Category Archives: технология

За проблемите с електронните рецепти

от Божидар Божанов
лиценз CC BY

Електронната рецепта. Както често се случва, когато електронизираме един процес, излизат на повърхността неговите вградени дефицити, които са оставали невидими досега.

Когато лекар предпише антибиотик Аугментин на бяла рецепта, но такъв няма в аптеката, там те питат искаш ли еквивалентен на него (случвало ми се е – в три аптеки го нямаше, върнах се и взех генерик).

Именно тази особеност – че в електронната рецепта има маркер за позволяване или непозволяване на генеричното заместване, което фармацевтите не могат да не изпълнят, е причината за обикалянето на много аптеки и връщанията при лекаря. А С хартиената рецепта това, че някой не следва стриктно чл. 34 на съотверната наредба оставаше под радара.

Има, разбира се и други проблеми. Напр. има(ше) бъгове и „непочистени“ данни за лекарствени кодове. Тъй като цялата система разчита на екосистема от софтуер на частни доставчици (и само напоследък на едно държавно мобилно приложение за случаите, в които лекарят не може да е на компютър), е очаквано в първите дни на всяка промяна да има малки проблеми. Със сигурност можеше да има повече комуникация от институциите към заинтересованите страни – лекари, зъболекари, пациенти, фармацевти.

Има обаче и стандартното отлагане до последния момент, което се случи и с верификационната система преди години. Електронни рецепти има от доста време. Миналата година трябваше да влязат в сила за всички „бели рецепти“. Година по-късно, въвеждането на задължителна електронна бяла рецепта само за два вида лекарства не би трябвало да е изненада за никого.

Според мен, обаче, водещият е проблемът с генеричното заместване, който беше изваден „в прайм тайм“ от електронните рецепти. Моето мнение е, че трябва да има задължително генерично предписване (т.е. дори да се изпише лекарство по търговско наименование, в рецептата да се включват и непатентнотно му наименование), а фармацветът да предложи алтернативи. В същото време трябва чрез системата да се следи дали дадена аптека не фаворизира даден производител (без значение дали на генерично лекарство или не).

Колкото и да отложим влизането в сила на задължителните електронни рецепти, този проблем ще стои. Дори да дадем достъп на лекарите до информация за наличности (което смятам за правилно по принцип), това ще усложни работата им, особено с ситуации на привършващи количества и пак ще има случаи на обикалящи пациенти.

Генерично изписване и заместване има почти навсякъде в Европа и е въпрос на политическо решение. То не е толкова просто, колкото изглежда, но ще трябва да го вземем скоро, защото иначе електронната рецепта ще бъде обвинявана от пациентите в грехове, които не са нейни. А ползите от нея са огромни за здравната система.

Материалът За проблемите с електронните рецепти е публикуван за пръв път на БЛОГодаря.

Изменения в Закона за обществените поръчки

от Божидар Божанов
лиценз CC BY

Миналата седмица гласувахме на второ четене много промени в Закона за общетвените поръчки. Промените са значителни, по целия закон, но нека да откроя няколко важни промени, които бяха приети и които са по наше предложения:

  • Публикуване на договорите, сключени без обществена поръчка (над 50 хил лв.). Има редица изключения, при които не се правят обществени поръчки и досега оставаха скрити. Освен договорите, ще трябва да се публикуват и анексите към тях, както и приложенията, тъй като през анекси и приложения понякога се крият важни детайли по сключени догвоори. Останалите (под 50 хил., което е разумен праг) плащания ще се публикуват така или иначе с данните от СЕБРА. Тук не е важна просто сумата, а условията, по които е платена.
  • Публикуване на договорите за телевизионно време над 10 хил. лв и пълна разбивка на разплатените средства по доставчици на медийни услуги при такива договори и при поръчки с агенции-посредници, които разпределят парите към множество медиии. С това ограничаваме възможността на властта (която и да е тя) скрито да насочва пари към медии и така покриваме критика в доклада на Европейската комисия за върховенството на закона във връзка със свободата на медиите.
  • Данни за поръчките ще се събират в структуриран вид – стойност при сключване, стойност при изменение, единични цени на стоки и услуги, ценовите предложения, процент участие на фирми в консорциуми, стойности на договори с подизпълнители, брой подадени оферти и др. След като се съберат, данните се публикуват като отворени данни по международен стандарт. Това ще позволи много по-детайлен анализ на обществените поръчки от активисти, журналисти, анализатори. Промяната влиза в сила след 1г, в която да бъде надградена системата за електронни обществени поръчки
  • Веднъж годишно действителните собственици и членовете на управителните органи на дружеств, които са получавали над половин милион лева, ще бъдат проверявани за принадлежност към Държавна сигурност от Комисията по досиетата.

