Рецепта за бисквитки

Не става дума за захарни изделия, а за информационни технологии. Терминът е заимстван с директен превод от английския език, където се използва думата cookies (въпреки, че буквалният превод е курабийки, а не бисквитки).

И все пак, каква е целта на бисквитките? Бисквитките представляват порции структурирана информация, която съдържа различни параметри. Те се създават от сървърите, които предоставят достъп до уеб страници. Предава се чрез служебните части на HTTP протокола (т. нар. HTTP headers) – това е трансферен протокол, който се използва от браузърите за обмен на информация със сървърите. Бисквитките са добавени в спецификацията на HTTP протокола във версия 1.0 в началото на 90те години. По това време Интернет не беше толкова развит, колкото е в момента и затова HTTP протоколът има някои специфични особености. Протоколът е базиран на заявки (от клиента) и отговори (от сървъра), като всяка двойка заявка и отговор се правят в отделна връзка (socket) към между клиента и сървъра. Тази схема на работа е изключително удобна, тъй като не изисква постоянна и стабилна връзка с Интернет, тъй като всъщност връзката се използва само за кратък момент. За съжаление, заради тази особеност често HTTP протоколът е наричан state less протокол (протокол без запазване на състоянието). А именно – сървърът няма как да знае, че редица от последователни заявки са изпратени от един и същи клиент. За разлика от IRC, SMTP, FTP и други протоколи създадени през същите години, които отварят една връзка и предават и приемат данни двупосочно. При такива протоколи комуникацията започва с hand shake или аутентикация между участниците в комуникацията, след което и за двете страни е ясно, че докато връзката остава отворена, комуникацията тече с конкретен участник.

За да бъде преодолян този недостатък на протокола, след версия 0.9 (първата версия навлязла в реална експлоатация), във версия 1.0 създават механизма на бисквитките. Кръщават технологията cookies заради приказката на братя Грим за Хенцел и Гретел, които маркират пътя, по който са минали пре тъмната гора, като поръсват трохи. В повечето български преводи в приказката се използват трохи от хляб (bread crumbs) термин, който намира друго място в IT сферата и уеб, но в действителност приказката е германска народна приказка с много различни версии през годините. Сравнението е очевидно – cookies позволяват да се проследи пътя на потребителя в тъмната гора на state less протокола HTTP.

Как работят бисквитките? Бисквитките се създават от сървърите и се изпращат на потребителите. При всяка следваща заявка от потребителя към същия сървър, той трябва да изпраща обратно копие на получените от сървъра бисквитки. По този начин, сървърът получава механизъм по който да проследи потребителя по пътя му, т.е. да знае, когато един и същи потребител е направил поредица от множество, иначе несвързани, заявки.

Представете си, че изпращате първа заявка към сървъра и той ви връща отговор, че иска да се аутентикирате – да посочите потребителско име и парола. Вие ги изпращате и сървърът верифицира, че това наистина сте вие. Но заради особеностите на HTTP протокола, след като изпратите името и паролата, връзката между вас и сървъра се прекъсва. По-късно изпращате нова заявка. Сървърът няма как да знае, че това отново сте вие, тъй като за новата заявка е направена нова връзка.

Сега си представете същата схема, но с добавена технологията на бисквитите. Изпращате заявката към сървъра, той ви връща отговор, че иска име и парола. Изпращате име и парола и сървърът ви връща бисквитка в която записва че собственикът на тази бисквитка вече е дал име и парола. Връзката прекъсва. По-късно изпращате нова заявка и тъй като тя е към същия сървър, клиентът трябва да върне обратно копие на получените от сървъра бисквитки. Тогава новата заявка съдържа и бисквитката, в която пише, че по-рано сте предоставили име и парола, които са били валидни.

