It’s a systemic risk to leave a business to be reliant on the whims and inefficiencies of the nearly non-existent customer support.

If a company can’t get customer support sorted, market forces usually push it out of the market. But because of the network effect (and its policy of acquiring some potential competitors), this hasn’t been the case. And if one of the most highly-valued companies on earth can’t have a decent support process, regulators should step up and set standards.

The post Why Facebook’s Lack of Customer Support Is a Problem appeared first on Bozho's tech blog.

Поредна димка за машинното гласуване и изборите в София

от Божидар Божанов
лиценз CC BY

Гледам, че пак се правят опити за дискредитиране на машинното гласуване дори когато машините не отичтат резултат. Както обикновено, зад бомбастични твърдения като „откраднати гласове“, „масова фалшификация“, „не се знае кой печели“ и „липсващи флашки“ стои (в добрия случай) некомпетентност и (в лошия случай) политическа злонамереност. Затова нека обърна внимание на някои детайли:

На първо място трябва да подчертаем за пореден път, че след последните промени, машините не броят. Броят хората. Машината може да се ползва, за да се установят евентуални проблеми при броенето от хората в комисиите.

Това, което експертизата е установила (четох я преди заседанието на съда), е че има нищожни разминавания (200 гласа при 300 секции) между хартиените протоколи и данните на флашките. Нещо, което винаги го е имало, винаги се е оказвало, че е или човешка грешка при броенето или еднократен проблем с принтера и хартията. Именно заради тези разминавания настоявахме флашките да останат в изборния кодекс, настоявахме да се използват в РИК при приемане на протоколите. РИК не прави това сравнение, но флашките останаха именно заради настояването на ППДБ. За да могат да се правят такива сравнения. Но чували не са отваряни и бюлетини не са броени. Т.е. в момента отчитаме разликата между отчетеното от машината и отчетеното от секционната комисия, без да го броим повторно. Съответно всякакви твърдения кое е „вярно“ са несъстоятелни.

Разликите винаги са били нищожни и не са променяли резултата. Аз направих такова сравнение на парламетнарните избори и го публикувах. И тогава разминаванията не променяха резултата, и сега не го правят – кумулативно 200 гласа при 10% от протоколите значат, че дори да се запази това съотношение, при 100% сравнение ще има 1000 гласа разлика. При победа на Терзиев с около 5000 гласа. Трябва да отбележим, че на флашката има повече гласове и за двамата кандидати. Отчасти заради проблеми с ролката и хартията, отчасти заради човешки грешки при броенето.

Има твърдения, че протоколите не са подписани с квалифициран електронен подпис. Първо, по закон това не се изисква. Защото квалифицираният електронен подпис е на физическо лице, а ключовете (и картите) с които се подписват протоколите са на „секционна комисия“, т.е. законово те няма как да бъдат КЕП. Но технически са именно такива – смарткарта, частен ключ, удостоверителна верига и то (по стечение на обстоятелствата) от доставчик на квалифицирани удостоверителни услуги, т.е. с опит в тази сфера (Информационно обслужване). Подписите могат да се проверят от всеки и гарантират, че е нямало подмяна на файлове (по моя препоръка ЦИК публикува публичните ключове на смарткартите преди изборния ден, за да може да се установи дали подписите са направени с правилните карти, а не с други). (Твърдението за подписването е оттеглено в съдебното заседание от вещото лице след несъгласие от страна на нашите адвокати)

Липсващите 15 флашки (според експертизата) всъщност са проблем на организацията при предоставяне на материалите. Първоначално не е била предоставена нито една флашка (пак според експертизата). Данните от флашките, заедно с подписите към тях, са налични на сайта на ЦИК – проверих тези секции. Вещите лица е можело също да ги вземат от там и да ги сравнят, оставяйки все пак забележката, че не са дошли на флашка (аз сравних 4 от тях, няма нищо по-различно от останалите – +/- един глас)

Действително, в допълнение на човешките грешки, заради проблемите с хартията и принтерите (за което помните, че сигнализирахме както при приемането на промените в Изборния кодекс, така и преди последните избори), разминаванията са в много секции. С по 1-2 гласа, разбира се, но самият процент секции звучи стряскащо. Поради което ще продължим да настояваме тези сравнения да се правят в РИК, а не пост-фактум, защото разликите в числата са незначителни, но политическите ефекти от злонамереното им използване може да са значителни.

