SlideShare a Scribd company logo

Антикорупционен софтуер

Download as PPTX, PDF
Bozhidar Bozhanov
Bozhidar Bozhanov

В обществения сектор (или иначе казано - държавата) се създава много софтуер, от който зависят милиони левове и са концентрирани големи интереси. Наивно е да се смята, че просто защото нещо е електронно, то корупцията е елиминирана. Напротив, ако не бъде направен както трябва, софтуерът може включително да създаде нов вид, "електронна" корупция. Именно затова трябва да приложим няколко не толкова прости принципа и техники, за да получим аниткорупционен софтуер.

Government & Nonprofit
1 of 24
Антикорупционен софтуер Божидар Божанов
За мен ● Софтуерен инженер и архитект ● Министър на електронното управление (2021-2022) ● Народен представител в 47-мото, 48-мото и 49-тото Народно събрание ● https://techblog.bozho.net ● Twitter: @bozhobg
Електронно управление се постига с (много) софтуер
Какво зависи от софтуера в държавата? ● Разходване на средства ● Кокректност на данни ● Ограничаване на достъпа до чувствителни данни ● Разпределение на преписки ● Проследимост на процеси ● …
Две важни свойства 1. Софтуерът да спира “хартиената корупция” 2. Софтуерът да не генерира нови начини за “електронна корупция”
Основни антикорупционни принципи ● Одитируемост ● Проследимост ● Интегритет (защита срещу манипулация) ● Правно-значимо използване на криптография ● Адекватен IAM (идентичност и контрол на достъпа) ● Защита на данните от изтичане и загуба ● Прозрачност ● Случайно разпределени ● Валидация на данните ● Автоматизиран анализ на риска
Одитируемост ● Ако не можеш да одитираш една система, тя със сигурност генерира корупция ● Актуален изходен код ○ Code-available за комерсиални системи ○ Пример: Тол системата ● Документация ● Достъп до базата данни от страна на институцията ● Мрежова архитектура и мерки за сигурност
Проследимост ● Одитна следа на всяко действие и събитие ○ Приложение, база данни, операционна система ○ Други - Firewall, SIEM, софтуер за виртуализация, софтуер за бекъп и т.н. ● Пример: тол системата ○ “Одит лога в базата данни е спрян, защото заема много място” ○ Кой може да добавя и изтрива автомобили от ignore-списъка? ○ Кой може да търси в историята на преминаванията? ○ Кой може да изтрива глоби директно в базата? ● Пример: ВетИС ○ “Как са се появили тези животни тук?” ○ Последен лог на сървъра - от преди няколко години ● Добър пример: ЦАИС ЕОП
Проследимост ● Одитна следа на всяко действие и събитие ○ Приложение, база данни, операционна система ○ Други - Firewall, SIEM, софтуер за виртуализация, софтуер за бекъп и т.н. ● Пример: тол системата ○ “Одит лога в базата данни е спрян, защото заема много място” ○ Кой може да добавя и изтрива автомобили от ignore-списъка? ○ Кой може да търси в историята на преминаванията? ○ Кой може да изтрива глоби директно в базата? ● Пример: ВетИС ○ “Как са се появили тези животни тук?” ○ Последен лог на сървъра - от преди няколко години
Проследимост ● Одитна следа на всяко действие и събитие ○ Приложение, база данни, операционна система ○ Други - Firewall, SIEM, софтуер за виртуализация, софтуер за бекъп и т.н. ● История на промените (напр. Търговския регистър) ● Пример: тол системата ○ “Одит лога в базата данни е спрян, защото заема много място” ○ Кой може да добавя и изтрива автомобили от ignore-списъка? ○ Кой може да търси в историята на преминаванията? ○ Кой може да изтрива глоби директно в базата? ● Пример: ВетИС ○ “Как са се появили тези животни тук?” ○ Последен лог на сървъра - от преди няколко години
Интегритет и правно-значима криптография ● Интегритет = истинска проследимост ● Tamper-evidence (merkle trees, hash chains, trusted timestamps) ● Гарантиране на интегритета на документи ○ В МЕУ включихме tamper-evidence в деловодството преди година и половина ● Публикуване на хешове (!!! :) ) ● Електронни времеви печати (trusted timestamps) на всяко значимо действие ○ Гаранции срещу антидатиране ● Електронно подписване на документи ○ Non-repudiation ● Публичност на печатите и подписите с цел проверка ● Частни ключове - в HSM или смарткарти
Identity and access management ● Проследимост, но на кого точно? ● Управление на акаунти, роли ● Интеграция с HR система за отразяване на напуснали служители и отпуски ○ Пример: АМС ● Двуфакторна автентикация ● FIDO ● Privileged access management (PAM) за администратори ○ “Кой какво и защо е пипал” ○ Вътрешен саботаж на PAM ○ Добър пример: ЦАИС ЕОП
● Криптиране ○ На ниво запис, с отделни ключове, за много чувствителни данни ● Анонимизиране/токенизиране/псевдонимизиране (напр. здравни данни в НЗИС) ● Database activity monitoring (DAM) ● Управление на резервни копия и архиви ○ Криптиране, управление на ключове ● Защо? ○ Данни могат да се продават “на черно” - данни на ГРАО, ИАЛ, НЗОК, НСИ, НАП и др. ○ Изтичането на чувствителни данни може да създаде сериозни кризи Защита на данните
● Колкото повече данни са публични, толкова по-малко може да се злоупотребява ● Когато нещо вече е публично, не може да се “почисти” ● Видимост върху системни проблеми ● В колкото по-реално време, толкова по-дборе ● Пример: СЕБРА, обществени поръчки ● Предложения по ЗДвП: отворени данни за актове и електронни фишове Прозрачност
● На дела, проверки, преписки ● Публично-проверимо случайно разпределение ● Сигурен източник на “случайност” (напр. Decentralized Randomness Beacons) ● Централизирана система за случайно разпределение в съдебната власт ○ Отчитане на натоварване и специализация ● Примери: съд, прокуратура, контролни органи, Агенция по вписванията, МВР… Случайно разпределение
● Ама това не е ли очевидно? ● “Корупционна кирилица” ● Валидиране на входа, а не ръчно пост-фактум (напр. НЗОК) ● Проверка на представителна власт ● Проверка на статус на лице (напр. починали лица) Валидация на данни
● Всяка система трябва да анализира корупционния риск и рискът от измами ● Пример: онлайн регистрация на автомобили ● Пример: здравеопазване ○ анализ на шаблони на продажба на скъпоструващи лекарства ○ анализ на поведението на търговци при намаляване на количествата ● Конфигурируеми параметри, а не част от кода (знам, че е очевидно…) Автоматизиран анализ на риска
Как? ● Закони ● Наредби ● Технически спецификации ● Договори ● Системни проекти ● Текущ и последващ контрол
В законодателните ми инициативи винаги залагам някои от горните компоненти
Защо не са оправени? ● “Няма го кода” ● “Няма действащ договор” ● “Няма я фирмата” ● “Да, добре, ще го направим” ● “Няма нормативно основание” ● “Не е предвиден бюджет”
Правилните неща отнемат много усилия. Грешните неща се случват “от само себе си”.
Софтуерът може да ограничи значително корупционния риск.
Благодаря!
Въпроси?

