Намирането на действащите български закони в интернет: мисията невъзможна (БГ)

Намирането на действащите български закони в интернет: мисията невъзможна (БГ)

Представете си, че искате да направите справка с Изборния кодекс – един от най-важните закони на държавата. Къде другаде да отидете да го потърсите, освен на сайта на Народното събрание, www.parliament.bg? Нали все пак там се коват законите, там се публикуват текстовете им?

На главната страница, вдясно в карето „търсене“ въвеждате „изборен кодекс“ и извършвате търсенето. Ето как изглежда резултатът:

Не само на първата, но и на никоя от 10-те страници с резултати от търсенето няма да намерите връзка към текста на този закон. Ще намерите безброй законопроекти, коментари, изказвания за него, пръснати в разстояние от няколко години.

Но да речем, че ви интересуват все пак тези законопроекти на този фундаментален за държавата ни закон. Оказва се, че вътре в техния текст е практически невъзможно да намерите елементарно очакваната, подразбиращо се нужна, логичнa, смислена и свръхважна информация като:

На коя дата е внесен законопроекта?
В кое Народно събрание?
От кого?

Ако отворите документа от първият резултат в показаното по-горе търсене, дори и да прелистите всичките му 192  страници, няма да ви стане ясно кога е внесен.
Най-накрая на документа ще намерите, че вносители били „Искра Фидосова и група н.п.“ …
Кои са конкретните „н.п.“ (народни представители), които са го внесли? Това е адски важно за гражданите – да знаят кой е работил и подкрепил конкретния текст. В крайна сметка, народните представители носят отговорност пред обществото за действията си.

А може би е възможно да намерите законите и законопроектите по друг начин? Все пак, има специална секция Законодателство >> Законопроекти.

Пак нямате късмет, обаче! Като търсите там с „ключова дума“ „избори“ или „изборен„, винаги получавате „Няма намерени резултати“ (без значение какво избирате от иначе нелепата плетеница от графи за търсене).

Оказва се, че трябва да знаете – предварително! – кое поредно Народно събрание (например 43-то) и в коя точно сесия (!) е приемало търсените текстове. Само тогава можете да намерите нещо толкова просто като всички законопроекти за Изборния кодекс, например!

Но това не е целият абсурд: за да намерите всички законопроекти за търсения закон, в полето „ключова дума“ ще трябва да „знаете“ (откъде ли?!?!?), че трябва да напишете „изборНИЯ кодекс“, а не „изборЕН кодекс“! В противен случай – пак „Няма намерени резултати„.

А какво е положението с текстовете на действащите закони?

Отивате в  Законодателство >> Закони и търсите по ключова дума „изборен кодекс“.
Намирате два резултата с текстове на окончателно приет Изборен кодекс … но те са стари, недействащи вече, от 2011 и 2014 гг! (към настоящият момент последните промени в този закон са от март 2017 г.)

Така се оказва, че на сайта на законодателния ни орган не съществува, или не може да бъде намерен текстът на действащият изборен закон …

В този миг си казвате „добре де – ще го намеря с търсене в Google“
Не се надявайте! 
При търсене за „изборен кодекс“ в google.bg, виждате следното:

  • в първите 10 страници (това са 200 резултата!) има само 2 резултата с връзки към текстове на Изборния кодекс, разположени на сайтoве на държавни институции – ЦИК и Сметната палата … но и на двете места това са пак са стари, неактуални текстове от 2014 и 2016 гг.!
  • никоя друга връзка – към който и да е сайт в първите няколко страница в резултатите от търсенето – не води до актуалния към момента текст на този закон!

Затова ви отправям една задача-предизвикателство: намерете актуален текст на изборния кодекс, като опишете пътя на мислене и търсене до достигането му.

Народното събрание трябва да започне да гледа изключително отговорно и сериозно на интернет-сайта си като източник на информация за гражданите.
Сегашните отговарящи за структурата и функционалността на интернет-лицето на парламента очевидно или не знаят как, или нямат елементарното чувство за отговорност и професионални умения. Нужно е или бъдат стимулирани да работят както очакваме ние гражданите – техни работодатели – или да бъдат заменени чрез конкурсен подбор с желаещи и можещи професионалисти.

