Category Archives: технология

Избори 2022: предварителен списък на секциите в чужбина

от Боян Юруков
лиценз CC BY-SA

В полунощ беше публикувано решението на ЦИК за автоматично отваряне на секции в чужбина на база активността от предходни избори. Изброени са 734 секции, но това няма да е окончателният списък. Дали на тези места ще има секции въобще зависи не само от това дали чуждестранните власти разрешат, но най-вече дали местната българска организация намери място и събере доброволци за комисията и организацията.

Малко се е променило в последните три десетилетия и българската диаспора все още изнася цялата информационна кампания и голяма част от организацията на изборите на свой гръб и за своя сметка. Докато немалко секции се създават в консулства и посолства по подразбиране, огромна част от тях имат много малко гласоподаватели, защото са дипломатически мисии далеч от диаспорите ни.

Затова е важно подаването на заявления за гласуване в чужбина. Благодарение на усилията за промяна на Изборния кодекс след падането на кабинета на ГЕРБ, вече се отварят автоматично секции на база активност от предходни избори. Това означава, че не се налага да се борим за всяка отделна секция и конкретна бройка. Помага и при страни като Германия, където разрешение за секциите следва да се иска преди да завърши кампанията по събиране на заявления, т.е. да се знае къде българите искаме да гласуваме.

Все пак заявленията са важни, за да се отварят допълнителни секции например там, където на на одобреното място, село или град, не е възможно най-вече по логистични причини. Също така ускорява гласуването, тъй като името ви вече ще присъства в избирателните списъци и не се налага да се вписва всичко наново. Не на последно място е лакмус за активността на българите в чужбина, макар честите промени на условията за отваряне на секции да правят сравнението между различни кампании безпредметно.

Очакваме електронният формуляр за заявление за гласуване да бъде пуснат още утре на страницата на ЦИК. Веднага след това ще започна да събирам данните в Glasuvam.org, както правя в последните 10 години. Данните от предишната кампания ще намерите тук като карта и като таблица.

The post Избори 2022: предварителен списък на секциите в чужбина first appeared on Блогът на Юруков.

Open APIs – Public Infrastructure in the Digital Age

от Божидар Божанов
лиценз CC BY

When “public infrastructure” is mentioned, typically people think of roads, bridges, rails, dams, power plants, city lights. These are all enablers, publicly funded/owned/managed (not necessarily all of these), which allow the larger public to do business and to cover basic needs. Public infrastructure is sometimes free, but not always (you pay electricity bills and toll fees; and of course someone will rightly point out that nothing is free, because we pay it through taxes, but that’s not the point).

In the digital age, we can think of some additional examples to “public infrastructure”. The most obvious one, which has a physical aspects, is fiber-optic cables. Sometimes they are publicly owned (especially in rural areas), and their goal is to provide internet access, which itself is an enabler for business and day-to-day household activities. More and more countries, municipalities and even smaller communities invest in owning fiber-optic cables in order to make sure there’s equal access to the internet. But cables are still physical infrastructure.

Something entirely digital, that is increasingly turning into public infrastructure, are open government APIs. They are not fully perceived as public infrastructure, and exist as such only in the heads of a handful of policymakers and IT experts, but in essence they are exactly that – government-owned infrastructure that enables businesses and other activities.

But let me elaborate. Open APIs let the larger public access data and/or modify data that is collected and/or centralized and/or monitored by government institutions (central or local). Some examples:

  • Electronic health infrastructure – the Bulgarian government is building a centralized health record as well as centralized e-prescriptions and e-hospitalization. It is all APIs, where private companies develop software for hospitals, general practitioners, pharmacies, labs. Other companies may develop apps for citizens to help them improve their health or match them with nutrition and sport advice. All of that is based on open APIs (following the FHIR standard) and allows for fair competition, while managing access to sensitive data, audit logs and most importantly – collection in a centralized store.
  • Toll system – we have a centralized road toll system, which offers APIs (unfortunately, via an overly complicated model of intermediaries) which supports multiple resellers to sell toll passes (time-based and distance-based). This allows telecoms (through apps), banks (through e-banking), supermarkets, fleet management companies and others to offer better UI and integrated services.
  • Tax systems – businesses will be happy to report their taxes through their ERP automatically, rather than manually exporting and uploading, or manually filling data in complex forms.
  • E-delivery of documents – Bulgaria has a centralized system for electronic delivery of documents to public institutions. That system has an API, which allows third parties to integrate and send documents as part of more complex services, on behalf of citizens and organizations.
  • Car registration – car registers are centralized, but opening up their APIs would allow car (re)sellers to handle all the paperwork on behalf of their customers, online, by a click of a button in their internal system. Car part owners can fetch data about registered cars per brand and model in order to make sure there are enough spare parts in stock (based on the typical lifecycle of car parts).

Core systems and central registers with open APIs are digital public infrastructure that would allow a more seamless, integrated state. There are a lot of details to be taken into account – access management and authentication (who has the right to read or write certain data), fees (if a system is heavily used, the owning institution might charge a fee), change management and upgrades, zero downtime, integrity, format, etc.

But the policy that I have always followed and advocated for is clear – mandatory open APIs for all government systems. Bureaucracy and paperwork may become nearly invisible, hidden behind APIs, if this principle is followed.

The post Open APIs – Public Infrastructure in the Digital Age appeared first on Bozho's tech blog.

Отчет за свършената работа като министър на електронното управление

от Божидар Божанов
лиценз CC BY

За мен беше чест да бъда първият министър на електронното управление. В 99-тото правителство на България.

Важно е тази политика да продължи да бъде представена на най-високо ниво и смятам, че ще има приемственост в служебния кабинет. Усилието за дигитализация на държавата продължава и смятам, че поставихме добри основи и добро темпо.

Тук е публикуван отчет на свършеното (и започнатото) през последните 7 месеца: https://otchet.egov.bg/.

Секция „киберсигурност“ неслучайно е толкова дълга. Както войната, така и изоставането на държавата в тази сфера, наложи спешно да се действа с ограничен капацитет, за да осигурим защитата на институциите и данните на гражданите, които те обработват.

Можеше да свършим и повече. В организации от мащаба на държавата нещата стават бавно, за да има предвидимост и устойчивост. И така трябва да бъде. Но от друга страна имаме години изоставане да наваксваме и съответно е нужно баланс между скорост и устойчивост. Смятам, че такъв баланс имаше и ще има.