Продължаваме систематично да правим държавата по-прозрачна и по-ефективна.

Материалът Изменения в Закона за обществените поръчки е публикуван за пръв път на БЛОГодаря.

Коментар по становището на Венецианската комисия за измененията в Конституцията

от Божидар Божанов
лиценз CC BY

Прочетох становището на Венецианската комисия за проекта за изменение на Конституцията. И смятам, че е като цяло положително. На практика комисията потвърждава собствените си препоръки от миналото по основните въпроси за съдебната реформа и изразява одобрение за това, че тези препоръки са залегнали в проекта. Има елементи, по които дава предложения за подобрения и настоява някои части да се преосмислят. Излага и критика за недостатъчните мотивии и обществени консултации.

Горният абзац звучи скучно и нюансирано. Не става за заглавие. За сметка на това се появиха заглавия като „шамар за измененията в Конституцията“, „Венецианската комисия установи липса на мотиви“, „Венецианската комисия не подкрепя измененията“, „унищожителна критика“, „не пести критики“ и подобни.

В становището на комисията обаче пише, че „Най-важната част от промените са измененията в глава IV (съдебна власт), като проектът на изменения прави няколко стъпки в правилната посока“, „съставът на ВСС е в съответствие с препоръките на Венецианската комисия“ и др.

Венецианската комисия не гласува проекта на първо четене. Тя не трябва да реши с „да“ или „не“, а трябва да напише мотивирано становище по всяко едно от предложенията, и то по различните негови елементи (напр. одобрява посоката за повече отчетност на прокуратурата, но смята, че само 3-ма действащи прокурори в състава на прокурорския съвет е недостатъчно). И тя именно това прави – експертно и нюансирано.

Има две критики, които някои използват, за да дискредитират целия проект. Едната е за кратките мотиви към законопроекта, а другата е за недостатъчното обществено обсъждане. По мотивите – формално са прави, че писмените мотиви са кратки. В парламентарната процедура, обаче, има т.нар. „становище на вносител“, в която Христо Иванов говори 20 минути, излагайки мотивите за предложените изменения в дълбочина. В този смисъл, писмените мотиви са недостатъчни, но се допълват от становището на вносителя. По хронологични причини, Венецианската комисия не ги е виждала, поради което има тази точка в становището ѝ.

По критиката за общественото обсъждане – в правилника на НС общественото обсъждане се провежда по вече внесени текстове, при първото гласуване във водещата комисия. Преди внасяне на проекта няма такава формална процедура, но темите са били обсъждани многократно в различни формати (политически, експертни и медийни) и не може да се каже, че е нямало достатъчно обществен дебат. Той обаче не е бил структуриран около конкретните предложения.

Именно за да има такъв дебат, Конституцията предвижда един месец между внасяне и разглеждане на първо гласуване. И на база на множеството постъпили становища смятам, че обществено обсъждане е имало – всяка заинтересована страна е дала своето становище и писмено, и устно (и то влезе в доклада на конституционната комисия). И тези становища, заедно с това на Венецианската комисия, ще бъдат отчетени при предложенията между 1-во и 2-ро четене, защото те са именно по детайлите.

Можеше ли да има кръгли маси преди първо гласуване – можеше. Не са формално по процедура, но щеше да е добра добавка към процеса. Можем да подобрим правилника на НС, за да включим предварителна стъпка на обществено обсъждане. Смятам, че това има потенциал да подобри законодателния процес (не само по изменения в Конституцията).

Сега, преди второто първо гласуване през декември, имаме време да обясним още по-добре промените. Не детайлите, защото те са строго специфични, и аз, макар да участвам в процеса, нямам самочувствието да разбирам балансите в съдебната власт.

Но ще комуникираме духа и целите на промените, а именно – независимост на съда, отчетност на прокуратурата и премахване на свръховластеността на главния прокурор. Цели, които Венецианската комисия не само подкрепя, а е препоръчвала дълги години и сега отчита позитивно тяхното включване в проекта за изменения на Конституцията.