Recommended

Безопасност и защита при Cloud computing
Безопасност и защита при Cloud computingБезопасност и защита при Cloud computing
Безопасност и защита при Cloud computingDaniela Chudomirova
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015Code Runners
 
Netsec
NetsecNetsec
Netsecaltyalex
 
Презентация Фатих
Презентация ФатихПрезентация Фатих
Презентация ФатихFatih Dmrl
 
Отворен код в държавата
Отворен код в държавата Отворен код в държавата
Отворен код в държавата Bozhidar Bozhanov
 
Пътна карта за електронно управление
Пътна карта за електронно управлениеПътна карта за електронно управление
Пътна карта за електронно управлениеПолитически кабинет на вицепремиера Румяна Бъчварова
 
PKI referat
PKI referatPKI referat
PKI referatKalina89
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummiesCode Runners
 

Recommended

Безопасност и защита при Cloud computing
Безопасност и защита при Cloud computingБезопасност и защита при Cloud computing
Безопасност и защита при Cloud computingDaniela Chudomirova
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015Code Runners
 
Netsec
NetsecNetsec
Netsecaltyalex
 
Презентация Фатих
Презентация ФатихПрезентация Фатих
Презентация ФатихFatih Dmrl
 
Отворен код в държавата
Отворен код в държавата Отворен код в държавата
Отворен код в държавата Bozhidar Bozhanov
 
