Васил Колев е ИТ експерт, част от основния екип на Фондация „Отворени проекти“, която организира ежегодната технологична конференция OpenFest, и е сред ветераните поддръжници на идеята за използване на свободен софтуер и софтуер с отворен код в България и в държавната ни администрация.

Повод да разговаряме с него е петиция, инициирана от български ИТ специалисти след случая #НАПлийкс. Подписалите я призовават за отваряне на кода на държавните софтуерни системи с цел по-висока степен на контрол и прозрачност, съответно по-добро качество и повишена сигурност. Не на последно място, има текст в Закона за електронното управление (чл. 58а, т. 1), който изисква в случаите, когато предметът на една държавна поръчка включва разработване на компютърни програми, те да отговарят на критериите за софтуер с отворен код. Васил е сред поддръжниците на петицията и понеже с него сме колеги и се познаваме от почти две десетилетия, разговаряме на „ти“.


Йовко Ламбрев: Случаят #НАПлийкс провокира различни реакции в обществото и една от тях бе петицията на български ИТ специалисти и разработчици, която призовава за пореден път софтуерът, внедрен или внедряван за нуждите на държавната администрация, да бъде с отворен код. Ти си един от експертите, подкрепили петицията, която е доста емоционална и може би ѝ липсва малко повече аргументация и прагматичност. Би ли споделил своите лични виждания в тази посока?

Васил Колев: Отварянето на кода е първата стъпка. Следващата е да се види от обществото и да се коментира, като се даде гласност на процеса.

Ние всъщност имаме закон, който задължава всичкият нов софтуер, който се пише, да бъде с отворен код – и вече има някакви публикувани неща. В една своя лекция дори споменах единия проект, който е писан зле, без да се знае как се ползва Git, и като цяло е трагичен. Доколкото знам, той не е бил приет от възложителя. Има друг проект, който е правен както трябва, и чак на моменти радва колко прегледно работят хората по него.

Подобно публикуване дава възможност на други хора да помогнат на експертите в системата (а и извън нея) да оценят доколко нещо е добре направено, правилно разписано или трябва да бъде „изведено отзад и разстреляно“. Надеждата ми е, че с повече публикувани така системи по-лесно ще можем да виждаме какво става, да рапортуваме „бъгове“ (програмни грешки – б.р.) и даже да ги оправяме.

Самата петиция би могла да доведе до това целият код, който е бил написан някога за държавата, да стане публичен.

От това има допълнителни ползи – например ако изпълнителят вече не съществува, а трябва нещо да се оправи спешно, процесът се улеснява. От друга страна, да се публикува този код без одит означава да покажем всичките му „дупки“ на някакво количество заинтересувани хора. Аз съм подписал петицията, понеже второто не ме притеснява и тези дупки биват открити така или иначе (както показа и случаят с НАП), а един предварителен одит може да се окаже много полезен.

ЙЛ: Иначе казано, само отварянето на кода на един софтуер не гарантира автоматично по-висока сигурност. Особено ако това е изолирана мярка извън общия контекст. Какво според теб трябва да направи държавата, за да започне да се грижи за киберсигурността на институциите (а оттам – и за тази на гражданите си) като всеобхватен процес, който непрекъснато е в развитие?

ВК: Най-малкото, трябва да има някой отговорен за това. Опитът на индустрията показва, че киберсигурността не е тривиален въпрос, особено ако става дума за ниво държава, където и атакуващите по-често са други държави или силно мотивирани/способни организации.

Вероятният правилен подход би бил итеративен, с взимане на някакви мерки, изпробването им, оценяването на резултата и разширяване/премахване в зависимост от него. Това обаче би бил дълъг, болезнен процес и не очаквам да се намерят много хора, които биха поели отговорност. По-скоро ще има всеобхватни програми/решения, които ще работят частично и ще бъдат замествани пак от такива, които ще работят частично другаде, вместо да се надгражда върху предишното. Ако това се избегне, има някаква надежда да се стигне до работеща система.

ЙЛ: Решаването на проблеми на парче е познат подход не само у нас, но често води до силно неефективно пилеене на обществени средства без видими резултати. Ако се върнем към драмата с Търговския регистър от миналото лято, тогава бяха взети някакви решения, които и до днес не са пуснати в действие. Отделен въпрос е и колко бяха обмислени и дискутирани на експертно ниво. От друга страна, гражданите остават с впечатлението, че това са поредните „пари на вятъра“, които пък, както е практика, са насочени към няколко големи и близки до властта фирми. Мислиш ли, че има място за експертни или консултативни съвети към някои от ключовите структури, например към Държавна агенция „Електронно управление“ (ДАЕУ), съставени от външни за организацията специалисти?

