Информационна сигурност? „Няма такава страница“, казва сайтът на Министерството на … информационната сигурност

mtits-404-security

Само преди два дни (11.09.2014) писах за потенциални проблеми със сигурността на интернет-сайта на Министерството на транспорта, информационните технологии и съобщенията (МТИТС) … натоварено с информационната сигурност на държавата.

Днес се поинтересувах какво прави, по същество, министерството в областта на информационната сигурност. Следвайки на сайта им Начало >> Електронно управление >> Политики >> Информационна сигурност, стигнах до страница с крайно претенциозното название „Национален регистър на стандартите“. Претенциозно, защото на нея има само една връзка – „Национален регистър на стандартите за оперативна съвместимост и информационна сигурност„.

Избрах тази връзка, но ме изненада съобщение за грешка: че не съществува такава страница на сайта.

Read more

Преди киберсигурността на останалите, Министерството на транспорта и информационните технологии да оправи своята

Internet Security. Laptop and safe lock.

(снимка: fotolia.com)

Информационната сигурност ми е специалност. Макар и в чужбина, наблюдавам с интерес и се радвам на всяко усилие за по-голяма киберсигурност в България.

Вчера излезе новина за „нови електронни услуги в областта на с киберсигурността„, предоставени от Министерството на транспорта, информационните технологии и съобщенията (МТИТС).

Това ме накара да поразгледам сайта им. Бях удивен да открия, че самото министерство не прилага елементарни и дългогодишни мерки за киберсигурност на собствената си интернет-страница.

Нарушен е дългогодишният стандарт: при въвеждане на пароли за включване („логване“) в сайтове, това да става по криптирана уеб връзка (httpS протокол) – с „катинарче“ до името на сайта в браузъра.  

Не е ясно въобще до какво дава достъп страницата „Персонален достъп“ – дали до някакви допълнителни услуги или документи, които са само за вътрешно ползване? Дали предоставяната след логване информация е предназначена само за служителите на институцията, или за граждани?

Липсата където и да е на сайта на обяснение как се създава акаунт говори, че по-скоро достъпа е до възможности и документи само за вътрешно ползване.

Ако е така, то има опасност хакери или дори любопитни аматьори могат да прихванат достъпа до чуствителна информация. Достатъчно е служител на министерството да се опита да се включи докато е свързан към интернет през публична или недобре защитена WiFi мрежа – името и паролата му за включване могат елементарно да бъдат записани от някой, включен на същата WiFi мрежа.

Read more

От новосъветския съюз (пардон, Русия) ли да се финансират неправителствените организации в България?

Тези дни големи сме свидетели на голямо „възмущение“ у „будни граждани“ като Петьо Блъсков (новият редактор на вестник „Труд“). От страниците на неговата – и на редица други жълти медии, анонимни страхливци смело „обвиняват“ публични личности – предимно от Протестна Мрежа в огромния „грях“ … да работят в организации, финансирани от американски или западни фондации.

Време е да почнем да мислим, да влагаме в съжденията си смисъл и логика. На някой може да му прозвучи подценяващо, че трябва да си обясняваме основни логически и цивилизационни понятия. Но явно такива определено липсват у голяма част от попиващите тези „разкрития“.

Организациите, в които работят някои от най-изявените лица на Протестна Мрежа – като Асен Генов и Антоанета Цонева – се наричат неслучайно НЕПРАВИТЕЛСТВЕНИ (съкратено НПО – Не-Правителствена Организация – и това трябва да поясним, защото някои иначе силно критични към тях идея си нямат какво означава съкращението).

Тоест нефинансирани, неподкрепени от държавни средства, непровеждащи държавната политика. Напротив – в повечето случаи критикуващи, контролиращи я. Или най-малко  независими от нея.

Нали приемаме, че от такъв тип обществени формации въобще има нужда? Би трябвало, защото иначе няма да има независими опоненти на властта. Защото дори най-наивните няма да тръгнат да твърдят, че медиите в България, или пък опозицията в Парламента (която все пак е във властта – макар и не изцяло), изпълняват успешно тази роля. Read more

Протестът от последната година е само началото, успехът предстои – ако сме готови за него

Не преди година, а по-късно – когато Ранобудните превзеха Университета – писах, че няма начин да не успеем. Че няма друг изход освен победата на достойното и свястното над неморалното и пошлото.