Материалът Коментар по становището на Венецианската комисия за измененията в Конституцията е публикуван за пръв път на БЛОГодаря.

Позитивният дневен ред

от Божидар Божанов
лиценз CC BY

Може би в целия шум и предизборно напрежение работата на парламента остава в съзнанието на хората като „нещо там се карат“.

Отвътре пък често сме твърде фокусирани върху конкретните закони. Темпото е високо, във всеки закон има сериозни въпроси, изискващи трудни решения и компромиси. И понякога три думички в някоя алинея се усещат като „голяма победа“.

Но нека в паузата да дам един поглед отгоре. Реалността е, че имаме позитивен дневен ред и се движим по него.

„Законите по плана за възстановяване“ не са едни неща, спуснати отнякъде, които просто трабва да отчетем, за да дойдат едни пари от Европа. Това са закони, които сами сме си наложили да приемем (в началото на миналата година, в предния редовен кабинет), и сме ги скрепили с европейския механизъм за възстановяване и устойчивост.

Това са много важни реформи, които имат нужда от допълнителния „печат на одобрение“, за да не бъдат отлагани. Те често са сложни, с трудни въпроси за решаване, но абсолютно необходими. Разследването на главния прокурор, личния фалит, търговската несъстоятелност, антикорупционния орган, дигитализацията на регистрите, повишаване на конкуренцията и прозрачността в обществените поръчки, промените в енергетиката и др.

Това не са неща, които се усещат на следващия ден. Но липсата на тези промеми дълго е дърпала страната назад. И сега, в трудна политическа обстановка, ги приемаме, за да махаме парчета от стъкления таван над развитието на страната.

А най-голямото парче е устройството на съдебната власт в Конституцията. Затова тя беше пред скоби при формирането на правителството.

Времето ще покаже дали този позитивен дневен ред, за който сме настоявали (и заради чието съгласуване и гласуване заедно с партии, които дълго сме посочвали като опоненти, получаваме критики) си е струвал и дали е дал очаквания дългосрочен резултат. Но сме длъжни да правим възможното.

Материалът Позитивният дневен ред е публикуван за пръв път на БЛОГодаря.

Трудовата книжка отпада след две години

от Божидар Божанов
лиценз CC BY

Тази седмица приехме на второ четене (т.е. финално) измененията Кодекса на труда, с които отпада трудовата книжка. Данните вместо в нея, ще се вписват в регистър на заетостта в НАП, който ще се появи след като бъде надграден регистъра на трудовите договори, който действа от две десетилетия и където се регистрира всеки трудов договор.

Нека да опитам да обясня какво прихме, защо го приехме и как го приехме.

По въпроса „как“ – през май внесохме законопроект, който предвиждаше създаване на такъв регистър, сканиране на всички настоящи трудови книжки и попълването му с данни от тях. Той мина на първо четене, но трябваше да се направят сериозни редакции, за да може да бъде изпълнен. Създадохме работна група към социалната комисия в парламента (с всички институции, синдикати, работодателски и професионални организации), като между нейните заседания всеки вторник, проведох редица срещи с НАП, НОИ и Министерството на труда и социалната политика, за да изчистим всеки детайл. След това работната група предложи редакции, които социалната комисия прие, а след това и пленарната зала на второ четене с пълен консенсус, за което вече благодарих на всички участващи в процеса.

Приетите изменения имат следните основни моменти:

  • Срок за бизнес анализ, подготовка на наредба и надграждане на регистъра на НАП – до юни 2025 г.
  • След влизане в сила, работниците и служителите спират да си носят трудовата книжка при всеки работодател
  • Трудовата книжка все пак се съхранява, в случай, че трябва да се доказва стаж преди да има регистри на НОИ или про спорове с работодател за правоотношения в последните 20 години
  • Еднократно, в 8-месечен период, работодателите „оформят“ трудовите книжки на служителите, т.е. вписват данни към 01.06.2025 г в тях, за да не се позволят злоупотреби (напр. служителите сам да си впише извънреден труд или преназначаване на друга категория труд при същия работодател). Периодът е достатъчно дълъг, за да не натовари работодателите с попълване
  • При постъпване на работа, изменение на договор и напускане на работа, работодателят вписва данни в регистъра на заетостта
  • Разговорно нареченият „Клас прослужено време“ (допълнително възнаграждение за трудов стаж и професионален опит) ще може да бъде изчислявано на база на данните в регистъра
  • Служебните книжки на държавните служители ще отпаднат година по късно, като ще се прилага сходен ред. Допълнителният период е предвид повечето специфики на държавната служба (има допълнителни атрибути, дипломатическата служба е подслучай на държавната и т.н.)
  • Работодателите ще имат достъп до данните за настоящите си работници и служители, но без данни за заплатата от предходни работодатели, което е в защита на интересите на служителите
  • Служителите ще имат достъп до пълните данни за себе си – за всичките си трудови и служебни правоотношения, т.е. цялата си трудова история, без значение в частния сектор или в държавната администрация