Електронната идентификация трябва да заработи в началото на следващата година и това ще отключи достъпа на много граждани до лесно използване на електронни услуги. Дори без нея, в рамките на мандата, използването на е-услуги се е качило двойно. Не че сме пуснали много нови електронни услуги, но самото наличие на министерство и видимостта, която този статут дава, е довел до повече търсене. А с търсенето ще идва и търсене за удобство и там трябва да се намесим.

Предстоят избори, на които ще бъде отново кандидат. Със заявка да продължим нещата оттам, докъдето сме ги оставили и да отидем много по-далеч.

Материалът Отчет за свършената работа като министър на електронното управление е публикуван за пръв път на БЛОГодаря.

Защо трябва да видите целия запис на Да, България?

от Боян Юруков
лиценз CC BY-SA

Едно от наказанията за отказа да участваш в политиката е, че в крайна сметка биваш управляван от по-глупави хора от теб.

Платон

Преди 6 години обясних защо приех да се включа в учредяването на Да, България. През януари изтъкнах отново причините да се кандидатирам отново за националния съвет на партията. През цялото това време са ми задавали въпроси какво се говори за това или онова, дали този или онзи слух е верен, както и са подхвърляли неизменните коментари за личността на този или онзи.

Да се каже, че всеки има дефекти в характера си е клише, но е вярно. Това важи с още по-голяма сила за политици и общественици, неразделна част от работата на които да са все пред вниманието на хората. От самото начало до сега давам да се разбере, че ако усетя елемент на автократство или дори недемократичност във вътрешните процеси на организацията, то ще изляза. Вярвам, че не може да тръгнеш да се бориш за върховенство на закона, демокрация и права на хората докато вътрешно в структурата ти решенията се взимат еднолично, липсва всякаква прозрачност или процес.

Да, България не е без своите проблеми и те се изтъкват постоянно на срещи и извън тях. Има несъгласни с посоката и как се водят обсъжданията. Аз също не съм съгласен с позиции и решения, както и липсата на някои такива. Писал съм и за това преди. В същото време надали някой честно може да каже, че разговори не се водят, не се обсъжда и не работи след гласуване на общи решения.

Макар неприятен, инцидентът с изтеклия запис от вътрешна среща на парламентарната група на ДБ може да даде представа какво се случва на съветите. Това е начинът и нивото на говорене. Разликата е, че след това има още поне два часа дискусия всеки път и гласуване по различни точки през електронната система.

Това не е маска, която се слага – просто така се работи и общува. Ще ми се другите членове и представители да сравнят какво се случва в техните организации като прозрачност и процес и да се замислят. Най-доброто, което могат да направят за България, е да изискат първо вътрешна промяна и заличаване на едноличната власт. Защото с грешни решения и процеси не се стига до положителен напредък.

Отново, проблеми има във всяка организация. Идеологично Да, България е шарена, компромиси са били правени и всеки отстоява своите приоритети. Има много аспекти, които следва да се обсъдят в дълбочина по начин, който ще видите в пълния запис. Да се изговорят неща, които няма да прочетете по този начин в новинарски заглавия и ехидни постове по социалките.

Политиката е игра на шах, в която следва да се мисли, а не да се блъска по масата и съска скришом през медиите заради наранено его. Политиката е маса, на която или седиш, или стоиш встрани и се тюхкаш как се стигна до тук. Ето това тук е нашата маса.

Пълният запис от заседанието на парламентарната група на Демократична България.

Христо Иванов: Виждаме как един запис се превръща в пропаганден материал, от който се разпространява откъси, извадени от контекста цитати по медиите. Предполагам, че някои от хората, които взимат решения, го правят от извадени от контекста парчета. Затова публикуваме пълния запис от заседанието на парламентарната група на Демократична България. Призивът ми е всеки да се запознае с целия запис, да установи, че става дума за една абсолютно рутинна политическа среща. Ние сме професионални политици и сме длъжни да обсъждаме всички аспекти с всички възможни мотиви на играчите. Това е ежедневието в парламента. Имаме отговорност към страната. Въпросът е не кой на кого е обиден, кой какво не му е харесало, а каква отговорност си готов да поемеш за отговорността на тази страна. Това се съдържа и в този запис. Ние сме напълно спокойни за нашата роля. Нека всеки да да прецени какво всъщност се е променило в България. Защо трябва да хвърляме страната в поредни избори. Ние сме готови, но сигурни ли сме, че това е най-доброто решение при всички задаващи се кризи. Застанахме на позицията, че трябва да имаме правителство не защото се харесваме, защото си имаме доверие в тази четворна коалиция или защото има лесни отговори. А защото смятаме, че страната няма нужда от нови избори и защото смятаме, че идва тежка зима. Подхождаме към този въпрос изключително сериозно и ако някой не го разбира, значи не разбира как се прави политика. Бяхме готови в името да има правителство да изтеглим своите министри, да нямаме претенции към позиции и да дадем парламентарна подкрепа. И смятам, че всички трябва да сме готови да се откажем от министрите си. Ако Слави Трифонов е готов да счупи всичко за четвърти път и неговата парламентарна група се подчини на този импулс, трябва да се обърне внимание, че най-заинтересованите са ГЕРБ и ДПС. Въпросът е дали търсим как да избягаме от отговорност или търсим как да намерим решение за страната. Ако просто трябва да си спасим егото и отговорността, може би това е много добър изход. Да, смятам, че фиксацията да имаш свои министерства, да е само твое, ти да назначаваш хората, да имаш собствен бюджет и да виждаш единствено това – това е абсолютен погром. Не позволявайте ГЕРБ и ДПС да закарат страната към още по-голяма криза с надеждата в кризата да се реабилитират и да се избелят. Помислете заслужава ли си заради този разговор да хвърлим България в хаос. “Демократична България” ще отидем на избори спокойни, защото знаем, че сме били професионални и отговорни. Ще отидем пред избирателите като хора, които сме застанали на страната на здравия разум и на съзнанието, че България е по-голяма от всички възпалени ега, претенции, мераци за позиции.

Posted by Да, България on Friday, July 22, 2022
The post Защо трябва да видите целия запис на Да, България? first appeared on Блогът на Юруков.

