SlideShare a Scribd company logo

Сигурност на електронното управление

Download as PPTX, PDF
Bozhidar Bozhanov
Bozhidar Bozhanov

Какви са проблемите със сигурността на електронното управление, и как би помогнал отворените код, електронната идентификация и общите правила за достъп

Government & Nonprofit
1 of 15
Сигурност на електронното управление Божидар Божанов
За мен • Съветник за електронно управление към кабинета на вицепремиера Румяна Бъчварова • @bozhobg • http://techblog.bozho.net • http://blog.bozho.net
Status quo • Security through obscurity • SQLi, XSS, plaintext пароли, други “дупки” • остарели сървъри и протоколи • egov.bg • ?na_bratcheda_jenata=1 • ...кой знае какво още • Ниско качество • Abandonware, vendor lock-in
Причини • Липса на вътрешна експертиза • Некомпетентни изпълнители • Изтекли договори с изпълнители • Липса на координация
Open source • Чл. 58а от Закона за електронното управление: всички компютърни програми, предмет на обществена поръчка, са с отворен код от ден 1 • Публично хранилище (http://github.com/governmentbg)
Какво ще реши? • По-високо качество • Peer pressure • Възможност за независими наблюдатели • Pull Request, hotfix • Преизползване и развиване на компоненти • Добри практики
Кой ще го прилага? • Държавна агенция “Електронно управление” • Публичен регистър на проекти и дейности • Dev portal • Всички ние
Open source - по-сигурен? • Дискусионен въпрос • Heartbleed, shellshock • Wordpress - 18 уязвимости за 2016-та • Държавният софтуер не е популярен • … но рядко е публичен + критичен • архитектура: FE + BE компоненти • стандартни библиотеки пазят от RCE, SQLi, и т.н.
Електронна идентификация • Сигурен login • Доказване на самоличност онлайн • Смарткарти със защитен профил • PIN, опция за 3-ти фактор • SAML 2.0, OpenID Connect • Одитна следа, secure timestamp • Разбира се - с отворен код
Сигурност на данните • Нерегламентиран достъп • Одитна следа • Изтриване и подмяна • Изтичане на данни
Наредба към ЗЕУ • Всяка информационна система: • Insert-only • Одитна следа • Криптографски защитени данни (log chaining?) • HTTPS, TLS 1.2 • Предоставяне на данни само при правно основание • Защита от изтичане на данни? (data dumps)
Технически задания? • Шаблон за технически задания • Изисквания за интеграция, уеб-услуги, документация • Сигурност: всичко от наредбата + • OWASP • bcrypt/scrypt/PBKDF2 • Rate limiting • И др.
Срокове? • Законът е приет - юли 2016-та • Предстои обсъждане на наредбата + шаблона за технически задания: октомври 2016-та. • Приемане: ноември 2016-та. • До края на 2018-та - всички първични регистри и нови системи
Как да се включим? • Обратна връзка и дискусии: • Към мен • facebook.com/egovbg • discuss.government.bg • Следене на github.com/governmentbg
Въпроси?

Recommended

Архитектура на електронното управление
Архитектура на електронното управлениеАрхитектура на електронното управление
Архитектура на електронното управление
Bozhidar Bozhanov
 
Нуждата от civic hackers
Нуждата от civic hackersНуждата от civic hackers
Нуждата от civic hackers
Bozhidar Bozhanov
 
Електронна идентификация
Електронна идентификацияЕлектронна идентификация
Електронна идентификация
Bozhidar Bozhanov
 
Електронно гласуване
Електронно гласуванеЕлектронно гласуване
Електронно гласуване
Bozhidar Bozhanov
 
Електронна държава
Електронна държаваЕлектронна държава
Електронна държава
Bozhidar Bozhanov
 
Електронно управление - не "как", а "какво"
Електронно управление - не "как", а "какво"Електронно управление - не "как", а "какво"
Електронно управление - не "как", а "какво"
Bozhidar Bozhanov
 
