кафенето

Новини и не само

Дори да си Нещо, ще тлееш и агонизираш под някое Нищо

Вчерашният ден бе изпълнен с тревоги за всичко, което се случва в страната ни. Даже познати и колеги, които по принцип си мълчат, вече коментират ставащото, пращат ми линкове, показват, че са омерзени и разстроени, боли ги за България. Това наистина е голям грях на управлението – че накара толкова много хора да изпаднат в песимизъм, да загубят надежда, че може да започне да се случва нещо нормално у нас. Явно е преминат някакъв предел на поносимост, на способност на мнозина от българите да се адаптират, да се снишават, да смятат, че и това ще мине, да слагат бронята на безразличието, да махат с ръка – „майната им, да правят каквото щат“!

Но към края на деня се срещнах замалко с бивш студент, който от десетина години е на Запад. Вярно е, че извади 1-2 пъти огромен късмет, но на принципа, на който аз го съветвах – пусни си фиша, само така имаш шанс да спечелиш нещо. Може би тройка, може би джакпот! И той търсеше възможности, пращаше сиви-та, готов бе на лишения, не униваше.

Послуша ме в още нещо – да атакува крепостта отвътре. Т.е. да се съгласи на стаж в някоя структура, дори да няма гаранция никаква, че ще го оставят; да се реши на на пръв поглед обречена специализация; да се престраши да участва в конференция; да се осмели да кандидатства за място в проект. И успя! Веднъж колежка в отдела излезе в майчинство и взеха него като човек с по-ниско заплащане, после изтеглиха колега нагоре, освободи се щат, имаше конкурс, но той вече познаваше изпитващите и те го познаваха.

Беше си дошъл замалко, има научни идеи и искаше да поговори с мен за тях.

Доста неща ми каза, но ето четири от тях.

1. Нивото на нашето висше образование е много ниско и става все по-ниско – не повече от 5% от получените знания тук са му свършили работа там. Останалото е архаично, откъснато от съвременната наука, преподава се по демодиран начин и с език, малко развил се от времето на соца. (Е, успокои ме, че моите неща са му свършили добра работа и ми е благодарен за това.)

2. В сравнение с колегите на Запад, той смята, че у нас масово преподавателите са спрели да се развиват, не четат съвременна научна литература, не актуализират своите знания, пилеят времето си в безразличие към науката или в гонитба на формални критерии, главно количествени. Качеството не се оценява и не е критерий за развитие и авторитет. Да, каза той, знам, че Вие (сиреч аз) също често говорите за това, че качествените критерии са изхвърлени в задния двор на науката и преподаването.

3. Има рязко разминаване между Там и Тук по отношение на административната власт и научния авторитет. Там най-силно се чува думата на най-изтъкнатите преподаватели, те задават тона, те най-силно определят стратегията на развитие на висшето учебно заведение, те имат решаващото мнение при критериите за оценка на науката и преподаването. Докато у нас всичко (или повечето) е във властта на отдавна приключили с науката администратори, които се изявяват като бизнесмени от науката и робуват на освирепял пазарен фундаментализъм.

4. Българите „там“ се справят много добре. Дори тук да не са били особено видни, попадайки там в агресивна конкурентна среда, която, обаче, има ясни критерии за оценка и гарантира, че вложеният труд ще получи заслужена оценка, те сякаш получават второ дихание и започват да пробиват, да се доказват. Но за да стане това, най-здравословно е да се откъснат от средата на своите сънародници там (ако ги има) – тя много бързо се превръща в копие на средата тук – клюки, зависти, слухове, взаимно дърпане надолу.

Вярно е, че аз съм му дал препоръка и съм го насърчавал да се бори и да се развива навън, но ми беше тъжно, че това сравнително младо момче допринася за науката и благото в друга държава и гледа на България през очите на човек „отвън“. Тъжно ми беше и че той тук не би се развил – я би писал някому дисертация (колега твърди, че всяка пета дисертация е написана от някой друг), я нещо друго би го тласкало надолу или го карало да тъпче на място. Средата у нас не е благоприятна за развитие на талантливи хора. Не само науката, а и въобще интелигентността не се ценят в България. Простотата и простотията имат решаващата дума кой може и кой не може. Климатът е противопоказен за кадърните и свестните.

Ето, след една от защитите тези дни дойде студент, благодари ми много искрено за нашата съвместна работа, а като му казах, че според мен бе ощетен с оценката, той отговори:

„Аз дадох всичко от себе си в дипломната работа, смятам, че се представих много добре и на защитата, но съм пределно наясно, че всичко у нас е политика, лансиране на свои хора, спуснати отгоре оценки и размити критерии за оценяване на разработките. И понеже някои трябва да получат повече, ясно е, че други ще получим по-малко. Но животът продължава и аз ще продължа да диря късмета си. Дали ще е в България – това никой не може да каже…“

Такъв бе днешният(вчерашният, б.р.)ден. Той ми показа отново и отново, че нещата тук не вървят никак добре. И нещо трябва да се прави. Чудя им се на 40-годишните… Ако аз бях с 20-25 години по-млад, нямаше да седя със скръстени ръце, щях поне да се опитам да направя нещо. Като героя от „Полет над кукувиче гнездо“, който се опита да направи нещо.

Не се ли опиташ да направиш нещо, няма да постигнеш нищо. И дори да си Нещо, ще тлееш и агонизираш под някое Нищо, което те е яхнало и не само те язди, но и с коленете си те стиска все по-здраво за гушата…

Коментарът е от профила на Николай Слатински във фейсбук. Заглавието е на редакцията.

Реклами

Течът на данни от НАП беше неизбежен

Инцидентът е много сериозен и този път политическите ръководства трябва да разберат, че има системни проблеми за решаване, които не могат след всеки инцидент да смитат под килима.

© Юлия Лазарова

Инцидентът е много сериозен и този път политическите ръководства трябва да разберат, че има системни проблеми за решаване, които не могат след всеки инцидент да смитат под килима.

Божидар Божанов е компютърен специалист, основател и ръководител на LogSentinel. Работил е като съветник към Министерския съвет. Текстът е от блога му и е препечатан с миниатюрни съкращения. Заглавието е на „Дневник“.

Много се изговори и изписа по повод „НАПлийкс“. Аз успях да се включа в какафонията с няколко телефонни интервюта и едно телевизионно. Но в такъв формат, дори да е по-дълго, не може да се изложи всичко в структуриран и систематизиран вид. Затова ще опитам тук.

