Днес Тома Биков беше в Нова, да ми отговори за машините. Вчера казах, че няма индикации за манипулация, а ГЕРБ не са дошли да анализират сорс кода в законоустановения за това момент.

Нека да ползвам „право на дуплика“ по всички твърдения на г-н Биков. Като няма да влизам в реториката „вие къде бяхте, когато…“, защото сигурно е омръзнала – ДБ и аз лично от години предлагаме мерки за подобряване на процеса, а ГЕРБ са против. Но да приемем, че вече не са.

• Биков твърди, че оспорвам правото им да се съмняват. Ни най-малко. Длъжни сме да се съмняваме всички и да правим институционални действия за подобрение на процеса. Но да излезе председателя на ГЕРБ и да каже „100% машините са пипани“ не е изразяване на съмнение, а поредното безотговорно внушение.
• „не сме получили покана“ – на имейлите за контакт МЕУ изпращаше покани за всяко едно събитие. Колегата от ТУ, излъчен от ГЕРБ беше на първите три, по спомен. Покана сме получили останалите две формации (ДБ и ПП), та бих препоръчал да си проверите пак имейла. Но да, не е това най-важното.
• „1 час не стига“- така е. Но не беше един час. Никой не ме изгони, но прецених, че базовите сценарии, които могат да се проверят в рамките на деня, съм ги покрил. Напомням, че ние затова обжалвахме решението на ЦИК, искайки повече време. Представителите на ГЕРБ в ЦИК какво отношение взеха по жалбата? Дали са нужни два месеца – не мисля, но не вреди. Кодът е много добре покрит с автоматизирани тестове, а аз проверих всички места, които пишат по файловата система (и как се стига до тях). Затова за краткото време имам степен на увереност, че в кода „шашми“ няма.
• предложенията за подобрения на Изборния кодекс ги приветствам по принцип, но в случая има риск да са „капан“, и като се отвори темата, ГЕРБ да предложат връщане на хартията. Което г-н Биков не отрече (още не били взели решение, ама предния път били за връщане). Затова нека ЦИК да предложи допълнително споразумение към договора (сключен от предния ЦИК, доминиран от ГЕРБ), с което да договори допълнителни варианти за достъп на експерти след изборния ден. Не вярвам Смартматик да откажат, то е и в техен интерес.
• Има твърде много гласове „Не подкрепям никого“. Да, има. Защото това са 4-ти поредни избори и има много разочаровани хора. А и да върнем лентата към 2017 г (където активността все пак беше доста по-висока) – там също има 87 хиляди „не подкрепям никого“.
• „колкото по-висок резултат има ГЕРБ, толкова повече гласове „не подкрепям никого“ има“- това е базово неразбиране на това как работи статистиката. Водещите хванаха този проблем в графиката – естествено, че колкото по-голям е избирателния район, толкова повече гласове за ГЕРБ и съответно повече гласове „не подкрепям никого“. Направихме си труда да направим реално сравнение на процентите, а не на абсолютните стойности и не – няма никаква корелация между резултата на ГЕРБ и „не подкрепям никого“ (прилагам графика)
• г-н Биков твърди, че докато съм бил министър, не съм свършил нищо за прозрачността на машинното гласуване. Реалността е друга – дотолкова друга, че медии, приближени до ГЕРБ, ме обвиниха, че съм се месил на ЦИК, тъй като от МЕУ сме изпратили проект на правила за достъп до кода. Така че да решат кое е – че съм работил с ЦИК и съм изпращал документи, или че нищо не съм направил.

Да, трябва да подобрим процесите около машинното гласуване и трябва да повишим доверието. Твърдения, като тези на ГЕРБ, че „машините са пипани“, не правят това. Съмненията са задължителни, подобренията – също, но внушенията са безотговорни.

Материалът Отговор на Тома Биков за машинното гласуване е публикуван за пръв път на БЛОГодаря.

В рамките на предходна кампания публикувах списък с бюрократични пречки, за чието отпадане ще работя. Ето ревизирана версия, с прогреса, който постигнахме за седем месеца:

1. Удостоверенията – голяма част от обикалянето по гишета е събирането на удостоверения и бележки за данни, които администрацията има за вас. Тя е длъжна да ги събира по електронен път, служебно, но се оправдава, че не го прави, защото „нашият закон е специален“ и „нямаме техническа възможност“. Подготвихме и приехме на Министерски съвет изменения в Закона за електронното управление, което приравнява служебните справки на предоставено удостоверение, като по този начин елиминираме оправданието с „нашия специален закон“. На първия ден на Народното събрание този закон ще бъде внесен.

2. Печатите – Имахме готов законопроект, който дадох на работна група, която създадох. Стигнахме до извода, че за да е трайна и системна реформата, трябва изцяло нов закон, който да урежда работата с документи и печати, като по този закон вече се работи. Никой няма да има право да ви върне, защото на нещо някъде липсва печат.