Отворено, координирано електронно управление, насочено към гражданите
Отворено, координирано електронно управление, насочено към гражданитеОтворено, координирано електронно управление, насочено към гражданите
Отворено, координирано електронно управление, насочено към гражданите
Bozhidar Bozhanov
 
Електронно правителство
Електронно правителствоЕлектронно правителство
Електронно правителствоSilva Vasileva
 

Recommended

Архитектура на електронното управление
Архитектура на електронното управлениеАрхитектура на електронното управление
Архитектура на електронното управление
Bozhidar Bozhanov
 
Нуждата от civic hackers
Нуждата от civic hackersНуждата от civic hackers
Нуждата от civic hackers
Bozhidar Bozhanov
 
Електронна идентификация
Електронна идентификацияЕлектронна идентификация
Електронна идентификация
Bozhidar Bozhanov
 
Електронно гласуване
Електронно гласуванеЕлектронно гласуване
Електронно гласуване
Bozhidar Bozhanov
 
Електронна държава
Електронна държаваЕлектронна държава
Електронна държава
Bozhidar Bozhanov
 
Електронно управление - не "как", а "какво"
Електронно управление - не "как", а "какво"Електронно управление - не "как", а "какво"
Електронно управление - не "как", а "какво"
Bozhidar Bozhanov
 
Отворено, координирано електронно управление, насочено към гражданите
Отворено, координирано електронно управление, насочено към гражданитеОтворено, координирано електронно управление, насочено към гражданите
Отворено, координирано електронно управление, насочено към гражданите
Bozhidar Bozhanov
 
Електронно правителство
Електронно правителствоЕлектронно правителство
Електронно правителствоSilva Vasileva
 
Антикорупционен софтуер
Антикорупционен софтуерАнтикорупционен софтуер
Антикорупционен софтуер
Bozhidar Bozhanov
 
Nothing is secure.pdf
Nothing is secure.pdfNothing is secure.pdf
Nothing is secure.pdf
Bozhidar Bozhanov
 
Elasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and MultitenancyElasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and Multitenancy
Bozhidar Bozhanov
 
Encryption in the enterprise
Encryption in the enterpriseEncryption in the enterprise
Encryption in the enterprise
Bozhidar Bozhanov
 
Blockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabiltyBlockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabilty
Bozhidar Bozhanov
 
Blockchain - what is it good for?
Blockchain - what is it good for?Blockchain - what is it good for?
Blockchain - what is it good for?
Bozhidar Bozhanov
 
Algorithmic and technological transparency
Algorithmic and technological transparencyAlgorithmic and technological transparency
Algorithmic and technological transparency
Bozhidar Bozhanov
 
Scaling horizontally on AWS
Scaling horizontally on AWSScaling horizontally on AWS
Scaling horizontally on AWS
Bozhidar Bozhanov
 
Alternatives for copyright protection online
Alternatives for copyright protection onlineAlternatives for copyright protection online
Alternatives for copyright protection online
Bozhidar Bozhanov
 
GDPR for developers
GDPR for developersGDPR for developers
GDPR for developers
Bozhidar Bozhanov
 
Политики, основани на данни
Политики, основани на данниПолитики, основани на данни
Политики, основани на данни
Bozhidar Bozhanov
 
Отворено законодателство
Отворено законодателствоОтворено законодателство
Отворено законодателство
Bozhidar Bozhanov
 
Overview of Message Queues
Overview of Message QueuesOverview of Message Queues
Overview of Message Queues
Bozhidar Bozhanov
 
Electronic governance steps in the right direction?
Electronic governance steps in the right direction?Electronic governance steps in the right direction?
Electronic governance steps in the right direction?
Bozhidar Bozhanov
 
Opensource government
Opensource governmentOpensource government
Opensource government
Bozhidar Bozhanov
 
Биометрична идентификация
Биометрична идентификацияБиометрична идентификация
Биометрична идентификация
Bozhidar Bozhanov
 
Biometric identification
Biometric identificationBiometric identification
Biometric identification
Bozhidar Bozhanov
 
Регулации и технологии
Регулации и технологииРегулации и технологии
Регулации и технологии
Bozhidar Bozhanov
 