Предлагаме изменение на Закона за електронното управление

от Божидар Божанов
лиценз CC BY

Публикувахме проект на изменение на Закона за електронното управление. С него се решават ключови въпроси, които в момента пречат на въвеждането на реално електронно управление. Ето основните:

  • електронни услуги ще могат да се заявяват без квалифициран електронен подпис от физически лица – за да ги заявим ще е нужно само да влезем със средство за електронна идентификация с подходящо ниво на сигурност, след което ще подаваме заявлението просто попълвайки онлайн форма, без нужда от флашка, джава, драйвери и др. проблемни неща. Квалифицираните електронни подписи остават и ще работят, но отпадат като стриктно изискване за заявяване.
  • отпадане на удостоверенията, с чието пренасяне гражданите са куриери на администрацията – това и до момента по общите разпоредби на закона е така, но на практика не се случва по много причини. Въвеждаме правно уеднаквяване на служебно събраната информация с удостоверение, което се изисква по закон, така че администрациите да са спокойни, че са спазили изискванията на специалните закони, по които работят. Паралелно с това осигуряваме гаранции на общините, че приходите от отпадналите удостоверения ще им бъдат възстановени пропорционално от централния бюджет.
  • електронно връчване на актове, фишове и наказателни постановления – ще можем да посочим в системата за сигурно електронно връчване, че сме съгласни всичко да ни се връчва по електронен път. Това ще спести разходки до администрации, само за да ни бъде връчен акт или фиш.
  • обща забрана за въвеждане с подзаконов акт на стикери и други физически носители на данни за обекти, които са вписани в регистър. С тази промяна, например, стикерът за годишен технически преглед ще стане незаконен, тъй като е въведен с наредба.
  • намаляване на таксите за административни услуги, когато те се предоставят по електронен път. Това изменение има два аспекта – първият е, че има допълнителен стимул за използване на електронни услуги, а вторият е, че моделът с посредници при заявяване на услуги ще бъде по-устойчив, тъй като посредникът ще може да приспада разликата в таксата на гише и по електронен път. Посредници могат да бъдат Български пощи, библиотеките и всеки, който има офиси в близост до гражданите, включително в отдалечени населени места. Така дори тези, които не използват информационните технологии ще бъдат улеснени, защото няма да се налага да пътуват до областен град или до другия край на страната, за да заявят административна услуга.
  • задължение за служебно предоставяне на информация за лица извън администрацията, които участват в административното обслужване. За да може администрацията служебно да проверява наличие на партида за вода или ток, нотариално пълномощно и други документи, които в момента се налага да разнасяме.
  • задължение за водене на регистри в електронен вид, вкл. чрез система за централизирано управление на регистри – нормата влиза в сила след година и половина, като в този срок системата трябва да е готова, а всички тетрадки, ексели и стари системи да бъдат мигрирани към нея.

С проекта изпълняваме и ангажиментите си по Плана за възстановяване и устойчивост.

Смятам, че измененията са важни, отключващи електронното управление, намаляващи бюрокрацията и помагащи в ежедневието ни, и като такива ще намерят парламентарна подкрепа дори в сложната политическа ситуация.

Материалът Предлагаме изменение на Закона за електронното управление е публикуван за пръв път на БЛОГодаря.

On Disinformation and Large Online Platforms

от Божидар Божанов
лиценз CC BY

This week I was invited to be a panelist, together with other digital ministers, on a side-event organized by Ukraine in Davos, during the World Economic Forum. The topic was disinformation, and I’d like to share my thoughts on it. The video recording is here, but below is not a transcript, but an expanded version.

Bulgaria is seemingly more susceptible to disinformation, for various reasons. We have a majority of the population that has positive sentiments about Russia, for historical reasons. And disinformation campaigns have been around before the war and after the wear started. The typical narratives that are being pushed every day are about the bad, decadent west; the slavic, traditional, conservative Russian government; the evil and aggressive NATO; the great and powerful, but peaceful Russian army, and so on.

These disinformation campaign are undermining public discourse and even public policy. COVID vaccination rates in Bulgaria are one of the lowest in the world (and therefore the mortality rate is one of the highest). Propaganda and conspiracy theories took hold into our society and literally killed our relatives and friends. The war is another example – Bulgaria is on the first spot when it comes to people thinking that the west (EU/NATO) is at fault for the war in Ukraine.

Kremlin uses the same propaganda techniques developed in the cold war, but applied on the free internet, much more efficiently. They use European values of free speech to undermine those same European values.

Their main channels are social networks, who seem to remain blissfully ignorant of the local context as the one described above.

What we’ve seen, and what has been leaked and discussed for a long time is that troll factories amplify anonymous websites. They share content, like content, make it seem like it’s noteworthy to the algorithms.

We know how it works. But governments can’t just block a website, because they think it’s false information. A government may easily go beyond the good intentions and do censorship. In 4 years I won’t be a minister and the next government may decide I’m spreading “western propaganda” and block my profiles, my blogs, my interviews in the media.

I said all of that in front of the Bulgarian parliament last week. I also said that local measures are insufficient, and risky.

That’s why we have to act smart. We need to strike down the mechanisms for weaponzing social networks – for spreading disinformation to large portions of the population, not to block the information itself. Brute force is dangerous. And helps the Kremlin in their narrative about the bad, hypocritical west that talks about free speech, but has the power to shut you down if a bureaucrat says so.

The solution, in my opinion, is to regulate recommendation engines, on a European level. To make these algorithms find and demote these networks of trolls (they fail at that – Facebook claims they found 3 Russian-linked accounts in January).

How to do it? It’s hard to answer if we don’t know the data and the details of how they currently work. Social networks can try to cluster users by IPs, ASs, VPN exit nodes, content similarity, DNS and WHOIS data for websites, photo databases, etc. They can consult national media registers (if they exist), via APIs, to make sure something is a media and not an auto-generated website with pre-written false content (which is what actually happens).

The regulation should make it a focus of social media not to moderate everything, but to not promote inauthentic behavior.

Europe and its partners must find a way to regulate algorithms without curbing freedom of expression. And I was in Brussels last week to underline that. We can use the Digital services act to do exactly that, and we have to do it wisely.

I’ve been criticized – why I’m taking on this task while I can do just cool things like eID and eServices and removing bureaucracy. I’m.doing those, of course, without delay.