Инцидентът

Към медиите през имейл в безплатна руска имейл услуга беше изпратен линк към архив са 11 GB данни от базите данни на НАП. Имаше как да се сдобия с данните, но по ред причини не съм ги разглеждал и анализирал все още – едната е, че имах доста друга работа, а другата – че все пак това са данни, които представляват защитена от закона тайна и нямам добра причина да наруша тази тайна.

По информация на хора, които са разгледали данните, вътре има ЕГН-та, три имена и осигурителни доходи на милиони граждани, номера на лични карти, както и данъчни декларации, граждански договори, а също и данни от други инстутуции – Агенция по заетостта, Агенция Митници, Агенция за социално подпомагане. Има данни за чуждестранни юридически лица и любопитни данни, като например файл, озаглавен QneQnev.

Дали изтичането на тази информация е фатално – не. Дали е голям проблем – със сигурност. Ако не беше, нямаше данъчно-осигурителната информация да се ползва със специален статус (и НАП често да ползва тайната на тази информация като аргумент да не обменя данни с други институции).

Данни на почти всички български граждани са изтекли и това е огромен проблем, без значение колко се опитват някои политически фигури да го омаловажат.

Как?

Няма официална информация как е станал пробивът, но на няколко места излезе слух, че е т.нар. SQL инжекция. Това звучи правдоподобно, така че ще коментирам него. SQL инжекциите са сред най-простите уязвимости – хакерът вкарва специално подготвен текст в дадено поле и получава контрол над базата данни, защото разработчикът не е „почистил“ входните данни (и не използва т.нар. prepared statements).

Това е псевдо-код, с който параметрите, подадени от потребителя, се „залепят“ за заявка, която се изпълнява към базата. Е, ако хакерът вместо потребителско име попълни друга валидна заявка в полето, тя ще се изпълни. Създадената процедура може да бъде с произволен код, който да обхожда всички бази данни и техните таблици и да ги изпраща към определен IP адрес.

В момента, в който хакерът може да изпълнява произволна, избрана от него заявка към базата данни, всичко е свършило. А откриването на тази уязвимост е тривиално дори и на ръка, а има достатъчно много инструменти, които сканират и откриват автоматично такъв тип уязвимости. Всяка организация с повече от 10 души трябва да прави регулярни проверки за уязвимост на системите си, за да предотврати поне най-тривиалните атаки.
Защо?

Това е сложният въпрос. „Защото някой в НАП е некадърен или в най-добрия случай немарлив“ е простият отговор, но той не е достатъчен. „Защото в администрацията не се дават пазарни ИТ заплати“ е отговорът, който министър Горанов даде, и той е отчасти верен, но е повърхностен. Тъй като преди 3 години се занимавах именно с дългосрочното решаване на този проблем, ще споделя по-задълбочени размисли.

Длъжностите в администрацията са разписани в т.нар. класификатор. До 2016 г. там нямаше ИТ длъжности (ИТ кадри бяха наемани на общи експертни позиции). Тогава предложихме изменение на класификатора, така че да включим ИТ длъжности и то на максималните възможни нива на заплащане за съответния опит. Това, разбира се, пак е много под пазарните заплати, но е някаква стъпка.

Паралелно това, с измененията в Закона за електронното управление направихме две неща. По-маловажното беше, че създадохме опция Държавна агенция „Електронно управление“ да създаде програма за привличане на експерти от частния сектор, които краткосрочно да помагат за ИТ услугите на държавата. Нещо, което и аз правех тогава, но в мащаб. Нещо подобно на американските 18F/USDS. Това, излишно е да казвам, не се случва вече трета година.

По-важното беше създаването със закон на държавно предприятие „Единен системен оператор“. Идеята му е да може да дава пазарни ИТ заплати, като предоставя определени услуги на държавната администрация – технически задания, проектен контрол, тестове, в т.ч. за уязвимости, управление на поддръжката на инфраструктурата, консултиране на ключови проекти, спешни мерки по „закърпване“ на проблеми, и др. Това предприятие също трета година е блокирано и не се случва. Изпълнителната власт, и Горанов в това число, като че ли осъзнаха нуждата от нещо такова след срива на Търговския регистър миналата година, но явно просветлението е било краткотрайно. И това не сме си го измислили ние – BRZ (Австрия) и GDS (Великобритания) са едни от примерите за подобни структури в Европа.

Това, че има кадърни хора, е много важно условие, но не е единственото. Друг аспект са обществените поръчки и фирмите, които ги изпълняват. Резултатите там рядко са добри по много причини, които съм обсъдил в отделна статия.

Информационна сигурност

Причината за ниското ниво на информационна сигурност е човешкият фактор, който е следствие на политическа неадекватност. Но все пак има начин нещата да станат малко по-добре дори само с подходящо структурирани правила. С промени в наредбите към Закона за електронното управление въведохме редица изисквания за информационна сигурност, в това число шаблон за задание за всички нови проекти.

В този шаблон изрично се говори за информационна сигурност и за уязвимости от тип SQL инжекция и XSS, така че проекти, създадени по този шаблон, да са съзнателно проверени за такива уязвимости, а наличието им да се явява неизпълнение на договор. Между другото, тогава НАП бяха против някои текстове, защото те вътрешно си пишели някои системи и някои изисквания не важали за тях.

Самата уязвимост е един проблем, но защо след като хакерът е придобил контрол върху една база данни, той след това е могъл да източи толкова много други такива? Моето допускане е, че потребителят, с който уеб-приложението е ползвало базата данни, е имал пълни права върху всички бази на този сървър. Това е ужасна практика и трябва да бъде коригирана.

Резонен е въпросът дали освен конфиденциалността на данните не е нарушен и интегритетът им – т.е. дали хакерът не е подменил данни. Теоретично е напълно възможно. Ако тези таблици са оперативни, а не първични, едва ли, но трябва НАП да провери данните спрямо резервните си копия.

Течът обаче не значи, че всички системи в НАП са толкова „пробити“. Хакерите винаги атакуват най-слабото звено в системата. Именно затова информационната сигурност е трудно нещо и не е еднократно усилие. Нужни са редица от мерки и постоянно внимание към множество детайли. Рискът никога не е елиминиран 100%, което е видно и от всекидневните пробиви в уважавани частни компании. Но една държавна институция няма право да допуска толкова прости за изпълнение (и за предотвратяване) пробиви.