Пътна карта за електронно управление
Пътна карта за електронно управлениеПътна карта за електронно управление
Пътна карта за електронно управлениеПолитически кабинет на вицепремиера Румяна Бъчварова
 
PKI referat
PKI referatPKI referat
PKI referatKalina89
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummiesCode Runners
 
Security Log Management
Security Log ManagementSecurity Log Management
Security Log ManagementLogMan Graduate School on Knowledge Economy
 
Сигурност на електронното управление
Сигурност на електронното управлениеСигурност на електронното управление
Сигурност на електронното управлениеBozhidar Bozhanov
 
GDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниGDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниPavlin Koldamov
 
Електронна идентификация
Електронна идентификацияЕлектронна идентификация
Електронна идентификацияBozhidar Bozhanov
 
Симетрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияСиметрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияKaloyan Kosev
 
Лекция първа Security
Лекция първа SecurityЛекция първа Security
Лекция първа SecurityLogMan Graduate School on Knowledge Economy
 
Електронни терористи ли сме
Електронни терористи ли смеЕлектронни терористи ли сме
Електронни терористи ли смеBogomil Shopov
 
Електронни терористи ли сме?
Електронни терористи ли сме?Електронни терористи ли сме?
Електронни терористи ли сме?Kaloyan Tsvetkov
 
Архитектура на електронното управление
Архитектура на електронното управлениеАрхитектура на електронното управление
Архитектура на електронното управлениеBozhidar Bozhanov
 
Методи за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниМетоди за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниd_e_n_i_8_7
 
Арх. Борислав Игнатов
Арх. Борислав ИгнатовАрх. Борислав Игнатов
Арх. Борислав ИгнатовEmil Hristov
 
Big Data Security
Big Data SecurityBig Data Security
Big Data SecurityMiroslav ヅ
 
криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиранеGeorgi Georgiev
 
Data Retention
Data RetentionData Retention
Data Retentionguestc9f253c
 
Цифровият подпис-теория и практика
Цифровият подпис-теория и практикаЦифровият подпис-теория и практика
Цифровият подпис-теория и практикаe_ivanova
 
Технически гаранции и процедури за електронното гласуване
Технически гаранции и процедури за електронното гласуванеТехнически гаранции и процедури за електронното гласуване
Технически гаранции и процедури за електронното гласуванеBozhidar Bozhanov
 
методи за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниметоди за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниGeorgi Georgiev
 
20080925 Социален инженеринг
20080925 Социален инженеринг20080925 Социален инженеринг
20080925 Социален инженерингNikolay Dimitrov
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqMartin Kenarov
 
Методи за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниМетоди за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниMarketDevelopment
 
Nothing is secure.pdf
Nothing is secure.pdfNothing is secure.pdf
Nothing is secure.pdfBozhidar Bozhanov
 
Elasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and MultitenancyElasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and MultitenancyBozhidar Bozhanov
 

More Related Content

Similar to Антикорупционен софтуер

Сигурност на електронното управление
Сигурност на електронното управлениеСигурност на електронното управление
Сигурност на електронното управлениеBozhidar Bozhanov
 
GDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниGDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниPavlin Koldamov
 
Електронна идентификация
Електронна идентификацияЕлектронна идентификация
Електронна идентификацияBozhidar Bozhanov
 
Симетрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияСиметрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияKaloyan Kosev
 
Електронни терористи ли сме
Електронни терористи ли смеЕлектронни терористи ли сме
Електронни терористи ли смеBogomil Shopov
 
Електронни терористи ли сме?
Електронни терористи ли сме?Електронни терористи ли сме?
Електронни терористи ли сме?Kaloyan Tsvetkov
 
Архитектура на електронното управление
Архитектура на електронното управлениеАрхитектура на електронното управление
Архитектура на електронното управлениеBozhidar Bozhanov
 
Методи за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниМетоди за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниd_e_n_i_8_7
 
Арх. Борислав Игнатов
Арх. Борислав ИгнатовАрх. Борислав Игнатов
Арх. Борислав ИгнатовEmil Hristov
 
криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиранеGeorgi Georgiev
 
Цифровият подпис-теория и практика
Цифровият подпис-теория и практикаЦифровият подпис-теория и практика
Цифровият подпис-теория и практикаe_ivanova
 
