Експертът по информационна сигурност Божидар Божанов: Компаниите имат повече наши данни, отколкото си мислим

Сряда, 04 Юли 2018

Какво е блокчейн технологията и би ли помогнала за кадастъра

Божидар Божанов е софтуерен инженер и бивш съветник за електронно управление. В момента консултира големи български и чуждестранни компании относно защита на данните и съответствие с новия Общ регламент относно защитата на данните GDPR. Основател е на стартиращата компания LogSentinel, занимаваща се с информационната сигурност.

Конкретният повод да ви потърсим е, че дарихте на дъpжaвнaтa aгeнция „Eлeĸтpoннo yпpaвлeниe“ coфтyepнo peшeниe зa пpeвeнция нa злoyпoтpeбaтa c лични дaнни. Защо го направихте? И знаете ли дали вече се прилага?

Със съдружника ми работихме по електронното управление в продължение на около две години. След като вече не бяхме част от екипа на вицепремиера Бъчварова, продължихме да помагаме неформално с експертизата си, когато тя беше търсена. Даряването на лиценз за използване на продукта ни е естествено продължение на това, че искаме нещата да работят „както трябва“.

Системата вече е исталирана на сървъри на агенцията, като в момента се правят финалните настройки, за да заработи с реални данни. Има ясно желание от страна на ръководството на агенцията това да не остане просто един жест, а да бъде реално използван.

Ще ни спаси ли то от проблеми с личните данни като кризата с Кембридж аналитика и Facebook?

Проблемите с личните данни са много и разнообразни. Кеймбридж аналитика е следствие от глупости и недобросъвестност на няколко участници по веригата. Никой софтуер не може да ни защити от това. Нашето решение ще помогне за случаите на достъп до лични данни на граждани в държавните регистри, който се осъществява чрез система за междурегистров обмен. Всеки такъв достъп ще бъде не просто записван, но и защитаван от подмяна (от вътрешен или външен участник). В допълнение, има възможност за автоматизирано разпознаване на нестандартни шаблони на поведение – например една администрация на ден чете лични данни на двеста души за нормалната си работа, но изведнъж данни на двеста души са четени само в първите два часа от работното време – в тези случаи на администратори в агенцията за е-управление ще бъде сигнализирано за това аномално поведение и те могат да предприемат мерки.

Какво смятате за теча с Кембридж аналитика и Facebook? Случва ли се това и днес, без да знаем? Опасно ли е да имаме Facebook?

Първопричината на проблемите с Кеймбридж аналитика може да се обобщи от любимият ми принцип – „бръсначът на Ханлон“ – нека не търсим злонамереност там, където всичко може да се обясни с глупост. В конкретния случай, глупост на Facebook от преди няколко години, с която те дават възможност съвсем законно и в съответствие с техните правила да бъдат извлечени данни на милиони потребители. След това серия от още глупост, наивност и опортюнизъм (от страна на ръководството на Кеймбридж аналитика) водят до това, че данните са използвани за профилиране и таргетиране на политически реклами. Важно е да отбележим, че няма яснота колко ефективен е бил този метод спрямо останалите, масово използвани методи за микротаргетиране.

А дали се случва и днес – да, и то в по-големи размери. Само че достъпът до тези данни вече е ограничен само до няколко компании (Facebook, Google). Но данните, с които те разполагат, са много повече, отколкото си мислим. Обикновеният потребител си представя, че Facebook има само това, което споделяме в социалната мрежа. Но голяма част от данните, които Facebook и Google имат за нас, са всъщност цялото ни интернет поведение – кои сайтове отваряме, какви линкове в тях избираме. Правят това чрез мрежата си от рекламни и други скриптове (като Facebook pixel), които са покрили голям процент от интернет страниците и посредством проследяващи бисквитки изпращат информацията към „кораба майка“ (Facebook или Google).

Дали е опасно да имаме Facebook – по-скоро не. Няма реална опасност за нас лично. Но това монополизиране на данните за нашето онлайн поведение крие по-широки рискове за обществото като цяло.

Знаем ли как сами да си пазим личните данни?

