сряда, 27 януари 2010 г.

Личното и публичната администрация в България

Покрай поредния опит да се прокара законно следене на лична комуникация в България се развихриха странни дискусии, вкл. на тема "имам ли какво да крия". Странното е, че много рядко се споменават теми като граждански контрол, технологични възможности или гаранции за защита на събраните данни. В същото време в България традиционно се злоупотребява с лични данни от всевъзможни институции. Наскоро нашумя историята на Еленко Еленков за начина, по който се получават пакети от чужбина.

Но един друг огромен проблем - за който рядко се говори - е публичният достъп до лични данни. Само два примера са Търговският регистър, откъдето могат да се научат личните данни на всеки, който някога е бил в ръководството на фирма, и НОИ, където по ЕГН може да бъде разбрано името на човек. Това улеснява например изработката на фалшиви лични документи.

Неадекватността на ситуацията се подчертава още повече от факта, че след като явно в НОИ са разбрали, че има проблем, те са взели някакви мерки. В резултат можем да прочетем този текст от главната страница на сайта:
Уважаеми Г-жо/ Г-не,
Националният осигурителен институт е въвел допълнителен код при проверка на здравноосигурителния статус. Предлаганата услуга е предназначена за персонална проверка. Допълнителното изискване е поставено с цел защита на Вашите лични данни от неоторизиран достъп. Кодът е случаен и съдържа поредица от шест символа, които трябва да бъдат въведени от клавиатурата точно – букви на латиница (без значение малки или главни) и цифри.
Става дума за така наречения CAPTCHA код, който е средство да бъде ограничен достъпа на автоматизирани системи. Това обаче по никакъв начин не възспира други форми на неоторизиран достъп. Друга по-адекватна мярка, която са взели, е ограничаването на видимата информация след подаване на заявка. И все пак проблемът остава.

Когато бъде признат този проблем, възниква една друга трудност: огромните усилия и средства, които са необходими да бъде реално подобрена практиката във всяка една конфликтна ситуация.

Но най-лошото е, че голяма част от българското общество продължава да не осъзнава, че изобщо има проблем.

7 коментара:

  1. Сайтовете на държавната администрация не отговарят на никакви критерии за ползваемост. Безумната употреба на CAPCHA е само едни от примерите. За да направите справка в Търгговски регистър или в сайта на НАП трябва да въведете разкривени букви на латински, което мен ме обижда. Обиждат ме не латинските букви, а факта, че някой се опитва да направи недостъпна база данни за този, който е платил за това (данъкоплатеца). Защо на европейския сайт за проверка на VAT ID - http://ec.europa.eu/taxation_customs/vies/vieshome.do или пък на Ирландския търговски регистър ( http://www.cro.ie/search/ ) няма да видите никаква CAPCHA, а на българските им аналози ( https://inetdec.nra.bg/pls/pub/home.html#/selectService:6,8,rep.Vatquery.home ) и ( https://public.brra.bg/CheckUps/Default.ra?0 ) освен гадна CAPCHA ще ви посрещне и https с роот сертификат, който нямате!?!

    Стига сме се страхували да направим нещо полезно за другите, пък макар и да не ни плащат за това. Трябва да разберем (поне тези, които смятат да останат да живеят в България), че трябва да правим нещата така, че да са полезни за другите около нас.

    В конкретния случай с регистрите на държавната администрация, трябва наместо CAPCHA , да се сложи web-api (лесен начин за достъп от други софтуерни приложения). По този начин малкото останали в България софтуерни фирми ще могат да интегрират информацията от публичните регистри в своите софтуерни приложения.

    Например: идват ти нови клиенти, пишеш първите 3-4 букви от името на фирмата им и от падащо меню ти излизат 10-20 фирми, които започват така. Избираш фирмата на новите си клиенти и фактурата излиза с правилно попълнени данни. По този начин вероятността за грешки намалява и ще се облекчи работата както на фирмите, така и на данъчните.

    В много модерни блогове и форуми се използва CAPCHA, но там тя е за защита от постване чрез ботове, което е съвсем различно от справката. Представяте ли си Google да беше сложил CAPCHA на търсачката си?

    ОтговорИзтриване
  2. Да, това е един друг много голям проблем, за който причината е абсолютната техническа некомпетентност на тези, които възлагат държавните поръчки. Това не е проблем само по себе си, стига във процеса да се въвличаха експерти-консултанти, които да компенсират със експертно мнение.

    Тук би било уместно да се сетим за поговорката, че евтиното излиза по-скъпо: ако не в преки разходи, то поне в намаляване на производителността на хилядите, които ползват системите.

    ОтговорИзтриване
  3. При НОИ има голямо подобрение, но отчасти то се изразява в затваряне на сайта :D

    ОтговорИзтриване
  4. който иска да изработи фалшиви лични документи ще намери начин да си набави нужното; така че личните данни в търговския регистър са важни за да може в някаква степен да се знае кой кой е;

    ОтговорИзтриване
  5. Това е един баланс между прозрачност и лично пространство, нали?
    Имам колеги, които специализират в теми като доверие и лични данни. За тях такива примери са много удачни примери за лош баланс. Проблемът обикновенно произлиза от там, че никой не си е направил труда да анализира защо е необходимо нещо такова, как са го направили на други места и как трябва да изглежда едно конкретно решение за нашата среда.
    Позовавам се на колегите ми, защото в тази област аз не съм специалист, но покрай тях имам някакъв изграден поглед.

    ОтговорИзтриване
  6. Какво се случва, когато някой в САЩ публикува своя social security number: http://www.wired.com/threatlevel/2010/05/lifelock-identity-theft/
    Може ли това да стане в България само с помощта на ЕГН? Мисля, че услугите у нас още не са на това ниво. Но дали ЕГН-тата ще се променят докато услугите дорастнат?

    ОтговорИзтриване
  7. http://dnevnik.bg/bulgaria/2010/06/08/914013_turgovskiiat_registur_v_pat_mejdu_publichnostta_i/
    Проблемът е забелязан. Спорът е на ниво Левски-ЦСКА. А решение е единствено възможно ако някой се опита да направи безпристрастен анализ. Но може би и това ще стане след някое и друго десетилетие

    ОтговорИзтриване