3. „Тук не е информация“ – отношението към гражданите, че те трябва сами да си знаят всички бюрократични процедури, трябва да спре. Закон забраняващ „тук не е информация“ е комично да има, но може да има ясни правила за „дизайн на услугите“ както в дигиталната, така и във физическата среда, които да правят омразния надпис „Тук не е информация“ излишен. В края на мандата изготвихме проект на изменение на наредба, с която се въвежда забрана за надписи с отрицание, вкл. „Тук не е информация“. В следващ кабинет ще има време да мине обществено обсъждане и да бъде приета.

4. „Това не може по електронен път, елате на място“ – по закон всичко трябва да може да се прави по електронен път. Докато бях министър, получих редица сигнали за такива откази и ги разпределих на отговорните за контрола, които да съставят актове на нарушаващите администрации.

5. Разпечатването на платежни – дори електронизирани към момента услуги изисква прикачване на платежно (макар нормативната уредба, създавана с мое участие преди години, да го забранява). В рамките на мандата присъединихме много нови институции към системата за електронни плащания, което да елиминира тези проблеми, а заедно с МФ инструктирахме администрациите да позволят плащане и с чуждестранни карти и иновативни платежни услуги, така че онлайн плащанията да се все по-достъпни.

6. Сканираните PDF-и – всички документи се създават в електронен вид. След това, заради аналоговото мислене в администрацията, се разпечатват, подписват, подпечатват и сканират. Това ги прави (почти) невъзможни за търсене и индексиране. Отпадането на печатите ще реши и този проблем. В МЕУ сканирани документи нямаше.

7. Трудовата книжка – по-предното редовно правителство предложи смяна на дизайна на трудовата книжка. Крайно време е този документ да отпадне. Създадох работна група, която предостави пълен анализ на данните от трудовата книжка и нормативните актове, в които те са уредени и предложения за пълна електронизация.

8. Медицинския картон – единният (електронен) здравен запис, до който има всеки лекар при нужда, трябва да замени парцалите, които разнасяме по лекари (или които сме загубили много отдавна). МЗ, в сътрудничество с МЕУ и Информационно обслужване, въведе изцяло електронна рецепта, която е важна стъпка към пълнотата на здравния запис, а аз изисках от НЗОК да спазят закона, като предоставят данните си на Министерсетво на здравеопазването.

9. Подписване с електронен подпис – Java вече (почти) не е проблем, но електронните подписи са неудобни. Затова стартирахме приоритетно проекта за електронна идентификация, който ще е готов в началото на следващата година, и чрез който ще могат да се заявяват услуги без електронен подпис (след като минат и измененията в Закона за електронното управление, които подготвихме)

10. Хартиените ваучери за храна – тези ваучери са полезни, но администрирането им е ужасно бюрократично – по-големите вериги строят отделни складове за хартиените ваучери, напр. Подготвихме електронизирането им с наредба, като нужните изменения в Закона за корпоративното подоходно облагане ще ги внесем в първия ден народното събрание.

Бюрокрацията пречи на гражданите, на бизнеса и на администрацията. Нейното отпадане е трудно, защото „винаги така сме го правили“, но задължително. Ще продължим започнатото по всички тези теми.

#25

Материалът 10 бюрократични пречки, чието премахване започнахме е публикуван за пръв път на БЛОГодаря.

Вчера пътувах до Ловеч за откриване на кампанията. Пътният знак за „винетка“ и предизборният билборд на ГЕРБ с водач – бившият министър на регионалното развитие и благоустройството Николай Нанков се преплeтоха в една тема – тол системата, с която проблемите са твърде много. И смятам че е важно да ги разкажа, както на избирателите в ловешкия избирателен район, така и на всички останали, които пътуваме по републиканската пътна мрежа.

Проблемите са поне четири:

Първият, който засяга гражданите пряко, е липсата на елементарни функционалности на сайта за онлайн винетки на пътната агенция (АПИ). Той не ни известява, когато ни изтече винетката. Трупат ни се глоби за едно и също нарушение, ако сме забравили да си купим нова. И за тях не получаваме известия, макар че сме си оставили имейла. Сайтът работи бавно, а понякога не работи.

За тези проблеми, като министър, изпратих писмо до АПИ още през февруари, за да добавят тези прости, но важни за гражданите функционалности. Оттам обещаха, че ще заявят към изпълнителя това да бъде реализирано. За да сме сигурни, че няма да има такива пропуски в никоя система, в проекта на Закон за електронното управление задължаваме всички администрации да уведомяват гражданите за изтичащи документи – не само за винетки, а за лични документи, разрешителни, лицензи и др.