И така, бисквитките се създават от сървърите, като данните се изпращат от уеб сървъра заедно с отговора на заявка за достъп до ресурс (например отделна уеб страница, текст, картинка или друг файл). Бисквитката се връща като част от служебната информация на протокола. Когато клиент (клиентският софтуер – браузър) получи отговор от сървър, който съдържа бисквитка, той следва да я обработи. Ако клиентът вече разполага с подобна бисквитка – следва да си обнови информацията за нея, ако не разполага с нея, следва да я създаде. Ако срокът на бисквитката е изтекъл – следва да я унищожи и т.н.

Често се споменава, че бисквитките са малки текстови файлове, които се съхраняват на компютъра на потребителя. Това не винаги е вярно – бисквитките представляваха отделни текстови файлове в ранните версии на някои браузъри (например в Internet Explorer и Netscape Navigator), повечето съвременни браузъри съхраняват бисквитките по различен начин. Например съвременните версии на браузърите Mozilla Firefox и Google Chrome съхранява всички бисквитки в един файл, който представлява sqlite база данни. Подходът с база данни е доста подходящ, тъй като бисквитките представляват структурирана информация, която е удобно да се съхранява в база, а достъпът до информацията е доста по ефективен. Въпреки това, браузърът Microsoft Edge продължава да съхранява бисквитките във вид на текстови файлове в AppData директорията.

Какви параметри съдържат бисквитките, които сървърите изпращат? Всяка бисквитка може да съдържа: име, стойност, домейн, адрес (път), срок на варидност и някои параметри за сигурност (да важат само по https и да бъдат достъпни само от трансфертия протокол, т.е. на не бъдат достъпни за javascript и други приложни слоеве при клиента). Името и стойността са задължителни за всяка бисквитка – те задават името на променливата, в която ще се съхранява информацията и съответната стойност – съхранената информация.

Домейнът е основната част от адреса на интернет сайта, който изпраща бисквитката – частта, която идентифицира машината (сървъра) в мрежата. Според техническите спецификации домейнът на бисквитката задължително трябва да съвпада с домейна на сървъра, който ги изпраща, но има някои изключения. Първото изключение е, чекогато се използват няколко нива домейни, те могат да създават бисквитки за различни части от нивата. Например отговорът на заявка към домейна example.com може да създаде бисквитка само за домейна example.com, както и бисквитка валидна за същия домейн и всички негови поддомейни. Ако бисквитката е валидна за всички поддомейни, изписването става с точка пред името на домейна или .example.com. Второто изключение е валидно, когато бисквитката не се създава от сървъра, а от приложен слой при клиента (например от javascript). Тогава е възможно js файлът да е зареден от един домейн, но в html страница от друг домейн – сървърът, който изпраща бисквитка може да я изпрати от името на домейна където е js файлът, но самият js, докато е зареден в страница от друг домейн може да създаде (и прочете) бисквитка от домейна на html страницата.

Адресът (или пътят) е останалата част от URL адреса. По подризбиране бисквитките са валидни за път / (т.е. за корена на уеб сайта). Това означава, че бисквитката е валидна за всички възможни адреси на сървъра. Въпреки това, има възможност изрично да се укаже конкретен адрес, за който да бъдат валидни бисквитките.По идея, адресите са репрезентация на път в йерархична файлова структура върху сървъра (въпреки, че не е задължително). Затова и адресите на бисквитките представят мястото на тяхното създаване в йерархична файлова система. Например ако пътят на бисквитката е /dir/ – това означава, че тя е валидна в директорията с име dir, включително и всички нейни поддиректории.

Да дадем малко по-реалистичен пример, ако имаме бисквитки, които използваме за съпраняване на информация за аутентикацията на потребителите в администраторски панел на уеб сайт, който е разположен в директория /admin/ – можем да посочим, че дадената бисквитка е валидна само за адрес /admin/, по този начин бисквитките създадени от сървъра за нуждите на администраторския панел няма да се използват при заявки за други ресурси от същия сървър.

Срокът на валидност определя колко време потребителят трябва да пази бисквитката при себе си и да я връща с всяка следваща заявка към същия сървър и адрес (път). Когато сървърът иска да изтрие бисквитка при потребителя, той трябва да я изпрати със срок на валидност в миналото, по този начин предизвиква изтичане и автоматично изтриване на бисквитката при потребителя.