 

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Хакерските атаки срещу държавата: масово журналистическо невежество

Продължават тоталното шествие на журналистическо невежество за „хакерските атаки“, продължаващи от 2 седмици вече, в които се твърди че участвали „2 млрд. компютри„, които се „опитали да влязат“ в сайтовете на българските държавни институции (ЦИК, президента, ДАНС).
Също, как „компютърните атаките срещу държавните ни сайтове са от целия свят – от Виетнам, Румъния, Турция, Украйна, САЩ и Африка„.
 
Първо да припомня стария виц: не било компютри, ами компоти; и не били изнесени, а върнати; и не в Япония, а от СССР.
 
Не било компютри, а компоти
Абсолютно невероятно е да има 2 милиарда заразени компютри (дори ако броим и смартфоните), които да бъдат насочени в атака срещу сайтовете точно на българската държава.
Най-големите мрежи с превзети компютри (наричани още „мрежа от роботи“ или „армия от зомбита“) са от порядъка на 30 милиона. Което не е малко, но няма нищо общо с 2 милиарда.
 
Има число 2 милиарда – но то е броят заявки от тази „армия от роботи“ за даден период от време, а не броят  уникални отделни компютри, участващи в атаките.
 
Не били изнесени, а върнати
Атака има и то мощна. Но нейната цел и ефект не е някой да „влезе“ в държавните ни сайтове, а само да ги направи недостъпни.
Което също е проблем, разбира се. Но разликата е огромна с представата на средния човек, който под „хакерска атака“ разбира обикновено проникване с цел кражба, незаконна промяна или унищожаване на информация. Нищо подобно няма при сегашните атаки.
 
Не в Япония, а в СССР
Простото изброяване на държави в контекста на тази атака – без никакви уточнения какво означава това – създава у обикновения човек изключително грешната представа, че въпросните страни на държавно ниво извършват атака срещу България.
Нищо подобно – просто това са страните, в които конкретната „мрежа от роботи“, наета от поръчалите атаката, има заразени компютри, на които подава команди за атака. Ако това е показателно с нещо, то е че в тези страни явно хората, фирмите и държавата най-малко им пука да си защитават компютрите. Например, по най-бърз начин да инсталират всички обновления, които излизат от производителя или автора на софтуер. Също, да имат добра, работеща и редовно обновявана антивирусна програма. Но не по-малко и какви са техните навици за информационна сигурност – дали и колко внимават какви сайтове посещават и какви връзки, особено в емейли, щракат.
Журналистите трябва да бъдат много по-професионални – да се консултират с експерти; да се учудват, когато здравият им разум им подсказва, че нещо не звучи смислено – защото са отговорни за внушаването на ирационални страхове у хората, особено когато става въпрос за технологии.
сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather
А „разкодирайте“ ей тази електронна идентичност де!

А „разкодирайте“ ей тази електронна идентичност де!

a-hakni-tova-de

С наближаването на референдума за електронно дистанционно гласуване на 25-и октомври един от постоянно изтъкваните страхове на скептиците е, че електронния вот не може да бъде таен.

Това е абсолютно невярно – вероятно поради недостатъчна лично познания на твърдящите го, или поради липса на усилие да се консултират с експерти в областта на информационната сигурност.

Купуването или принуждаването на гласоподаватели са неизбежни независимо от технологията: е-гласуването няма да увеличи тези възможности 

Тайната на вота има две страни, които повечето противници на е-вота – дали заради незнание, дали заради удобство да защитят тезата си против – не си правят труда да забележат и разделят.

Първата страна няма нищо общо с технологиите или с начина на гласуване – тя е чисто психологическа. Въпросът при нея е колко е възможно и вероятно избирател да бъде подкупен или заплашен да гласува по даден начин от някого другиго. По тази страна на тайната на вота няма никаква разлика между сегашното присъствено гласуване в тайна кабинка, и от друга страна – електронното дистанционно. И при двете технологии, дали група избиратели ще бъдат подкупени или принудени зависи само от тяхното собствено решение дали са готови да се поддадат на натиск или продадат.