But we are here as government officials to tackle the systemic risks. The eID I’ll introduce will do no good if we lose the hearts and minds of people to Kremlin propaganda.

The post On Disinformation and Large Online Platforms appeared first on Bozho's tech blog.

Състоянието на киберсигурността в администрацията и пътят напред

от Божидар Божанов
лиценз CC BY

През седмицата темата с киберсигурността получи фокус покрай детайлите около атаката срещу пощите. В няколко интервюта описах общата картина, но ми се иска да направя малко по-пълно описание на това какво сме имали, какво сме направили за тези месеци и какво предстои.

Започвам със забележката, че ще използвам „киберсигурност“, макар че правилният термин в повечето случаи е „мрежова и информационна сигурност“. Правомощията на министъра на електронното управление са именно за „мрежова и информационна сигурност“ и то само в администрацията и част от операторите на съществени услуги. Български пощи не е в този обхват към момента.

Защитата на мрежовата и информационна сигурност е комплекс от технически и организационни мерки, които изискват добро планиране, приоритизиране, изпълнение и контрол в мащаба на държавната администрация (и в по-широк смисъл – на целия обществен сектор). Действаме с бързи стъпки, доколкото ни позволява наличният човешки ресурс.

1. Какво намерихме?

Към началото на мандата състоянието на информационните ресурси (т.е. хардуер, софтуер, мрежово оборудване, лицензи) беше силно незадоволително. Липсва адекватна, централизирана картина къде какво има, на какъв етап е от своя технологичен живот и какви са политиките по неговото подновяване. Има администрации с компютри на по 10 години, напр. Има системи без поддръжка (заради неплащани лицензи или по други причини). Всичко това са проблеми и за киберсигурността – в стари и излезли от поддръжка от производителите системи често има уязвимости. Всичко това го докладвах на Министерския съвет преди месец в рамките на годишния доклад за състоянието на информационните ресурси.

Преди 4 години от Демократична България публикувахме план за действие след срива на Търговския регистър. Половината от мерките са изпълнени, но със спорно качество – напр. регистърът на информационните ресурси е почти безполезен, резервните копия се правят централизирано от твърде малко администрации (с бавна скорост и липса на някои ключови функционалности), а на държавни облак му липсват важни процедури за присъединяване, вградени услуги за киберсигурност и др.

Базови добри практики във връзка с киберсигурността също не се прилагаха. Прости пароли, липса на двуфакторна автентикация, публично видими портове за отдалечен достъп (RDP), за портове за администрация на защитни стени и друг защитен софтуер – всичко това е вектор за атака. На много места липсва оперативно наблюдение на системите във връзка с оглед идентифициране на опити за първоначално проникване. Дори на местата, където има такова, не са свързани достатъчно много източници на информация, така че картината е непълна. Има и фрапиращи случаи, като една администрация, в която всички потребители са били администратори – за по-лесно. В пощите имаше не по-малко фрапиращи лоши практики.

Дирекцията за мрежова и информационна сигурност в Държавна агенция „Електронно управление“ е 16 души. Това е крайно недостатъчно за да покрие правомощията на агенцията (а вече – на министерството) по линия на киберсигурността. Капацитетът по останалите администрации в момента го установяваме в детайли, но общата картина не е розова – ИТ експертите в администрацията не са добре платени и правят всичко – от смяна на принтери, до конфигуриране на инструменти за киберсигурност.

Мога да изреждам още доста проблеми и примери, но от една страна е излишно, от друга страна не следва да разкривам детайли отвътре, от които някой може да се възползва (споделеното в горния параграф са неща, които в голяма степен са публично достъпни).

2. Какво свършихме

За този кратък период от време, в който преструктурираме една държавна агенция в две структури министерство и изпълнителна агенция, по линия на киберсигурността сме направили следното:

  • Изпратихме писма до всички институции да подобрят настройките на системите си, свързани с изпращане на имейли (т.е. потенциални фишинг атаки от тяхно име)
  • Сканирахме (вкл. с продължаващ абонамент за сканиране) всички администрации за публично достъпни системи, които не следва да бъдат достъпни. Напр. RDP (отдалечен достъп) – от около 60 отворени в началото, вече има само 10, като за тях предстоят санкции за ръководителите, тъй като това е нарушение на наредбата към Закона за киберсигурност
  • България стана 30-тата държава в света с абонамент за Have I Been Pwned – безплатна услуга, която ни дава информация за изтекли пароли за имейли на държавната администрация. Изтеклите пароли са от външни сайтове, но тъй като потребителите често използват една и съща парола, при информация за изтекла парола, трябва да бъдат принуждаване да сменят настоящата си
  • Блокирахме 48 хиляди IP адреса, свързани със злонамерена активност от Русия и Беларус (с първо писмо до интернет доставчиците – 45 хиляди и още 3 хиляди с последващо писмо)
  • Събрахме списък с доброволци и подготвихме договори за тестове за проникване (penetration tests) – първите такива тестове вече са започнали
  • Мигрирахме почти всички администрации към Защитения интернет възел на държавната администрация
  • В началото на войната спешно проверихме някои от най-критичните обекти и отправихме препоръки за повишаване на сигурността
  • Институтът за публична администрация, координирано с МЕУ, подготви информационен курс за защита от фишинг атаки
  • Подготвихме изменение на Закона за киберсигурност, за да включим вътре Български пощи и други публични предприятия, които в момента не се контролират от никоя институция по линия на мрежовата и информационна сигурност
  • Подготвихме изменения на Постановление на Министерския съвет за включване на Български пощи и БНБ в списъка със стратегически обекти, които обследва ДАНС
  • Увеличихме броя места за специалисти по киберсигурност в структурата на министерството (т.е. дирекцията няма да е вече само 16 души)

3. Какво предстои тази година

Немалка част от конкретните мерките, които предстои да вземем, ще бъдат класифицирана информация, тъй като пряко засягат националната сигурност. Но общите политики за повишаване на нивото на мрежова и информационна сигурност са не по-малко важни:

  • Приемане на всички подготвени нормативни изменения – в Закона за киберсигурност (за включване на пощите), в постановлението на Министерския съвет за стратегическите обекти
  • Приемане на Решение на Министерския съвет с правила за отговор на инциденти – най-важното при много от типовете атаки е бързата и адекватна реакция. Затова от най-високо ниво ще „спуснем“ какви да са стъпките, които всяка администрация да следва при инцидент.
  • Изменение на класификатора на длъжностите в администрацията и свързаните с него нормативни актове с цел повишаване на нивата на заплащане на специалисти по киберсигурност. Въвеждане и на позиция „стажант по киберсигурност“, така че да привличаме незавършили студенти с прилични заплати – тяхната експертиза вече е на достатъчно ниво, за да могат да бъдат полезни.
  • Подготовка и приемане на нова стратегия за киберсигурност
  • Структуриране на отношенията с частния сектор. Държавата няма достатъчно капацитет за оперативни наблюдения, триаж и отговор и трябва да бъде подпомагана от частния сектор. Трябва, обаче, да го направим по структуриран и адекватен начин, а не „всяка администрация сама да си преценя“ какво точно ѝ трябва и как да го получи
  • Транспониране на втората директива за мрежова и информационна сигурност веднага след като бъде приета на ниво Европейски съюз
  • Използване на максималните възможности на наличните системи за киберзащита (в момента много от тях не са адекватно настроени) и закупуване и инсталиране на нови
  • Обновяване на регистъра на информационните ресурси и поддържането му актуален, така че да могат да се правят реални политики за информационните ресурси (обновяване, спиране от експлоатация, управление, бюджетиране)
  • Регламентиране на централизирано закупуване на шаблонизирани решения за киберсигурност (няма смисъл всяка администрация да „открива топлата вода“)
  • Повишаване на нивото на киберсигурност в частния сектор в рамките на Програмата за научни изследвания, иновации и дигитализация за интелигентна трансформация
  • Засилване на ефективните проверки по Закона за киберсигурност – администрациите трябва да спазват поне действащата нормативна уредба, в която има немалко добри практики
  • Развиване на експертния капацитет на служителите в администрацията чрез обучения, съвместно с Института за публична администрация
  • Изграждане на център за оперативно наблюдение на мрежовата и информационна сигурност (Security operations center – SOC) в структурата на Министерство на електронното управление
  • Създаване на Националния компетеностен център по киберсигурност с цел стимулиране на екосистемата от експерти и организации – бизнес, университети, държава, неправителствен сектор
  • Засилен обмен на данни с партньорски държави, в т.ч. т.нар. индикатори на компрометиране (indicators of compromise). Т.е. когато един IP адрес опита да проникне в инфраструктура напр. в Естония, след неговото установяване в България да знаем за него и да го блокираме автоматично, преди изобщо да е опитал да „атакува“ и нас.

4. Заключение

Извън всички тези детайли, наличието на министерство означава, че тази политика е представена на масата на Министерския съвет. Което значително допринася за спазването първия принцип от цитирания по-горе план за действие, който бяхме предложили през 2018 г. – „Неделимост на киберустойчивостта от националната сигурност – политическото ниво трябва да е наясно, че срив, умишлен или не, в критични системи, се отразява директно на националната сигурност.“

Администрацията и службите за сигурност вече знаят, че киберсигурността е важна на политическо ниво. А това е важно за устойчивостта – спорадични мерки не вършат работа, ако у хората, които работят това ежедневно, няма увереност, че темата е важна на най-високо ниво.

Имаме много за наваксване. Рисковете са високи, ресурсите (човешки) са малко, а задачите са много и мащабни. Това прави нещата предизвикателни, но и мотивиращи. Сега е моментът да въведем трайна политика за киберустойчивост. Която включва много конкретика и технически детайли, но и много дългосрочни меки мерки за повишаване на капацитета.

Материалът Състоянието на киберсигурността в администрацията и пътят напред е публикуван за пръв път на БЛОГодаря.

Законопроектите като git pull request

от Боян Юруков
лиценз CC BY-SA

Вчера министър Божанов обяви законопроектът за промяна на Закона за движение по пътищата и описа нещата, които спадат в сферата на електронното управление. Целият текст на проекта ще намерите на страницата на МВР заедно с мотивите и оценката за въздействие.

Исках да разбера в какво се изразяват промените и да разделя тези, които идват от електронното управление и са за облекчаване от бюрокрацията както и за автоматизация, и тези идващи от МВР. Законопроектът има доста точки, а и самият закон не е лесен за четене с всички препратки, отменени текстове и прочие.

Затова седнах и въведох публикуваната от институциите последна версия на Закона за движение по пътищата в Github, след това от основната версия направих branch и добавих промените предвидени в проекта. Това е нещо основно, което се използва за разработването на софтуер и позволява да се правят паралелни промени, да се следят множество версии на един и същи документ и накрая да се решава какво следва да се слее в основната версия.

Пътят на един български законопроект всъщност далеч не е по-различен чисто административно, просто е до оглупяване муден, ръчен, непрозрачен, пълен с грешки и възможности за манипулация. Причините за това са както традиция и закостенялост, така и фрапираща липса на компютърна грамотност в администрацията, но най-вече сред законотворците и взимащите решения за процесите в НС, които ние избираме.

Това, което направих в Github не е решение само по себе си, но е пример как може да бъде с минимални усилия. Учудващо бързо успях да дигитализирам толкова сух закон и да прехвърля законопроекта. Така може да се види нагледно направо в закона какво се променя. Тук, например, виждате промяната на Божанов премахваща изискването за талон и стикер.

Чисто технически, система като Git може да се използва за тази цел, но има проблеми, които трябва да се решат. Като процес вече споменах, че съвпада в огромна степен до този вече използван в повечето софтуерни компании. Може би като изключим нападките от подиума на пленарна зала по адрес на нечия сестра или сексуална принадлежност… може би.

Markup езикът на github конкретно е подходящ, но не пасва изцяло на практиката за форматиране на законите ни. Списъците там не поддържат буквите в номерата на точките и подточките на алинеите ни, а не може да слагаме 7 нива на подзаглавия. Отделно адресирането на препратките следва да става по йерархичен ред, за да не се чупи при промени в закона. Сега при еднакви имена на алинеите, линковете към тях в github md са по пореден ред на заглавието с еднакъв текст. Има начин да се заобиколи, но не е удобно. За целта следва да се направи вариант с тези добавки, включително автоматично адресиране директно до точка и подточка в редакторите. Това ще позволи по-бързо въвеждане и по-малко грешки.