Бисквитките имат и параметри, които имат грижата да осигурят сигурността на предаваните данни. Това включва два булеви параметъра – единият определя, дали бисквитката да бъде достъпна (както за четене, така и за писане) само от http протокола или да бъде достъпна и за приложния слой при клиента (например за javascript). Вторият параметър определя, дали бисквитката да се предава по всички протоколи или само по https (защитен http).

Както се досещате, в рамките на една и съща комуникация може да има повече от една бисквитка. Както сървърът може да създаде повече от една бисквитка едновременно, така и клиентът може да върне повече от една бисквитка обратно към сървъра. Именно затова освен домейни и адреси, бисквитките имат и имена.

В допълнение бисквитките имат и редица ограничения. Повечето браузъри не позволяват да има повече от 20 едновременно валидни бисквитки за един и същи домейн. Във Mozilla Firefox това ограничение е 50 броя, а в Opera 30 броя. Също така е ограничен и размерът на всяка отделна бисквитка – не повече от 4KB (4096 Bytes). В спецификациите за бисквитки RFC2109 от 1997 г. е посочено че клиентът може да съхранява до 300 бисквитки по 20 за един и същи домейн и всяка с размер до 4KB. В по-късната спецификация Rfc6265 от 2011 г. лимитите са увеличение до 3000 броя общо и 50 броя за един домейн. Все пак, не трябва да се забравя, че всяка бисквитка се изпраща от клиента при всяка следваща заявка към сървъра, ако чукнем тавана на лимитите и имаме 50 бисквитки по 4KB, това означава, че с всяка заявка ще пътуват близо 200KB само под формата на бисквитки, което може да се окаже сериозен товар за трафика, дори и при техническите възможности на съвременния достъп до Интернет.

Разбира се, по-рано приведеният пример, при който запазваме успешната аутентикация на потребителя в бисквитка има множество особености свързани с гарантиране на сигурността. На първо място – не е добра идея да запазим потребителското име и паролата на потребителя в бисквитка, тъй като тя се запазва на неговия компютър. Това означава, че по всяко време, ако злонамерено лице получи достъп до компютъра на потребителя, може да прочете потребителското име и паролата от записаните там бисквитки. От друга страна, ако в бисквитката съхраним само името на потребителя, без неговата парола – няма как да се предпазим от фалшиви бисквитки – всяко злонамерено лице може да създаде фалшива бисквитка, в която да посочи произволно (чуждо) потребителско име и да се представи пред сървъра от чуждо име.

Затова най-често използваният механизъм е, че при всяка аутентикация с име и парола пред сървъра, след като той ги верифицира, създава някакъв временно валиден идентификатор, който изпраща като бисквитка. В различните технологии този идентификатор може да се намери с различни имена, one time password (OTP), token, session или по друг начин. При тази схема сървърът съхранява за ограничено време (живот на сесията) информация за потребителя. Всяка такава информация (често наричана сесия) получава идентификационен номер, който се изпраща като бисквитка на потребителя. Тъй като той ще връща този идентификатор с всяка следваща заявка, сървърът ще може да възстановява съхранената информация за потребителя и тя да бъде достъпна при всяка следваща заявка. В същото време, информацията е съхранена на сървъра, а не при клиента, което не позволява на злонамерен потребител да я модифицира или фалшифицира. Освен това, идентификаторът е валиден за ограничен период от време (например за 30 минути). Дори и бисквитката с идентификатора да остане на компютъра на потребителя, заисаният в нея идентификатор няма да върши работа след половин час. Не на последно място, при натискане на бутона за изход съхранените на сървъра данни за потребителя се изтриват дори и да не е изтекъл срокът от 30 минути. Именно затова е важно винаги да се използват бутоните за изход при излизане от онлайн системи.

