Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Сигурност на
електронното управление
Божидар Божанов
За мен
• Съветник за електронно управление към
кабинета на вицепремиера Румяна
Бъчварова
• @bozhobg
• http://techblog.bozh...
Status quo
• Security through obscurity
• SQLi, XSS, plaintext пароли, други “дупки”
• остарели сървъри и протоколи
• egov...
Причини
• Липса на вътрешна експертиза
• Некомпетентни изпълнители
• Изтекли договори с изпълнители
• Липса на координация
Open source
• Чл. 58а от Закона за електронното
управление: всички компютърни
програми, предмет на обществена
поръчка, са ...
Какво ще реши?
• По-високо качество
• Peer pressure
• Възможност за независими наблюдатели
• Pull Request, hotfix
• Преизп...
Кой ще го прилага?
• Държавна агенция “Електронно
управление”
• Публичен регистър на проекти и дейности
• Dev portal
• Вси...
Open source - по-сигурен?
• Дискусионен въпрос
• Heartbleed, shellshock
• Wordpress - 18 уязвимости за 2016-та
• Държавния...
Електронна идентификация
• Сигурен login
• Доказване на самоличност онлайн
• Смарткарти със защитен профил
• PIN, опция за...
Сигурност на данните
• Нерегламентиран достъп
• Одитна следа
• Изтриване и подмяна
• Изтичане на данни
Наредба към ЗЕУ
• Всяка информационна система:
• Insert-only
• Одитна следа
• Криптографски защитени данни (log chaining?)...
Технически задания?
• Шаблон за технически задания
• Изисквания за интеграция, уеб-услуги,
документация
• Сигурност: всичк...
Срокове?
• Законът е приет - юли 2016-та
• Предстои обсъждане на наредбата +
шаблона за технически задания:
октомври 2016-...
Как да се включим?
• Обратна връзка и дискусии:
• Към мен
• facebook.com/egovbg
• discuss.government.bg
• Следене на githu...
Въпроси?
Upcoming SlideShare
Loading in …5
×

Сигурност на електронното управление

295 views

Published on

Какви са проблемите със сигурността на електронното управление, и как би помогнал отворените код, електронната идентификация и общите правила за достъп

Published in: Government & Nonprofit
  • Be the first to comment

Сигурност на електронното управление

  1. 1. Сигурност на електронното управление Божидар Божанов
  2. 2. За мен • Съветник за електронно управление към кабинета на вицепремиера Румяна Бъчварова • @bozhobg • http://techblog.bozho.net • http://blog.bozho.net
  3. 3. Status quo • Security through obscurity • SQLi, XSS, plaintext пароли, други “дупки” • остарели сървъри и протоколи • egov.bg • ?na_bratcheda_jenata=1 • ...кой знае какво още • Ниско качество • Abandonware, vendor lock-in
  4. 4. Причини • Липса на вътрешна експертиза • Некомпетентни изпълнители • Изтекли договори с изпълнители • Липса на координация
  5. 5. Open source • Чл. 58а от Закона за електронното управление: всички компютърни програми, предмет на обществена поръчка, са с отворен код от ден 1 • Публично хранилище (http://github.com/governmentbg)
  6. 6. Какво ще реши? • По-високо качество • Peer pressure • Възможност за независими наблюдатели • Pull Request, hotfix • Преизползване и развиване на компоненти • Добри практики
  7. 7. Кой ще го прилага? • Държавна агенция “Електронно управление” • Публичен регистър на проекти и дейности • Dev portal • Всички ние
  8. 8. Open source - по-сигурен? • Дискусионен въпрос • Heartbleed, shellshock • Wordpress - 18 уязвимости за 2016-та • Държавният софтуер не е популярен • … но рядко е публичен + критичен • архитектура: FE + BE компоненти • стандартни библиотеки пазят от RCE, SQLi, и т.н.
  9. 9. Електронна идентификация • Сигурен login • Доказване на самоличност онлайн • Смарткарти със защитен профил • PIN, опция за 3-ти фактор • SAML 2.0, OpenID Connect • Одитна следа, secure timestamp • Разбира се - с отворен код
  10. 10. Сигурност на данните • Нерегламентиран достъп • Одитна следа • Изтриване и подмяна • Изтичане на данни
  11. 11. Наредба към ЗЕУ • Всяка информационна система: • Insert-only • Одитна следа • Криптографски защитени данни (log chaining?) • HTTPS, TLS 1.2 • Предоставяне на данни само при правно основание • Защита от изтичане на данни? (data dumps)
  12. 12. Технически задания? • Шаблон за технически задания • Изисквания за интеграция, уеб-услуги, документация • Сигурност: всичко от наредбата + • OWASP • bcrypt/scrypt/PBKDF2 • Rate limiting • И др.
  13. 13. Срокове? • Законът е приет - юли 2016-та • Предстои обсъждане на наредбата + шаблона за технически задания: октомври 2016-та. • Приемане: ноември 2016-та. • До края на 2018-та - всички първични регистри и нови системи
  14. 14. Как да се включим? • Обратна връзка и дискусии: • Към мен • facebook.com/egovbg • discuss.government.bg • Следене на github.com/governmentbg
  15. 15. Въпроси?

×