Какви са проблемите със сигурността на електронното управление, и как би помогнал отворените код, електронната идентификация и общите правила за достъп
В обществения сектор (или иначе казано - държавата) се създава много софтуер, от който зависят милиони левове и са концентрирани големи интереси. Наивно е да се смята, че просто защото нещо е електронно, то корупцията е елиминирана. Напротив, ако не бъде направен както трябва, софтуерът може включително да създаде нов вид, "електронна" корупция. Именно затова трябва да приложим няколко не толкова прости принципа и техники, за да получим аниткорупционен софтуер.
A talk that discusses two topics regarding Elasticsearch - multitenancy and scalability and what are the technical details to achieving them efficiently
Encryption is widely used by companies to secure sensitive data. It comes in different varieties and purposes. There's symmetric vs asymmetric encryption, there's encryption at rest, in transit and in use, there's TDE vs record-level encryption vs column/field level encryption, and then there's key-encryption (wrapping). All of these varieties serve different purposes and use-cases that we review - from the point of view of an infosec person, a sysadmin, a developer and an architect.
Blockchain overview - types, use-cases, security and usabiltyBozhidar Bozhanov
We review blockchain implementations, their components, how they work and how they can be used for solving real world problems with comparison to existing solutions.
В обществения сектор (или иначе казано - държавата) се създава много софтуер, от който зависят милиони левове и са концентрирани големи интереси. Наивно е да се смята, че просто защото нещо е електронно, то корупцията е елиминирана. Напротив, ако не бъде направен както трябва, софтуерът може включително да създаде нов вид, "електронна" корупция. Именно затова трябва да приложим няколко не толкова прости принципа и техники, за да получим аниткорупционен софтуер.
A talk that discusses two topics regarding Elasticsearch - multitenancy and scalability and what are the technical details to achieving them efficiently
Encryption is widely used by companies to secure sensitive data. It comes in different varieties and purposes. There's symmetric vs asymmetric encryption, there's encryption at rest, in transit and in use, there's TDE vs record-level encryption vs column/field level encryption, and then there's key-encryption (wrapping). All of these varieties serve different purposes and use-cases that we review - from the point of view of an infosec person, a sysadmin, a developer and an architect.
Blockchain overview - types, use-cases, security and usabiltyBozhidar Bozhanov
We review blockchain implementations, their components, how they work and how they can be used for solving real world problems with comparison to existing solutions.
2. За мен
• Съветник за електронно управление към
кабинета на вицепремиера Румяна
Бъчварова
• @bozhobg
• http://techblog.bozho.net
• http://blog.bozho.net
3. Status quo
• Security through obscurity
• SQLi, XSS, plaintext пароли, други “дупки”
• остарели сървъри и протоколи
• egov.bg
• ?na_bratcheda_jenata=1
• ...кой знае какво още
• Ниско качество
• Abandonware, vendor lock-in
4. Причини
• Липса на вътрешна експертиза
• Некомпетентни изпълнители
• Изтекли договори с изпълнители
• Липса на координация
5. Open source
• Чл. 58а от Закона за електронното
управление: всички компютърни
програми, предмет на обществена
поръчка, са с отворен код от ден 1
• Публично хранилище
(http://github.com/governmentbg)
6. Какво ще реши?
• По-високо качество
• Peer pressure
• Възможност за независими наблюдатели
• Pull Request, hotfix
• Преизползване и развиване на
компоненти
• Добри практики
7. Кой ще го прилага?
• Държавна агенция “Електронно
управление”
• Публичен регистър на проекти и дейности
• Dev portal
• Всички ние
8. Open source - по-сигурен?
• Дискусионен въпрос
• Heartbleed, shellshock
• Wordpress - 18 уязвимости за 2016-та
• Държавният софтуер не е популярен
• … но рядко е публичен + критичен
• архитектура: FE + BE компоненти
• стандартни библиотеки пазят от RCE, SQLi, и т.н.
9. Електронна идентификация
• Сигурен login
• Доказване на самоличност онлайн
• Смарткарти със защитен профил
• PIN, опция за 3-ти фактор
• SAML 2.0, OpenID Connect
• Одитна следа, secure timestamp
• Разбира се - с отворен код
10. Сигурност на данните
• Нерегламентиран достъп
• Одитна следа
• Изтриване и подмяна
• Изтичане на данни
11. Наредба към ЗЕУ
• Всяка информационна система:
• Insert-only
• Одитна следа
• Криптографски защитени данни (log chaining?)
• HTTPS, TLS 1.2
• Предоставяне на данни само при правно
основание
• Защита от изтичане на данни? (data dumps)
12. Технически задания?
• Шаблон за технически задания
• Изисквания за интеграция, уеб-услуги,
документация
• Сигурност: всичко от наредбата +
• OWASP
• bcrypt/scrypt/PBKDF2
• Rate limiting
• И др.
13. Срокове?
• Законът е приет - юли 2016-та
• Предстои обсъждане на наредбата +
шаблона за технически задания:
октомври 2016-та.
• Приемане: ноември 2016-та.
• До края на 2018-та - всички първични
регистри и нови системи
14. Как да се включим?
• Обратна връзка и дискусии:
• Към мен
• facebook.com/egovbg
• discuss.government.bg
• Следене на github.com/governmentbg