Медиите и системите за контрол

от Нели Огнянова
лиценз CC BY

BLYSKOV2

Първата страница на утрешния Труд.

Медията като оръжие.

Като служебен министър на финансите  Асен Василев се изненада, че нито една система за контрол не работи.  Не работи, когато тези, които трябва да бъдат контролирани, са  в сговор с тези, от които зависи да има контрол. Не е трудно да се проследи какво е ставало с опитите за правила в медийния сектор. Това не е първата първа страница на Труд срещу системите за контрол.

Един пример за предходни реакции –  Блъсков реагира срещу  мерки  за медиен плурализъм   и правителството на Борисов не даде ход на мерките  –  ето как описва мерките  самият  Труд във въпросната публикация:

В документа е записано още, че ще се разработят „норми по отношение на сливанията и/или придобиванията на медии, които да гарантират, че определен собственик (едно лице или свързани лица по смисъла на Търговския закон) на медии не може да има „значително влияние” върху медийната среда, включително по отношение на отпечатването и разпространението”.

Освен това се въвежда и изискване за участие в обществени поръчки да се допускат като изпълнители или подизпълнители само медии, които са декларирали, че спазват Етичния кодекс на българските медии и Националните етични правила за реклама и търговска комуникация. В документа е предвидено да се забрани публични средства (от бюджета или по европейски средства) да се отпускат пряко или косвено на медии, които не са изпълнили всички законови изисквания за прозрачност на собствеността, както и на електронни медии, които не са осигурили на сайта си лесен достъп до информация за действителния си собственик.

С днешна дата се вижда кой е имал интерес от неприемането на тези мерки.

blyskov

Впрочем  Труд  се ползва с подкрепата на ГЕРБ и след края на третото им правителство.

Движение на активните българи в чужбина – ноември 2021

от Боян Юруков
лиценз CC BY-SA

Реших да обновя картата, която изготвих през юли. Тогава тя даваше представа за пътя на над 9400 души. Сега с последните заявления виждаме този на над 12 хиляди.

Наскоро отново стана дума дали съдържанието ѝ отговоря на GDPR и въобще дали се обработват някакви лични данни. Описал съм подробно алгоритъма в оригиналната статия от преди 5 години, когато картата имаше едва 1268 записа. В последната отбелязах отново важното.

В случая става дума за информация, която се публикува от ЦИК в рамките на специален закон. Доколко това е правилно съм оспорвал вече – едно е да разлепяш списъци пред секции, друго е да ги публикувал в електронен формат, както много общини правят. Има много по-добър начин ЦИК да осигури проверката на заявилите гласуване в чужбина спазвайки изискването за проверимост заложено в закона. Но са се спрели на чисто чиновническо решение. Отделно собственото им чиновническо мислене довежда до там да не спазват собствените си процедури и системи за сигурност и се стига до теч на лични данни, както този с ЕГН-тата на членовете на комисии зад граница. При заявленията за гласуване не говорим за теч на данни обаче, а нарочно публикуване.

Въпросът дали и как може да се обработват не е приложим при тази карта или инициативата Glasuvam.org като цяло, тъй като тук се борави със статистика върху публикуваната информация. Не се записват имената на хората, а анонимизирана информация с цел потвърждение на броя заявили желание по секции, потвърждение на собствените данни на ЦИК, както и промените и прехвърляне на заявления, които често правят в рамките на кампанията. В този смисъл анонимизираната информация не съдържа лични данни и не може да се използва за идентифициране на даден човек.

Всъщност, макар картата да не „проследява“ отделни активни българи в чужбина, подобно на картата за българчетата родени зад граница и статистиката, която извадих след това за тях, тя дава представа за общото движение на групи от хора. Така има повече естетическа стойност и „поглед отвисоко“, а не е инструмент за проследяване, както навярно би могло да се приеме буквално заглавието на първата ми статия.