Противниците на е-вота твърдят, че работодатели или други въздействащи ще гласуват на практика „вместо избирателя“. Но за да направят това, тези принуждаващи или купуващи гласове ще трябва да се идентифицират като гласоподавателя. А това означава, че ще трябва да получат нещо от него – например картата с електронният им подпис или електронната им лична карта, както и ПИН-кода към нея, или какъвто друг вид начин за уникална идентификация бъде осъществен.

Но и при днешния присъствен и хартиен вот има елементарен начин подкупващият или принуждаващият да е сигурен, че е гласувано според желанието му: като изиска от избирателя да заснеме бюлетината с вота си докато е в тайната кабинка. Масовото наличие на мобилни телефони с камера позволява всеки да го направи. Ако ли пък заплашеният или подкупен избирател няма такъв – принуждаващия или купуващия може да му осигури преди влизане в секцията.

Но как стои въпросът с технологичната страна на тайната на вота? Там има тотална и абсолютно неразбиваема защита на тайната на вота.

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather
5 измислени мита, целящи да ни откажат от електронното гласуване

5 измислени мита, целящи да ни откажат от електронното гласуване

(снимка: time.com)

По повод на една публикация противника на е-гласуването на Петър Кичашки, който наскоро беше и в ТВ студио със същите аргументи:

Мит 1: „Електронното гласуване не е световна тенденция“

Не съм видял някой да твърди, че е преобладващо в света. Но определено е неизбежна тенденция.
И в случая България има уникалния шанс да е една от първите в света с нещо много напредничаво. Това какво – отрицателно ли е само по себе си?

Също така, авторът на „митовете“ явно не знае, че Съвета на Европа подкрепя електронното гласуване, защото то е „съвместимо с изискванията за тайно, равно и пряко гласуване и е средство за демократично изразяване, както и обикновеното гласуване (с бюлетини).

И не е случайно, че именно в държави като Швейцария или Франция, гласуването по Интернет е вече всекидневие

Мит 2: „Електронното гласуване не е сигурно“

Всичко е възможно да се „хакне“, защото е направено от хора. А хората правят грешки пропуски.
Но не всичко е вероятно да се „хакне“ – защото макар и с грешки, хората правят и много сигурни системи. Сигурността не идва само от технологиите, но и от практиките и дисциплината в прилагането им, от професионализма на хората в тези процеси.

Какво твърдят всъщност плашещите с несигурността на е-гласуването? Твърдят на практика, че понеже всяка система е възможно да бъде „хакната“, то заради това не трябва да ползваме технологии! Излиза, че би трябвало да се откажем от съвременния свят, защото всички бизнеси и въобще човешки дейности са „обречени“ да бъдат „разбити“. Ако приемем просто възможното, без значение колко малка е вероятността му, за „сигурно„, то би трябвало вече всички да са хакнати, всичко да е в хаос!
А това – очевидно – няма нищо общо с реалността.

Но да предположим, че след едни избори с е-гласуване установим, че е имало значителни манипулации в резултат точно на частта от вота по интернет (защото хартиеното гласуване си остава – не се премахва).
Какво ще направим? Ще отменим изборите. Не е чак толкова фатално. Много по-фатално за България е да не опитва да напредва, да се „снишава“, да се движи на опашката на цивилизацията, щото всичко трябва да ни е „гарантирано“ …

Колкото за проблемите на сигурността на естонската система – те са почти изцяло само от оперативен характер: нито с процеса като цяло, нито с технологиите. Отговорих подробно на популярната презентация на американския професор, който анализира естонското е-гласуване с екипа си.

Тези оперативни проблеми могат да се решат с повече обучение и професионализъм и с повече групи за контрол над процеса.

И да, трябва да положим специални много по-сериозни усилия – заради потенциалните враждебни държави (или вътрешни вредители), които биха искали да „хакнат“ едни български избори. Естонците не са положили много от един пакет от такива мерки, както се разбира. Но не заради липсата на технологии и процеси, а заради невнимание и недостатъчна оценка на рисковете.

Има голям набор технологии и процедури, които са стандартни дори при средноголеми фирми, които обаче са били пренебрегнати тотално от естонците (в края на предната ми публикация по въпроса и в коментари под нея).