Вторият проблем са грешките (съзнателни или от некомпетентност) при възлагането – сметната палата в свой доклад до Народното събрание установи, че възлагането на втората поръчка е станало в нарушение на Закона за обществените поръчки. Изпълнителят е избран без търг с аргумент, че никой друг не може да поддържа системата. Ако това е вярно, то първият договор не е бил изпълнен, тъй като там има изрични изисквания изходният код да бъде предоставен на АПИ. Това, обаче, не се е случило, а под ръководството на министър Нанков системата е приета, в ущърб на държавата, обвързвайки ни с Капш завинаги.

При първия договор за тол системата има и друг проблем – той е анексиран, с анекс, който не беше публикуван, заради вратичка в ЗОП, чието затваряне предложихме, но не стигна времето да бъде прието. В анекса двете страни се договарят, че от първоначалният обхват ще отпаднат дейности, като за тяхна сметка се добавят други, уж на същата стойност. Липсва обаче остойностяване на отпадналото, като е напълно възможно държавата да е била ощетена и при този анекс – отпада прокарване на оптична свързаност до ГКПП-та, както и известен брой рамки.

Третият проблем е с модела на посредниците, които прибират 7% комисионна от всяка винетка. В доклада на Световната банка, на база на който е изградена тол системата, изрично се казва, че не е целесъобразно посредници (т.нар. НДУ) да продават винетки. Въпреки това, политическото ръководство на МРРБ при ГЕРБ в лицето на министър Нанков променя този модел и посредниците не само продават винетки онлайн, а благодарение на google реклама излизат преди сайта на АПИ (а АПИ не си плаща за реклама). Съответно държавата губи милиони (по оценка на предходен служебен кабинет, около 25 милиона годишно). Самите условия за посредничество са излишно тежки, така че дори телекомите, които имат технически капацитет да изградят връзка с тол системата, минават през трета страна, като така губят част от собствената си комисионна.

На заседание на Министерски съвет веднъж взех думата и казах, че посредниците при продажба на винетки онлайн са напълно излишни и не добавят стойност. Да, пунктове за продажба като бензиностанции, интегрираните мобилни приложения на телекомите и подобни добавят удобство за гражданите и там има смисъл. Но няма никакъв смисъл от няколко сайта за винетки, освен, че едни милиони „отичат“ към частни фирми.

Четвъртият проблем е липсата на технически капацитет в тол управлението. Извън няколкото ИТ експерта, там за толкова години не е изградена достатъчен капацитет за да управлява тол системата. Пример за това е, че въпреки мое изрично писмо като министър, все още в публичния регистър на мрежите (RIPE DB), мрежата на тол управлението се води, че се управлява от единия от подизпълнителите на Капш.

ГЕРБ са направили почти всички възможни грешки при изграждането на тол системата. И правни, и технически, и организационни.

Похарчени са милиони, ежегодно изтичат милиони към посредници, гражданите не получават удобна услуга, а капацитет за нейното поддържане няма. За седемте месеца в управлението, съвместно с МРРБ и АПИ, проведохме няколко срещи, установихме в дълбочина проблемите, предложихме законодателни изменения за част от тях, и предприехме първи стъпки за това онлайн винетките да станат по-удобни за гражданите и да гарантираме устойчивост и независимост от един софтуерен доставчик.

След изборите ще продължим с решаването на тези проблеми, за да спестим главоболия на шофьорите и за да спестим милиони на бюджета.

Материалът Проблемите на тол системата и техните решения е публикуван за пръв път на БЛОГодаря.

„Корупцията“ звучи абстрактно. И предвид, че на практика няма осъдени за корупция, можем да си вадим заключенията от слухове и от журналистически разследвания.

Много пъти съм казвал, че електронното управление е силен инструмент срещу корупцията. Но как?

Като не могат да се подменят документи (напр. страници в договори или букви в тефтерчета), защото електронният подпис защитава от промени.

Като не могат да се създават документи със задна дата, защото квалифицираните времеви печати защитават от антидатиране.

Като не могат да изчезват документи, защото ги има в деловодна система, която не позволява „хвърляне в кошчето“.

Като всяко плащане е регистрирано (в СЕБРА) и публично, за да има проследимост къде отиват парите ни.

Като човешкият фактор в много задачи е автоматизиран, за да премахнем възможността за корумпиране.

Като не може плик с оферта за поръчка или търг да бъде отворен преди крайния срок, за да няма предимство подставен кандидат.

Като връзките между фирми, поръчки, имоти и публични личности са в електронен вид, за да може разследващите органи и журналисти да откриват корупционни практики.

Като има проследимост и случайно разпределение за всяка проверка, за да не може контролните органи да рекетират бизнеса.

Електронното управление пречи на корупцията. И затова трябва да продължим с бързото му въвеждане навсякъде, за да имаме институции, чисти от корупция.

Материалът Електронно управление срещу корупцията е публикуван за пръв път на БЛОГодаря.