В същото време, в интервюта и предишни текстове съм предупреждавал, че подобна обработка на големи масиви от данни без анонимизиране и всички мерки, които взимам години преди да се въведе GDPR, би могло да се проследяват по подобен начин хора. Разбира се, това е далеч по-трудно, непрактично и неточно, в сравнение с редовните течове на информация, особено такива включващи българите в чужбина. Такива са не само скорошния на ЦИК, но и този на НАП преди две години и този на Външно преди доста повече, когато изтекоха адресите в България и чужбина на подали заявление да гласуват зад граница. Истината е, че има прекалено много идентифицираща информация в частни и обществени структури, от които може да се сглоби притеснително точна картинка кои сме и какво правим. Това отдавна се използва като основа на бизнес модела на редица компании, някои за които дори не сме чували. Докато обръщаме много внимание на действията и проблемите в администрацията, истината е, че подобни „течове“ са редовна практика и всъщност същността на най-големите бизнеси, от които вече неизменно зависим.

The post Движение на активните българи в чужбина – ноември 2021 first appeared on Блогът на Юруков.

Съд на ЕС: Отхвърля жалбите на Унгария и Полша срещу обвързаността на бюджета и върховенството на правото

от Нели Огнянова
лиценз CC BY

На 16 декември 2020 г. се приема Регламент, с който се въвежда общ режим на обвързаност с условия за защита на бюджета на Съюза в случай на нарушения на принципите на правовата държава в държавите членки. За постигането на тази цел Регламентът позволява на Съвета, по искане на Европейската комисия, да приеме, наред с други, мерки като например за спиране на плащанията, извършвани от бюджета на Съюза, или на одобрението на една или повече програми, финансирани от този бюджет.

Унгария и Полша подават поотделно жалби пред Съда на Европейския съюз, с които искат отмяната на Регламента. Наред с други мотиви обжалването му се основава на липсата или на неподходящия характер на правното основание, на което той е приет, на несъвместимостта му с член 7 ДЕС и на нарушение на принципа на правна сигурност.


В представените днес заключения Генералният адвокат Manuel Campos SánchezBordona, на първо място, посочва, че целта на Регламента е да се създаде специфичен механизъм, за да се осигурява доброто изпълнение на бюджета на Съюза, когато държава членка допусне нарушения на принципите на правовата държава, застрашаващи доброто управление на средствата на Съюза или неговите финансови интереси. В този контекст той подчертава, че Регламентът не цели да защити правовата държава чрез санкционен механизъм, подобен на този по член 7 ДЕС, а въвежда инструмент за финансова обвързаност с условия, за да съхрани тази ценност на Съюза. Той счита, че правото на преценка на институциите на Съюза обхваща този законодателен избор, който не може да се квалифицира като явно погрешен, тъй като спазването на принципите на правовата
държава може да бъде от основно значение за доброто функциониране на публичните финанси и за доброто изпълнение на бюджета на Съюза.

Второ, според ГА член 7 ДЕС не възпрепятства възможността посочената защита да бъде осигурена посредством други инструменти, несвързани с тази разпоредба.

ТретоГенералният адвокат приема, че макар понятието за правова държава като
ценност на Съюза да е широко, законодателят на Съюза е оправомощен да го уточни в
конкретна материалноправна област като тази на изпълнението на бюджета с оглед на
установяването на механизъм за обвързаност с финансови условия. В това отношение той
припомня, че Регламентът изброява седем правни принципа, които трябва да се тълкуват
с оглед на другите ценности и принципи на Съюза, заложени в член 2 ДЕС – това са принципите:

  • на законност, което предполага прозрачен, отчетен, демократичен и плуралистичен
    зак    онодателен процес;
  • на правна сигурност;
  • на забрана на произвол от страна на органите на изпълнителната власт;
  • на ефективна съдебна защита, включително достъп до правосъдие, от независими и безпристрастни съдилища, също и по отношение на основните права;
  • на разделение на властите;
  • на недискриминация и равенство пред закона.