Трудни ще бъдат първите стъпки, защото говорим за огромно количество нормативни актове, трупани с промени десетилетия. Докато дори толкова сложен закон ми отне 30-тина минути да прехвърля без да имам опит, всъщност много следва да се внимава, когато това се прави за официален източник, защото тогава ефектите ще са значителни.

По-важен проблем обаче е сигурността. Докато тази информация следва да е публична, трябва да сме сигурни, че няма да се променя. Колкото и да е станало клише вече, именно blockchain технологията е подходяща тук – публикуването на хеша след всяка промяна ще даде възможност на всеки да провери, че дори една буква не е била подменена в цялата дигитална нормативна база или история на България.

Всичко това не е самоцелно, за използване на overhype-нати техно термини в нещо закостеняло или да се модернизира работата на една от основните институции в страната ни. Прозрачността тук е сериозно засегната. Независимо, че законопроектите се публикуват отдавна, те остават недостъпни за голяма част от населението. Дори за активно търсещите и интересуващите се е нужно часове, а понякога дни заедно с консултации с адвокати да разберат какво се случва. Често промени нарочно се описват в законопроектите по начин, които прави разкодирането им изключително трудно. Всичко това цели единствено и само да се укрие истинската цел на авторите.

Друг важен аспект тук е, че България като държава всъщност не притежава законите си. Не съществува в нито една институция, включително в Народното събрание, едно място, на което да се пазят законите. Ако днес някой попита какво казва даден член на даден закон, няма институция, която може да ви до каже. Да, всеки нов закон и стотиците промени по тях се публикуват надлежно в Държавен вестник и това се пази от НС чинно. Но крайната версия на законите – не. Тази функция държавата без решение, закон или заповед е изнесла като отговорност на няколко частни компании, на които те, както и всички български компании плащат ежемесечно за правото да знаят покрай много други неща и какви са българските закони. Дори администрацията на Народното събрание когато подготвя промени, всъщност не ги прилага в някакво тяхно копие, които пазят тайно от нас, а сверява с последното от съответната частна софтуерна система.

Има публични безплатни източници, разбира се, но информацията там е собственост на въпросните компании. От гледна точка на прозрачност и сигурност на толкова критична за държавата ни информация като текстовете на съвкупността от нормативните ни актове, това е най-малкото стряскащо.

В никакъв случай не казвам, че е лошо фирмите да предлагат такива услуги. Не следва обаче държавата и особено първоизточникът на законите да разчитат на тях, за да достигат до крайния резултат от законодателния процес. Това, което показах горе не е непременно решение, а показва, че такова далеч не е трудно и не изисква особено сложни технологии или време.

Не на последно място, допълнителна полза от подобна система е, че лесно може да се правят предложения и да се осмислят далеч по-бързо. Ето, тук съм показал моите предложения към законопроекта, с който започнахме. Включил съм аргументи за предложенията ми и тук може да се видят конкретните промени. Пратих ги отделно по мейл. Ако имате и вие предложения или обратна връзка, консултациите текат до 13-ти май.

Това тук е един закон дигитализиран за половин час от един човек. С аналогична на описаната от мен, но по-стройна и сигурна система може да се проследява от всеки кой кога какво е променял, от къде е започнал, какво е прието, как е било изменено, слято или омаскарено. Цинизмът у нас ни дава още доводи, защо няма да се случи скоро. Иначе, ако искате да разберете как се приемат тези закони и най-вече какви машинации се правят, за да не се свърши никаква работа, ви съветвам да обърнете внимание на Стража.

The post Законопроектите като git pull request first appeared on Блогът на Юруков.

Данните на Call.Sofia в разбираем и удобен вид

от Боян Юруков
лиценз CC BY-SA

Община София има портал за сигнали и жалби, в който всеки жител или гост на града може да съобщи за проблем – call.sofia.bg. Използвам го активно още преди да се преместя от Франкфурт в София и като замисъл го намирам за добра идея. Самият сайт не е особено добър от гледна точка на използваемост, но по-важното е, че практически всички сигнали се разпределят на районните кметове, които често нямат ресурс или дори право да ги решат.

Подбуден от типично българския ни цинизъм, исках да видя, дали сигнали от сайта изчезват. Повод за това беше наблюдението, че на началната страница се виждат само последните 5000. Затова както с документите на Направление архитектура и градоустройство, написах скрипт, който през час да тегли най-новите сигнали. Тъй като исках да видя къде е имало исторически най-много проблеми, изтеглих всичко назад във времето заедно с обновленията и геометриите. Почти всички сигнали имат посочено местоположение като точка, но някои хора си правят труда да отбелязват пътища и цял регион.

Така се оказа, че имам всичките им данни и мога най-малкото да вадя статистика. Като например брой сигнали със статус приключен – 13%. Повечето сигнали – 77% – получават едно или повече уведомления без да са отбелязани като приключени. Историята на статусите пък ми позволи да видя за колко време отнема от подаването до последното обновление по сигнал. 11% отнемат повече от месец. Също така през работните дни се подават два пъти повече сигнали отколкото през почивните, а в петък – с 10% по-малко от предходните четири дни. Най-много сигнали има за пътна инфраструктура – 28%. На второ място с над два пъти по-малко сигнали е паркирането с 12%. Едва тогава следва замърсяването с 10%, сметоизвозването и осветлението с по 9%.

За да осмисля обаче данните географски и да мога да ги прехвърлям в реално време, имах нужда от инструмент. Затова малко по-малко създадох интерактивна карта, която да показва като колони броя на случаите. Колоните са с основа 50 на 50 метра, а всеки случай добавя около 2 метра над височината им. Има филтри, с които да се избират конкретни данни по години или друг период, категории и прочие. Натискайки на дадена колона ще видите списък с всички сигнали на това място с линове към оригиналния сигнал. Списъкът със сигналите на даденото място, както и панелът с филтрите може да се скриват. Вдясно под бутоните за увеличение на картата има бутон за показване отново на филтрите. Бутонът под него е за промяна на прозрачността на триизмерната визуализация върху картата. Полезно е, ако искате да се ориентирате по-добре за улиците под въпросните колони.