GDPR

Да, бизнесът похарчи много, за да бъде в съответствие с GDPR, и изведнъж държавен орган се оказа най-неподготвен. Това оставя лош вкус в устата и е разбираемо цялото недоволство. Освен информационната сигурност, има още един аспект на GDPR, на който трябва да обърнем внимание – принципа на свеждане на данните до минимум. Иначе казано, НАП трябва да обработва само данни, които са й необходими и да ги задържа само толкова, колкото да е необходимо (което е друг принцип – този на ограничение на съхранението).

В НАП, а и не само, наблюдаваме точно обратното – правят се всекидневни копия на данни от други администрации и те се пазят вечно. Винаги съм бил срещу тази практика, защото освен рисковете за теч на данните, създава и редица други рискове – например от неактуални данни. При електронното управление има т. нар. първични регистри. Те са единственият актуален и верен източник на данни и проверките трябва да се правят в реално време, а не върху техни копия. Тази практика трябва постепенно да намалее и да спре, като бъде заменена от директния обмен на данни между администрациите. Обмен, който освен всичко друго, оставя следа – кой, кога какви данни е чел и за кого. В съответствие с принципа на отчетност на GDPR. Друга мярка, която GDPR предвижда, е криптирането. Ако чувствителните данни бяха криптирани по определен начин, тогава SQL инжекцията можеше и да не бъде успешна.

Дали Комисията за защита на личните данни (КЗЛД) ще наложи глоба на НАП или не, не знам. Дали има смисъл да се прехвърлят едни публични средства между институциите (и накрая – пак в бюджетната сметка) – също не знам. Но със сигурност НАП е трябвало да уведоми КЗЛД навреме, и съответно трябва да уведоми гражданите за теча. За целта НАП готви приложение, където всеки може да се провери дали данни са изтекли, което е добре.

Проблемът със защитата на данните е голям в световен мащаб. Всеки ден текат данни от всякакви компании. Това не е оправдание за елементарните грешки на НАП, но поставя нещата в перспектива. А GDPR е опит да намали риска това да се случи. Разбира се, GDPR не може да спре теча на данни поради немарливост. Целта му е да направи такива течове по-малко вероятни и с по-малък ефект чрез редица мерки и по-важното – чрез няколко основни принципа, с които всички участващи в изграждането и оперирането на софтуер да са наясно. Засега не е ясно дали успява да намали този риск.

Мерките?

Какви мерки могат да се вземат на този етап. Краткосрочните: спиране на уязвимата услуга (вече направено), пълен одит на сигурността на всички системи не само в системата на Министерствоjf на финансите, ами в цялата държава. Проверка дали всички информационни системи са включени в одита на Държавна агенция „Електронно управление“ и последователната им автоматизирана проверка за уязвимости.

Средносрочните са провеждане на обучения на всички служител в ИТ дирекциите за информационна сигурност и защита на данните и запознаване с приложимата нормативна уредба, ама не само като членове и алинеи, а и какво стои зад нея. Евентуално сертифициране на всички първостепенни и второстепенни разпоредители по ISO 27001 (стандарт за информационна сигурност), макар че те вече имат това задължение според наредбата за общите изисквания за мрежова и информационна сигурност. Друга средносрочна мярка е насърчаване на т.нар. отговорно докладване (reposnisble disclosure). Хора, които откриват уязвимости и го докладват на органа, без да има риск да бъдат наказани (и дори срещу финансово възнаграждение). Такъв текст бяхме добавили в Закона за електронното управление, но при приемането не Закона за киберсигурност се е загубил.

А дългосрочните мерки задължително включват повишаване на капацитета, което според мен минава най-накрая през създаване на Държавно предприятие „Единен системен оператор“. Той няма да е панацея и със сигурност ще има свои проблеми за разрешаване, но е крайно необходим.

Това, което по принцип препоръчвам всеки да направи, без значение дали данните могат да се използват директно за злоупотреба или не – да си активираме известия за движение по банкови сметки, както и за движения по партиди в търговския и имотния регистър. Само с ЕГН или дори с лична карта никой не може да ви вземе пари, имот или фирма, но по-добре човек да се застрахова, защото измамниците са изобретателни.

Комуникацията

Комуникацията на официалните лица може да се раздели на две части – от една страна тази на експертите в НАП, начело с пиара Росен Бъчваров, и от друга страна всички останали.

Комуникацията от страна на НАП беше адекватна. Максимално бързо обясниха проблема, обясниха обхвата му, обясниха защо се е случило и какви мерки са предприети. В такива ситуации така се прави – казваш фактите, без да ги захаросваш, защото това не помага.

Комуникацията от страна на политическите фигури (министър, депутати, премиер) стигна до висоти на неадекватността, които могат да обобщя като „е кво толкова е станало“, „руснаците заради самолетите ни хакват“, „като има електронни услуги, ще има течове“ и „е тоа хакер колко е добър само“. Нито едно от тези послания не помага по никакъв начин, освен може би сред партийните ядра, които вече имат опорки в споровете на маса.

Хакерът

Хакерът първо беше руски, после уж го намериха и се оказа български. Първо, това, че хакер твърди, че е някакъв, не значи абсолютно нищо. Всеки може да си регистрира поща в Яндекс и да твърди каквото си иска.

Дали заловеният наистина е извършител, ще реши съдът. ГДБОП трябва да събере доказателства и от тях да следва еднозначно, че той е извършителят. Дали намереният файл, в който се съдържа името му, е истински или не – не можем да кажем. Има много варианти, в които е истински. И такива, в които не е.

Ако това не беше истинският хакер, може би истинският щеше да напише писмо, с което опровергава, че е заловен. Но трябва да е от същия имейл адрес (и пак няма гаранция, че не е дал паролата на друг). Проверка по онлайн форуми пък показва, че потенциално уличаващи коментари изчезват (форумът е собственост на работодателя му и изтриването може да е просто с имиджова цел).

Дали хакерът е „магьосник“ обаче, е сравнително ясно – не е. Злоупотреба с SQL инжекция може да направи почти всеки. Ако е оставил да бъде открит, значи не си е покрил добре следите.

Какви биха били мотивите му – има много варианти. Просто адреналинът от това до пробиеш система на държавен орган е един мотив. Ако мога да цитирам любим филм (The Dark Knight) – „Някои хора просто искат да гледат как светът гори“. Ако приемем хипотезата, че не е един самотен хакер, а група хакери, потенциално свързани с друга държава, тогава мотивите приемат съвсем друг характер. А тази хипотеза не можем да я изключим изцяло на този етап.