В двете  заключения (по делата C156/21 срещу Унгария и C157/21 срещу Полша) Генералният адвокат предлага на Съда да отхвърли жалбите за отмяна, подадени от Унгария и Полша.

Съд на ЕС: защита на личните данни, искове на сдружения

от Нели Огнянова
лиценз CC BY

Стана известно заключението на Генералния адвокат по дело  C‑319/20 Facebook Ireland Limited срещу Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

Преюдициалното запитване по настоящото дело е отправено в рамките на спор между Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (Федерация на организациите и сдруженията на потребителите) и Facebook Ireland Limited, чието седалище е в Ирландия. Федерацията упреква това дружество в нарушение на германското законодателство за защита на личните данни, което едновременно съставлява нелоялна търговска практика, нарушение на закон за защита на потребителите и нарушение на забраната за използване на недействителни общи търговски условия.

Това запитване приканва Съда по същество да тълкува член 80, параграф 2 от Регламент 2016/679, за да определи дали тази разпоредба допуска след влизане в сила на посочения регламент сдруженията за защита на интересите на потребителите да запазят предоставената им от националното право процесуална легитимация да предявяват искове за преустановяване на действия, които съставляват както нарушение на правата по посочения регламент, така и нарушение на нормите, чиято цел е защита на правата на потребителите и борба с нелоялните търговски практики. Доколкото такава активна процесуална легитимация е в съответствие с Директива 95/46/ЕО(3) съгласно приетото от Съда(4), сега той ще трябва да реши дали Регламент 2016/679 е променил правното положение по този въпрос.

Да.

Допуска.

75.      Да се попречи на държавите членки да въвеждат искове, които не само преследват целта за защита на потребителите, но и допринасят за постигане на целта за защита на личните данни, би било в противоречие с целта да се осигури високо ниво на защита на личните данни. Все още може да се твърди, и след влизане в сила на Регламент 2016/679, че оправомощаването на сдруженията за защита на интересите на потребителите да искат преустановяване на обработването в нарушение на разпоредбите на този регламент, допринася за укрепване на правата на субектите на данни чрез средствата за колективна правна защита, което е било валидно и за Директива 95/46(51).

76.      В този смисъл защитата на колективните интереси на потребителите от страна на сдружения е особено пригодена за целта да се въведе високо ниво на защита на личните данни. От тази гледна точка превантивната функция на исковете, предявявани от тези сдружения, не би могла да се гарантира, ако представителният иск, предвиден в член 80, параграф 2 от Регламент 2016/679, позволява да се изтъква само нарушението на правата на лице, което е лично и конкретно засегнато от това нарушение.

77.      Следователно иск за преустановяване на нарушение, предявен от сдружение за защита на интересите на потребителите, каквото е Федерацията, безспорно допринася за осигуряването на ефективното прилагане на правата, защитени от Регламент 2016/679(52).

78.      Освен това би било най-малкото парадоксално, ако търсеното от законодателя на Съюза с приемането на Регламент 2016/679 засилване на способите за контрол на нормите относно защитата на личните данни в крайна сметка се изрази в намаляване на нивото на тази защита в сравнение с нивото, което държавите членки са можели да осигурят при действието на Директива 95/46.

Цифровизация на правосъдието в ЕС

от Нели Огнянова
лиценз CC BY

В поетата през 2020 г. посока вчера Европейската комисия е предприела нови стъпки за цифровизация на правосъдните системи на ЕС.

Обявени са  няколко инициативи за цифровизиране на правосъдните системи в ЕС, за да станат те по-достъпни и по-ефективни. Основната цел на мерките е цифровите комуникационни канали да започнат да се използват по подразбиране при трансгранични съдебни дела, като по този начин се изпълни на практика един от приоритетите, определени в миналогодишното съобщение относно цифровизацията на правосъдието.