Има няколко важни въпроса, които трябва да получат отговори:

В: Защо остават трудовите книжки да се представят при пенсиониране от служители с трудов стаж преди 98-ма година, вместо да се сканират и историческите данни да се дигитализират?

О: В периода 89-98 г. има много случаи на фалшив трудов стаж, вкл. фалшива категория труд, с цел облагодетелстване на служители. НОИ изследват тези случаи един по един, вкл. с анализ на хартията, мастилото и други характеристики на документа. Няма как такова задължение да бъде вменено на текущия работодател. Още повече – текущите работодатели няма как да носят отговорност за достоверността на данните, въведени от предходни работодатели. Заради тези практически проблеми, старият стаж ще продължава да се доказва с трудова книжка при пенсиониране. Но в рамките на дискусията в работната група се избристри идеята НОИ да уредят процес, при който служителите да могат да предадат трудовта си книжка на НОИ за дигитализация преди да дойде времето за пенсия.

В: Каква е разликата на регистъра на заетостта с регистъра на трудовите договори, който действа в момента?

О: Регистърът на заетостта ще стъпи на регистъра на трудовите договори, като всичко, което се е подавало досега, ще продължи да се подава. В допълниение ще се подават и допълнителни данни, които в момента ги има само в трудовата книжка, ще се включват служебните правоотношения, запорите на заплатата. Ще се вписват и по-актуални данни при допълнителни споразумения към сключени трудови договори, защото в момента напр. заплатата в регистъра на трудовите договори не е актуална.

В: Защо регистърът да бъде в НАП, а не в НОИ или в МТСП?

О: Действително, НАП не е ползвател на тази информация. Но през 2001 г. на НАП е вменено да води регистъра на трудовите договори, а най-логичната следваща стъпка е неговото надграждане. Също така, в НАП има административен капацитет, чрез който да бъде осъществено това надграждане.

Смятам, че с институциите решихме всички висящи казуси, които могат да възникнат при отпадането на трудовата книжка, и че приетият закон е добър. Да, няма да си скъсаме трудовите книжки утре (една толкова вкоренена система не може да се изкорени безрисково за един ден), но ще имаме всички ползи от тяхната липса – и работодателите, и служителите.

Материалът Трудовата книжка отпада след две години е публикуван за пръв път на БЛОГодаря.

Спирам свалянето на данни за въздуха

от Боян Юруков
лиценз CC BY-SA

В последните почти петнадесет години съм отварял, визуализирал и анализирал доста данни. Една част от тях пускам в отворен формат, някои – в реално време. Едни такива данни бяха замерванията за въздуха в София. В началото на 2016-та година започнах да ги тегля със свой скрейпър, който интерпретираше графиките на общината и ги записваше в разбираем и отворен формат.

Това се случи във време, когато въпреки многобройните призиви и запитвания по ЗДОИ, ИАОС отказваше да публикува суровите данни от измерванията. Официалните данни бяха само от пет станции в София с ясна методология. Година по-късно се появиха първите частни станции, но данните от институциите все така бяха недостъпни. Затова данните отваряни в реално време от моя скрипт бяха използвани дълго време от няколко сайта и приложения като отправна точка.

Всичко това спря на 1-ви септември. Тогава съответните антични графики на общината спряха да работят и скриптовете се счупиха. Почти осем години по-късно слагам край на проекта и за това има няколко причини. Архивът му ще остане активен на този сайт.

Първо, след масиран натиск, но най-вече съвестни хора на ключови позиции в определени кабинети, които натискаха за прозрачност и дигитализация, ИАОС все пак публикува данните си. Това става в профила им в портала за отворени данни на кабинета.