По-скоро не. Но дори да мислехме активно как да го правим, по-умни и технологично грамотни от нас инженери мислят как да „ни ги вземат“. За щастие, има инструменти като Privacy Badger и Firefox Tracking protection, които блокират използването на проследяващите бисквитки.

Трябва да сме наясно, че личните ни данни не са тайна. Но също така трябва да сме наясно и кой и за какво ги използва. Ние доброволно даваме личните си данни за определени цели и това е ОК. За какво те се използват след това, обаче, честно оставаме в неведение.

От 25 май влезе в сила GDPR или новият Общ регламент относно защитата на данните и непрестанно от тогава получаваме съобщения от всички сайтове (които не четем). По-защитени ли сме от тогава насам? (И кое ни е по-защитеното?)

Съобщенията от сайтовете и даване на съгласие за щяло и нещяло са много често излишни и не следват от Регламента. Те не ни помагат да сме по-защитени, защото просто натискаме „ОК“. Но GDPR има възможността да направи няколко неща. Първо - да спре модела на Facebook и Google да събират данни без наше знание и изрично съгласие. Второ – всеки, който обработва лични данни, да мисли проактивно как да ги защити от изтичане и злоупотреби. Не е тайна, че нивото на информационна сигурност в милионите сайтове и информационни системи по света не е високо, което рефлектира и върху защитата на данните. Регламентът е допълнителен стимул да пазим не само личните, но и всички данни.

Системата, която дарявате, ползва „cъвpeмeнни ĸpиптoгpaфcĸи тexнoлoгии, вĸлючитeлнo блoĸчeйн”. 10-те най-големи компании в света според списъка на Форбс 2000 за компаниите се занимават и с блокчейн технологии.  Форбс отбелязва, че най-голямата компания в света Industrial and Commercial Bank of China, инвестиционният гигант Berkshire Hathaway и компанията Apple по един или друг начин изследват приложенията на технологията. Това ли е технологията на бъдещето?

Мисля, че е малко преувеличено. Макар да използваме основите на блокчейн технологията, съм скептичен към масовото ѝ навлизане. Към момента технологията не е достатъчно развита, за да бъде конкурент на централизираните софтуерни архитектури. Дори много от проблемите да бъдат решени (напр. скалируемост, ползваемост), тя би била приложима в тесен набор от сценарии. В тях би била доста силна, но според мен никога не би станала технологична панацея.

С две думи какво е блокчейн?

Постигане на консенсус между няколко участници за истинността на база данни с транзакции, като тези транзакции стават неподменими.

Къде могат да се прилага блокчейн или по-скоро къде не може да се прилага?

В момента приложението му е в криптовалутите. Извън това има доста опити да се направят копия на централизирани интернет приложения върху разпределена инфраструктура на криптовалутите, но с, меко казано, променлив успех.

В момента популярни стават частните блокчейни, които няколко организации инсталират на свои сървъри и така постигат консенсус, например при сложни вериги от доставчици и контрагенти за осъществяване на една услуга. Някои блокчейн ентусиасти биха казали „То това ваш‘то не е точно блокчейн“, тъй като контролът на достъпа до мрежата е централизиран.

Като цяло блокчейнът е полезен в случаи, в които трябва да се гарантира, че дадена информация не е била променяна. Не че няма и други начини за това, но при блокчейн липсва централизацията като рисков фактор.

Много държави започват да говорят за кадастър, поддържан с блокчейн? Може ли да обясните как би работила такава система?

Горе-долу за всяка услуга, налична в момента в света, някой е предложил „услугата Х върху блокчейн“. Това рядко има смисъл, тъй като далеч не всички услуги биха имали полза от децентрализацията. При публичните регистри като цяло (кадастърът в това число) ползата от такава технология би била, че няма да позволява той да бъде променян неоторизирано. По-точно, всяка промяна ще бъде видима за всички. За целта публичен блокчейн би бил твърде скъп (тъй като всяка транзакция струва определен брой от съответната криптовалута). Частен блокчейн би оставил отново контрола в институцията, която го поддържа (макар данните да са разпределени на няколко сървъра). Частен блокчейн с участници с достъп „само за четене“, разположени в неправителствени и браншови организации, е възможен подход, но има много по-лесни технологични начини за постигане на същия ефект.