Листите за предстоящите избори са внесени и за мен е чест да бъда в два района:

Водач в Ловеч, където ще помогна коалицията да реализира мандат. Там съм по мое предложение – баба ми и нейният род са от Троян и околните махали. Имам ярки спомени от детството по баирите около Троян, а в мазето още има от сливовата ракия на прадядо ми. Там имаме силен местен кандидат на второ място – Свилен Андреев, с когото на практика сме съ-водачи на листата и който се надявам да влезе в парламента за втори път.

Също така съм в 23-ти район (София), плътно след две силни жени – Надежда Йорданова и Кристина Петкова. Изборът в 23-ти район ще е труден, но се радвам, че даваме на избирателите толкова добри опции, между които да се чудят. Преференциите винаги са били инструмент на демократичната общност.

Листите ни са обновени спрямо предните избори и смятам, че са добра отправна точка за силна кампания, в която да убедим повече хора, че системният ни опит да изградим силни институции, които да решават проблемите на хората, е най-важната задача.
Институции, които могат ефективно, а не ефектно да се борят с корупцията; институции, които повишават здравето, а не сметката за лекарства; които дават образование, а не просто диплома; които си вършат бюрократичната работа, а не я пренасят върху гражданите и бизнеса.

Кампанията започва на втори септември. Ще бъда на улицата, сред хората, в София, Ловеч, Троян, Луковит, Тетевен и другите населени места в района.

Материалът Отново ще участвам в изборите е публикуван за пръв път на БЛОГодаря.

За мен беше чест да бъда първият министър на електронното управление. В 99-тото правителство на България.

Важно е тази политика да продължи да бъде представена на най-високо ниво и смятам, че ще има приемственост в служебния кабинет. Усилието за дигитализация на държавата продължава и смятам, че поставихме добри основи и добро темпо.

Тук е публикуван отчет на свършеното (и започнатото) през последните 7 месеца: https://otchet.egov.bg/.

Секция „киберсигурност“ неслучайно е толкова дълга. Както войната, така и изоставането на държавата в тази сфера, наложи спешно да се действа с ограничен капацитет, за да осигурим защитата на институциите и данните на гражданите, които те обработват.

Можеше да свършим и повече. В организации от мащаба на държавата нещата стават бавно, за да има предвидимост и устойчивост. И така трябва да бъде. Но от друга страна имаме години изоставане да наваксваме и съответно е нужно баланс между скорост и устойчивост. Смятам, че такъв баланс имаше и ще има.

Електронната идентификация трябва да заработи в началото на следващата година и това ще отключи достъпа на много граждани до лесно използване на електронни услуги. Дори без нея, в рамките на мандата, използването на е-услуги се е качило двойно. Не че сме пуснали много нови електронни услуги, но самото наличие на министерство и видимостта, която този статут дава, е довел до повече търсене. А с търсенето ще идва и търсене за удобство и там трябва да се намесим.

Предстоят избори, на които ще бъде отново кандидат. Със заявка да продължим нещата оттам, докъдето сме ги оставили и да отидем много по-далеч.

Материалът Отчет за свършената работа като министър на електронното управление е публикуван за пръв път на БЛОГодаря.

Публикувахме проект на изменение на Закона за електронното управление. С него се решават ключови въпроси, които в момента пречат на въвеждането на реално електронно управление. Ето основните:

• електронни услуги ще могат да се заявяват без квалифициран електронен подпис от физически лица – за да ги заявим ще е нужно само да влезем със средство за електронна идентификация с подходящо ниво на сигурност, след което ще подаваме заявлението просто попълвайки онлайн форма, без нужда от флашка, джава, драйвери и др. проблемни неща. Квалифицираните електронни подписи остават и ще работят, но отпадат като стриктно изискване за заявяване.
• отпадане на удостоверенията, с чието пренасяне гражданите са куриери на администрацията – това и до момента по общите разпоредби на закона е така, но на практика не се случва по много причини. Въвеждаме правно уеднаквяване на служебно събраната информация с удостоверение, което се изисква по закон, така че администрациите да са спокойни, че са спазили изискванията на специалните закони, по които работят. Паралелно с това осигуряваме гаранции на общините, че приходите от отпадналите удостоверения ще им бъдат възстановени пропорционално от централния бюджет.
• електронно връчване на актове, фишове и наказателни постановления – ще можем да посочим в системата за сигурно електронно връчване, че сме съгласни всичко да ни се връчва по електронен път. Това ще спести разходки до администрации, само за да ни бъде връчен акт или фиш.
• обща забрана за въвеждане с подзаконов акт на стикери и други физически носители на данни за обекти, които са вписани в регистър. С тази промяна, например, стикерът за годишен технически преглед ще стане незаконен, тъй като е въведен с наредба.
• намаляване на таксите за административни услуги, когато те се предоставят по електронен път. Това изменение има два аспекта – първият е, че има допълнителен стимул за използване на електронни услуги, а вторият е, че моделът с посредници при заявяване на услуги ще бъде по-устойчив, тъй като посредникът ще може да приспада разликата в таксата на гише и по електронен път. Посредници могат да бъдат Български пощи, библиотеките и всеки, който има офиси в близост до гражданите, включително в отдалечени населени места. Така дори тези, които не използват информационните технологии ще бъдат улеснени, защото няма да се налага да пътуват до областен град или до другия край на страната, за да заявят административна услуга.
• задължение за служебно предоставяне на информация за лица извън администрацията, които участват в административното обслужване. За да може администрацията служебно да проверява наличие на партида за вода или ток, нотариално пълномощно и други документи, които в момента се налага да разнасяме.
• задължение за водене на регистри в електронен вид, вкл. чрез система за централизирано управление на регистри – нормата влиза в сила след година и половина, като в този срок системата трябва да е готова, а всички тетрадки, ексели и стари системи да бъдат мигрирани към нея.

