ИПИ: Няколко урока от срива на Търговския регистър

Въпреки летните жеги и големия брой и-мейли, настроени на автоматичен отговор, тазседмичният срив на електронния Търговски регистър породи вълна от реакции и създаде проблеми на хиляди фирми. Няколко обстоятелства около това събитие обаче си струват по-подробен анализ, тъй като са показателни за начина, по който работи както българското електронно правителство, така и администрацията като цяло, коментира Адриан Николов от екипа на Института за пазарна икономика.

Тук ще ги нахвърлям без определена последователност или причинно-следственост.

1) Дефектирането на „четири диска с 25 терабайта информация“ довело до срива на Търговския регистър според обясненията на министъра на икономиката. Поради абсурдността си това обяснение вече доби статут на Интернет меме (бел. ред. Мийм (на английски: meme) се използва, за да опише идея, която се разпространява в Интернет) и може да послужи като оправдание за пред онези, които през последните години са живели в гора или поне никога не са се докосвали до компютър през живота си.

Представената версия може да означава две неща – или администрацията, чиято работа е да се грижи и поддържа Търговския регистър, е именно в групата на гореспоменатите горски обитатели, или това оправдание е чисто и просто опит за хвърляне на прах в очите, разчитайки, че по-голямата част от аудиторията е съставена от горски жители. Първото от своя страна би значело, че като цяло опитите за въвеждане на електронно правителство през последните две десетилетия като цяло не са успели да придадат на администрацията базови познания за това как то работи. Второто просто би било обидно за всички нас като потребители.

2) Липсата на адекватно поддържана резервна версия на ключов за работата на хиляди фирми и институции регистър така и не намери добро обяснение. Тъй като договорът на фирмата, която се е нагърбила с изграждането и поддръжката му, се оказа секретен, много е вероятно никога да не разберем точно каква е била причината критична инфраструктура да не може да се възстанови за седмици, вместо за часове.

Със сигурност обаче знаем, че при този казус далеч не са спазвани най-добрите (или дори стандартните) практики за поддръжка на такъв тип инфраструктура, което създава впечатление по-скоро за умишлени действия или в най-добрия случай за престъпна небрежност.

Още по-проблематично е, че оттук насетне доверието във която и да било друга електронна услуга, предлагана от българската администрация, ще бъде силно компрометирано заради възможността във всеки един момент тя да стане недостъпна, а съхраняваната информация да бъде унищожена или някой да злоупотреби с нея. В този смисъл необходимо е проучване на сигурността и издръжливостта на много други критични електронни системи, както и преразглеждане на изискванията към фирмите, които ги поддържат.

3) Кризисното решение, представено от правителството, е създаване на единно хранилище, което да служи като резервен „трезор“ за информацията от регистрите на администрацията (както разбираме, с размер от цял петабайт – думичка, която звучи още по-импозантно от 25 терабайта).

Въпреки че изглежда като опит за предотвратяване на подобни кризи в бъдеще, наличието на подобно свръххранилище по никакъв начин не е необходимо, стига отделните регистри да следват адекватни стандарти за поддръжка на данните си. Обратно, централизирането на информацията от всички регистри на едно физическо място ги прави особено привлекателна плячка за потенциални хакерски набези[1].

Изграждането на такова „хранилище“ създава и възможност за прехвърляне на почти милион лева на една от няколкото фирми, които традиционно обслужват българското електронно правителство, без засега да става дума за подобряване на стандартите за сигурност и поддръжка, нито за носене на ясна отговорност в случай на бъдещи провали.

4) Реакцията на администрацията демонстрира цялостно отношение към бизнеса. Сривът на регистъра пречи на нормалната работа на хиляди фирми, но въпреки това първите няколко дни нямаше нито обяснение как и защо се е случило това, нито дали е довело до щети и в други информационни системи, нито кога ще бъде възстановена нормалната му функционалност, така че бизнесът да може да планира работата си през следващите няколко седмици.

Все още не е ясно дали е загубена част от информацията, въведена в регистъра през последната година, което според по-конспиративно настроените е и причината за събитията от последната седмица. Ясно е обаче, че е необходимо отговорните институции и техните ръководители да поемат отговорност за провала си, и да предоставят на засегнатите ясно обяснение за неговите причини и последствия, което на този етап не се е случило.

В крайна сметка, сривът на Търговския регистър неминуемо ще доведе до спад на доверието в българското електронно правителство, както и в способността на администрацията да осигурява необходимата сигурност на поверената ѝ информация. Още повече, че това се случва на фона на заявката за провеждане на електронно гласуване от разстояние на следващите избори и въвеждането на лични карти с електронен идентификатор от догодина – две системи, при които доверието и сигурността са от огромна важност и съответно имаме ясна причина да очакваме по-сериозни мерки в посока тяхното осигуряване и поддържане. Съдейки по събитията от последната седмица обаче, тези очаквания надали ще се оправдаят.

[1]Добрите практики в сферата изискват по-скоро обратното: поддръжка на децентрализирани и “изолирани” една от друга бази данни, които общуват помежду с в слоеве за обмен на данни, например X-road, което ограничава щетите в случай на компрометиране на отделните системи.