Интересно е да се изследва архивът за всякакви странности – останали метаданни на файлове, останали служебни файлове, като този, в който пише името на хакера, хедъри на изпратените писма, скриптове и логове на иззетата техника, логове на сървърите на НАП. Все неща, които ГДБОП трябва да направи и от които ще зависи в крайна сметка присъдата. На този етап човекът е невинен и последно, като проверих Наказателно-процесуалния кодекс, присъди не се произнасят в интернет.

Заключение

В заключение, имаме много да научим от този инцидент. За информационната сигурност, за защитата на данните, за политическата адекватност и за дългосрочните реформи, чието неслучване води до очаквани ефекти. Такъв инцидент беше неизбежен при нивата на компетентност в администрацията. С това не казвам, че там няма никакви компетентни хора, а просто, че са малко и не могат да огреят навсякъде. Аз, например, съм кърпил системи, докато бях в Министерския съвет, но фокусът ми беше по-скоро към формулиране на решения на системните проблеми. Защото ще закърпя една система, а други три ще останат пробити.

За такива инциденти трябва да се носи политическа отговорност. Дали чрез оставки или на избори, не знам. Но всеки инцидент е следствие от нечие действие или бездействие.

Все пак, трябва да имаме предвид, че институциите ще продължават да обработват данните ни. Може би ще са по-внимателни какво събират и защо го събират, но те няма да изчезнат. И трябва да измислим как да „сглобим“ някакво базово доверие към тях. Това е работа предимно на институциите – чрез мерките, които вземат и чрез говоренето им. Но е задача и на експертите, които коментират темата. Никой няма полза от пълно сриване на доверието, колкото и скандален да е един пробив.

Все пак инцидентът е много сериозен и този път политическите ръководства трябва да разберат, че има системни проблеми за решаване, които не могат след всеки инцидент да смитат под килима. Кърпенето на дупки е до време, в един момент трябва да се подменя целият път.

НАП: нищо лично

Най-големият теч на данни в България засяга практически цялото икономически активно население на страната

Част от темата

#НАПЛийкс

Тече, всичко тече

Най-интересните моменти от файловете на НАП

Държавата с най-отворените данни в света

Как България неволно настигна скандинавските страни по публичност на доходите

Ако някой просто спазваше закона

Течът на НАП нямаше да случи, ако на държавата ѝ пукаше за електронното управление

Има ли ме в #НАПлийкс? Последните дни това бързо се превърна в един от най-често задаваните въпроси в страната. И краткият отговор е: почти сигурно – да. Или поне, ако сте роден преди началото на този век и последните десет години сте имали някакво вземане-даване с българската държава, то с над 90% вероятност вече практически неограничен кръг лица може да се запознаят с вашите имена, ЕГН и адрес. А може би и не само, тъй като в изтеклите лични данни за стотици хиляди души могат да се открият още и доходи, осигуровки, здравни вноски, номера на коли, банкови сметки и какво ли още не.

Накратко, това е най-големият теч на информация в България досега. Преравянето, разбирането и систематизирането на изпратените в понеделник до десетки медии файлове от анонимен мейл, изисква умения за работа с бази данни и време. Но дори и само първоначален поглед открива файлове с милиони редове данни за български и чуждестранни граждани и фирми. А след филтриране се откриват над 4.6 млн. различни ЕГН (без да се брои един файл с 1.38 млн. номера на починали лица). Тоест засегнати са около две трети от българските граждани, или почти всички в икономически активна възраст.

Естествено пробиви в сигурността има постоянно по света и засягат дори и технологични гиганти и правителства в много по-развити държави. Това, че такива неща се случват, обаче не прави щетите по-малки.

Изтеклите данни не дават пряка възможност някой да ви навреди. В лийка за щастие няма персонални идентификационни кодове (ПИК), с които могат да се достъпват всички данни за конкретното лице. Няма и пароли на граждани (макар да има такива на служители на НАП) или нещо друго, с което някой може да влезе в чужда поща, да източи банкови сметки, да изтегли кредит от чуждо име или да открадне фирма или имот. За да се направи каквото и да е от тези неща, е нужна и още информация, а обикновено и фалшификация на документи или друго престъпление.

От изтичането обаче може да има съществени вторични ефекти. Само най-очевидното е, че данните за доходи и имущество могат да превърнат конкретни хора в обект на различни престъпления – обири, измами (телефонни и всякакви други), изнудвания и дори отвличания. Извън това обаче разпространените чувствителни данни могат да имат и много други материални и морални щети. Например присъствието в списъци с клиенти на фирми за онлайн залагания може да създаде проблеми както в личен план с близки хора, така и с настоящи или бъдещи работодатели.

Последствията от теча за държавата могат да бъдат доста по-значими. На първо място те биха могли да са финансови – логично е да последва лавина от дела за претърпени морални или материални вреди заради изтеклите данни. Юристи не изключват и възможност за колективен иск, към който да могат да се присъединят пострадали, макар по българското право подобни дела да са изключително трудни и тромави.

Извън това и самата НАП може да подлежи на санкция от Комисията за защита на личните данни, което обаче от гледна точка на държавата не е точно загуба, доколкото едни пари се местят от една нейна институция в друга.

Далеч по-дълбоки обаче могат да се окажат репутационните щети. Освен за български граждани и фирми в данните има такива и за чуждестранни. А може би най-взривоопасно в този план са изтекли данни от Eurofisc – системата, през която националните данъчни служби и OLAF си обменят информация в опит да предотвратяват измами, най-вече източване на ДДС.

От наличната вътре информация може да пострадат множество текущи разследвания в целия ЕС и да последват щети за милиони евро. А всичко това вероятно няма да се погледне с добро око в партньорските служби, които ще са доста по предпазливи да споделят информация с българските. И това далеч не обхваща само НАП, тъй като усещането за уязвимост срещу кибератаки доста лесно се пренася към други институции и към българските власти като цяло.

Засилването на тези притеснения и страхове обаче далеч не се случва само зад граница. Може би най-същественият ефект от НАПлийкс в България ще бъде именно подозрение към всяка нова инициатива за внедряване на нещо електронно. Независимо дали ще е здравеопазване, гласуване или каквото друго се сетите, всяка нова електронна услуга в държавата дълго време ще среща съпротива от типа „Да не стане като с НАП“. И това е обяснимо – приходната агенция е институцията с най-много като брой и като полезност онлайн услуги и затова и провалът именно там бързо ще се пренесе като провал на електронното управление в държавата.