Второ, покрай популярността на airbg Столична община подобри визуализацията на сайта си и данните са по-достъпни, включително от ИАОС. Добавиха и още станции в рамките на проекта AirThings, където има удобно api.

Трето, института Gates започна пилотен проект за следене на не само на замърсяването, но и на редица други параметри и проблеми от градската ни среда. Картата им може да намерите на сайта.

Всъщност, именно разговор с Петър от Gates днес на кошера на Тук-Там ме накара да погледна пак скриптовете и да забележа, че са спрели да работят също както и съобщенията за грешки. На практика голяма част от scraper-ите ми вървят от години без поддръжка или да им обръщам особено внимание. Това важи както за документите на институциите, така и за спиранията на ток, парно и вода в София, безследно изчезналите, строежите в София, производството на енергия и прочие.

За разлика от преди 8 години, днес има предостатъчно източници на данни за замърсяването. Това е резултат от инвестираното време, нерви и внимание на множество хора. Продуктът е огромно количество информация, което трябва да се превърне в ефективни политики базирани и оценени като ефект с данни.

Именно заради тази достъпност няма да обръщам внимание на Столична община, че им са се скапали графиките и ще спра скриптовете. В линковете горе ще намерите данните от другите източници.

Ето някои от статии по темата, които съм писал през годините:

The post Спирам свалянето на данни за въздуха first appeared on Блогът на Юруков.

Приехме важни промени в Закона за електронното управление

от Божидар Божанов
лиценз CC BY

Вчера на второ четене приехме измененията в Закона за електронното управление, който подготвихме в Министерството на електронното управленир преди година и нещо. В него има много важни промени, в т.ч.:

  • приравняваме служебните справки на удостоверения, за да не трябва да променяме всички закони и наредби, за да отпаднат удостоверенията.
  • физическите лица ще могат да заявяват електронни услуги без да подписват заявленията с КЕП (който продължава да е бариера пред използването на е-услуги).
  • електронните услуги ще са с по-ниска такса спрямо тези на гише
  • разширяваме електронното връчване, като го правим възможно за актове и електронни фишове. Ще може в системата за сигурно връчване да се посочи, че човек желае напр. МВР да му връчва там електронните фишове.
  • уреждаме дейността на посредниците, които могат да предоставят услуги на гише по-близо до гражданите, които не ползват интернет (напр. за да не ходят до областния град)
  • няма да може с подзаконов акт да се въвежда изискване за представяне на документи за доказване на обстоятелства, които ги има в регистър. Т.е. всички наредби, вкл. общински, в които се искат непредвидени в закон удостоверения, бележки, стикери и подобни стават незаконосъобразни.
  • всички регистри ще трябва да минат от тетрадки в електронен вид през 2024 г., когато влиза в сила задължението регистрите да се водят или чрез собствена информационна система, или чрез новоуредената централизирана система за водене на регистри.
  • въвеждаме задължение за изпращане на напомняне при изтичащ срок на документ („индивидуален административен акт“)
  • отпадат факсът и телексът от Административнопроцесуалния кодекс
  • въвеждаме редица важни определения като „регистър“ и „централен администратор на данни“ и уеднаквяваме редица дефиниции в няколко закона, които се бяха разнинали през годините.

Всичко това ще започне да се прилага в следващите месеци. С него се покриват и цели, поставени в плана за възстановяване и устойчивост и е важна стъпка към повече удобство за гражданите и повече ефективост на администрацията. Приемането на закона не трансформира администрацията автоматично, но поставя важни рамки и задължения, с които Министерството на електронното управление може бързо да напредне.

Материалът Приехме важни промени в Закона за електронното управление е публикуван за пръв път на БЛОГодаря.