Какво друго се съхранява в бисквитки? На практика всичко! Много често бисквитките се използват за съхраняване на информация за индивидуални настройки на потребителя. Когато потребителят промени някоя настройка сървърът му изпраща бисквитка със съответната настройка и дълъг срок на валидност. При всяко следващо посещение на същия потребител на същия сайт, той ще изпраща запазената в бисквитка настройка, заедно със заявката към сървъра. Сървърът ще знае за желаната настройка и ще я приложи при връщането на отговор на изпратената заявка. Пример за такава настройка е броят на записите които се показват на страница. Ако веднъж промените този брой, избраната стойност може да се запази в бисквитка и при всяка следваща заявка сървърът винаги ще знае за настройката и ще връща правилен отговор.

В бисквитки се съхранява и друга информация, например поръчани стоки в пазарската кошница на онлайн магазин, статистическа информация кога сте посетили даден сайт за последно, колко пъти сте го посетили, кои страници сте посещавали, колко време сте се задържали на всяка от страниците и т.н.

Забранява ли Европейският съюз бисквитките? Бисквитеното чудовище от улица Сезам би било доста разстроено, ако разбере, че ЕС иска да ограничи използването на бисквитки. В действителност истината е доста по-различна, но информацията е масово грешно интепретирана. Да излезем от технологичната сфера и да навлезем малко в юридическата. На първо място, кои са нормативните документи в тази връзка? Масово се цитира европейската Директива 2009/136/ЕО от 25 ноември 2009 г. Истината е, че тази директива не засяга директно бисквитките. Директивата внася изменения в друга Директива 2002/22/ЕО от 7 март 2002 г. относно универсалната услуга (час от която е и достъпът до Интернет) и правата на потребителите. Изменението от директивата от 2009 г. гласи следното (чл. 5, стр. 30):

5. Член 5, параграф 3 се заменя със следния текст:

„3. Държавите-членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие, че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива 95/46/ЕО, inter alia, относно целите на обработката. Това не пречи на всякакво техническо съхранение или достъп с единствена цел осъществяване на предаването на съобщение по електронна съобщителна мрежа или доколкото е строго необходимо, за да може доставчикът да предостави услуга на информационното общество, изрично поискана от абоната или ползвателя.“

Също така, в увода на същата директива се споменава още:

(66) Трети страни може да желаят да съхраняват информация върху оборудване на даден ползвател или да получат достъп до вече съхраняваната информация за различни цели, които варират от легитимни (някои видове „бисквитки“ (cookies) до такива, включващи непозволено навлизане в личната сфера (като шпионски софтуер или вируси). Следователно е от първостепенно значение ползвателите да получат ясна и всеобхватна информация при извършване на дейност, която би могла да доведе до подобно съхраняване или получаване на достъп. Методите на предоставяне на информация и на предоставяне на правото на отказ следва да се направят колкото може по-удобни за ползване. Изключенията от задължението за предоставяне на информация и на право на отказ следва да се ограничават до такива ситуации, в които техническото съхранение или достъп е стриктно необходимо за легитимната цел на даване възможност за ползване на специфична услуга, изрично поискана от абоната или ползвателя. Когато е технически възможно и ефективно, съгласно приложимите разпоредби на Директива 95/46/ЕО, съгласието на ползвателя с обработката може да бъде изразено чрез използване на съответните настройки на браузер или друго приложение. Прилагането на тези изисквания следва да се направи по-ефективно чрез разширените правомощия, дадени на съответните национални органи.

От двете цитирания следва да обърнем внамание и на още нещо – цитира се и Директива 95/46/ЕО от 24 октомври 1995 г, която пък третира защитата на физическите лица при обработването на лични данни. Разбира се, трудно е да се каже, че директивата от средата на 90те години засяга директно функционирането на Интернет, който по това време е доста слабо разпространен, а технологията на бисквитките – появила се само преди няколко години, все още изключително нова и рядко използвана.

Преди да продължим с анализа нататък, трябва да отбележим, че и трите цитирани директиви, по отношение на защитата на потребителите от бисквитки, засега не са транспонирани в националното законодателство (поне не в Закона за електронното управление, Закона за електронните съобщения и Закона за защита на личните данни). Слава богу, механизмът на директивите в Европейския съюз е така създаден, че ги прави задължителни за спазване от всички държави-членки, независимо дали има национално законодателство за съответната сфера или не.