Сега  редица правни спорове между граждани и предприятия в ЕС се осъществяват презгранично. Освен това за да се води по-ефективна борба с трансграничната престъпност, различните държави членки и съдебни системи трябва да работят заедно. Разследващите органи и съдилищата на различните държави членки трябва да си сътрудничат и да се подпомагат взаимно при разследването и наказателното преследване на престъпления и да обменят информация и доказателства по сигурен и бърз начин.

В предложението за регламент относно цифровизацията на трансграничното съдебно сътрудничество в ЕС и достъпа до правосъдие по гражданскоправни, търговски и наказателноправни въпроси ще бъдат разгледани два основни проблема: липсата на ефективност при трансграничното съдебно сътрудничество и пречките пред достъпа до правосъдие по трансгранични граждански, търговски и наказателни дела.

С този регламент ще се:

  • даде възможност на страните да комуникират с компетентните органи по електронен път или да започнат съдебно производство срещу страна от друга държава членка.
  • позволи използването на видеоконферентна връзка при устни изслушвания по трансгранични граждански, търговски и наказателни дела, което ще доведе до по-бързи производства и по-малко пътувания.
  • гарантира възможността за цифрово предаване на искания, документи и данни между националните органи и съдилищата.

Ще има две предложения за ефективна борба с тероризма и други форми на тежка трансгранична престъпност. Понастоящем държавите членки изпращат на Евроюст информация за съдебни дела, свързани с тероризъм, по различни, често несигурни канали, например по електронната поща или чрез CD-ROM. Освен това информационната система на Евроюст е остаряла и не позволява ефикасна кръстосана проверка на информацията. Целта на инициативата е да се модернизират тези практики.

С регламента ще се:

  • цифровизира комуникацията между Евроюст и органите на държавите членки и ще се предоставят сигурни канали за комуникация.
  • позволи на Евроюст ефективно да установява връзки между предишни и текущи трансгранични дела, свързани с тероризъм и други форми на тежки трансгранични престъпления.
  • Въз основа на така установените връзки държавите членки ще могат да координират своите мерки за разследване и съдебни реакции.

Разработване на платформата за сътрудничество на СЕР

Това е предложение за създаване на платформа за сътрудничество за съвместните екипи за разследване (СЕР). Тези екипи се създават за конкретни наказателни разследвания от две или повече държави. Въпреки че тези екипи се оказаха успешни, практиката показва, че те са изправени пред няколко технически трудности. Понастоящем комуникацията е прекалено бавна и обременителна. Една специално разработена за тях ИТ платформа би позволила на съвместните екипи за разследване по-лесно да обменят информация и доказателства и да общуват помежду си по по-сигурен начин, така че да могат съвместно да управляват своите операции.

Повече информация  в съобщението на ЕК за медиите от 1 декември  2021.

2021 избори 2 в 1: разходите за политическа реклама

от Нели Огнянова
лиценз CC BY

Институтът за развитие на публичната среда  обяви резултатите от Мониторинг  на разходите за медийно отразяване. Наблюдението обхваща    40 национални и регионални медии  – 10 телевизии, 3 радиостанции, 13 вестника и 14 информационни сайта и агенции. Според Изборния кодекс договорите между партии и медии следва да се публикуват в тридневен срок от тяхното сключване и следва да се премахнат не по-рано от обявяване на изборния резултат. Изнасят се данни за най-търсените телевизии, политическите сили и кандидати с най-големи разходи и пр.

А Свободна Европа публикува данни за разходите за политическата реклама онлайн.

Според публикацията кандидатите за депутати, за президенти и за любимци на суверена са дали за реклама във Фейсбук около последните избори в България близо 1,3 милиона лева. Сумата от 673 922 евро е отбелязана в публичния регистър за политическа реклама в социалната мрежа за периода 15 август- 27 ноември 2021. Като самостоятелен рекламодател, коалицията “Продължаваме промяната” е отделила най-много пари за Фейсбук.