Anticorruption Principles For Public Sector Information Systems

от Божидар Божанов
лиценз CC BY

As a public official, I’ve put a lot of though on how to make the current and upcoming public government information systems prone to corruption. And I can list several main principles, some of them very technical, which, if followed, would guarantee that the information systems themselves achieve two properties:

  1. they prevent paper-based corruption
  2. they do not generate additional risk for corruption

So here are the principles that each information system should follow:

  • Auditability – the software must allow for proper external audits. This means having the up-to-date source code available, especially for custom-built software. If it’s proprietary, it means “code available” contract clauses. This also means availability of documentation – what components it has, what integrations exist, what network and firewall rules are needed. If you can’t audit a system, it surely generates corruption
  • Traceability – every meaningful action, performed by users of the system, should be logged. This means a full audit log not just for the application, but also for the underlying database as well as servers. If “delete entry” is logged at the application, but DELETE FROM is not logged by the database, we are simply shifting the corruption motives to more technically skilled people. I’ve seen examples of turned-off DB audit logs, and systems that (deliberately?) miss to log some important user actions. Corruption is thus built in the system or the configuration of its parts.
  • Tamper-evidence – audit logs and in some cases core data should be tamper-evident. That means that any modification to past data should be detectable upon inspection (included scheduled inspections). One of the strong aspects of blockchain is the markle trees and hash chains it uses to guarantee tamper-evidence. A similar cryptographic approach must be applied to public systems, otherwise we are shifting the corruption incentive to those who can alter the audit log.
  • Legally sound use of cryptography – merkle trees are not legally defined, but other cryptographic tools are – trusted timestamps and digital signatures. Any document (or data) that carries legal meaning should be timestamped with the so called “(qualified) timestamp” according to the eIDAS EU regulation. Every document that needs a signature should be signed by an electronic signature (which is the legal name for the cryptographic term “digital signatures”). Private keys should always be stored on HSMs or smartcards to make sure they cannot leak. This prevents corruption as you can’t really spoof singatures or backdate documents. Backdating in particular is a common theme in corruption schemes, and a trusted cryptographic timestamp prevents that entirely.
  • Identity and access management – traceability is great if you are sure you are “tracing” the right people. If identity and access management isn’t properly handled, impersonation, bruteforce or leaked credentials can make it easier for malicious internal (or external) actors to do improper stuff and frame someone else. It’s highly recommended to use 2FA, and possibly hardware tokens. For sysadmins it’s a must to use a privileged access management system (PAM).
  • Data protection (encryption, backup management) – government data is sometimes sensitive – population registers, healthcare databases, taxes and customs databases, etc. They should not leak (captain obvious). Data leak prevention is a whole field, but I’d pinpoint two obvious aspects. The first is live data encryption – if you encrypt data granularly, and require decryption on the fly, you can centralize data access and therefore log every access. Otherwise, if the data in the database is in plaintext, there’s always a way to get it out somehow (Database activity monitoring (DAM) tools may help, of course). The second aspect is backup management – even if your production data is properly protected, encrypted, DAM’ed, your backup may leak. Therefore backup encryption is also important, and the decryption keys should be kept securely (ideally, wrapped by an HSM). How is data protection related to corruption? Well, these databases are sold on the black market, “privileged access” to sensitive data may be sold to certain people.
  • Transparency – every piece of data that should not be protected, should be public. The more open data and public documents there are, the less likely it is for someone to try to manipulate data. If the published data says something, you can’t go and remove it, hoping nobody would see it.
  • Randomness – some systems rely on randomness for a core feature – assigning cases. This is true for courts and for agencies who do inspections – you should randomly select a judge, and randomly assign someone to do an inspection. If you don’t have proper, audited, secure randomness, this can be abused (and it has been abused many times), e.g. to get the “right” judge in a sensitive case. We are now proposing a proper random case assignment system for the judiciary in my country. It should be made sure that /dev/random is not modified, and a distributed, cryptographically-backed random-generation system can be deployed. It sounds like too much complexity just for a RNG, but sometimes it’s very important to rely on non-controlled randomness (even if it’s pseudorandomness)
  • Data validation – data should be subject to the maximum validation on entry. Any anomalies should be blocked from even getting into the database. Because the option for creating confusion helps corruption. For example there’s the so called “corruption cyrillic” – in countries that use the cyryllic alphabet, malicious users enter identically-looking latin charcter to hide themselves from searches and reports. Another example – in the healthcare system, reimbursement requests used to be validated post-factum. This creates incentives for corruption, for “under the table” correction of “technical mistakes” and ultimately, schemes for draining funds. If input data is validated not just a simple form inputs, but with a set of business rules, it’s less likely for deliberately incorrect data to be entered and processes
  • Automated risk analysis – after data is entered (by civil servants, by external parties, by citizens), in some cases risk analysis should be done. For example, we are now proposing online registration of cars. However, some cars are much more likely to be stolen than others (based on price, ease of unlocking, currently operating criminals skillset, etc.). So the registration system should take into account all known factors and require the car to be presented at the traffic police for further inspection. Similarly for healthcare – some risk analysis on anomalous events (e.g. high-price medicines sold in unlikely succession) should be flagged automatically and inspected. That risk analysis should be based on carefully crafted methodologies, put into the system with something like a rules engine (rather than hardcoded, which I’ve also seen).