Все пак, криптографията, залегнала в основата на блокчейн технологиите, може да бъде приложена с оглед на това данните да не могат да бъдат подменяни, без това да бъде открито сравнително бързо – именно това прави и нашето решение, което дарихме на ДАЕУ. И за да е пълна блокчейн-картинката, периодично изпращаме много малка част от данните в публичния блокчейн Ethereum, за да е съвсем сигурно, че нищо не е било подменяно.

И за да сме в крак с времето – може ли с блокчейн да хващаме фалшивите новини?

Не мисля. Фалшивите новини не са проблем на подменянето на вече създадена информация – те са проблем на създаване на фалшива информация. Ако вече имаме „новина“ и някой я променя, за да стане тя фалшива, тогава би имало смисъл. Но фалшивите новини се появяват в апокрифни сайтове и блогове.

Работили сте като съветник по електронно управление година и половина и постигате много – прокарано е законодателство и подзаконова уредба, създавате шаблон за задания, който да се ползва то всички администрации, подготвяте основните проекти за надграждане на основни регистри и системи: национална схема за електронна идентификация (т.е. софтуерната инфраструктура за новите лични карти, но и за други носители на е-идентичност), нов регистър на ГРАО за населението, подобряване на Търговски и Имотния регистър (особено потребителския им интерфейс), създаване на базов регистър – т.е. „регистър като услуга“ – вместо всеки законово-възложен регистър да се прави или „от нулата“, или да се води на Ексел или хартия, да има една „облачна“ система, в която да могат да се конфигурират нови регистри (с всички изисквания за сигурност, отчетност и прозрачност към тях), пилотният проект за дистанционно електронно гласуване. Какво от тези „заготовки” е напреднало (на нас ни изглежда, че не е) и докъде са стигнали процесите?

За съжаление – много малко напредък има по конкретни проекти. Държавна агенция „Електронно управление“ напредва по редица политики и изисквания на нормативните актове, които оставихме (например възможността за електронен документооборот между администрациите е вече факт; междурегистровият обмен нараства в всеки изминал месец; протича централизация на идентификацията на граждани в сайтовете на администрациите, а някои удостоверения отпадат постепенно). Но извън това, проектите или се движат много бавно, или са спрели. Най-ключовото и ставащо все по-фатално забавяне е в електронната идентификация. Това води след себе си и нежелание за въвеждане на електронно гласуване. В останалите случаи по-скоро става въпрос за липса на визия.

Може ли в държава, която има толкова много програмисти, да не са свързани административните системи?

Очевидно да. Защото това не е технологичен проблем. Две прости системи се свързват за няколко дни. Това е организационен проблем и той е по-големият в случая. А до създаването на Държавната агенция с измененията в закона, които внесохме, нямаше механизъм, по който да се координират тези процеси. Сега го има, и се вижда, че макар и бавно, тази интеграция се случва.

Защо спряхте да работите като съветник по електронно управление?

Съвсем просто – правителството подаде оставка.

Какво е порталът за отворени данни на България Open data http://opendata.government.bg/

Порталът за отворени данни е нещо, което с група ентуасиасти (формирали Общество.бг) дарихме на държавата преди няколко години. На него се качват всички масиви от данни, които държавата публикува, така че да са на едно място, удобни за търсене и използване. Такива портали имат много държави, а ние допреди няколко години изоставахме сериозно. Само за година и половина работа обаче, включително благодарение на портала, станахме от „изоставаща“ страна в „задаваща тенденциите“, според доклад на Европейската комисия.

Съществува ли Общество бг днес?

По документи, мисля, че все още да. Хората, които работеха по проекти под шапката на Общество.бг, също не са се отказали от обществено полезна дейност. Но като организация по-скоро вече не функционира. Тя донякъде изпълни няколко свои големи цели и това може би я направи по-трудна за съществуване – отворените данни „се случиха“ (макар и далеч от перфектното), принципното изискване за отворен код залегна в Закона за електронно управление, а изисквания към ползваемостта и удобството на системите има в шаблона за задание.