Мит 3: „Електронното гласуване няма да повиши избирателната активност“

Това е поле за дебат. Но я да видим какво се случи при единствената реална аналогия, и то не къде да е, а точно в България? През 2011-а за пръв път беше предложено електронно преброяване на населението в страната. Скептиците очакваха 10-15% от хората да се „самопреброят“ по интернет. Но цели 40% (!!!) го направиха.

Има и други различия с Естония: те имат само около 13% живеещи в чужбина граждани, докато България има до 21% по някои оценки.

Допълнително, избирателната активност може да се повиши и заради по-високото доверие към изборния процес и резултат – което от своя страна отразява по-голяма прозрачност и по-малката зависимост от човешкия фактор, които предлага е-гласуването.

Мит 4: „Електронното гласуване е скъпо“

Електронният подпис е нужен на българските граждани не само заради е-гласуването. Той и в Естония не е въведен само заради това – ползва се за банкиране, за всякакви официални взаимодействия с държавната администрация – плащане на данъци, ползване на социални и здравни осигуровки, банкиране.

Така със сигурност ще има огромни спестявания на средства и ресурси – и нерви – в резултат от масово въвеждане на е-подписа в личните ни карти не само заради е-гласуването.

Колкото до разходите, само в чужбина изборите струват 1.5 милиона лева всеки път на 4 години (минимум – когато са по-чести, и повече). А след като за целите избори сумата е около 50 милиона лв, ако приемем скептичната оценка – че и в България, както в Естония, електронно ще гласуват само около 20% от хората – то съвсем грубо говорим за спестяване на едни повтарящи се всеки 4 години разходи от порядъка на 9-10 милиона лева.

Мит 5: „Електронното гласуване не гарантира тайната на вота“

Това е най-популярният аргумент и – най-неадекватен, но и най-използван за манипулация на непредубедените.

Да не би сега да не е известно „стоенето зад гърба“ – гласуване от хора, които биват или принудени, или подкупени? И принуждаващият/подкупващият пак може да получи 100% гаранция, че е гласувано както е искал (елементарно и известно – заснемане на вота в тайната кабинка с масово достъпните смарт-телефони).

Да не би сега да е невъзможно било изпълнителите, или монтиращите, или някой от Секционната избирателна комисия – а защо не е и някой от избирателите дори – да монтира незабележима миниатюрна, предаваща по WiFi камера в тайната кабинка? Има ли такива технологии? Има. Възможно ли е това? Възможно е.

Ако ще си говорим за произволни спекулации и теории на конспирацията, то „всичко е възможно“. Обаче в реалния живот само някои неща са вероятни, а от тях пък само някои се случват наистина – и заради човешката природа, и заради усилията за контрол.

И накрая  – за разликата между „летенето“ и е-гласуването: за първото още няма грам технология (освен в сънищата). А за второто има много – и технология, и години опит – в реалността.

Та нека не сравняваме „ябълки“ с „булдозери“. И нека се опитваме да „летим“ където е възможно – в стремежа си да постигаме нещо най-напредничаво като нация, а не да се „снишаваме“ да не ни отсече ятагана преклонената главица …

(снимка: взаимствана от www.nydailynews.com)

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather
Критика на критиката към естонската система за електронно гласуване

Критика на критиката към естонската система за електронно гласуване

(снимка: Estonian Public Broadcasting, news.err.ee)

Наближава референдумът по въпроса дали да въведем дистанционно електронно гласуване по Интернет. Медиите бълват статии – и особено коментари – дали и колко сигурен е този начин да упражняване на вота.

Забелязват се огромни приливни вълни от лаици, които може би добросъвестно, но твърде умозрително или повърхностно разсъждават по специфични въпроси, които не са по силите им.

Продължават да се ширят и масово отдавна разбулени, несвързани с електронното гласуване митове. Например, че гласовете се броят от „чували“ – тотално невярно: броят се по данни на секционните избирателни комисии. Те от своя страна са ги преброили пред наблюдателите и застъпниците и изпратили протоколите веднага в РИК/ЦИК по факс или емейл.

Сред тази какафония, обаче, има и скептици, базиращи своето отрицателно отношение към е-гласуването на сериозни анализи на независими експерти.

Особено популярни са дискусиите за най-напредналата с електронно гласуване в света държава – Естония. Масово известни – цитирани в западаната преса и в България – са критичните видеопрезентации на професор Дж. Алекс Халдерман към естонската система.