Програма Цифрова Европа: покани за представяне на предложения

от Нели Огнянова
лиценз CC BY

Комисията прие три работни програми за програмата „Цифрова Европа“, в които се очертават целите и конкретните тематични области, които ще получат финансиране в размер на общо 1,98 милиарда евро. Ще се подкрепят инициативи за постигането на целите на Комисията за   цифровото десетилетие на Европа.

Първите покани за представяне на предложения за програмата „Цифрова Европа“са публикувани на 17 ноември тук. Срок – 22 февруари 2022 г.

През 2022 г. ще бъдат публикувани още покани. Работните програми ще се изпълняват главно чрез безвъзмездни средства и обществени поръчки.

ЕСПЧ: Генов и Сърбинска срещу България

от Нели Огнянова
лиценз CC BY

На 30 ноември 2021 г. Европейският съд за правата на човека се произнесе по делото Генов и Сърбинска срещу България. След решението по делото Ханджийски срещу България   това е второто подобно решение, в което България е осъдена за нарушение на чл.10 във връзка с мерки срещу политическото слово, които не са необходими в едно демократично общество.

В предходното решение ЕСПЧ напомня известната си позиция, че   свободата на изразяване е приложима не само за „информация“ или „идеи“, които са приети благосклонно или неутрално, но и за онези, които обиждат, шокират или безпокоят държавата или определена общност.  „Може да се приеме, че символичният жест на жалбоподателя е нанесъл вреда на някои от хората, които са го били пряко свидетели или са научили за това от медиите. Свободата на изразяване обаче е приложима не само за „информация“ или „идеи“, които се приемат благосклонно или се считат за обидни или за безразличие, но и за тези, които обиждат, шокират или притесняват държавата или който и да е сектор от населението.“ [58]

10

Факти

Двамата кандидати, популярен блогър и политически активист, са признати за виновни за хулиганството и глобени за посегателство върху  паметник на  партизаните, разположен пред централата на БСП на Позитано,    в контекста на общонационалните протести срещу правителство,   подкрепяно от Българската социалистическа (бивша комунистическа) партия, доминиращата политическа сила по време на комунистическия режим в България. Жалбоподателите са обвинени в хулиганство. На първа инстанция са оправдани от съдия Мирослава Тодорова. Според решението, извършеното е в рамките на свободата на политическото слово. СГС осъжда жалбоподателите за хулиганство. Те подават иск за нарушение на чл.10 ЕКПЧ – делото се отнася до въпроса дали извършеното е  съвместимо с правата им по   чл. 10.

EСПЧ

Съдът прилага   теста за пропорционалност:

  • има намеса;
  • предвидена в закон;
  • преследва цели като запазване на културното наследство [69], но не и напр. защита на обществената безопасност, която не е била заплашена [71];
  • и се поставя въпросът дали изобщо е било  необходимо в едно демократично общество  да се санкционира актът на жалбоподателите.
  • Следва да се отбележи и в тази връзка, че паметникът е бил поставен по време на комунистическия режим в България  и е бил ясно свързан с ценностите и идеите, зад които е заставал този режим.  Първоинстанционният съд, разглеждащ делото срещу жалбоподателите, специално подчерта интензивните обществени дебати за наследството на режима и по-специално за съдбата на  паметниците. Не може да се пренебрегва факта, че законодателят на България е осъдил този режим като  престъпен  и официално е брандирал Българската комунистическата партия, която доминира  в страната през този режим, като  престъпна организация … за потискане на правата на човека и демократичната система. [83]
  • Намесата в правото на свобода на изразяване на жалбоподателите — констатацията, че са виновни за хулиганство, заедно с наложените  глоби в резултат — не е доказано “необходима в демократично общество” по смисъла на член 10 от Конвенцията.
  • Следователно е налице нарушение на чл. 10. [84]

Simple Things That Are Actually Hard: User Authentication

от Божидар Божанов
лиценз CC BY

You build a system. User authentication is the component that is always there, regardless of the functionality of the system. And by now it should be simple to implement it – just “drag” some ready-to-use authentication module, or configure it with some basic options (e.g. Spring Security), and you’re done.