Regulations and technology
Regulations and technologyRegulations and technology
Regulations and technology
Bozhidar Bozhanov
 
E-government architecture
E-government architectureE-government architecture
E-government architecture
Bozhidar Bozhanov
 

More Related Content

More from Bozhidar Bozhanov

Антикорупционен софтуер
Антикорупционен софтуерАнтикорупционен софтуер
Антикорупционен софтуер
Bozhidar Bozhanov
 
Nothing is secure.pdf
Nothing is secure.pdfNothing is secure.pdf
Nothing is secure.pdf
Bozhidar Bozhanov
 
Elasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and MultitenancyElasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and Multitenancy
Bozhidar Bozhanov
 
Encryption in the enterprise
Encryption in the enterpriseEncryption in the enterprise
Encryption in the enterprise
Bozhidar Bozhanov
 
Blockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabiltyBlockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabilty
Bozhidar Bozhanov
 
Blockchain - what is it good for?
Blockchain - what is it good for?Blockchain - what is it good for?
Blockchain - what is it good for?
Bozhidar Bozhanov
 
Algorithmic and technological transparency
Algorithmic and technological transparencyAlgorithmic and technological transparency
Algorithmic and technological transparency
Bozhidar Bozhanov
 
Scaling horizontally on AWS
Scaling horizontally on AWSScaling horizontally on AWS
Scaling horizontally on AWS
Bozhidar Bozhanov
 
Alternatives for copyright protection online
Alternatives for copyright protection onlineAlternatives for copyright protection online
Alternatives for copyright protection online
Bozhidar Bozhanov
 
GDPR for developers
GDPR for developersGDPR for developers
GDPR for developers
Bozhidar Bozhanov
 
Политики, основани на данни
Политики, основани на данниПолитики, основани на данни
Политики, основани на данни
Bozhidar Bozhanov
 
Отворено законодателство
Отворено законодателствоОтворено законодателство
Отворено законодателство
Bozhidar Bozhanov
 
Overview of Message Queues
Overview of Message QueuesOverview of Message Queues
Overview of Message Queues
Bozhidar Bozhanov
 
Electronic governance steps in the right direction?
Electronic governance steps in the right direction?Electronic governance steps in the right direction?
Electronic governance steps in the right direction?
Bozhidar Bozhanov
 
Opensource government
Opensource governmentOpensource government
Opensource government
Bozhidar Bozhanov
 
Биометрична идентификация
Биометрична идентификацияБиометрична идентификация
Биометрична идентификация
Bozhidar Bozhanov
 
Biometric identification
Biometric identificationBiometric identification
Biometric identification
Bozhidar Bozhanov
 
Регулации и технологии
Регулации и технологииРегулации и технологии
Регулации и технологии
Bozhidar Bozhanov
 
Regulations and technology
Regulations and technologyRegulations and technology
Regulations and technology
Bozhidar Bozhanov
 
E-government architecture
E-government architectureE-government architecture
E-government architecture
Bozhidar Bozhanov
 

More from Bozhidar Bozhanov (20)

Антикорупционен софтуер
Антикорупционен софтуерАнтикорупционен софтуер
Антикорупционен софтуер
 
Nothing is secure.pdf
Nothing is secure.pdfNothing is secure.pdf
Nothing is secure.pdf
 
Elasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and MultitenancyElasticsearch - Scalability and Multitenancy
Elasticsearch - Scalability and Multitenancy
 
Encryption in the enterprise
Encryption in the enterpriseEncryption in the enterprise
Encryption in the enterprise
 
Blockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabiltyBlockchain overview - types, use-cases, security and usabilty
Blockchain overview - types, use-cases, security and usabilty
 
Blockchain - what is it good for?
Blockchain - what is it good for?Blockchain - what is it good for?
Blockchain - what is it good for?
 