След обратна връзка от Linkedin и кмета на Слатина Георги Илиев добавих няколко неща, включително филтър по райони, за да може да се сравни активността и случаите разпределени там. Може също да се превключва показване на абсолютен брой сигнали, както и спрямо населението на региона. Границите и оценката за населението на последните взех от отворените данни на практически закритата вече Софияплан.

Преди обаче да погледнем самите данни, както винаги следва да поговорим за условностите им. Както при Фонда за лечение на деца поет в последствие от НЗОК, тук също показват единствено това, което се поддържа като масив от данни от СО. Има сигнали с автоматично добавен маркер на мястото на Софийска община. Тях съм ги скрил от картата, например. Има и такива добавени с други общини и области. Има сигнали със сбъркана година в датите, както и понякога с десетки пъти изпратен един и същ сигнал за едно и също нещо. Има също много тестови сигнали използвани видимо за проверка на нови категории и функции.

Активността по сигналите идват най-вече от районните кметства, почти винаги под формата на сканирани и прикачени писма. Рядко се случва да добавят изрични коментари – най-вече при отхвърляне на сигнал. Тук е важно да се разбере, че получен отговор или дори „приключен“ сигнал не означава, че даденият проблем е решен. Това може да се декларира дори в приложените документи, но дори тогава няма някаква форма на проверка или потвърждение. Системата не позволява последващи коментари или обновления или дори съгласие с изпратения статус или информация. Връзката е еднопосочна.

По подадените сигнали може да съдим най-вече за активността по теми, райони и конкретни места. Именно тук визуалното представяне на информацията помага най-много. Докато самата карта на call.sofia да показва някаква форма на групиране по клъстъри, то не позволява откриване на „горещи точки“. Всъщност, използват точно същото групиране в картите си преди единадесет години. Основният проблем обаче е, че показват само активните сигнали, т.е. тези, на които не е отговорено, а се очаква разглеждане. Освен, ако един по един не разглеждаме десетките хиляди преди това познавайки поредните им уникални номера, няма да знаем къде е имало голям интерес към даден проблем. Именно това направих.

Единственото, което може да ни покажат тези данни обаче е точно това – активност, интерес и някаква форма на доверие, че нещо може да се случи по дадената тема, та дори това да е само публичност. Повечето сигнали не означават непременно повече проблем, а наболял такъв, активна група граждани на това място или голям трафик от хора. В централната част на града минават най-много хора и очаквано има повече активност.

Това, което не се забелязва е значимо увеличение на активността през годините. След очаквано ниската активност през 2020-та, има едва леко покачване през 2021-ва, също както предходните две. Излизат между 54 и 60 хиляди сигнала на година, което изглежда много докато не сметнем, че става въпрос за 164 сигнала дневно в град с два милиона жители и ужасна инфраструктура.

Видимо липсва, е двустранна комуникация, прозрачност какво се случва и какво се планира, както и оценка на свършеното от подалите сигнала и живеещите в региона. Това неизменно се обвързва с липсата на самостоятелност при голяма част от решенията и бюджетите на районните кметства, както и абсурдното управление на градското планиране във всичките му аспекти.

Независимо, подаването на сигнали има голямо значение, защото постигат публичност на конкретни проблеми. Отваряйки данните на този портал постигаме и донякъде прозрачност на историята на тези проблеми и натрупването им. Картата, която направих, е пример как следва гражданите да използват отворените данни на администрацията, а защо не и частни организации. За разлика от първата ми визуализация за българчетата родени в чужбина или тази на активните българи зад граница, тази за сигналите в София може да се използва за реално изследване на данните.

Разбира се, както с НАГ и доста други ведомства, обсъжданите данни въобще не са изначално отворени, така че се наложи да ги отворим през публичните им API-та. Това не прави инструмента call.sofia по-малко полезен, а просто морално остарял и създаден по-скоро за комфорт на кмета на София, отколкото на жителите на града.

Интерактивната карта ще намерите тук. Използвал съм d3.js и dc/crossfilter, както при повечето ми графики. Този път вместо leaflet използвах директно api-a на mapbox за триизмерна визуализация и векторните им tile-ове предвид количеството информация, което се показва и обработва в реално време. Oтворените данни са готови за сваляне тук в CSV и GeoJSON формат. Последните съдържат пълен списък със сигнали, статусите и геометрията към тях, както и справките, които използвам за картата. Първите се обновяват на всеки час докато справките за картата – всеки петък вечер.

The post Данните на Call.Sofia в разбираем и удобен вид first appeared on Блогът на Юруков.

Какво прави държавата срещу дезинформацията?

от Божидар Божанов
лиценз CC BY

Днес участвах в представяне на инициативата “Българска коалиция срещу дезинформацията”, подкрепено от Европейската комисия. Нека да го използвам като повод, за да разкажа какво се случва по тази много важна и много деликатна тема.

Ще започна със следното уточнение – няма държавен орган, който да е натоварен официално с политиката за защита от хибридни заплахи, в т.ч. насочената дезинформация, която се лее през социалните мрежи. Министерство на електронното управление, с проекта си на устройствен правилник, припознава темата по линия на политиките за информационното обществено и на киберсигурността, но функциите са изцяло аналитични.

Нека да разделим темата на две – кампании за всяване на паника (каквито виждаме в последния месец) и фонова дезинформация.

Кампаниите за паника са кратковременни събития, които рязко набират скорост и създават ефекти в реалния свят. На тях може да се противодейства комуникационно, в правилния момент, с т.нар. „стратегически комуникации“.

Фоновата дезинформация е това, което залива потребителите на социални мрежи с добре оформени пропагандни наративи за упадъчния запад, за великия Путин, за украинските агресори и др. А допреди месец – за лошите ваксини и несъществуващия COVID.

„Какво прави държавата“ е въпрос, който получавам многократно. И знам, че „нямаме правомощия“ не е отговор. Затова искам да дам отговор по същество.

Първо, организирахме директна връзка с Мета (Фейсбук), които са най-голямата социална мрежа в България, за да посочим какви проблеми виждаме и какви решения те могат да предложат. Имаме регулярна кореспонденция с тях относно блокираните профили на интелектуалци, осъждащи руската агресия, относно активизиране на тролски фабрики, както и относно общия подход на Фейсбук за идентифициране на дезинформация. Малко повече детайли – по-надолу.