С проекта изпълняваме и ангажиментите си по Плана за възстановяване и устойчивост.

Смятам, че измененията са важни, отключващи електронното управление, намаляващи бюрокрацията и помагащи в ежедневието ни, и като такива ще намерят парламентарна подкрепа дори в сложната политическа ситуация.

Материалът Предлагаме изменение на Закона за електронното управление е публикуван за пръв път на БЛОГодаря.

През седмицата темата с киберсигурността получи фокус покрай детайлите около атаката срещу пощите. В няколко интервюта описах общата картина, но ми се иска да направя малко по-пълно описание на това какво сме имали, какво сме направили за тези месеци и какво предстои.

Започвам със забележката, че ще използвам „киберсигурност“, макар че правилният термин в повечето случаи е „мрежова и информационна сигурност“. Правомощията на министъра на електронното управление са именно за „мрежова и информационна сигурност“ и то само в администрацията и част от операторите на съществени услуги. Български пощи не е в този обхват към момента.

Защитата на мрежовата и информационна сигурност е комплекс от технически и организационни мерки, които изискват добро планиране, приоритизиране, изпълнение и контрол в мащаба на държавната администрация (и в по-широк смисъл – на целия обществен сектор). Действаме с бързи стъпки, доколкото ни позволява наличният човешки ресурс.

1. Какво намерихме?

Към началото на мандата състоянието на информационните ресурси (т.е. хардуер, софтуер, мрежово оборудване, лицензи) беше силно незадоволително. Липсва адекватна, централизирана картина къде какво има, на какъв етап е от своя технологичен живот и какви са политиките по неговото подновяване. Има администрации с компютри на по 10 години, напр. Има системи без поддръжка (заради неплащани лицензи или по други причини). Всичко това са проблеми и за киберсигурността – в стари и излезли от поддръжка от производителите системи често има уязвимости. Всичко това го докладвах на Министерския съвет преди месец в рамките на годишния доклад за състоянието на информационните ресурси.

Преди 4 години от Демократична България публикувахме план за действие след срива на Търговския регистър. Половината от мерките са изпълнени, но със спорно качество – напр. регистърът на информационните ресурси е почти безполезен, резервните копия се правят централизирано от твърде малко администрации (с бавна скорост и липса на някои ключови функционалности), а на държавни облак му липсват важни процедури за присъединяване, вградени услуги за киберсигурност и др.

Базови добри практики във връзка с киберсигурността също не се прилагаха. Прости пароли, липса на двуфакторна автентикация, публично видими портове за отдалечен достъп (RDP), за портове за администрация на защитни стени и друг защитен софтуер – всичко това е вектор за атака. На много места липсва оперативно наблюдение на системите във връзка с оглед идентифициране на опити за първоначално проникване. Дори на местата, където има такова, не са свързани достатъчно много източници на информация, така че картината е непълна. Има и фрапиращи случаи, като една администрация, в която всички потребители са били администратори – за по-лесно. В пощите имаше не по-малко фрапиращи лоши практики.

Дирекцията за мрежова и информационна сигурност в Държавна агенция „Електронно управление“ е 16 души. Това е крайно недостатъчно за да покрие правомощията на агенцията (а вече – на министерството) по линия на киберсигурността. Капацитетът по останалите администрации в момента го установяваме в детайли, но общата картина не е розова – ИТ експертите в администрацията не са добре платени и правят всичко – от смяна на принтери, до конфигуриране на инструменти за киберсигурност.

Мога да изреждам още доста проблеми и примери, но от една страна е излишно, от друга страна не следва да разкривам детайли отвътре, от които някой може да се възползва (споделеното в горния параграф са неща, които в голяма степен са публично достъпни).