И все пак – защо ЕС иска да ограничи използването на бисквитките? Сред изброените множество приложения на технологията – за съхраняване на аутентикация, за съхраняване на настройки, за следене на поведението на потребителя, за следене на статистика за потребителя, за маркетингови анализи, за съхраняване на данни за пазарски колички и др. (някои от изброените се припокриват или допълват), бисквитките още може да се използват и за сериозно навлизане в личното пространство на потребителите, като се извършват различни форми на следене и анализ на потреблението и поведението на потребителите в Интернет с цел предоставяне на таргетирана реклама или с други, дори и незаконни, цели.

Да разгледаме един по-реалистичен пример на базата на вече разгледаната по-рано технология. Имаме прост информационен сайт с автомобилна тематика, който няма никакви специфични функции, не предоставя услуги или нещо друго. Сайтът обаче използва Google Analytics (безплатен инструмент за събиране на статистика за посетителите, предоставят от Google), също така, собственикът на сайта, с цел да монетизира поне в някаква минимална степен събраната на сайта си информация е пуснал и Google Adwords (услуга за публикуване на рекламни банери предоставяна от Google). Също така имаме и потребител, който търси в Google информация за ремонт на спукана автомобилна гума. Потребителят открива цитирания по-горе сайт в Google, където кликва линк и отива на сайта. Същият потребител има и email в Gmail (безплатна email услуга предоставяна от Google). Както забелязвате, до момента имаме един неизменно преследващ ни по целия път общ знаменател – Google. В случая това далеч не е единствения голям играч на този пазар, просто примерът с него е най-достъпен за широката публика. Всъщност Google едновременно има достъп до писмата, които потребителят е изпращал и получавал, до това какво е търсил, до това в кой сайт е влязъл, какво е чел там (точно кои страници), колко време е прекарал на този сайт, също така и информация за всеки друг сайт, който същият потребител е посещавал в миналото, независимо дали ги е посещавал от същия компютър или от друг, достатъчно е всички сайтове да използват Google Analytics за статистиката си. Ако потребителят има служебен и домашен компютър и е влизал в Gmail пощата си и от двата компютъра, тогава Google Analytics е в състояние да направи връзка, че сайтовете, които сапосещавани на двата компютъра, които иначе нямат никаква друга връзка помежду си, са посещавани от един и същи потребител. Тогава, потребителят не трябва да се учудва, ако отиде на трето място, несвързано по никакъв начин с предишните две (домашния и служебния компютър), влезе си в пощата и по-късно посети произволен сайт, на който види реклама за продажба на нови автомобилни гуми.

Проследяването на всичко описано до момента е възможно именно чрез механизмите на бисквитките. Неслучайно те се наричат механизъм за запазване на състоянието и са създадени за „следене на потребителите на протокола”. Разбира се – следене в позитивния и чисто технологичен смисъл на термина, но все пак следене, което в ръцете на недобронамерени лица може да придобие съвсем различни мащаби и да се извършва със съвсем различни цели.

Всичко това може (и се) комбинира и с други данни, които се събират за потребителите – IP гео локация, информация за интернет връзката, използваното устройство, размер на дисплея, операционна система, използван софтуер и много други данни, които се предоставят автоматизирано, докато браузваме в мрежата.

Отново, сама по себе си, технологията на функциониране на бисквитките има предвидени защитни механизми. Например бисквитките от един уеб сайт не могат да бъдат прочетени от друг сайт. Но тук цялата схема се чупи поради факта, че бисквитките са достъпни за приложния слой на клиента (javascript), като в същото време милиони сайтове по света се възползват от иначе безплатната услуга за събиране на статистика за посещенията от един и същи доставчик. Именно този доставчик е свързващото звено в цялата схема. Всеки от сайтовете и всеки от потребителите поотделно не разполагат с особено полезна информация, но свързващото звено разполага с цялата информация и при добро желание, а повярвайте ми, за да бъдат безплатни всички тези услуги, желанието е преминало в нужда, тази натрупана информация може да бъде анализирана, обработена и използвана за всякакви нужди.