Технически гаранции и процедури за електронното гласуване
Технически гаранции и процедури за електронното гласуванеТехнически гаранции и процедури за електронното гласуване
Технически гаранции и процедури за електронното гласуванеBozhidar Bozhanov
 
методи за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниметоди за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниGeorgi Georgiev
 
20080925 Социален инженеринг
20080925 Социален инженеринг20080925 Социален инженеринг
20080925 Социален инженерингNikolay Dimitrov
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqMartin Kenarov
 
Методи за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниМетоди за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниMarketDevelopment
 

Similar to Антикорупционен софтуер (20)

Security Log Management
Security Log ManagementSecurity Log Management
Security Log Management
 
Сигурност на електронното управление
Сигурност на електронното управлениеСигурност на електронното управление
Сигурност на електронното управление
 
GDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниGDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данни
 
Електронна идентификация
Електронна идентификацияЕлектронна идентификация
Електронна идентификация
 
Симетрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияСиметрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информация
 
Лекция първа Security
Лекция първа SecurityЛекция първа Security
Лекция първа Security
 
Електронни терористи ли сме
Електронни терористи ли смеЕлектронни терористи ли сме
Електронни терористи ли сме
 
Електронни терористи ли сме?
Електронни терористи ли сме?Електронни терористи ли сме?
Електронни терористи ли сме?
 
Архитектура на електронното управление
Архитектура на електронното управлениеАрхитектура на електронното управление
Архитектура на електронното управление
 
Методи за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниМетоди за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данни
 
Арх. Борислав Игнатов
Арх. Борислав ИгнатовАрх. Борислав Игнатов
Арх. Борислав Игнатов
 
Big Data Security
Big Data SecurityBig Data Security
Big Data Security
 
криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиране
 
Data Retention
Data RetentionData Retention
Data Retention
 
Цифровият подпис-теория и практика
Цифровият подпис-теория и практикаЦифровият подпис-теория и практика
Цифровият подпис-теория и практика
 
Технически гаранции и процедури за електронното гласуване
Технически гаранции и процедури за електронното гласуванеТехнически гаранции и процедури за електронното гласуване
Технически гаранции и процедури за електронното гласуване
 
методи за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниметоди за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данни
 
20080925 Социален инженеринг
20080925 Социален инженеринг20080925 Социален инженеринг
20080925 Социален инженеринг
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniq
 
Методи за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниМетоди за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данни
 

More from Bozhidar Bozhanov

Elasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and MultitenancyElasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and MultitenancyBozhidar Bozhanov
 
Encryption in the enterprise
Encryption in the enterpriseEncryption in the enterprise
Encryption in the enterpriseBozhidar Bozhanov
 
Blockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabiltyBlockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabiltyBozhidar Bozhanov
 
Електронна държава
Електронна държаваЕлектронна държава
Електронна държаваBozhidar Bozhanov
 
Blockchain - what is it good for?
Blockchain - what is it good for?Blockchain - what is it good for?
Blockchain - what is it good for?Bozhidar Bozhanov
 
Algorithmic and technological transparency
Algorithmic and technological transparencyAlgorithmic and technological transparency
Algorithmic and technological transparencyBozhidar Bozhanov
 
Alternatives for copyright protection online
Alternatives for copyright protection onlineAlternatives for copyright protection online
Alternatives for copyright protection onlineBozhidar Bozhanov
 
Политики, основани на данни
Политики, основани на данниПолитики, основани на данни
Политики, основани на данниBozhidar Bozhanov
 
Отворено законодателство
Отворено законодателствоОтворено законодателство
Отворено законодателствоBozhidar Bozhanov
 
Electronic governance steps in the right direction?
Electronic governance steps in the right direction?Electronic governance steps in the right direction?
Electronic governance steps in the right direction?Bozhidar Bozhanov
 
Биометрична идентификация
Биометрична идентификацияБиометрична идентификация
Биометрична идентификацияBozhidar Bozhanov
 
Регулации и технологии
Регулации и технологииРегулации и технологии
Регулации и технологииBozhidar Bozhanov
 

More from Bozhidar Bozhanov (20)

Nothing is secure.pdf
Nothing is secure.pdfNothing is secure.pdf
Nothing is secure.pdf
 
Elasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and MultitenancyElasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and Multitenancy
 
Encryption in the enterprise
Encryption in the enterpriseEncryption in the enterprise
Encryption in the enterprise
 
Blockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabiltyBlockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabilty
 
Електронна държава
Електронна държаваЕлектронна държава
Електронна държава
 
Blockchain - what is it good for?
Blockchain - what is it good for?Blockchain - what is it good for?
Blockchain - what is it good for?
 