Като старши специалист с над 10 години стаж в областта на информационната сигурност в мултимилиардна канадска компания, това няма как да не привлича моето внимание.

Няма “загадка” какво е моето лично мнение за това може ли да се подобри естонската система или дали може да се направи още по-добра такава. Фактът, че съм един от 42-мата членове на най-големият и най-известен граждански Инициативен комитет в подкрепа на електронното гласуване “Гласувай без граници” с представляващ тенис-легендата Мануела Малеева, говори красноречиво.

Че не само аз съм на това мнение говори и друг факт: във въпросният инициативен комитет сме 15 дългогодишни ИТ-професионалисти и ИТ-предприемачи. Отделно, към ИК има 5-ма експерти по информационни технологии. Няколко от всички тези професионалисти сме специализирани в информационна сигурност.

Безспорно, видеопрезентациите на проф. Халдерман са ефектни. В тях са показани някои съществени слаби страни на естонската система за гласуване.

Но огромна част от откритията за “несигурност” не е толкова в технологиите. Самият професор признава, че естонците са разработили една сложна система с много добър дизайн на сигурността.

Най-големите проблеми, посочвани в най-известните му презентации, са в областта на прилагането на елементарни процедури и правила за оперативна сигурност.

Какво е оперативната сигурност? Това е да има подробни и завършени, описани процедури да се прилагат най-добрите практики в областта на информационната сигурност, съпътстващи изграждането и експлоатирането на една техническа система.

Ето един пример: оставяте ли ключ под изтривалката пред апартамента си? Някои все още го правят. Това е лоша оперативна сигурност: вие знаете, че не трябва да оставяте ключ там, защото е леснодостъпно място и защото е известно, че се прави.

Точно такива са много голямата част от проблеми, които са открили професор Халдерман и неговия екип. Примерите, които той дава, са почти само за липса или неспазване на елементарни процедури и правила.

Някой ще възкликне: след като естонците не са ги спазили, каква е гаранцията че ние ще ги спазим?
Аз бих попитал: а какви са гаранциите, че се спазват механизмите за защита на изборите от манипулации при сегашното (физическо) гласуване? Такива гаранции има точно колкото и при бъдещето електронно гласуване – можете да се убедите от публикацията на Йовко Ламбрев.

Забележете, че голяма част от тези “открития” за несъвършена сигурност в естонския процес на е-гласуване стават известни не защото са открити от проверяващи ии изследователски екипи, а заради доброволна инициатива на самия екип на естонците – да заснемат видео, демонстриращо как работи целият процес. Това, разбира се, не ги оправдава за много от недостатъците – известна поговорка в средите на информационната сигурност е че “скриването не е начин за сигурност.”

Голямата част от списъка на тези недостатъци на оперативната сигурност може да се коригира с елементарни и известни начини на организация – като например избор на множество екипи, които да се контролират взаимно. Други са просто азбучни случаи на пропуски в елементарни процедури за сигурност, каквито например не се допускат в сериозни организации, като най-големи телекомуникационни фирми. Познания и дисциплина да не ги допускат имат не само специалистите по сигурност, но и всички други участници в процеса, дори и не-технически ориентираните.

За да убедим скептиците, че е възможно тези пропуски не са ни най-малко сериозни или фатални и могат да бъдат преодолени, ще трябва да навлезем в технически подробности.

Някой ще възкликне: “Ама това е много сложно!” Да, сложно е. Но е дългогодишна практика, не нещо ново. “Дяволът – както се казва – се крие в детайлите”. “Ангелът също” – бих си позволил да добавя аз.

Ядрените реактори да не би да не са много сложни? А самолетите? При това от спазването на процедурите и правилата за тяхното правилно опериране зависи не просто един вот, а животът на стотици или дори милиони хора.

Затова нека се заемем с примерите на посочените пропуски в оперативната сигурност на естонския процес е-вота и как те могат да бъдат преодолени със стандартни, отдавна известни практики и технологии:

ПРОПУСК 1: “Сървърът, където се разработва софтуера за е-гласуването, е свързан директно към Интернет и така е атакуем както отвън, така и от инсталирането на вреден софтуер (“malware”) който да вкарва несигурност отвътре навън”.