Предвид липсата на воля, мисъл и достатъчно ресурси за него, както и вътрешната съпротива на всяка администрация срещу външна намеса, явно е заслужена оценка. Но тя вероятно допълнително ще бетонира тъжната настояща картина – на фрагментирани, правени на коляно електронни услуги от всяка институция, които не са подчинени на обща идея и не си говорят помежду си.

А ако има все пак нещо положително, то е, че изтеклите данни са като съкровищница за анализатори и разследващи журналисти, от която има потенциал да изскочат разкрития за злоупотреби. Което би повдигнало и нови въпроси към НАП защо не са ги забелязали.

Накъде с Урсула фон дер Лайен

72915501305740320Радио SBS, Мелбърн, Австралия, Фили Ладжмън и Пламен Асенов, политически коментатор на SBS за България

Към сайта SBS на български: http://www.sbs.com.au

Европейският парламент избра Урсула фон дер Лайен, бившия германски министър на отбраната, за председател на Европейската комисия. Тя е първата жена на този пост и се застъпва за засилване на европейското единство, а като основна задача на Съюза сочи опазването на природата. Коя е Урсула фон дер Лайен и какво да очакваме от нея – темата обсъждаме с Пламен Асенов.

– Пламен, имаше колебания дали фон дер Лайен ще събере достатъчно подкрепа, за да заеме най-високия пост в ЕС, но това все пак стана. Как и защо?

– Стана с доста крехко мнозинство, Фили. При избора онзи ден в ЕП, фон дер Лайен получи 383 гласа, само 8 над прага. Зад нея, освен депутатите от ЕНП, застанаха и част от социалдемократите. Скептични бяха либерали, зелени, крайнолеви и крайнодесни. От страна на ЕНП, най-голямата политическа формация в парламента, изборът на Урсула фон дер Лайен се смята все пак за добър компромис. Той бе постигнат, след като стана ясно, че основният кандидат на десницата, германецът Манфред Вебер, няма да събере достатъчно подкрепа, включително защото срещу него се обяви и френският президент Еманюел Макрон.

Въпреки това обаче, драмата около избора засегна едно от основните неписани правила на Евросъюза, които работеха добре – шефът на ЕК да се посочва без уговорки от партията на мнозинството. Е, този път имаше уговорки и неслучайно Жан-Клод Юнкер, действащият председател на ЕК, чиито мандат изтича на 31 октомври, каза, че, за съжаление, старото положение няма да се върне.

– Защо това е проблем, не е ли нормално в ЕС да се преговаря за всичко?

– До голяма степен е така, Фили, но това беше един от малкото знаци, че се зачита директно волята на избирателите, а не всичко е пазарлък. Защото хората, поне в идеалния теоретичен случай, гласуват доверие на дадена партия, като очакват тя да излъчи поне министър-председателя, тоест, върха на управлението, колкото и условно да е това в ЕС. А чрез оспорване може да бъде подменен вотът на избирателите. Да, в този случай бе постигнат компромис, при който Вебер бе заменен с човек пак от ЕНП. Но това не бе гарантирано – можеше обструкциите да продължат, да се образуват странни коалиции, които да застанат зад странни фигури и да се стигне до отварянето на нови, сериозни пукнатини в и без това доста напукания европейски таван.

– Затова ли веднага след избора фон дер Лайен започна с европейското единство?  

– Да, не е случайно. Вече от доста време точно това единство е атакувано целенасочено както отвътре, от тъй наречените „евроскептични партии”, така и отвън, най-вече от Русия. В същото време ЕС има да се справя с толкова други тежки предизвикателства, че май се задъхва. И Урсула фон дер Лайен явно го разбира, щом започна изявлението си с думите: „Ще се изправя срещу всеки, който иска да разруши ЕС. Трябва да преоткрием единството си. Ако сме единни, никой не може да ни раздели отвън.” И после в поетичен стил тя, майка на 7 деца и гинеколог по професия, добави: „Европа е като любовта – с времето може да не расте, но се задълбочава”. Така или иначе, Фили, аз пък мога да кажа, че високо ценя тази нейна твърдост, защото смятам, че единството е полезно както за Европа и света като цяло, така и за България в частност.

– Пламен, мандатът на фон дер Лайен започва на 1 ноември т. г. Какво друго, освен че държи на единството, знаем за нейните визии за развитие на Европейския съюз?

– Тя очерта няколко основни идеи, като каза, че първостепенна задача и най-голяма отговорност е опазването на природата. Според Урсула фон дер Лайен, добра идея е да се работи за това до 2050-та година Европа да се превърне в първия континент без замърсяване. Тя обеща още в първите сто дни от управлението си да предложи законодателство за защита на околната среда и заяви, че в тази сфера ще са необходими около 1 трилион евро инвестиции през следващите 10 години за постигане на основните цели.

– Но защо при това положение фон дер Лайен не получи подкрепата на зелените при избора си, подобна програма би трябвало да е напълно по техен вкус.

– Честно казано, не знам, Фили. Странно е наистина, но може би има връзка със старата максима, че зелените отвън са червени отвътре и при избора червените политически съображения са надделели над зелените природни. В интерес на истината, но по друга линия, аз лично съм доста скептичен към възможността да се реализира тази гигантска зелена идея на фон дер Лайен. Най-малкото защото за целта ще е необходимо засилване на рестриктивните мерки от Брюксел, а това не е точно пътят за запазване и развитие на европейското единство.

Примерът с Брекзит е категорично доказателство. Поне на първо четене, смущаващи са и ред визии на Урсула фон дер Лайен в икономиката, доколкото също са ориентирани към нови регулации и засилване на социалното подпомагане. Да, идеята за „честни данъци” и „достойно възнаграждение” на всички работещи в Европа звучи добре, но ме притеснява добавката, че пазарът трябва да бъде съобразен с обществото – а това съобразяване вече го живяхме при социализма. Новият европейски премиер каза също, че ще назначи в самата Европейска комисия равен брой мъже и жени, независимо колко и какви кандидати ще трябва да отхвърли. А като чуя за наличието на подобни квоти, аз лично сериозно се стряскам, Фили.

– Защо това те смущава?