За колко време програмистите могат да организират сигурно електронно гласуване?

Това е специфична задача и не бих казал, че е въпрос на време. По-скоро е въпрос на специфични познания в криптография, информационна сигурност и много конкретно – в електронно гласуване. Както не можем да дадем на общопрактикуващ лекар да прави сърдечна операция, така и програмистите по-скоро не биха се справили без подготовка с изграждане на сигурна система за електронно гласуване. Но за щастие има достатъчно компании с опит в сферата, които се надявам да участват в процедурата за система за електронно гласуване, ако тя най-накрая бъде стартирана.

Вие сте голям застъпник за отворения код, в две думи защо?

Отвореният код често се тълкува по начин, различен от този, който аз промотирах и който залегна в Закона за електронното управление, затова е важно да се отбележи, че не всичко в една организация може и трябва да бъде с отворен код.

Когато, обаче, държавата поръчва разработка на софтуер с нашите данъци, и става собственик на разработения код, то ние имаме право да го видим. Освен това, други администрации имат право да го използват наготово, вместо да дават пари за разработка на (почти) същото. Такава отворена разработка би следвало да мотивира разработващите да пишат по-качествен код (защото какви неща съм виждал по проектите за администрацията – никой програмист не би искал да се подпише под това).

Софтуерът с отворен код на практика изгражда интернет – голям процент от сървърите са на Linux, голям процент от уеб-сървърите са Apache или nginx, а голяма част от уебсайтовете – Wordpress, Drupal, Joomla. Всичко това са продукти с отворен код.

Но това не значи, че продуктите със затворен код нямат своето място. Те често или са твърде специфични, за да има готово отворено решение, или са продукт на дългогодишни инвестиции, каквито по-трудно се правят в отворени проекти. Например, колкото и да подкрепям отворения код, използвам Microsoft Word – просто е по-добър от LibreOffice.

Все пак, отвореният код е и доверие. Когато говорим например за система за електронно дистанционно гласуване, тя задължително трябва да е с отворен код, тъй като в противен случай аз не бих ѝ вярвал, че е реализирана така, че да не позволява манипулации.

От блога ви изглежда, че харесвате Естония, може ли да кажете защо?

Естония е малка и ефективна държава, където политическият елит в продължение на три десетилетия има една и съща визия за това да стане технологична нация и технологична държава. И го постига – чрез ранно въвеждане не електронна лична карта, чрез електронно дистанционно гласуване. Възможността да поддържаш такава визия и да я реализираш на практика заслужава адмирации.

Създали сте софтуер за генериране на музика? Може ли да го споделите или да ни пуснете парче?

Алгоритмичната музика невинаги е приятна за слушане, тъй като алгоритъмът не може сам да си „чуе“ произведението, макар да е изграден да следва принципите, които композиторите използват при писане на музика. Все пак, ето едно генерирано парче: http://computoser.com/track/7219.

Прочетена 1041 пъти Последно променена в Четвъртък, 12 Юли 2018 14:35

"Първа отговорност на всеки гражданин е да оспорва властта."

Бенджамин Франклин

Редакцията не носи отговорност за съдържанието на коментарите. Призоваваме ви за толерантност и спазване на добрия тон.


Условия за ползване на коментарите

geomax l

Baner GEOPORTAL

Със съдействието на Камарата на инженерите по геодезия и Асоциацията на геодезическите фирми

 

Връзка с нас

map

Списание ГЕОМЕДИЯ

Всичко за геодезията

София 1303
ул. "Св. Св. Кирил и Методий" 146,
ет. 3, ателие 6; тел: 02/ 831 90 01;
e-mail: geomedia@abv.bg
office@geomedia.bg

Банкова сметка

ЕИК 175378844
Банкова сметка
Уникредит Булбанк, клон Европа
BIC - UNCRBGSF
IBAN - BG74UNCR 7000 1500 6707 03
ISSN - 1313-3365

Абонамент

27 лв. за една година

15 лв. за половин година

Свържете се с нас, ако искате да се абонирате.