Второ, по моя инициатива ще бъде създадено аналитично звено, което да следи за дезинформационни наративи и кампании и да информира своевременно заинтересованите страни (органи на власт, частни организации, медии).

Трето, след като разгледахме добрите практики в други страни (напр. Швеция, Естония, Словакия, Испания), и проведохме срещи с няколко институции, подготвяме институционална структура за обмен на информация и опит между министерствата.

Четвърто, подготвихме и изпратихме конкретни предложения в рамките на обсъждането в Европейския съвет на Акта за цифровите услуги, който регулира поведението на големите онлайн платформи, вкл. Фейсбук.

Пето, с Института за публична администрация, който се грижи за обученията на държавните служители, започваме да промотираме техния курс за медийна грамотност към държавните служители.

При всички тези стъпки се водим от един основен принцип – не трябва нито правителството, нито някоя голяма компания, да решава кое е истина и кое не е и да блокира съдържание. Не трябва да създаваме механизми за такова поведение, защото то много лесно може да бъде използвано в грешна посока.

В това се състои сложността на задачата – Кремъл използва нашите европейски ценности за свобода на словото, за да вклини своята пропаганда, правейки много трудно разграничаването на истина от полуистина, и обикновена полуистина от насочена дезинформационна кампания.

Насочил съм всички обсъждания на законодателни възможности и на други мерки в посока не на това „какво“ се разпространява, а „как“ се разпространява.

Това, което знаем за механизма на разпространение от редица анализи в експертната общност е следното: Кремъл, чрез пряко или непряко финансиране, създава дезинформационно съдържание, поддържа „фабрики“ от тролове и разпространява това съдържание координирано в социалните мрежи. Тези „тролове“ са най-често работещи от вкъщи хора, които създават и поддържат фалшиви профили, с които по команда споделят „новините“ в групи и страници, както и писане на коментари под новинарски статии.

Това, от своя страна, води до алгоритмично усилване на тези публикации (защото явно много хора се интересуват), като Фейсбук (и други социални мрежи) го показват на повече и повече хора.

Същите тези тролове докладват популярни личности, които в случая пишат в подкрепа на Украйна, и неефективната система на модерация на Фейсбук, води до блокиране не на фалшивите новини, оправдаващи войната, а на легитимни гласове.

Знаейки този механизъм, попитахме Фейсбук какво правят по тази тема. Краткият отговор е „нищо“. Те няма да се съгласят, разбира се, защото активност от тяхна страна има, но ефективност – не.

Това, което най-добре илюстрира неадекватността на Фейсбук е отговорът на един от 13-те въпроса, които им зададохме относно механизмите им за справяне с насочената дезинформация. Отговорът включване на техния месечен отчет за откриване на координирано неавтентично поведение (а именно – това, което описах по-горе). Та Фейсбук за целия месец януари, в целия свят, са открили ТРИ фалшиви профила, които участват в координирано споделяне на дезинформация.

Вероятно след като публикувам това възможностите за колаборация с Фейсбук ще намалеят, но към момента не виждам някаква полза от комуникацията ни. Получаваме бланкетни отговори или липса на такива, докато междувременно информационната война е в ход.

Именно затова обмислихме регулирането на това как Фейсбук и други големи онлайн платформи трябва да контролират тези процеси. Но не да преценяват кое е вярно и кое не, а да НЕ промотират алгоритмично това съдържание, което е споделяно чрез съмнителни мрежи, от съмнителни източници.

Местна регулация не би свършила работа, обаче – твърде големи са, за да се съобразяват с много строг български закон. А ние нямаме достатъчно капацитет да контролираме неговото спазване, съответно ще ни „замазват очите“.

Затова подходът ни е към прокарване на изменения в Акта за цифрови услуги, който е в процес на обсъждане. Направените предложения са в две посоки:

Първо, повече прозрачност. Големите онлайн платформи да трябва в реално време, с разбивки по държави, да докладват какви профили свалят, какво съдържание модерират, кое съдържание промотират най-активно. Също така да трябва да показват колко е усилено дадено съдържание от алгоритмите и по-важното – защо.

Второ, ограничения за алгоритмичното усилване на съдържание, разпространено по неавтентичен начин. Когато група потребители координирано разпространяват идентични текстове и коментари, това има висок риск за неавтентичност, особено ако профилните им снимки са от публични банки на снимки и ако използват едни и същи IP адреси или всички ползват един и същи VPN-и или споделят сайтове, хостнати в едни и същи мрежи.

Също така, когато едно съдържание е „новина“, но източникът не е в национален регистър на медиите (ако такъв има), тогава то да не получава голямо алгоритмично усилване. Защо? Защото медиите трябва да посочват своите действителни собственици и редакторски екип. Анонимни сайтове, които пишат за великата руска армия, не са медии. А намаляването на алгоритмичното усилване не е цензура. Има медии в България, които споделят кремълските опорни точки, но са реални медии, с ясна собственост – те не попадат в обхвата на това предложение, доколкото споделяното съдържание не представлява престъпление.

Тук влизаме в сериозната тема на принципа на Закона за електронната търговия (и съответната директива), според който онлайн платформите нямат задължение за масово следене на съдържанието. За да запазим този принцип не искаме те да носят отговорност за едно или друго съдържание, а на база на метаданните, които вече обработват за това съдържание, да „преоразмерят“ алгоритмите си. Звучи много техническо, но след като проблемът е технически (поведение на алгоритми за препоръчване на съдържание), то принципното му решение следва да има технически измерения.

Извън тази регулация, държавните органи следва да имат яснота какво се случва, за да могат да реагират. Капацитетът за обмен на информация и комуникационна реакция е ключов аспект. Друг ключов аспект са и проверителските организации, които могат по-обективно от правителството да проверяват факти.

Насочената дезинформация към нищо неподозиращите потребители е системен риск за нашето общество и трябват адекватни мерки за противодействие. Тези мерки, обаче, трябва да са претеглени и през рисковете, които носят за свободата на изразяване. Задачата е по-трудна от това да бъдат блокирани няколко профила или няколко сайта за фалшиви новини.

Важно е темата да бъде в политическия дневен ред, за да има осъзнаване и обсъждане, а Министерството на електронното управление ще бъде в центъра на този дневен ред.

Материалът Какво прави държавата срещу дезинформацията? е публикуван за пръв път на БЛОГодаря.