Algorithmic and technological transparency
Algorithmic and technological transparencyAlgorithmic and technological transparency
Algorithmic and technological transparency
 
Scaling horizontally on AWS
Scaling horizontally on AWSScaling horizontally on AWS
Scaling horizontally on AWS
 
Alternatives for copyright protection online
Alternatives for copyright protection onlineAlternatives for copyright protection online
Alternatives for copyright protection online
 
GDPR for developers
GDPR for developersGDPR for developers
GDPR for developers
 
Политики, основани на данни
Политики, основани на данниПолитики, основани на данни
Политики, основани на данни
 
Отворено законодателство
Отворено законодателствоОтворено законодателство
Отворено законодателство
 
Overview of Message Queues
Overview of Message QueuesOverview of Message Queues
Overview of Message Queues
 
Electronic governance steps in the right direction?
Electronic governance steps in the right direction?Electronic governance steps in the right direction?
Electronic governance steps in the right direction?
 
Opensource government
Opensource governmentOpensource government
Opensource government
 
Биометрична идентификация
Биометрична идентификацияБиометрична идентификация
Биометрична идентификация
 
Biometric identification
Biometric identificationBiometric identification
Biometric identification
 
Регулации и технологии
Регулации и технологииРегулации и технологии
Регулации и технологии
 
Regulations and technology
Regulations and technologyRegulations and technology
Regulations and technology
 
E-government architecture
E-government architectureE-government architecture
E-government architecture
 