В заключение, няма откраднати гласове, няма липсващи данни, няма възможност за манипулация на машинни протоколи и няма фалшификации. Има, обаче, политици, които искат да оправдаят неуспехите си с изборната технология. И призивът ми към анализаторите е да не им се връзват, а да погледнат детайлите внимателно.

Материалът Поредна димка за машинното гласуване и изборите в София е публикуван за пръв път на БЛОГодаря.

Another Attack Vector For SMS Interception

от Божидар Божанов
лиценз CC BY

SMS codes for 2FAs have been discussed for a long time, and everyone knowledgeable in security knows they are not secure. What’s more – you should remove your phone number from sensitive services like Gmail, because if an attacker can fallback to SMS, the account is compromised.

Many authors have discussed how insecure SMS is, including Brian Krebbs, citing an example of NetNumber ID abuse, in addition to SIM Swap attacks and SS7 vulnerabilities.

Another aspect that I recently thought about is again related to intermediaries. Bulk SMS resellers integrate with various telecoms around the globe and accept outgoing SMS by API calls, which they then forward to a telecom in the relevant country. Global companies that send a lot of SMS try to look for cheap bulk deals (you are probably aware that Twitter/X recently decided to charge for SMS 2FA, because it was incurring high costs). These services are sometimes called a2p (application to person).

This means that intermediaries receive the 2FA code before it reaches the subscriber. A malicious insider or an attacker that compromises those intermediaries can thus have access to 2FA codes before they reach the subscriber.

I don’t know if this attack vector has been used, but it is a valid attack – if an attacker knows the intermediaries that a given service is using, they can either try to compromise the systems of the intermediaries, or gain access through a compromised insider. In either scenario, the victim’s 2FA code will be accessible to the attacker in real time.

This just reinforces the rule of thumb – don’t rely on SMS for two-factor authentication.

The post Another Attack Vector For SMS Interception appeared first on Bozho's tech blog.

За Школо и софтуера в обществения сектор

от Божидар Божанов
лиценз CC BY

Школо е продадено на британска компания. В стартъп света това е добра новина – успешен exit за българска компания. Но предвид, че Школо обработва данните на хиляди ученици, има и притеснения от това развитие.

Обективно, дали собствеността на фирмата е българска или от друга държава, която прилага европейското законодателство за защита на данните, разлика няма. Дори не би трябвало данните да напускат контрола на българското дружество, но дори да го направят един ден, Великобритания избра да запази GDPR в своето законодателство, а британският регулатор е един от най-добрите, така че аз нямам притеснения за данните.

Между другото, данните на всички ученици се обработват и от Майкрософт от много време, защото всеки ученик своя акаунт има право на безплатен офис пакет.

Винаги, когато става дума за софтуер, държавата трябва да осмисли рисковете от дългосрочно обвързване с частен доставчик и да ги претегли спрямо ползите от това. Дори да избере външен доставчик, трябва да има право да прекрати договора и да продължи да разполага с данните – нещо, което Школо предоставя.

Данните се изпращат и в централната система на МОН (НЕИСПУО), т.е. училищата не са вързани за доставчика. Това е устойчиво решение и добра практика както от страна на държавата, така и от страна на доставчика.

Появиха се и твърдения, че Школо е безплатно (и съответно продава данните на децата). Това не е вярно – Школо има договори с училища и те не са безвъзмездни.

Школо е пример за това как частната инициатива дава много по-добри резултати от „централното планиране“ на държавата, особено когато става дума за потребителски софтуер. Държавата има много по-голям ресурс да изгради система за електронни дневници, но Школо е предпочитано от учители, родители и ученици, защото се грижи за потребителя, а не просто „да изпълни нормативните изисквания“.

Държавата е „вързана“ да използва т.нар. waterfall модел, който е остарял, но следва от Закона за обществените поръчки – изготвя се едно голямо задание, то се възлага, това отнема много време и накрая ако резултатът не отговаря на очакванията, няма много какво да се направи, освен да де поръча надграждане. Този модел трябва да се промени, за да може системите, които държавата неизбежно се налага да изгради, да са по-добри (и вече работим по такъв модел).

От гледна точка на частния сектор, работата с държавни структури е рискова (освен аутсорсинга) – политически решения могат да застрашат бизнес модела, напр.. Моят съвет към стартъпите по принцип е да избягват да работят с публичния сектор, най-вече защото временни не успехи не показват т.нар. product-market fit. Но училища, болници и други разпределени структури на обществения сектор предоставят възможен бизнес модел, с ползи за гражданите.