Throughout the years others and myself have managed to put some of those in laws and bylaws in Bulgaria, but there hasn’t been a systematic approach to ensuring that they are all followed, and followed properly. Which is the hard part, of course. Many people know the theory, it’s just not that easy to put in in practice in a complex environment. But these principles (and probably others that I miss) need to be the rule, rather than the exception in public sector information systems if we want to reduce corruption risks.

The post Anticorruption Principles For Public Sector Information Systems appeared first on Bozho's tech blog.

Methodology for Return on Security Investment

от Божидар Божанов
лиценз CC BY

Measuring return-on-investement for security (information security/cybersecurity) has always been hard. This is a problem for both cybersecurity vendors and service providers as well as for CISOs, as they find it hard to convince the budget stakeholders why they need another pile of money for tool X.

Return on Security Investment (ROSI) has been discussed, including academically, for a while. But we haven’t yet found a sound methodology for it. I’m not proposing one either, but I wanted to mark some points for such a methodology that I think are important. Otherwise, decisions are often taken by “auditor said we need X” or “regulation says we need Y”. Which are decent reasons to buy something, but it makes security look like a black hole cost center. It’s certainly no profit center, but the more tangibility we add, the more likely investments are going to work.

I think the leading metric is “likelihood of critical incident”. Businesses are (rightly) concerned with this. They don’t care about the number of reconnaissance attempts, false positives ratios, MTTRs and other technical things. This likelihood, if properly calculated, can lead to a sum of money lost due to the incident (due to lack of availability, data loss, reputational cost, administrative fines, etc.). The problem is we can’t get company X and say “you are 20% likely to get hit because that’s the number for SMEs”. It’s likely that a number from a vendor presentation won’t ring true. So I think the following should be factored in the methodology:

  • Likelihood of incident per type – ransomware, DDoS, data breach, insider data manipulation, are all differently likely.
  • Likelihood of incident per industry – industries vary greatly in terms of hacker incentive. Apart from generic ransomware, other attacks are more likely to be targeted at the financial industry, for example, than the forestry industry. That’s why EU directives NIS and NIS2 prioritize some industries as more critical
  • Likelihood of incident per organization size or revenue – not all SMEs and not all large enterprises are the same – the number of employees and their qualification may mean increased or decreased risk; company revenue may make it stand out ontop of the target list (or at the bottom)
  • Likelihood of incident per team size and skill – if you have one IT guy doing printers and security, it’s more likely to get hit by a critical incident than if you have a SOC team. Sounds obvious, but it’s a spectrum, and probably one with diminishing returns, especially for SMEs
  • Likelihood of incident per available security products – if you have nothing installed, you are more likely to get hit. If you have a simple AV, you can the basic attacks out. If you have a firewall, a SIEM/XDR, SOAR, threat intel subscriptions, things are different. Having them, of course, doesn’t mean they are properly deployed, but the types of tools matter in the ballpark calculations

How to get that data – I’m sure someone collects it. If nobody does, governments should. Such metrics are important for security decisions and therefore for the overall security of the ecosystem.

The post Methodology for Return on Security Investment appeared first on Bozho's tech blog.

За българската и немската потребителска кошница

от Боян Юруков
лиценз CC BY-SA

Тази вечер имаше репортаж по bTV Новините за цените и хранителната кошница. Сравняваха с Германия. Наскоро имах два разговора точно по тази тема и затова се заслушах. Изкараха около 300 лв на човек разход за здравословно хранене в България срещу 380 лв. в Германия. Имам четири забележки към репортажа за неща, с които подвеждат зрителите си.

Първо, говориха за здравословно хранене повече като реклама на определени стоки, отколкото като разнообразна диета. Вкарването на прескъпи „био“ продукти в темата беше повече от излишно. Огромен проблем на здравето ни е не само липсата на движение и спорт масово заместена с пушене, но и еднообразната храна с премного кебапчета, пържено и бира и твърде малко плодове и зеленчуци. И не, салатата покрай бирата не се брои.