– Ами нямам нищо против всички еврокомисари да бъдат жени, прекрасно би било – но да заемат местата си в истинска конкуренция, тоест, заради качествата си, а не заради измислени квоти. Но да кажа, че, в известен смисъл, левите уклони на Урсула фон дер Лайен са донякъде разбираеми. Тя е член на дясно-центристкия ХДС в Германия, но като министър е основно в социалните сфери.

Да, последно беше министър на отбраната, но се прочу с това, че по нейно време немската армия удари дъното по боеготовност, а Федералната сметна палата започна проверка срещу нея за скриване на факти и „украсяване на статистиката”. В края на краищата обаче, Фили, всичко това са само предварителни страхове, а може и проява на предразсъдъци от моя страна. Трябва да видим поне първите няколко реални стъпки, които Урсула фон дер Лайен ще предприеме през есента, за да направим по-трезва преценка на позитивите и негативите от нейния избор.

Книгата „Великите европейци”, първа част от едноименната поредица, можете да поръчате в:

Блогът на Пламен Асенов

https://asenov2007.wordpress.com/

Фейсбук страницата на Фондация ПРО ЛИБРИС

https://www.facebook.com/Pro-libris-331618307220817/

Фейсбук страницата на Галерия Цвета

https://www.facebook.com/галерия-Цветаart-gallery-Flower-1047724198650931/

Онлайн-книжарница Книги.ею

https://книги.ею/заглавия/пламен-асенов-великите-европейци/

Защо евтината киберсигурност излиза скъпа


Светлин Наков
Светлин Наков

Следата, която е довела прокуратурата до Кристиян Бойков, обвинен за това, че е пробил сървъра на НАП и е разпространил изтекрлите данни, не доказва категорично, че той е извършил престъплението. Такава теза изрази Светлин Наков – програмист с над 20 години опит, доктор на компютърните науки, автор на десетки книги и статии и основател на СофтУни. Той изрази съмненията си в тезата на държавното обвинение във фейсбук.

Само фактът, че един от файловете е създаден от потребител с името, което използва Кристиян Бойков, и то такъв файл, който не пасва на цялата картинка, не би трябвало да сам по себе си да доказва, че именно той е направил пробива в системата и е разпространил данните, каза специалистът, потърсен от Свободна Европа за повече детайли.

В сряда държавното обвинение съобщи, че на 20-годишния Кристиян Бойков е повдигнато обвинение за пробива в системата на НАП. В съобщението на прокуратурата беше записано, че разследващите са стигнали до него, като са установили, че в един от разпространените до медиите файлове има данни за наименованието на „конкретна компютърна конфигурация, уникално потребителско име, дата, час и софтуерно приложение, послужило за прочитането на файла”, за които е установено, че се използват именно от Бойков.

Според Наков обаче този файл не се вписва в „цялата картинка“ по няколко показателя – създаден е под различна операционна система и е единственият, който съдържа подобна следа. Експертът обясни, че има няколко варианта този файл да попадне сред останалите и не е изключено да е добавен по-късно. Според него по-убедителни доказателства биха могли да се открият от разследващите в логовете на сървърите на НАП.

Файлът, който „не пасва на цялата картинка“

„Изтеклият файл е създаден под Linux с програма за архивиране, която работи с тази операционна система“, каза Светлин Наков в телефонно интервю пред Свободна Европа. „Докато другият файл, който е намерен и представлява въпросната улика, е създаден под Windows.“

Възможностите са две – или този файл е добавен по-късно от различен компютър, или този, който е създал архива, е ползвал Windows и Linux едновременно, каза експертът.

„Това, което аз забелязах и ме учуди, е това, че хакерите, които обикновено ползват Linux, са ползвали Windows в този случай и си зададох въпроса дали този файл не е допълнително подпъхнат преди да бъде изпратен на медиите“, обясни Наков като направи уговорката, че разсъжденията му са хипотези, които могат да бъдат потвърдени или отхвърлени единствено от разследващите с достъп до логовете на сървърите на НАП.

Според него е възможно човекът, източил данните, въобще да не е имал намерение да ги прави публични и затова да не се е постарал да скрие следите си, а течът да е станал през друг човек. Фактът, че в нито един от другите файлове не е оставена такава следа, както и че са променени датите на създаване на всички файлове, разколебава тази теза, смята той.

„Личи си, че някой е почиствал следи в този файл. Заличени са всички дати на всички файлове и са заменени с 10 ноември 1989 г. Тоест човекът, който е правил този файл, има технически умения. Уличаващият файл има същата дата, но е правен под друга операционна система.“

Специалистът разказа също, че е коментирал въпроса със свои колеги, които смятат, че е напълно възможно на един и същ компютър да съществува комбинация между Windows и Linux. По-късно се разбра, че Кристиян Бойков играе игри, които се играят под Windows, допълни Наков. Това обаче не премахва съмнението.

„Очевидно е, че някой си е крил следите, но не ги е скрил докрай. Именно това за мен е съмнително“, каза Наков.

Той изтъкна също, че заподозреният работи във фирма, която се занимава с киберсигурност, което значи, че е запознат със законите и е подписал договор, че няма да злоупотребява с позицията и знанията си. „Той отлично би трябвало да познва законите и да знае какви са последствията, ако такава информация изтече до медиите. […] Ако одитираш една банка, нима тя ще ти позволи да ѝ открадеш парите?“

Сериозни отклонения от добрите практики в киберсигурността

Специалистът посочи, че течът дава доказателства, че в конкретния случай не са спазени основни изисквания за сигурност. Властите посочиха, че атаката е осъществена осъществена през електронната услуга за възстановяване на ДДС, платен в чужбина. Сред изтеклите данни обаче имаше информация, която би трябвало да се съхранява в бази данни, които нямат нищо общо с тази, в която е информацията от услугата за възстановяване на ДДС.

„Защо в същата база данни има данни за хората, които играят хазартни игри? Това е друга база данни. Това е все едно някой е вкарал в шкафа за бельо инструментите за ремонт на колата“, обясни Наков. „Не е правилно, добрите практики предполагат различните масиви да се съхраняват отделно. Там, където властите съобщиха, че се е случил пробивът, е трябвало да има по-малко данни, отколкото всъщност е имало.“

Според негови колеги, причината за подобни технически решения е фактът, че така е по-евтино.

Светлин Наков изтъква, че в държавните системи масово има пропуски в киберсигурността. Причините той вижда в ниското заплащане за специалистите там, във факта, че организащията преминава през бюрократични пречки, както и в непрозрачното възлагане на обществените поръчки за поддръжка на киберсигурността.