Успехът е предстоящата #ОСТАВКА. Точно за да не признаят поражението си, продажните наши „народни представители“ (каква подигравка с двете думи!) не се разделят формално с властта си преди днешната годишнина на Протеста.

Но „Светът е голям и #ОСТАВКА дебне отвсякъде“. Крахът на това откровено олигархично, нагло и про-тоталитарно управление е наистина непосредствено предстоящ.

Дали наистина Протестът от лятото на 2013 е фундаментално различен от досегашното недоволство през годините ще се измери по това: ще си направим ли труда да намерим свестни, достойни хора, които да изберем в следващото управление.

Дали хората в партиите ще изметат ръководствата си и ще сложат начело неопетнени и добронамерени личности.

Дали новите партии – някои от които вече възникнаха, а може би ще видим и още – ще разберат и приемат за най-главна цел промяната на обществения избор, така че той да допуска само хора с достойнство, чувство за чест и отдаденост в обществената полза.

Read more

Отворено писмо до Румен Петков (pogled.info) по повод „анонимните медии“

Здравейте, г-н Петков

Пращам Ви това писмо през Фейсбук, защото на сайта pogled.info все още не мога да намеря нито един начин за връзка с този, който стои зад него – нито име, нито емейл адрес, нито форма за контакт.

Предполагам зад профила https://www.facebook.com/joni.jonov/photos наистина е същият Румен Петков, който е обявил в писмото си на сайта на СБЖ, че поддържа pogled.info (двете имена в този профил във Фейсбук са объркващи, но снимките изглеждат да са на един и същ човек).

През декември публикувах тук, в моят блог, един скромен анализ под името ВНИМАНИЕ: анонимни български “медии”. Избягвайте на всяка цена!

Чак сега – няколко месеца по-късно – намерих случайно Вашата реакция в сайта на СБЖ.

В нея вие доста емоционално и с твърде много обидни епитети изразявате възмущение, което обаче няма основание в моята публикация и критериите за попадане на pogled.info в нея.

Приложих един и същ критерий към всички „медии“ от създаденият от мен списъка: има ли на сайта им име на фирма или лице, което притежава или ръководи медията. Read more

Открито писмо до Румяна Сидерова (и много други членове на ЦИК): да, трябва да си върнете дипломите на юристи

Г-жо Сидерова,

В станалото епохално заседание на ЦИК по повод включените в списъка застъпници без тяхно съгласие двама граждани, вие казвате следното (цитат):

„Откога разглеждаме жалба без подпис? Ние дипломите си на юристи ли трябва да върнем обратно? Няма документи, оформени като жалба, а и няма подпис. Ние започнахме лов на вещици“

Вие определено трябва да си хвърлите дипломата на юрист. Защото очевидно не сте запозната точно със закона, който сте упълномощена да прилагате като член на ЦИК – а именно, Изборният кодекс.

Там законодателят изрично е изброил какви атрибути трябва да съдържа жалбата (цитат):

чл.26 (10) В жалбата се посочва решението, което се обжалва, основанието, имената и адресът на жалбоподателя и телефон, факс или електронен адрес за призоваване.

Да виждате някъде изискване за подпис? Или атрибут, който да липсва в емейлите от жалбоподателите?

Законодателят неслучайно не е изискал изрично подпис, точно защото подаването на много видове документи в България отдавна става – и се приема – по електронен път. Неслучайно е и упоменато изрично изискване на електронен адрес.

В Австралия и Великобритания съдът приема за редовно призоваването по Фейсбук и Туитър.

А Вие – заедно с още няколко членове на ЦИК – явно живеете в свят на необосновани подозрения и теории на конспирацията.

Ето защо трябва да си върнете дипломите за юристи, както и да подадете оставка от ЦИК и никога повече да не заемате обществена длъжност:

Read more

ЦИК можеше да защити много повече тайната на подкрепилите партиите

(публикувана в „Дневник„)

Смятам въведената от ЦИК електронна проверка на подписите за подкрепа на партии като идея, като цяло, за безспорно изключително общественополезна.

И не от няколко дни насам – откогато стана ясно, че има злоупотреби с подписи. Като участник в множество организации на българите в чужбина, от години настояваме за улесняване както на подаването на заявления за гласуване в чужбина, така и за електронна възможност на проверка подкрепата за партии.