Well, no. It’s the most obvious thing and yet it’s extremely complicated to get right. It’s not just login form -> check username/password -> set cookie. It has a lot of other things to think about:

  • Cookie security – how to make it so that a cookie doesn’t leak or can’t be forged. Should you even have a cookie, or use some stateless approach like JWT, use SameSite lax or strict?
  • Bind cookie to IP and logout user if IP changes?
  • Password requirements – minimum length, special characters? UI to help with selecting a password?
  • Storing passwords in the database – bcrypt, scrypt, PBKDF2, SHA with multiple iterations?
  • Allow storing in the browser? Generally “yes”, but some applications deliberately hash it before sending it, so that it can’t be stored automatically
  • Email vs username – do you need a username at all? Should change of email be allowed?
  • Rate-limiting authentication attempts – how many failed logins should block the account, for how long, should admins get notifications or at least logs for locked accounts? Is the limit per IP, per account, a combination of those?
  • Captcha – do you need captcha at all, which one, and after how many attempts? Is Re-Captcha an option?
  • Password reset – password reset token database table or expiring links with HMAC? Rate-limit password reset?
  • SSO – should your service should support LDAP/ActiveDirectory authentication (probably yes), should it support SAML 2.0 or OpenID Connect, and if yes, which ones? Or all of them? Should it ONLY support SSO, rather than internal authentication?
  • 2FA – TOTP or other? Implement the whole 2FA flow, including enable/disable and use or backup codes; add option to not ask for 2FA for a particular device for a period of time? Configuring subset of AD/LDAP users to authenticate based on certain group memberships?
  • Force 2FA by admin configuration – implement time window for activating 2FA after a global option is enabled?
  • Login by link – should the option to send a one-time login link be email be supported?
  • XSS protection – make sure no XSS vulnerabilities exist especially on the login page (but not only, as XSS can steal cookies)
  • Dedicated authentication log – keep a history of all logins, with time, IP, user agent
  • Force logout – is the ability to logout a logged-in device needed, how to implement it, e.g. with stateless tokens it’s not trivial.
  • Keeping a mobile device logged in – what should be stored client-side? (certainly not the password)
  • Working behind proxy – if the client IP matters (it does), make sure the X-Forwarded-For header is parsed
  • Capture login timezone for user and store it in the session to adjust times in the UI?
  • TLS Mutual authentication – if we need to support hardware token authentication with private key, we should enable TLS mutual. What should be in the truststore, does the web server support per-page mutual TLS or should we use a subdomain, if there’s a load balancer / reverse proxy, does it support it and how to forward certificate details?
  • Require account activation or let the user login immediately after registration? Require account approval by back-office staff?
  • Initial password setting for accounts created by admins – generate initial password and force changing it on first login? Don’t generate password and start from a password reset flow?
  • Login anomalies – how to detect them and should you inform the user? Should you rely on 3rd party tools (e.g. a SIEM), or have such functionality built-in?

And that’s for the most obvious feature that every application has. No wonder it has been implemented incorrectly many, many times. The IT world is complex and nothing is simple. Sending email isn’t simple, authentication isn’t simple, logging isn’t simple. Working with strings and dates isn’t simple, sanitizing input and output isn’t simple.

We have done a poor job in building the frameworks and tools to help us with all those things. We can’t really ignore them, we have to think about them actively and take conscious, informed decisions.

The post Simple Things That Are Actually Hard: User Authentication appeared first on Bozho's tech blog.

Как се пише: вездесъщ или въздесъщ?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише вездесъщ, също и вездесъща, вездесъщо, вездесъщи. Нима не е казано също, че Бог е вездесъщ, всезнаещ и всемогъщ? След полицейските коли веднага се появи открит ландроувър с вездесъщите журналисти.