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather
Електронното гласуване няма да застраши тайната на вота: и сега тя е гарантирана само ако имаме елементарни достойнство, гордост и смелост.

Електронното гласуване няма да застраши тайната на вота: и сега тя е гарантирана само ако имаме елементарни достойнство, гордост и смелост.

(оригинална снимка:  Jeff Widener – Associated Press)

Докога ще я караме така: да се самозалъгваме, че някакви технически системи или процедури извън нас, избирателите, ще ни „гарантират“ честност и независимост в обществените дела?

Електронното гласуване с нищо няма да промени тайната на вота. Та нали и сега тези, които принуждават някого да гласува според тяхната команда, могат да проверят, че вотът на принудените е бил в желаната посока?
Елементарно и известно е: дават на принудения избирател смартфон да заснеме в „тайната кабинка“ бюлетината с вота си – и така да „докаже“, че е гласувал според волята на принудителя.

На Ботев и Левски някой „гарантирал“ ли е тайната на съзаклятието им? При това залогът на разкриването на тайната там е бил къде-къде по-голям – животът им, а не просто един вот!

Ако нямаме елементарни – в сравнение с тези на нашите революционери – смелост, самоуважение и достойнство да се противопоставим на някой, който ни принуждава да гласуваме по негово желание, защо се самозалъгваме, че сме заслужаващ място под слънцето народ?

(И да, точно с Ботев и Левски ще се сравняваме. С кого другиго – с чалга-певиците ли; с бандитите на нашето време ли; или с пошлите плоски „герои“ на жълтите вестници?)

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Половината съдилищни уебсайтове – недостъпни от чужбина

правосъдието го няма - достъпа отказан

Някой ще каже „на кого му трябват“?

На над 2 милиона български граждани (според МВнР), на които може да им потрябва да четат съдебна практика и решения. В много случаи – директно свързани с тяхна собственост или други казуси.

Да не говорим, че може да потрябват и на някой от Европейския съюз.

Накратко: изглежда преди няколко години, повечето съдилищни уебсайтове са били преместени на централен сървър на ВСС. Този сървър въобще не позволява достъп от чужбина.

Сайтовете на няколко някои съдилища са все още извън този сървър и така са достъпни. Това показва кристално ясно, че няма закон или друг акт, забраняващ достъпа до тези публични, държавни български сайтове от чужбина (то оставаше пък и да има подобна глупост!)

Проведох няколкомесечна кореспонденция, тръгвайки от Добрички окръжен съд (от Добрич съм и исках да проверя нещо на сайта на тамошното съдилище). След няколко месеца стигнах до ВСС и почти имах надежда за отговор и дори реакция – но нейсе, всичко секна, вече няколко месеца.

Хубаво ще е ВСС да оправи това очевидно недоразумение.

Прикачено: подробната ми кореспонденция с няколко нива съдилища и ВСС

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Как да гарантираме достатъчно висока сигурност на неизбежната нова система за случайно разпределение на съдебните дела

Не стихва дебатът покрай зрелищния провал на сегашната система за случайно разпределение на делата (ССРД) в съдилищата. Макар да е отдавна известна (поне от началото на 2013-а) опасната възможност за манипулиране избора на съдии, общественото пространство беше взривено наскоро от необяснимата липса на разпределението не на кое да е, а на ключовото за политическото здраве дело за КТБ.

Мненията категорично клонят към създаване на нова система за случайно разпределение. Основното, на което тя  трябва да отговаря, е да истински сигурна. Сегашната платформа – “Law Choice” – е изключително лесно и елементарно манипулируема, както бе демонстрирано брилянтно в доклада на експерта Васил Величков, съветник на вицепремиера Румяна Бъчварова. Многократно “разпределение” до достигане на “желания” съдия по дадено дело може да извърши всеки с достъп до компютър в конкретното съдилище, без нужда от особени компютърни познания.

Колко добре сегашният софтуер “защитава” случайния избор на съдия по едно дело? Точно толкова, колкото ако заключите вратата на къщата си, но оставите прозорец отворен.

В дебатът по въпроса какво да правим се коментират най-вече мнения кой трябва да изготви новата система, по каква поръчка, колко ще струва тя …

В тази иначе изключително здравословна обществена дискусия, обаче, липсва нещо важно: какво ще гарантира, че новата система ще е по-добра от сегашната?