Но това не оправдава ЦИК за конкретния начин на реализация на системата.
Като специалист по информационна сигурност се занимавам всеки ден със задачата за защита на личните данни. Абсолютна защита няма – има баланс между степента на защита и цената на реализиране на този баланс. Но в този конкретен случай – не само тези фактори, а и важният елемент на обществена полза.

Какво можеше да направи ЦИК за да е много по-добре защитена тайната на подписалите се:

Read more

Похвала за Външно министерство – уебсайтът им е най-после сигурен

В средата на декември 2013 публикувах доклад за сигурността на уебсайта на МВнР, който показваше над 99 пробойни. Това беше във връзка с публикации в медиите, че сайтът им е бил компрометиран от хакери.

Тогава МВнР отрече да има каквито и да било проблеми със сигурността на сайта си – лъжа, която беше опровергана от публикувания от мен резултат.

Но ето, че в резултат от публикацията ми (надявам се!), която изрично им пратих и по емейл, в момента сайтът им няма нито една потенциална пробойна.

Рядкост е в тези дни да казваме добри думи – особено за компрометирани институции – но когато ги заслужават, трябва да ги похвалим.

От опита: обществени формации с пряка демокрация могат да бъдат едновременно ефективни и демократични

В последните 15 години участвах активно в няколко обществени инициативи, предимно на българи в чужбина. Всички те бягаха от йерархическата, пирамидална организация на дейността си като дявол от тамян.

Това е оправдано до голяма степен. Българското общество видя твърде много злоупотреби на организации с твърде независими управителни органи, които много бързо изневеряват на основните принципи.

Алтернатива на стандартната йерархия с представителни органи на няколко нива е “пряката демокрация”. При нея всеки член на формацията има възможността да участва пряко във вземането на почти всички решения.

Тази алтернатива е особено привлекателна заради лесната й реализация с днешните технически достижения. Интернет предоставя лесно и безплатно възможностите както за дистанционни дискусии, така и за дистанционно гласуване на решения.

Но малко хора са запознати с подводните камъни на подобен нов вид организация. Без механизми за избягване на някои важни потенциални проблеми, една организация с пряка демокрация най-малко ще забави неадекватно много дейността си, а в най-лошия случай – тотално ще спре да работи и ще се разпадне.

Затова обобщавам тук онези организационни механизми във вид на препоръки и основания за тях, почерпени от опита ми в Българският Великден (2000 – 2008 г.), Нова БГенерация (2002 – 2004 г.), Проект 681 (2005 – 2006 г.) и Протестна Мрежа (2013 – 2014 г.):

Read more

Не вярвайте на „и по света са корумпирани като в България“

Всеки ден поне веднъж чувам циници, твърдящи че „хората са еднакви навсякъде“. Целта им е да оправдават – в повечето случаи – нежеланието си да направят нещо срещу нарушения на закона, правилата или етиката. Предпочитат да се оплакват много „звучно“ по Фейсбук, вместо да направят нещо в реалното, за да спрат нарушенията или да привлекат публично внимание върху тях.

Само че – хората по света не са еднакви. И в някои места не са корумпирани, цинични или нагли като имащите някаква власт в България. И не ползват позицията си на държавен орган да затварят устите на гражданите или да нарушават точно закона, който самите те би трябвало да налагат.

Четиринадесет-годишна тинейджърка от Бейтаун, Тексас видяла, че полицейска (повтарям, ПОЛИЦЕЙСКА) кола е паркирана твърде близо до уличен пожарникарски кран на паркинга на жилищната сграда, където живеела.
В Тексас – както и почти навсякъде в САЩ – е нарушение на закона паркиране на по-малко от 5 метра от такъв кран, с който са осеяни улиците на американските градове.

Момичето написало на ръка „акт за глоба“ на стойност $10 – дължими на управата на сградата за нарушението – и го вмъкнало под чистачката на полицейския автомобил.

Когато по-късно полицаят намерил „акта“, се смял много. Обаче не само платил глобата на управата на жилищния комплекс, но и подарил на момичето сертификат за магазин на стойност $40.

Цитиран от новините, полицаят казал „Поуката е да не се притесняваме или страхуваме от правоприлагащите органи. Ние сме тук за да помагаме.“

Сега сравнете с България. Да сте чули някой дори да си е ПОМИСЛИЛ да направи забележка за неправилно паркиране на полицейска кола?

(оригинална публикация на Yahoo News)