Антикорупционен софтуер

  • 2. За мен ● Софтуерен инженер и архитект ● Министър на електронното управление (2021-2022) ● Народен представител в 47-мото, 48-мото и 49-тото Народно събрание ● https://techblog.bozho.net ● Twitter: @bozhobg
  • 4. Какво зависи от софтуера в държавата? ● Разходване на средства ● Кокректност на данни ● Ограничаване на достъпа до чувствителни данни ● Разпределение на преписки ● Проследимост на процеси ● …
  • 5. Две важни свойства 1. Софтуерът да спира “хартиената корупция” 2. Софтуерът да не генерира нови начини за “електронна корупция”
  • 6. Основни антикорупционни принципи ● Одитируемост ● Проследимост ● Интегритет (защита срещу манипулация) ● Правно-значимо използване на криптография ● Адекватен IAM (идентичност и контрол на достъпа) ● Защита на данните от изтичане и загуба ● Прозрачност ● Случайно разпределени ● Валидация на данните ● Автоматизиран анализ на риска
  • 7. Одитируемост ● Ако не можеш да одитираш една система, тя със сигурност генерира корупция ● Актуален изходен код ○ Code-available за комерсиални системи ○ Пример: Тол системата ● Документация ● Достъп до базата данни от страна на институцията ● Мрежова архитектура и мерки за сигурност
  • 8. Проследимост ● Одитна следа на всяко действие и събитие ○ Приложение, база данни, операционна система ○ Други - Firewall, SIEM, софтуер за виртуализация, софтуер за бекъп и т.н. ● Пример: тол системата ○ “Одит лога в базата данни е спрян, защото заема много място” ○ Кой може да добавя и изтрива автомобили от ignore-списъка? ○ Кой може да търси в историята на преминаванията? ○ Кой може да изтрива глоби директно в базата? ● Пример: ВетИС ○ “Как са се появили тези животни тук?” ○ Последен лог на сървъра - от преди няколко години ● Добър пример: ЦАИС ЕОП
  • 9. Проследимост ● Одитна следа на всяко действие и събитие ○ Приложение, база данни, операционна система ○ Други - Firewall, SIEM, софтуер за виртуализация, софтуер за бекъп и т.н. ● Пример: тол системата ○ “Одит лога в базата данни е спрян, защото заема много място” ○ Кой може да добавя и изтрива автомобили от ignore-списъка? ○ Кой може да търси в историята на преминаванията? ○ Кой може да изтрива глоби директно в базата? ● Пример: ВетИС ○ “Как са се появили тези животни тук?” ○ Последен лог на сървъра - от преди няколко години
  • 10. Проследимост ● Одитна следа на всяко действие и събитие ○ Приложение, база данни, операционна система ○ Други - Firewall, SIEM, софтуер за виртуализация, софтуер за бекъп и т.н. ● История на промените (напр. Търговския регистър) ● Пример: тол системата ○ “Одит лога в базата данни е спрян, защото заема много място” ○ Кой може да добавя и изтрива автомобили от ignore-списъка? ○ Кой може да търси в историята на преминаванията? ○ Кой може да изтрива глоби директно в базата? ● Пример: ВетИС ○ “Как са се появили тези животни тук?” ○ Последен лог на сървъра - от преди няколко години
  • 11. Интегритет и правно-значима криптография ● Интегритет = истинска проследимост ● Tamper-evidence (merkle trees, hash chains, trusted timestamps) ● Гарантиране на интегритета на документи ○ В МЕУ включихме tamper-evidence в деловодството преди година и половина ● Публикуване на хешове (!!! :) ) ● Електронни времеви печати (trusted timestamps) на всяко значимо действие ○ Гаранции срещу антидатиране ● Електронно подписване на документи ○ Non-repudiation ● Публичност на печатите и подписите с цел проверка ● Частни ключове - в HSM или смарткарти
  • 12. Identity and access management ● Проследимост, но на кого точно? ● Управление на акаунти, роли ● Интеграция с HR система за отразяване на напуснали служители и отпуски ○ Пример: АМС ● Двуфакторна автентикация ● FIDO ● Privileged access management (PAM) за администратори ○ “Кой какво и защо е пипал” ○ Вътрешен саботаж на PAM ○ Добър пример: ЦАИС ЕОП
  • 13. ● Криптиране ○ На ниво запис, с отделни ключове, за много чувствителни данни ● Анонимизиране/токенизиране/псевдонимизиране (напр. здравни данни в НЗИС) ● Database activity monitoring (DAM) ● Управление на резервни копия и архиви ○ Криптиране, управление на ключове ● Защо? ○ Данни могат да се продават “на черно” - данни на ГРАО, ИАЛ, НЗОК, НСИ, НАП и др. ○ Изтичането на чувствителни данни може да създаде сериозни кризи Защита на данните
  • 14. ● Колкото повече данни са публични, толкова по-малко може да се злоупотребява ● Когато нещо вече е публично, не може да се “почисти” ● Видимост върху системни проблеми ● В колкото по-реално време, толкова по-дборе ● Пример: СЕБРА, обществени поръчки ● Предложения по ЗДвП: отворени данни за актове и електронни фишове Прозрачност
  • 15. ● На дела, проверки, преписки ● Публично-проверимо случайно разпределение ● Сигурен източник на “случайност” (напр. Decentralized Randomness Beacons) ● Централизирана система за случайно разпределение в съдебната власт ○ Отчитане на натоварване и специализация ● Примери: съд, прокуратура, контролни органи, Агенция по вписванията, МВР… Случайно разпределение
  • 16. ● Ама това не е ли очевидно? ● “Корупционна кирилица” ● Валидиране на входа, а не ръчно пост-фактум (напр. НЗОК) ● Проверка на представителна власт ● Проверка на статус на лице (напр. починали лица) Валидация на данни
  • 17. ● Всяка система трябва да анализира корупционния риск и рискът от измами ● Пример: онлайн регистрация на автомобили ● Пример: здравеопазване ○ анализ на шаблони на продажба на скъпоструващи лекарства ○ анализ на поведението на търговци при намаляване на количествата ● Конфигурируеми параметри, а не част от кода (знам, че е очевидно…) Автоматизиран анализ на риска
  • 18. Как? ● Закони ● Наредби ● Технически спецификации ● Договори ● Системни проекти ● Текущ и последващ контрол
  • 19. В законодателните ми инициативи винаги залагам някои от горните компоненти
  • 20. Защо не са оправени? ● “Няма го кода” ● “Няма действащ договор” ● “Няма я фирмата” ● “Да, добре, ще го направим” ● “Няма нормативно основание” ● “Не е предвиден бюджет”
  • 21. Правилните неща отнемат много усилия. Грешните неща се случват “от само себе си”.
  • 22. Софтуерът може да ограничи значително корупционния риск.