Главната опасност е в слагането на каруцата пред магарето. В случая – тенденцията първо да избираме кой ще осъществи проекта, и след това да се надяваме, че той “знае” как се “правят нещата”.

А трябва да е обратното. Държавата – в лицето на МС и ВСС – трябва първо да изготви детайлни изисквания каква сигурност очаква от една такава нова система. И чак тогава да започва конкурс за изпълнител и поръчка за изработката й.

Няколко фундаментални принципа на сигурността

На първо място, най-важно е да бъде търсена цялостна сигурност на системата. Една такава система не се състои просто от един “софтуер”, а е съвкупност от много повече компоненти. Най-просто те могат да бъдат дефинирани в четири обособени групи: софтуерни апликации, бази данни, сървъри и мрежова инфраструктура.

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather
Министерството на О(т)браната – с широко отворени врати за кибер-атаки

Министерството на О(т)браната – с широко отворени врати за кибер-атаки

Парадът на държавната администрация в областта на (не)сигурността на нейните интернет-сайтове продължава с гръмки примери.

Преди само малко повече от месец посочих сериозни дупки в министерството, което … отговаря за информационната сигурност.

Ето че сега дори и институцията с най-много и важни държавни тайни – Министерството на отбраната – тотално е неглижирала елементарната компютърна сигурност на интернет-сайта си.

Оценката на цифровия сертификат, който трябва да защитава – чрез криптиране – връзката между потребителя и сайта е „СЛАБ (2)“  („F“ – по американската система).

Нещо повече – посещаващият този сайт ще получи изрично предупреждение да не му се доверява, и дори че може би някой прихваща връзката:

недоверие към сайта на Министерстовото на отбраната

Но това не е всичко. Дори елементарен анализ показва други сериозни пробойни в сайта. Като една от най-прословутите в историята на интернет пробойна, а именно heartbleed („сърцекървене“). Открита преди цели 6 месеца (април 2014), тя е премахната отдавна практически навсякъде в стотиците милиони сайтове по интернет – само не и в нашето министерство …

много пробойни на сайта на МО

С този конкретен бъг може да се подслушва не само конкретна, но тотално цялата криптирана комуникация на един сървър. При това, практически е почти невъзможно да бъде засечено това подслушване.

Нужен ни е явно „Държавен системен администратор по информационна сигурност“, който да мисли и да действа бързо и категорично, според реалностите в днешния преобразяващ се за часове свят на мощни кибер-атаки.

Някой ще каже: „какво толкова – някакъв си уебсайт на МО, не е нещо важно“.
Може ли този някой също да отговори дали компютъра, на който е сайта на институцията, не е в мрежа с други, непублични компютри с много по-важна за националната ни сигурност информация? Не след няколко месеца, не след година –  а веднага да отговори?
И колко защитени са те, при положение че крайно вероятно някой там си мисли „те не са публично изложени за достъп – няма нужда да ги пазим кой знае колко“?

В областта на сигурността основна парадигма е, че една сложна система е точно толкова сигурна, колкото най-слабото й звено.
Ако това, което демонстрира Министерството на отбраната, е нивото на „грижа“ за елементарните защити в най-слабото звено на НАТО и ЕС, то каква ли е степента при  важните отбранителни активи?

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Информационна сигурност? „Няма такава страница“, казва сайтът на Министерството на … информационната сигурност

mtits-404-security

Само преди два дни (11.09.2014) писах за потенциални проблеми със сигурността на интернет-сайта на Министерството на транспорта, информационните технологии и съобщенията (МТИТС) … натоварено с информационната сигурност на държавата.

Днес се поинтересувах какво прави, по същество, министерството в областта на информационната сигурност. Следвайки на сайта им Начало >> Електронно управление >> Политики >> Информационна сигурност, стигнах до страница с крайно претенциозното название „Национален регистър на стандартите“. Претенциозно, защото на нея има само една връзка – „Национален регистър на стандартите за оперативна съвместимост и информационна сигурност„.

Избрах тази връзка, но ме изненада съобщение за грешка: че не съществува такава страница на сайта.

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather