© Юлия Лазарова
Дяволът е в детайлите. Ако объркаме някой от тези детайли, рискуваме да продължим да трупаме изоставане в електронното управление.
Анализът е от блога на автора.
Национална схема за електронна идентификация още няма по ред причини, както съм описал тук. Но в даден момент следващата или по-следващата година все ще стане - изпълнителят ще изгради нещо по заданието, ще достави и лични карти, те ще имат чип и на чипа ще се записва удостоверение за електронна идентичност.
Само че когато това стане, няма автоматично да имаме лесно и удобно средство за електронна идентификация и електронното управление да тръгне по мед и масло. Това е едно от трудните неща в електронното управление - че като пуснеш поръчката, след две години не режеш лента, а хората не могат да видят ползите веднага. А в допълнение някои грешки в изпълнението могат да значат пълен провал, а не просто нужда от закърпване.
Затова тези дни се замислих и реших да обобщя нещата, с които трябва да се внимава при изпълнението, за да не получим накрая едни безполезни пластики и всичко да трябва да започне отначало. Да, има детайлно техническо задание, но проблемите по-долу не са функция само на техническата реализация.
Четенето на личната карта - чипът трябва да може да бъде прочетен, иначе картата е безполезна. Би трябвало чиповете да позволяват контактен и безконтактен достъп - контактен, за използване на всички налични четци на електронни подписи тип "карта" (които, мисля, са все по-малко), и безконтактен. Контактното четене е доста неудобно (макар в Естония да е било успешно благодарение на добра кампания за разпространяване на четци, сега сме в друга технологична "ера") и поради това трябва да се обърне внимание на безконтактното като най-масовия начин за използване на картата. В Правилника за прилагане на Закона за електронната идентификация бяхме включили текстове, които да предвиждат идентификация чрез безконтактно четене на телефон, докато потребителят заявява услуга на компютър (или на телефона, разбира се).
Трябва изпълнителят да реализира този процес удобно, със стандартни приложения за различните мобилни операционни системи, така че процесът да бъде: 1. Натискане на бутон "идентифицирай се" при заявяване на услуга 2. Излизане на съобщение на телефона за очаквана идентификация 3. Допиране на картата и написване на PIN (може и в обратен ред, за по-голямо удобство) 4. Успешна идентификация. Трябва да се обърне внимание и на сигурността на безконтакното четене. Към 2016 г. стандартите по темата не бяха масово възприети, така че изпълнителят и възложителят трябва да преценят кой е най-актуалният начин.
Персонализиране на други носители - електронната идентификация не е само "чип в личната карта". Всъщност чипът в личната карта е само една от много възможности. Трябва в рамките на издаването на удостоверение за електронна идентичност да се даде опция за записването му (заедно с частния ключ) на смартфон или на друга карта. Записването на частен ключ на телефон към 2016 г. не беше сигурно (имаше известни атаки), но 4 години по-късно вече е. И в нормативната уредба, и в заданието е заложена възможност за издаване на eID чрез вече съществуващо eID. Т.е. може с еднократно използване на личната карта да се създаде нов частен ключ и удостоверение на телефона и всяка следваща идентификация да не изисква докосване на картата и писане на PIN (а използване на сензора за пръстов отпечатък). Тези опции са заложени и напълно възможни, но трябва и възложителят, и изпълнителят да съблюдават те да се случат по този начин.
Електронно подписване - между електронна идентификация и електронен подпис има съществена разлика (едното е "да си покажеш личната карта", другото е "да се подпишеш"). Много услуги изискват подпис за заявяване (или за попълване на някоя декларация), което би направило електронната идентификация почти безполезна с изключение на някои справочни услуги. Именно затова е ключов чл. 22, ал. 5 от Закона за електронното управление, изрично позволяващ заявяването на услуги от физически лица да е допустимо с неквалифициран електронен подпис (а с усъвършенстван). На практика това значи, че всяка съществуваща и бъдеща услуга трябва да може да бъде подписвана със същите криптографски ключове (или производни на тях), използвани за електронната идентификация.
Това би представлявало усъвършенстван електронен подпис и няма да се налага освен личната карта да имате и квалифициран електронен подпис (още повече че преди 2 години законодателят махна опцията личните карти да поддържат електронни подписи, не е много ясно защо, освен може би заради техническите изисквания към чиповете). Европейската комисия изрично посочва, че държавите членки определят с какъв вид подпис могат да се ползват административни услуги, та ние се възползвахме от тази опция. Има и още една опция, но тя е по-трудна - да се променят всички закони, наредби, правилници, заповеди и вътрешни правила и навсякъде да се посочи, че не се изисква подпис за електронно заявяване. Но това е непрактично и крие рискове.
Дори картата (и приложението на смартфона) да могат да слагат криптографски подпис, това няма да е достатъчно. Съществуващи услуги, използващи различни средства за подписване, ще трябва да бъдат интегрирани. Може да се наложи дори разработване на специален драйвер, който настоящите аплети и приложения за подписване да заредят, за да бъде опакован криптографският подпис от смарткартата в електронен подпис по смисъла на законодателството. Тези процеси трябва да бъдат разписани и тествани.
Интеграция на системи - в рамките на проекта трябва да бъдат изготвени компоненти за лесна интеграция на системи. Никоя система няма по подразбиране да поддържа електронната идентификация и трябва бързо да могат да се надградят. Т.нар. SDK, примерен код на различни езици и стандартни приложения за различни операционни системи (десктоп и мобилни), са част от техническото задание, но на тях трябва да бъде обърнато особено внимание - в противен случай ще имаме в джоба си нещо, което не можем да използваме никъде.
Извън самия проект трябва останалите институции да са подготвени за това - да имат разписани малки проекти за надграждане на съществуващи системи, така че да интегрират електронната идентификация. Това може да става дори паралелно с изграждането на системата за електронна идентификация, защото стандартите за комуникация са ясни, а някои части от проекта ще бъдат доставени преди неговия край.
Не на последно място трябва да бъде реализирана идентификация на юридически лица чрез връзка в реално време с Търговския регистър (и РЮЛНЦ, и Булстат), за да се избегнат проблемите, които произтичат от сегашното решение с КЕП. Това предполага надграждане на системи и понякога промяна на процеси.
Цялостна архитектура на федерираната идентификация - националната схема за електронна идентификация е само една от няколко опции. Вече има частни схеми за идентификация, отдавна има всевъзможни ПИК-ове, които макар и от ниско ниво, минават за идентификация по Регламент 910/2014. Има и необходимост да се поддържат електронните идентификации на всички държави членки. Трябва максимално бързо да бъде разписана архитектура на федерирана идентификация, която да позволява на гражданите да ползват всяка услуга с подходящо за целта средство. Първо, с надграждането на административния регистър (което също трябваше да е станало отдавна) трябва да се добавят нивата на осигуреност на идентификацията, която дадена услуга изисква. След това трябва да има т.нар. eIDAS възел, който да позволява интеграция с европейските схеми.
Трябва да бъде подготвена архитектура и на местно ниво - как частни схеми и/или частни центрове за електронна идентификация да си общуват с националната схема. Къде в картинката стои и настоящата система за е-автентикация на ДАЕУ, която от временно решение се превръща във все по-устойчиво такова. За щастие всички тези системи "говорят" (и трябва да говорят според нормативните изисквания) на един "език" - протоколът SAML 2.0. Но кой кого извиква, с какви параметри, кой какви регистри държи и какво позволява; как се извършва подписване при схеми, които не са националната (напр. чрез съхраняване на SAML 2.0 assertions), и не на последно място - как да бъде осъвременена нормативната уредба с всичко това. Сложни въпроси, които трябва да намерят отговор в следващите 6 месеца, за да не се окажем в батак, в който всичко е толкова фрагментирано, че много малко хора да могат да ползват услугите, които искат, със средството за идентификация, което имат.
Може би стана прекалено техническо, но дяволът е в детайлите. Ако объркаме някой от тези детайли, рискуваме да продължим да трупаме изоставане в електронното управление, а закъснялата електронна идентификация да не донесе позитивните резултати, с каквито очаквания е натоварена.
Рубриката “Анализи” представя различни гледни точки, не е задължително изразените мнения да съвпадат с редакционната позиция на “Дневник”.
nhh18551388
Рейтинг: 683 ЛюбопитноНа Божо май са му дали задачка полека да започне да отваря прозорецът на Овертон.
spj3964O578
Рейтинг: НеутралноС чипиране на дясната ръка или на челото; ама за всички без изключение - малки и големи, богати и сиромаси, свободни и роби ...
edin drugii
Рейтинг: 2356 НеутралноТака добре описаната система за идентификация действа успешно в Естония и там електронното правителство е на много високо ниво ,а услугите улесняват гражданите в отношенията с администрацията , този проект е даден на българското правителство от години , но никой нищо не придвижва напред .
moreee
Рейтинг: 1357 ЛюбопитноВ Русия всеки граждани има акаунт в Госуслуги. От там можеш да правиш всичко. От да си запишеш час при лекар до регистрация на колата. Показва ти дължими данъци, глоби и т.н. Можеш да си поръчаш нов паспорт, шоф.книжка. Толкова ли е трудно това да се направи и у нас? Защо тука трябва да се разкарваме по гишетата като гламави?
Незнайко в Слънчевия град
Рейтинг: 5751 НеутралноДо коментар [#3] от "edin drugii":
"Свестните у нас считат за луди, глупецът вредом всеки почита" Хр. БотевЕстония е с население, по-малко от това на София.
moreee
Рейтинг: 1357 НеутралноДо коментар [#5] от "Незнайко в Слънчевия град":
"Естония е с население, по-малко от това на София."
Русия е 140 млн и има същата система.
jinx
Рейтинг: 267 НеутралноПловдивчани имат ли електронно местно управление?
Ebeneezer Goode
Рейтинг: 691 НеутралноБожо има много правилни разсъждения. В много грешен контекст.
Schrödinger's cat walks into a bar. And doesn'tТой си мисли, че някой иска да има реализирано електронно управление.
ГЕРБ са се усъвършенствали в това, как хем да се правим, че вършим една работа, хем да не я свършим, хам да откраднем на макс. И после пак отново.
Да не говорим, че и Андрешко не иска. Може пък да го накрата да си плаща "всички" (?) данъци. Той иска ако може да не плаща "никои"! Но да има безплатно училище, здравеопазване и полицаите да ловат само лошите, но не и него.
pafaka22
Рейтинг: 867 НеутралноИ досега не бях оптимист за скорошно въвеждане на електронна идентификация, но като причетох тази статия съвсем се отчаях.
Техническата част вероятно не е проблем, но административния капацитет определено ни липсва.
Deaddark
Рейтинг: 2534 ВеселоПо един личен таблет вместо лична карта и готово.
razor
Рейтинг: 968 ВеселоПандемията разкри неподозирани възможности за иновации във всички области. Нека изчакаме да започне ваксинирането и съпътстващото наночипиране ще разреши въпроса с идентификацията.
razor
Рейтинг: 968 НеутралноТолкова по-голямо е постижението им, защото системата е една и съща, независимо от броя на населението, но нямат икономия от мащаба.
Smoke
Рейтинг: 633 НеутралноБожо, дори и аз, който се занимавам с такава материя от 13 години, се обърках от твоите обяснения. Не е тук мястото за такива обяснения и детайли. Опитваш се тук да даваш акъл на отговорните фактори, а това тук не е мястото и начинът за това. Явно се чувстваш обиден и пренебрегнат, че си компетентен по темата, а те са те заобиколили и не се допитват до теб.
И недей да подвеждаш хората, обяснявайки им как няма значение дали е усъвършенстван електронен подпис или квалифициран електронен подпис. Технически (алгоритми и протоколи) може да е същото, но сигурността е съвсем различна поради начина на съхранение на ключовете. По никакъв начин не може да се сравнява високата сигурност на квалицифирания подпис (където ключът никога не напуска хардуера - чипа) с подпис, чийто ключ може да се трансферира на друго устройство (напр. на телефон). Щом може да се трансферира, то може и да се открадне.
Darulio
Рейтинг: 1178 НеутралноДо коментар [#4] от "moreee":
Perhaps you and I have lived with this miracle too long to be properly appreciative. Freedom is a fragile thing and is never more than one generation away from extinction. It is not ours by inheritance; it must be fought for and defended constantly by each generation, for it comes only once to a people. Those who have known freedom and then lost it have never known it again. #ОСТАВКАИзмисли как Шайката да изкара пари от електронното правителство и ще видиш как ще изпреварим технологично целия свят.
До коментар [#13] от "Smoke":
Байно, като се занимаваш с това от немнайсе години, да се беше научил и да четеш като хората. Още първото изречение гласи, че текстът е от блога на Божо, т.е. таргет групата не е ботовете от Дневник, а по-квалифицирани люде.
И между другото, след като се занимаваш с това, би било добре да прочетеш и публикацията в блога на Божо "Каква е разликата между електронната идентификация и електронния подпис?". Там е засегнато защо е окей електронната идентификация да може да бъде трансферирана (на телефон например), а КЕП - не.
Апропо, личната ти карта също може да бъде открадната, нали?
pet_fire
Рейтинг: 5320 РазстроеноНие сме орисани да чакаме по опашки за административни услуги
Smoke
Рейтинг: 633 НеутралноДо коментар [#14] от "Darulio":
Сладък мой, когато някой дава съгласие на някого да препечатва неща от блога му, трябва да преценява къде ще се препечатва.
Когато ти откраднат смарткартата с КЕП, с нея могат само да се снимат. Защото след няколко грешни въвеждания на PIN чипът ще се блокира. С личната карта с чип е същото. Хубаво е малко да се поограмотите.
Роси
Рейтинг: 7912 Неутрално"рискуваме да продължим да трупаме изоставане в електронното управление"
Нали имаше един Дончев, дето милиарди изхарчи, ходи и в Естония да гледа, и нищо не научи , и нищо не направи. Обаче парите ги няма.
Darulio
Рейтинг: 1178 ВеселоДо коментар [#16] от "Smoke":
Perhaps you and I have lived with this miracle too long to be properly appreciative. Freedom is a fragile thing and is never more than one generation away from extinction. It is not ours by inheritance; it must be fought for and defended constantly by each generation, for it comes only once to a people. Those who have known freedom and then lost it have never known it again. #ОСТАВКАТ.е. трябва да мислиш какво пишеш, щото след Х време някой може да реши да го препечата в сайта си? Я кажи още нещо "умно" да се посмея. 😂😂😂
P.S. Последното изречение не беше много смислено, но предполагам, че и то беше някаква несвързана глупост и затова и на него се смях с пълен глас. 😂
vlado67
Рейтинг: 41 НеутралноНе разбирам, защо е нужно това ниво на сигурност, водещо от десетилетия само да купуваш разни джаджи за да се доказваш, че си ти и някой да ти взима парите ..!? Е,.. всеки с малко опит като потребител на ел.правителство и в страната и чужбина, особенно второто ще ви каже, че това (доказването ти пред ел.правителството ил това на общината) е работа на последните!!!
Например за Великобритания е-гов можеш съвсем лесно да го имаш. Трябва да имаш просто проследимост от тях! Къде си живееш/ял, телефон за потвърждаване, ел-поща, и събития, предмети, лични даннни и др. свързани с товят личен живот (например имаш кредит ..колко е остатъка по кредита преди 17 месеца, също може да е към коя фин иснституция, телефоният ти провайдер и т.н. и т.н.! Т.е. Те правят бот- анкета с въпроси, които нормално е ти ги знаеш, и можеш да си набавиш инфо, за което и те занят и те те запитват. Отговаряш и си готов! Също ползват база данни от кредитните бюра като Ексиприан, Екуйфакс и още едно..забравих името... и т.н. И да, например ел.индетификация можеш и през Екуйфакс (по договор с държавата) да си направиш.. После в е-гов посочваш пътя дали директно или през Екйифакс си се индентифицирал. А ..след това като се регистрираш, предполагам освен ботове и живи хора те сканират за измама... и те разкопчават от достъп и ти вдигат флага!!! Тяхана си работа ....е да те индетифицират а не да имаш два джоба с джаджи за да доказваш.. !! Е, със статуса за отседналост се ..изложиха, но ...то е за европейците все пак! :) Трябваше да имаш смарт телефон та с НФС (NFC) .. но тон време не можаха да го пригодят за Ябълковите у-ва ... и т.н. само и само за да ти изсмуче данните и прочете паспорта!
та... повече джади повече ядове.... рискът и профилът му е въпрос на професионално познаване, а средствата са спямо риска!!
И да, к'во толкова може да да искаш от държавата в е-гов!?? Колкото по малко толкова по добре е истината, и само ако ти трябват! Не са толкова много нещата които можеш да посикаш и ти трябват, е.. може би надвнесни данъци!? Да, ..но можеш и да се обадиш и по телефон, де.. и пак ти ги връщат!!! Та .. мислете с главите когато предлагате супер неясни неща!!!
vadrigar
Рейтинг: 525 Гневно"Сложни въпроси, които трябва да намерят отговор в следващите 6 месеца, за да не се окажем в батак"
Ще се окажем в батак. Или по-скоро следващото правителство ще започне отначало защото ГРОБ са усвоили парите, а резултат 0.
pavur
Рейтинг: 1382 НеутралноYour DNA will be your data.
Отдавна сме чупирани- никой не излиза без телефона си , дебитна- кредитна карта , застрахователите правят ДНК тестове и анализ ( засега по желание) , знаят ни и кътните зъби по начина по който ползваме интернет и браузърите .
Златният милиард е с вилицата на врата ,другите са оставени на произвола като излишна биологична маса за тестове.
Затуй фондацията GAVI провежда масови ваксинации в третия свят и тества системата ID 2020 именно там.
У " цивилизования" свят засега не смее ,обаче иде ваксинацията срещу Ковид.
Честито.
bzm
Рейтинг: 397 НеутралноКуцо,кьораво и сакато събират ЛД !
Пенсионерите,средната класа на България! И запомнете:Всички политици са маскари!ivan_v
Рейтинг: 280 ВеселоАко нямаме електронна идентичност/ електронно управление значи някому това е нужно...
m17
Рейтинг: 2413 НеутралноДо коментар [#13] от "Smoke":
А най-смешни са ми "облачния КЕП". Дори да предположим че някъде "в облака" наистина има специализиран хардуер който да съхранява частния ключ (а не едно монго) то "облачността" веднага разрушава основната аксиома "имаш нещо и знаеш нещо".