В четвъртък бТВ съобщи, че НАП са потвърдили, че профилактичните тестове за техническа уязвимост на системите, започнали след пробива, се правят за пръв път откакто систамете е направена. Казаха, че е първия одит на киберсигурността в НАП. „Това съвсем не говори добре за стандартите в киберсигурността“, смята Наков. „Това, че има одит, разбира се, няма да реши проблемано ако никога не е имало, няма и да се знае, че има проблем.“

Защо искат оставката на Данаил Кирилов

Обидно е човек като Кирилов да е правосъден министър, става ясно от писмото на адвокати, искащи оставката му. В тази връзка да попитаме: ръка ли целуна на Борисов, когато обяви номинацията му? Или просто ниско се наведе?

Адвокати настояват за оставката на Данаил КириловДанаил Кирилов

Данаил Кирилов не играе просто ролята на министър на правосъдието. Той в действителност е министър на правосъдието. Добре е да си го припомняме всеки път, когато се смеем на видеото с „белия хакер“ от посещението му във Върховния касационен съд (ВКС) на 3 юли.

Заради тази негова визита 72 адвокати, членове на „Фейсбук общност на българските адвокати“ (ФОБА), поискаха оставката му. Според тях, поведението на министър Кирилов е било „неадекватно“, освен това той е показал „фрапиращо непознаване на нормативната уредба, уреждаща процедурата по разпределение на дела“.

За адвокатите поведението на Данаил Кирилов, дало поводи за осмиването му в националните медии, юридическите среди и въобще в обществото, уронва не само престижа на адвокатурата (той е и вписан адвокат), но и на юридическата общност.

Накратко: обидно е за правото такъв човек да е министър. Но не и за законодателството, на което Кирилов често бе и баща, и майка:  от 2014 до април 2019, когато зае поста министър на правосъдието, Данаил Кирилов беше виновникът за всички приети, за всички отхвърлени, за всички променени непосредствено след приемането им закони. Като председател на правните комисии в 43-ото и 44-ото Народно събрание, политическите поръчки, свързани с належащи нужди на властта и лобистки интереси, минаха буквално през ръцете му. И ако често погазваше принципите на правото, никога не скърши волята на премиера.

Стремглавата кариера на Кирилов

Разбира се, никой не може да забрани на Кирилов да обича партийния лидер. Но е обидно за парламентаризма да изрича публично подобни думи: „Волята на премиера ще бъде изпълнена“ (юли 2017 – по повод подкрепата, гарантирана от Бойко Борисов за законопроекта на омбудсмана Мая Манолова, ограничаващ правомощията на частните съдебни изпълнители).

Писмото на 72-ата защитници не е първото адвокатско послание до Кирилов. В отворено писмо от края на 2018 година 70 адвокати остро възразиха срещу „тоталитарната посока“, в която поема законодателството.

Те посочиха няколко примера от работата на председателя на правната парламентарна комисия: идеите на ГЕРБ общинските съветници да бъдат освободени от действието на антикорупционния закон, създаването на извънредни съдилища и успешните опити на прокуратурата да влияе върху работата им, приетите поправки за 48-часовия арест без уведомяване на близките.

Освен това определиха като „груба инсинуация“ опитите за внушение от страна на Кирилов, че ЕС и Венецианската комисия са видели проблем в безконтролната власт на т.нар. трима големи – става дума за председателите на ВКС, ВАС и главния прокурор.

„Тълкувателните решения на върховните съдилища са подчинени на правото, а не на интереса на управляващите!“, обявиха тогава адвокатите по повод поправка, внесена от Данаил Кирилов в антикорупционния закон. Тя преодоля тълкувателно решение на Гражданската колегия на ВКС – иначе задължително за прилагане от всички съдилища. Парламентът разреши на КПКОНПИ да предявява искове дори ако наказателното производство е прекратено или има оправдателна присъда, въпреки решението на върховните съдии, че дело за конфискация не може да се води в тази хипотеза.

Това, което едни определят като нарушения на гражданските права, за други е лоялност, която със сигурност е помогнала за успешния прескок на Кирилов от втория ешелон на БСП в първия на ГЕРБ. За десетте години, откакто смени партията на социалистите с тази на Борисов,Кирилов премина последователно през областен управител на София-град, председател на правната комисия в два парламента, а днес вече е министър.

При БСП за 12 години достигна до позицията на шеф на кабинета на регионалния министър – социалиста Костадин Паскалев, в правителството на НДСВ-ДПС. Впоследствие стана общински съветник от БСП в Столичния общински съвет (СОС), не без помощта на Румен Овчаров, но напусна заедно с друг социалист – Божидар Димитров, който получи министерски пост още в първия кабинет на Борисов. Известно е, че лидерът на ГЕРБ награждава пришълците от други партии, които му пристанат.

„Ще подам оставка, ако…“

На 3 юли, по време на посещението си във ВКС, министър Кирилов, видимо объркан от демонстрацията на системата за случайно разпределение на дела, си призна, че за първи път я вижда, но е запознат как работи. Всички опити да му бъде обяснено действието ѝ бяха прекъснати от самия него. Ако не знаехме, че е министър, щяхме да помислим, че репликите му са писани от зевзеци-сценаристи. Особено в частта за одита, който се прави от „бял хакер“ – експерт, който да тества системата, за да установи дефектите и предложи решение за тях.

Последствията от действията на правосъдния министър едва ли ще ни веселят така. Освен ако мониторингът на Еврокомисията върху правосъдието и вътрешния ред не падне до 31 октомври и той подаде оставка, както обеща.

Един фрагмент от кариерата на Кирилов обаче остава неизяснен: не се разбра ръка ли понечи да целуне на Борисов, когато премиерът обяви министерската му номинация? Или просто ниско се наведе?

Плачем, че VW не идва, но активно гоним тези, които са тук

Информацията, че VW най-вероятно няма да изгради новия си завод в България, се приема като малка национална катастрофа – медиите и социалните мрежи са залети от мрачни коментари за „провалената“ ни държава. Донякъде съм съгласен с подобна интерпретация – всеки неуспех в привличането на голям инвеститор трябва да се разглежда по подобен начин.

Накрая VW може все пак да дойде, но аз още сега виждам позитивното в цялата история: Благодарение на лавината от коментари и стискането на палци, българското общество най-сетне започна да осъзнава колко важни за развитието на страната са големите индустриални инвестиции.

Крайно време беше. Защото последните години са изпълнени с примери, в които не просто не се борихме за тях, а даже активно ги прогонвахме.