Algorithmic and technological transparency
Algorithmic and technological transparencyAlgorithmic and technological transparency
Algorithmic and technological transparency
 
Scaling horizontally on AWS
Scaling horizontally on AWSScaling horizontally on AWS
Scaling horizontally on AWS
 
Alternatives for copyright protection online
Alternatives for copyright protection onlineAlternatives for copyright protection online
Alternatives for copyright protection online
 
GDPR for developers
GDPR for developersGDPR for developers
GDPR for developers
 
Политики, основани на данни
Политики, основани на данниПолитики, основани на данни
Политики, основани на данни
 
Отворено законодателство
Отворено законодателствоОтворено законодателство
Отворено законодателство
 
Overview of Message Queues
Overview of Message QueuesOverview of Message Queues
Overview of Message Queues
 
Electronic governance steps in the right direction?
Electronic governance steps in the right direction?Electronic governance steps in the right direction?
Electronic governance steps in the right direction?
 
Opensource government
Opensource governmentOpensource government
Opensource government
 
Биометрична идентификация
Биометрична идентификацияБиометрична идентификация
Биометрична идентификация
 
Biometric identification
Biometric identificationBiometric identification
Biometric identification
 
Регулации и технологии
Регулации и технологииРегулации и технологии
Регулации и технологии
 
Regulations and technology
Regulations and technologyRegulations and technology
Regulations and technology
 
E-government architecture
E-government architectureE-government architecture
E-government architecture
 

Сигурност на електронното управление

  • 2. За мен • Съветник за електронно управление към кабинета на вицепремиера Румяна Бъчварова • @bozhobg • http://techblog.bozho.net • http://blog.bozho.net
  • 3. Status quo • Security through obscurity • SQLi, XSS, plaintext пароли, други “дупки” • остарели сървъри и протоколи • egov.bg • ?na_bratcheda_jenata=1 • ...кой знае какво още • Ниско качество • Abandonware, vendor lock-in
  • 4. Причини • Липса на вътрешна експертиза • Некомпетентни изпълнители • Изтекли договори с изпълнители • Липса на координация
  • 5. Open source • Чл. 58а от Закона за електронното управление: всички компютърни програми, предмет на обществена поръчка, са с отворен код от ден 1 • Публично хранилище (http://github.com/governmentbg)
  • 6. Какво ще реши? • По-високо качество • Peer pressure • Възможност за независими наблюдатели • Pull Request, hotfix • Преизползване и развиване на компоненти • Добри практики
  • 7. Кой ще го прилага? • Държавна агенция “Електронно управление” • Публичен регистър на проекти и дейности • Dev portal • Всички ние
  • 8. Open source - по-сигурен? • Дискусионен въпрос • Heartbleed, shellshock • Wordpress - 18 уязвимости за 2016-та • Държавният софтуер не е популярен • … но рядко е публичен + критичен • архитектура: FE + BE компоненти • стандартни библиотеки пазят от RCE, SQLi, и т.н.
  • 9. Електронна идентификация • Сигурен login • Доказване на самоличност онлайн • Смарткарти със защитен профил • PIN, опция за 3-ти фактор • SAML 2.0, OpenID Connect • Одитна следа, secure timestamp • Разбира се - с отворен код
  • 10. Сигурност на данните • Нерегламентиран достъп • Одитна следа • Изтриване и подмяна • Изтичане на данни
  • 11. Наредба към ЗЕУ • Всяка информационна система: • Insert-only • Одитна следа • Криптографски защитени данни (log chaining?) • HTTPS, TLS 1.2 • Предоставяне на данни само при правно основание • Защита от изтичане на данни? (data dumps)
  • 12. Технически задания? • Шаблон за технически задания • Изисквания за интеграция, уеб-услуги, документация • Сигурност: всичко от наредбата + • OWASP • bcrypt/scrypt/PBKDF2 • Rate limiting • И др.
  • 13. Срокове? • Законът е приет - юли 2016-та • Предстои обсъждане на наредбата + шаблона за технически задания: октомври 2016-та. • Приемане: ноември 2016-та. • До края на 2018-та - всички първични регистри и нови системи
  • 14. Как да се включим? • Обратна връзка и дискусии: • Към мен • facebook.com/egovbg • discuss.government.bg • Следене на github.com/governmentbg