ВК: На теория структурата, която трябва да консултира, е точно ДАЕУ. Но вероятно би им било полезно да имат към себе си консултативен съвет, най-малкото защото по никакъв начин не могат да предложат дори близки до конкурентните заплати в индустрията и по неволя начинът да имат подходящи хора е те да са на практика доброволци и да дават от свободното си време. От друга страна,

не мисля, че в момента точно информираност и експертно мнение е това, което липсва – липсва политическа воля и желание за действие в самата администрация,

основно поради страха от това какво следва след евентуална грешка, поради което проектите дори за тривиални неща най-често се дават на външни изпълнители.

ЙЛ: А по отношение на ИТ сигурността? Ако разчитаме на държавна структура по киберсигурност, тя лесно може да бъде вкарана в капана на това да пише „удобни“ доклади след своите одити или да бъде принудена да „затваря очи“. Дали не е крайно време да се формира експертна група по киберсигурност, която да предписва минимални изисквания за ИТ сигурност и динамично да следи за изпълнението им? 

ВК: Има добър пример, идващ от ДАЕУ, за минималните изисквания за мрежова и информационна сигурност. Експертна група би могла в един отворен процес да дава препоръки за изискванията и практиките, но следенето за изпълнението трябва да се осъществява от орган с правомощия, което само по себе си е сложна задача в нашите държавни структури, понеже всеки такъв орган става много удобен за политически натиск.

Има нужда от цялостна рамка (включваща вероятно и някои съдилища) за одит, проследяване на корекциите и ако трябва – изземване на определени функции от ИТ отделите

на несправящите се структури и предаването им на ДАЕУ или контрактор. Най-накрая може да се окаже, че трябва да има един общ ИТ отдел на държавата, който да поеме функциите и да носи отговорност. В момента тази роля се изпълнява от „Информационно обслужване“ АД, но не е добре регламентирана. А те просто са единствената българска фирма с достатъчно ресурси и държавното участие при тях помага за следване (поне донякъде) на националния интерес.

ЙЛ: Случаят #НАПлийкс за пореден път връща общественото внимание върху темата за полезността и смисъла от държавните агенции, звена и структури. След такава криза, особено когато отговорните лица отказаха да поемат политическата и управленската си вина и отговорността за нея, често се случва „покрай сухото да изгори и суровото“. Ти си имал допирни точки с колеги от държавната администрация, които се опитват да правят нещата по правилен начин, и такива ситуации обезценяват незаслужено точно техните усилия. Би ли споделил впечатления? И може би някои позитивни примери, които не се виждат от обществото ни, понеже то няма поглед върху детайлите.

ВК: Без да цитирам имена и без да претендирам за много голям досег с такива хора, мога да кажа, че има и от двата вида – има хора, които искат да си свършат кадърно работата; има и такива, за които е нужен топ, за да ги размърдаш. Не помага и това, че сякаш не съществуват екипи, които могат да реагират в извънработно време на проблем, което от своя страна обезсмисля голяма част от всевъзможните мерки, които могат да се вземат на тема сигурност, надеждност на услугите и т.н. Виждал съм дори умишлено пречене да се реши проблем в извънработно време – нещо, което е тотално немислимо в недържавната част на индустрията.

Като добавим към това и нивото на заплатите в администрацията…

Наскоро имаше обява в сайта на ДАЕУ за системен администратор и заплатата беше около 600 лв. Не мисля, че човек с нужната квалификация за това би се съгласил да работи за под 3000 лв., да не говорим за размерите на отговорността в ДАЕУ. Имайки предвид, че заплатите в администрацията поне официално са 5–10 пъти по-ниски, отколкото в индустрията, ми е трудно да си обясня как съществуват и малкото мотивирани хора, които откривам там.

Заглавна снимка: Markus Spiske

Йовко Ламбрев

Йовко Ламбрев

ИТ експерт, инженер, блогър и фотограф от Пловдив. Основател на OpenFest, съосновател на Trakia.Tech, няколко технологични компании и Тоест. Член на Настоятелството на Фондация „Тоест“. Вярва, че можем да направим света по-добър.