Ще коментирам само най-значимия и известен случай – спирането на проекта на „Шеврон“ за проучване за шистов газ. За забравилите припомням: През лятото на 2011 г. компанията плати 30 милиона долара за разрешение за проучване за шистов газ в Североизточна България.

Броени дни след това стартира пропагандна кампания срещу проекта. Сформира се специфична коалиция от леви и зелени до крайнодесни активисти, организации и партии, обединени от „каузата“ да се предотвратят не само добивът, а дори и проучванията за наличие на шистов газ. Кампанията по „страхуване“ на населението започна в интернет и социалните медии и много бързо премина във всекидневно присъствие по всички национални медии и протестни шествия с десетки хиляди участници във всички по-големи градове в страната.

Рационалният диалог бе напълно заглушен. Мненията на експертите по темата – геолози, инженери, икономисти – останаха практически нечути. В резултат през януари 2012 г. парламентът наложи мораториум върху технологията на хидравлично напукване, чрез което се проучва и добива газ от шисти. След около още две години „Шеврон“ се оттегли от България.

Днес оплакваме пропуснатите ползи от неидването на компания, за чието привличане сме готови да похарчим стотици милиони, а тогава активно прогонихме друга такава, която си беше платила, за да е тук.

Без да подценявам потенциалните ползи от идването на VW, трябва да отбележа, че пропуснатите ползи от прогонването на „Шеврон“ всъщност бяха доста по-големи. Според американската Агенция за енергийна информация България вероятно разполага със залежи на шистов газ от 481 млрд. куб. м и с над 200 млн. барела шистов нефт. Това са огромни за нашите нужди количества, които дават възможност не само за използване на евтина и чиста енергия, а за експлозивно развитие на множество традиционни за България индустрии, за които газът е суровина – производство на торове, пластмаси, химикали, влакна и др.

Според изготвената от екип на икономиста Красен Станчев оценка на пълните ефекти от евентуалния добив върху икономиката ни в период от 30 г. варира от 9.5 млрд. евро инвестиции, 26 хиляди работни места и 18.3% по-висок БВП в края на периода (консервативен вариант) до 27 млрд. евро инвестиции, 39 хиляди работни места и 26.6% по-висок БВП (пълен потенциал). Знам, и на мен ми е трудно да си представя подобни числа!

Горните сметки даже не включват трудни за остойностяване ползи като енергийна сигурност и независимост от една иначе братска страна, както и намаляване на замърсяването на въздуха, което всяка година допринася за преждевременната смърт на около 10 000 души и се дължи в най-голяма степен на изгарянето на твърди горива от домакинствата. Градските топлофикации и директното използване на газ за отопление са чистите алтернативи, които масово се използват в Европа.

Ако приемем, че значима част (над 50%) от потребителите на твърди горива в големите градове преминат на ТЕЦ, газ или ток, България би могла да се отърве от проблема с мръсния въздух и всеки един от нас да живее с около 2 години по-дълго и да е по-здрав. Забележете, че проект, който е отхвърлен заради имагинерен страх от „екологична катастрофа“, всъщност осигурява пряк път към решаване на най-значимия екологичен проблем на страната. И това ако не е парадокс?

Войната срещу добива на собствен газ съвсем не приключи с изгонването на „Шеврон“. В края на 2017 г. след подобна кампания за всяване на масов страх община Генерал Тошево проведе референдум, за да предотврати проект за добив на газ на територията си. Забележете, че става дума за напълно стандартен проект, без фракинг, при това не за проучване, а вече за реален добив.

Под такъв „обществен“ натиск РИОСВ-Варна отхвърли Доклада по ОВОС на инвеститора и практически спря проекта. Явно не искаме изобщо да чуем за собствен добив на газ? А ако случайно и „Шел“ намерят нещо значимо в морето, как ще реагираме?

Също в края на 2017 г. правителството използва Мораториума от 2012 г. като претекст да откаже разрешение за провеждане на научна експедиция за проучване на газови хидрати в Черно море, поискано от немски научен институт. Над 4 трилиона куб. м природен газ са прогнозните ресурси, които може да лежат на дъното в българска акватория.

Правя хипотетично сравнение само за да придобиете представа за какво количество иде реч: Ако хан Аспарух го беше намерил през 681 г. и България оттогава потребяваше толкова газ годишно, колкото днес, точно щяхме да сме стигнали до изчерпването му. Явно не искаме да знаем дали настина са там?

Газовите проекти са само върхът на айсберга на активно прогонени от нас самите значими инвестиции. От предотвратяването на проекти за добив на метални руди за милиарди евро през практически всеки проект за енергийно оползотворяване на отпадъци, забраната за отглеждане на ГМО до забавянето или окончателното възпрепятстване на десетки други проекти за инфраструктура, заводи или курорти – днес антибизнес активизмът у нас достига застрашителни размери, които буквално стопират технологичния прогрес и икономиката ни.

Да, безспорно активното гражданско общество е изключително важен елемент от формулата на всяка добре работеща демокрация. Да се служи на интересите на обществото обаче е чест, която поставя много високи изисквания към активиста.

На първо място, той трябва да е добре информиран и да схваща, че без индустрия и инвестиции няма нито работа, нито висок стандарт на живот. И тъй като съм убеден, че много хора ще извадят от ръкава си „екологичната“ карта, държа да отбележа – абсолютно всеки индустриален проект, включително и автомобилен завод, има пряко негативно въздействие върху околната среда. То обаче винаги може да бъде управлявано и минимизирано.

Точно това се случва навсякъде, където има значим добив на нефт и газ в САЩ, като в Тексас и Пенсилвания хората не само забогатяват, но и живеят във все по-чиста среда. Колкото по-голям е икономическият ефект от една инвестиция, толкова по-значими са непреките ползи за околната среда – просто само така можем да имаме средствата, за да си позволим чист въздух, води, почви и опазване на природата.

Неслучайно най-богатите страни в света са и най-чисти. Или някой се съмнява в простия факт, че Швейцария е по-зелена от Пакистан?

Да, държавата ни се проваля. Но не толкова в привличането на нови инвеститори, колкото в създаване на добри условия за бизнес и изграждане на обществено съзнание за приемане на компаниите и индустриите, които вече са тук.

Защото каква полза има България от тяхното развитие и успех, ако ги принуждаваме да инвестират печалбите си в чужбина? Крайно време е това да се промени!