2. Какво свършихме

За този кратък период от време, в който преструктурираме една държавна агенция в две структури министерство и изпълнителна агенция, по линия на киберсигурността сме направили следното:

• Изпратихме писма до всички институции да подобрят настройките на системите си, свързани с изпращане на имейли (т.е. потенциални фишинг атаки от тяхно име)
• Сканирахме (вкл. с продължаващ абонамент за сканиране) всички администрации за публично достъпни системи, които не следва да бъдат достъпни. Напр. RDP (отдалечен достъп) – от около 60 отворени в началото, вече има само 10, като за тях предстоят санкции за ръководителите, тъй като това е нарушение на наредбата към Закона за киберсигурност
• България стана 30-тата държава в света с абонамент за Have I Been Pwned – безплатна услуга, която ни дава информация за изтекли пароли за имейли на държавната администрация. Изтеклите пароли са от външни сайтове, но тъй като потребителите често използват една и съща парола, при информация за изтекла парола, трябва да бъдат принуждаване да сменят настоящата си
• Блокирахме 48 хиляди IP адреса, свързани със злонамерена активност от Русия и Беларус (с първо писмо до интернет доставчиците – 45 хиляди и още 3 хиляди с последващо писмо)
• Събрахме списък с доброволци и подготвихме договори за тестове за проникване (penetration tests) – първите такива тестове вече са започнали
• Мигрирахме почти всички администрации към Защитения интернет възел на държавната администрация
• В началото на войната спешно проверихме някои от най-критичните обекти и отправихме препоръки за повишаване на сигурността
• Институтът за публична администрация, координирано с МЕУ, подготви информационен курс за защита от фишинг атаки
• Подготвихме изменение на Закона за киберсигурност, за да включим вътре Български пощи и други публични предприятия, които в момента не се контролират от никоя институция по линия на мрежовата и информационна сигурност
• Подготвихме изменения на Постановление на Министерския съвет за включване на Български пощи и БНБ в списъка със стратегически обекти, които обследва ДАНС
• Увеличихме броя места за специалисти по киберсигурност в структурата на министерството (т.е. дирекцията няма да е вече само 16 души)

3. Какво предстои тази година

Немалка част от конкретните мерките, които предстои да вземем, ще бъдат класифицирана информация, тъй като пряко засягат националната сигурност. Но общите политики за повишаване на нивото на мрежова и информационна сигурност са не по-малко важни:

• Приемане на всички подготвени нормативни изменения – в Закона за киберсигурност (за включване на пощите), в постановлението на Министерския съвет за стратегическите обекти
• Приемане на Решение на Министерския съвет с правила за отговор на инциденти – най-важното при много от типовете атаки е бързата и адекватна реакция. Затова от най-високо ниво ще „спуснем“ какви да са стъпките, които всяка администрация да следва при инцидент.
• Изменение на класификатора на длъжностите в администрацията и свързаните с него нормативни актове с цел повишаване на нивата на заплащане на специалисти по киберсигурност. Въвеждане и на позиция „стажант по киберсигурност“, така че да привличаме незавършили студенти с прилични заплати – тяхната експертиза вече е на достатъчно ниво, за да могат да бъдат полезни.
• Подготовка и приемане на нова стратегия за киберсигурност
• Структуриране на отношенията с частния сектор. Държавата няма достатъчно капацитет за оперативни наблюдения, триаж и отговор и трябва да бъде подпомагана от частния сектор. Трябва, обаче, да го направим по структуриран и адекватен начин, а не „всяка администрация сама да си преценя“ какво точно ѝ трябва и как да го получи
• Транспониране на втората директива за мрежова и информационна сигурност веднага след като бъде приета на ниво Европейски съюз
• Използване на максималните възможности на наличните системи за киберзащита (в момента много от тях не са адекватно настроени) и закупуване и инсталиране на нови
• Обновяване на регистъра на информационните ресурси и поддържането му актуален, така че да могат да се правят реални политики за информационните ресурси (обновяване, спиране от експлоатация, управление, бюджетиране)
• Регламентиране на централизирано закупуване на шаблонизирани решения за киберсигурност (няма смисъл всяка администрация да „открива топлата вода“)
• Повишаване на нивото на киберсигурност в частния сектор в рамките на Програмата за научни изследвания, иновации и дигитализация за интелигентна трансформация
• Засилване на ефективните проверки по Закона за киберсигурност – администрациите трябва да спазват поне действащата нормативна уредба, в която има немалко добри практики
• Развиване на експертния капацитет на служителите в администрацията чрез обучения, съвместно с Института за публична администрация
• Изграждане на център за оперативно наблюдение на мрежовата и информационна сигурност (Security operations center – SOC) в структурата на Министерство на електронното управление
• Създаване на Националния компетеностен център по киберсигурност с цел стимулиране на екосистемата от експерти и организации – бизнес, университети, държава, неправителствен сектор
• Засилен обмен на данни с партньорски държави, в т.ч. т.нар. индикатори на компрометиране (indicators of compromise). Т.е. когато един IP адрес опита да проникне в инфраструктура напр. в Естония, след неговото установяване в България да знаем за него и да го блокираме автоматично, преди изобщо да е опитал да „атакува“ и нас.