В заключение, смятам, че продажбата на Школо не носи риск за данните на учениците или за системата на образованието. Може да ни служи за пример как да използваме софтуер без да сме заключени за него. И за стимул държавата да подобри процесите си по изграждане на софтуер, защото в много случаи няма пазарен стимул за изграждане на твърде специализиран софтуер за нуждите на държавата.

Материалът За Школо и софтуера в обществения сектор е публикуван за пръв път на БЛОГодаря.

Отчет за парламентарната ми дейност през втората сесия

от Божидар Божанов
лиценз CC BY

В края на първата парламентарна сесия на 49-тото Народно събрание публикувах отчет какво съм свършил. В края на 2023 г. приключи и втората парламентарна сесия, така че ето моя отчет и за нея.

Най-важното, което приехме, бяха промените в Конституцията. Но както писах и тогава, тук ще включа само неща, по които лично съм работил (рядко сам, разбира се), за да не си приписвам работа на други колеги или други парламентарни групи. Иначе тук е целият ми профил в сайта на Народното събрание.

През втората сесия приехме следните законови изменения:

  • Изменения в Закона за електронното управление, с които служебни справки се приравняват на удостоверения с цел тяхното отпадане; отпадане на нуждата от квалифициран електронен подпис за заявяване на е-услгуги; електронно връчване на всички документи, свързани с административното наказване; намаляване на таксите за електронни услуги. Описал съм промените в повече детайли тук.
  • Отпадане на трудовата книжка и замяната ѝ с данни в електронен регистър – за това писах по-детайлно тук след приемането на измененията
  • Повече прозрачност в Закона за обществените поръчки – публикуване на повече данни в структуриран вид, както и задължение за публикуване на договори дори когато не се прилага закона (т.е. по изключенията). Описал съм в детайли тук, като с последващо изменение през Закона за бюджета по мое предложение беше приета и допълнителна прозрачност за индексациите заради инфлацията, а именно – да се публикуват всички документи свързани с промяната на стойността на договора. Приехме и редките лекарства да се купуват чрез рамково споразумение, и само ако няма такова да се прилага досегашния ред, а именно – изключение от ЗОП.
  • В Закона за местните данъци и такси приехме общините служебно да получават информация от Кадастъра и Имотния регистър за преустройства, от които следва промяна в данъка, вместо собствениците да го декларират. Предложението в първоначалния му вид беше на Възраждане, а след това работих по неговто преправяне съвместно с НСОРБ и МФ.
  • В Закона за данъка върху добавената стойност премахнахме изискването електронните фактури са имат няколко екземпляра (съответно „копие“ и „оригинал“), тъй като това е най-малкото странно.
  • Поправихме пропуск в Кодекса на труда, така че заплати да могат да се превеждат по всякакви платежни сметки, а не само по банкови такива (има редица услуги, които не са банкови, но по закон имат право да предоставят IBAN)
  • В Закона за авторското право и сродните му права приехме т.нар. право на вторично публикуване на научна литература. Целта на научната литература е знанието да е максимално широко достъпно. За съжаление, това на практика не е така заради ограничения, наложени от научните журнали, поради кеото внесох и приехме авторите на научни публикации, финансирани с обществени средства, да могат да ги публикуват в отворени, некомерсиални хранилища след публикуване в научни журнали
  • В Закона за съдебната власт въведохме централизирана система за случайно разпределение. До момента за различни случаи се ползват различни системи. С промените ще има една система, с отворен код, с криптографски гаранции за разпределението. Важна стъпка към ограничаването на нерегламентирани влияния в съдебната система.
  • Приехме нов Закон за противодействие на корупцията ЗПК – в който е предвидено публикуване на отворени данни за декларациите, анализ на корупционния риск (който може да бъде автоматизиран, на база на множество източници на данни), и възможност за подаване на декларации по електронен път.
  • На първо четене приехме изменения в Закона за движението по пътищата, с който се предвижда по-ефективно връчване, отпадане на стикери и отворено данни. Между първо и второ четене внесох няколко страници предложения за изправане на разнообразни кусури на закона, като предстои да се създаде работна група, която да оформи финалните предложения за гласуване.

Зададох и 13 въпроси към министри, ето някои по-интересни:

Както отбелязах и при предния отчет, законовите промено минават с гласовете на ГЕРБ, понякога и на други партии. С нашите 63-ма депутати няма как сами да прокараме каквото и да било, така че обсъждаме конструктивно с другите партии.

Продължаваме, закон по закон, текст по текст, да подобряваме законовата рамка.

Материалът Отчет за парламентарната ми дейност през втората сесия е публикуван за пръв път на БЛОГодаря.