Второ, взимаха цените от неназован интернет магазин за доставка на храна и … Фантастико. Харесвам Фантастико, но там цените са често 30% от тези в други магазини. Същото важи за сайтовете за доставка, макар и по други причини. Затова не може да се каже, че който и да е от източниците им беше представителен за това, което плащаме.

Трето, в Германия може да се храни човек много по-евтино от България. Ще последва едно „обаче“ след малко, но фактите са, че с ниското ДДС за храните с чисто социална насоченост, големият пазар, работещата дотация на ключови за немското земеделие и животновъдство сектори и в голяма степен наложената от държавната машина практическа липса на печалба у същите компании държащи големите вериги у нас, цените на някои продукти и марки са по-ниски. Комбинирано със значително по-високата средна заплата това означава, че е възможно разходите на човек да са по-ниски не само като процент от бюджета, но и в абсолютна стойност.

Не на последно място обаче, също толкова вярно е, че много вероятно е за вас специално това да не важи. Това казвам често когато се отвори темата – да, може да се храниш по-евтино, но ти точно няма. Причината е многопластова и първата улика е в самия репортаж на bTV – сред главните примери за здравословното хранене бяха домати, краставици и яйца. Да, има по-евтини яйца в Германия, но ако искаш всъщност да имат някакъв вкус и жълтъкът да е жълт, ще платиш 3 пъти отгоре на скъпите във Фантастико. Доматите и краставиците са далеч по-сложни. В Германия трябва бая да се търси, за да намериш нещо с някакъв вкус. При турците е по-скоро добре, но не винаги. Аз плащах по 7 евро килото за домати, които що-годе ставаха когато в България бяха по 3 лева. Някои свикват след години и не им е такъв проблем – въпрос на приоритети.

Втората улика отново се виждаше в репортажа – сиренето. Към него може да се добави лютеница, баница и прочие. Все неща, с които сте израснали и ще търсите. Намират се по български магазини и са значително по-скъпи от България. В зависимост колко пазарувате там, това ще бъде перо в бюджета, което не е за пренебрегване.

Трети и основен фактор е хранителната култура. В България обичаме храната и вкуса ѝ. Немската потребителска кошница е различна от българската по много отношения, особено в липсата на вкус. Имах колеги немци със сходни възможности като моите, които пазаруваха неща, до които от безпаричие съм прибягвал в студентските си години. Те просто не правиха разлика във вкуса. Тук дори не включвам храненето навън или традиционната им вечеря със хляб и шунка. Гледали са ме като луд излизайки с копър, три кила краставици и две кила кисело мляко от магазина. Да напълните количката си с нещата, с които сте свикнали да се храните в България с дори близък вкус и качество ще се охарчите значително повече от онова, което bTV съобщава.

Всичко това е строго индивидуално спрямо това как се храните, какви пари получавате в България и бихте получавали в Германия, както и на какви жертви сте готови. Някои хора свикват, на други не им е проблем изначално, на трети им харесва дори повече. За 17 години съм минал през широк спектър на възможности и съображения за храненето си. В последните 8 следя в таблица всичките си разходи. Прецених, че ще е полезно да следя изкъсо финансите си, а и исках да видя как се променят през времето спрямо инфлацията. Затова знам точно колко съм харчил за храна и каква част от бюджета ми беше.

Продължих да го правя след като се върнах в България на този ден преди точно три години. За това време видях, че разходите ми за храна намаляха между три и четири пъти. Храним се по същия начин, в повечето случаи дори със същите продукти. Сирене, лютеница и киселото мляко ни излизат по-евтино, но шоколадът, телешкото и алкохолът са значително по-скъпи. При други хора, с които сме споделяли по темата, разликата би била по-скоро между 80% и два пъти, което отново е значително. Всичко зависи от навиците и за какво решиш да даваш пари.

Затова когато видите следващия път снимки на разминаващи се цени в български и немски, холандски, британски или където и да е там магазин, замислете се дали не е поредната въдица за кликове караща ви да гледате през ключалка нещо изолирано и крайно конкретно. Също, ако наистина сте решени да заминете за друга държава, приемете, че ще трябва да промените значително доста повече от езика и пощенския код. Може би това е целта ви и е добра цел стига да е добре осъзната.

The post За българската и немската потребителска кошница first appeared on Блогът на Юруков.