4. Заключение

Извън всички тези детайли, наличието на министерство означава, че тази политика е представена на масата на Министерския съвет. Което значително допринася за спазването първия принцип от цитирания по-горе план за действие, който бяхме предложили през 2018 г. – „Неделимост на киберустойчивостта от националната сигурност – политическото ниво трябва да е наясно, че срив, умишлен или не, в критични системи, се отразява директно на националната сигурност.“

Администрацията и службите за сигурност вече знаят, че киберсигурността е важна на политическо ниво. А това е важно за устойчивостта – спорадични мерки не вършат работа, ако у хората, които работят това ежедневно, няма увереност, че темата е важна на най-високо ниво.

Имаме много за наваксване. Рисковете са високи, ресурсите (човешки) са малко, а задачите са много и мащабни. Това прави нещата предизвикателни, но и мотивиращи. Сега е моментът да въведем трайна политика за киберустойчивост. Която включва много конкретика и технически детайли, но и много дългосрочни меки мерки за повишаване на капацитета.

Материалът Състоянието на киберсигурността в администрацията и пътят напред е публикуван за пръв път на БЛОГодаря.

Днес участвах в представяне на инициативата “Българска коалиция срещу дезинформацията”, подкрепено от Европейската комисия. Нека да го използвам като повод, за да разкажа какво се случва по тази много важна и много деликатна тема.

Ще започна със следното уточнение – няма държавен орган, който да е натоварен официално с политиката за защита от хибридни заплахи, в т.ч. насочената дезинформация, която се лее през социалните мрежи. Министерство на електронното управление, с проекта си на устройствен правилник, припознава темата по линия на политиките за информационното обществено и на киберсигурността, но функциите са изцяло аналитични.

Нека да разделим темата на две – кампании за всяване на паника (каквито виждаме в последния месец) и фонова дезинформация.

Кампаниите за паника са кратковременни събития, които рязко набират скорост и създават ефекти в реалния свят. На тях може да се противодейства комуникационно, в правилния момент, с т.нар. „стратегически комуникации“.

Фоновата дезинформация е това, което залива потребителите на социални мрежи с добре оформени пропагандни наративи за упадъчния запад, за великия Путин, за украинските агресори и др. А допреди месец – за лошите ваксини и несъществуващия COVID.

„Какво прави държавата“ е въпрос, който получавам многократно. И знам, че „нямаме правомощия“ не е отговор. Затова искам да дам отговор по същество.

Първо, организирахме директна връзка с Мета (Фейсбук), които са най-голямата социална мрежа в България, за да посочим какви проблеми виждаме и какви решения те могат да предложат. Имаме регулярна кореспонденция с тях относно блокираните профили на интелектуалци, осъждащи руската агресия, относно активизиране на тролски фабрики, както и относно общия подход на Фейсбук за идентифициране на дезинформация. Малко повече детайли – по-надолу.

Второ, по моя инициатива ще бъде създадено аналитично звено, което да следи за дезинформационни наративи и кампании и да информира своевременно заинтересованите страни (органи на власт, частни организации, медии).

Трето, след като разгледахме добрите практики в други страни (напр. Швеция, Естония, Словакия, Испания), и проведохме срещи с няколко институции, подготвяме институционална структура за обмен на информация и опит между министерствата.

Четвърто, подготвихме и изпратихме конкретни предложения в рамките на обсъждането в Европейския съвет на Акта за цифровите услуги, който регулира поведението на големите онлайн платформи, вкл. Фейсбук.

Пето, с Института за публична администрация, който се грижи за обученията на държавните служители, започваме да промотираме техния курс за медийна грамотност към държавните служители.

При всички тези стъпки се водим от един основен принцип – не трябва нито правителството, нито някоя голяма компания, да решава кое е истина и кое не е и да блокира съдържание. Не трябва да създаваме механизми за такова поведение, защото то много лесно може да бъде използвано в грешна посока.

В това се състои сложността на задачата – Кремъл използва нашите европейски ценности за свобода на словото, за да вклини своята пропаганда, правейки много трудно разграничаването на истина от полуистина, и обикновена полуистина от насочена дезинформационна кампания.

Насочил съм всички обсъждания на законодателни възможности и на други мерки в посока не на това „какво“ се разпространява, а „как“ се разпространява.

Това, което знаем за механизма на разпространение от редица анализи в експертната общност е следното: Кремъл, чрез пряко или непряко финансиране, създава дезинформационно съдържание, поддържа „фабрики“ от тролове и разпространява това съдържание координирано в социалните мрежи. Тези „тролове“ са най-често работещи от вкъщи хора, които създават и поддържат фалшиви профили, с които по команда споделят „новините“ в групи и страници, както и писане на коментари под новинарски статии.

Това, от своя страна, води до алгоритмично усилване на тези публикации (защото явно много хора се интересуват), като Фейсбук (и други социални мрежи) го показват на повече и повече хора.

Същите тези тролове докладват популярни личности, които в случая пишат в подкрепа на Украйна, и неефективната система на модерация на Фейсбук, води до блокиране не на фалшивите новини, оправдаващи войната, а на легитимни гласове.

Знаейки този механизъм, попитахме Фейсбук какво правят по тази тема. Краткият отговор е „нищо“. Те няма да се съгласят, разбира се, защото активност от тяхна страна има, но ефективност – не.

Това, което най-добре илюстрира неадекватността на Фейсбук е отговорът на един от 13-те въпроса, които им зададохме относно механизмите им за справяне с насочената дезинформация. Отговорът включване на техния месечен отчет за откриване на координирано неавтентично поведение (а именно – това, което описах по-горе). Та Фейсбук за целия месец януари, в целия свят, са открили ТРИ фалшиви профила, които участват в координирано споделяне на дезинформация.

Вероятно след като публикувам това възможностите за колаборация с Фейсбук ще намалеят, но към момента не виждам някаква полза от комуникацията ни. Получаваме бланкетни отговори или липса на такива, докато междувременно информационната война е в ход.

Именно затова обмислихме регулирането на това как Фейсбук и други големи онлайн платформи трябва да контролират тези процеси. Но не да преценяват кое е вярно и кое не, а да НЕ промотират алгоритмично това съдържание, което е споделяно чрез съмнителни мрежи, от съмнителни източници.

Местна регулация не би свършила работа, обаче – твърде големи са, за да се съобразяват с много строг български закон. А ние нямаме достатъчно капацитет да контролираме неговото спазване, съответно ще ни „замазват очите“.

Затова подходът ни е към прокарване на изменения в Акта за цифрови услуги, който е в процес на обсъждане. Направените предложения са в две посоки:

Първо, повече прозрачност. Големите онлайн платформи да трябва в реално време, с разбивки по държави, да докладват какви профили свалят, какво съдържание модерират, кое съдържание промотират най-активно. Също така да трябва да показват колко е усилено дадено съдържание от алгоритмите и по-важното – защо.

Второ, ограничения за алгоритмичното усилване на съдържание, разпространено по неавтентичен начин. Когато група потребители координирано разпространяват идентични текстове и коментари, това има висок риск за неавтентичност, особено ако профилните им снимки са от публични банки на снимки и ако използват едни и същи IP адреси или всички ползват един и същи VPN-и или споделят сайтове, хостнати в едни и същи мрежи.

Също така, когато едно съдържание е „новина“, но източникът не е в национален регистър на медиите (ако такъв има), тогава то да не получава голямо алгоритмично усилване. Защо? Защото медиите трябва да посочват своите действителни собственици и редакторски екип. Анонимни сайтове, които пишат за великата руска армия, не са медии. А намаляването на алгоритмичното усилване не е цензура. Има медии в България, които споделят кремълските опорни точки, но са реални медии, с ясна собственост – те не попадат в обхвата на това предложение, доколкото споделяното съдържание не представлява престъпление.

Тук влизаме в сериозната тема на принципа на Закона за електронната търговия (и съответната директива), според който онлайн платформите нямат задължение за масово следене на съдържанието. За да запазим този принцип не искаме те да носят отговорност за едно или друго съдържание, а на база на метаданните, които вече обработват за това съдържание, да „преоразмерят“ алгоритмите си. Звучи много техническо, но след като проблемът е технически (поведение на алгоритми за препоръчване на съдържание), то принципното му решение следва да има технически измерения.

Извън тази регулация, държавните органи следва да имат яснота какво се случва, за да могат да реагират. Капацитетът за обмен на информация и комуникационна реакция е ключов аспект. Друг ключов аспект са и проверителските организации, които могат по-обективно от правителството да проверяват факти.

Насочената дезинформация към нищо неподозиращите потребители е системен риск за нашето общество и трябват адекватни мерки за противодействие. Тези мерки, обаче, трябва да са претеглени и през рисковете, които носят за свободата на изразяване. Задачата е по-трудна от това да бъдат блокирани няколко профила или няколко сайта за фалшиви новини.

Важно е темата да бъде в политическия дневен ред, за да има осъзнаване и обсъждане, а Министерството на електронното управление ще бъде в центъра на този дневен ред.

Материалът Какво прави държавата срещу дезинформацията? е публикуван за пръв път на БЛОГодаря.