И тъй като често тези действия могат да навлязат доста надълбоко в личния живот на хората, Европейският съюз е предприел необходимите мерки, да задължи доставчиците на услуги в Интернет (собствениците на уеб сайтове), да информират потребителите за това какви данни се съхраняват за тях на крайните устройства (т.е. на самите компютри на клиентите) и за какви цели се използват тези данни.

Тук е много важно да уточним няколко аспекта. На първо място – използването на бисквитки, както и проследяването като процес не са забранени, просто се изисква потребителите да бъдат информирани какво се прави и с каква цел, както и потребителят изрично да е дал съгласието си за това. Другата важна подробност е, че бисквитките не са единственят механизъм за съхраняване на информация на крайните устройства и европейското законодателство не се ограничава до използването именно на бисквитки. Local Storage е съвременна алтернатива на бисквитките и въпреки, че функционира по различен начин и предоставя съвсем различни възможности, но също съхранява информация на крайните устройства и реално може да бъде използвана за следене на потребителите и може да засегне правата им по отношение на обработка на личните им данни. В този смисъл европейските директиви засягат всяка форма на съхраняване на информация на устройствата на потребителите, а не само бисквитките. Също така – директивите разглеждат съхраняването на данни за проследяване на потребителите отделно от бисквитките необходими за технологичното функциониране на системите в Интернет. Също така се прави и разлика между бисквитки от трети страни и бисквитки от собствениците на сайтовете, като в примера с бисквитките оставяни от Google Analytics, Google е трета страна.

Когато съхраняването на данните (били те бисквитки или други) се извършва от трети страни (различни от доставчика на услугата и крайния потребител), това не отменя ангажиментите на доставчика на услугата да информира потребителите, както и да им иска съгласието. Казано накратко, ако имам сайт, който използва Google Analytics, ангажиментът да информирам потребителите на сайта, както и да поискам тяхното съгласие, си остава мой (т.е. на собственика на сайта – лицето, което предоставя услугата), а не на третата страна (т.е. не е ангажимент на Google.

Също интересен факт е, че директивата разглежда като допустимо, съгласието на потребителя да бъде получено и чрез настройка на браузъра или друго приложение. Тук можем обратно да се върнем към технологиите. Преди време имаше P3P (пи три пи като Platform for Privacy Preferences, не ръ зъ ръ)– технология, която започна обещаващо, но в последствие беше имплементирана единствено от Internet Explorer и в крайна сметка разработката на спецификацията беше прекратена от W3C. Една от сочените причини е, че планираната технология беше относително сложна за имплементиране. Към днешна дата повечето браузъри поддържат Do Not Track (DNT), което представлява един HTTP header с име DNT, който ако присъства в заявката на клиента със стойност 1, посочва, че потребителят не е съгласен да бъде проследяван. Разбира се, проследяването, което се визира от DNT и запазването и достъпването на информация на крайните устройства на потребителите, което се визира в европейските директиви на се едно и също. Може да записваш и четеш информация на клиента, без да го проследяваш, което би нарушило европейските директиви, както и можеш да проследиш клиента, без да му записваш и четеш данни локално (например чрез Browser Fingerprint и с дънни съхранявани изцяло на сървъра).

Накрая, нека обобщим:

  1. Европейският съюз не забранява бисквитките;
  2. Европейският съюз предвижда мерки за защита на личните данни, като налага правила за искане на позволение от потребителите, когато се записват и достъпват данни на крайните им устройства, когато тези данни;
  3. Изискването за информирано съгласие не се ограничава единствено до бисквитките, а покрива всички съществуващи и евентуално бъдещи технологии позволяващи записване и достъпване на информация на крайните устройства на потребителите;
  4. Информиране на потребителите следва да има, както и трябва да им се поиска, независимо дали данните се записват или достъпват директно от доставчика на услугата или чрез услугите на трета страна. Или по-просто казано, ако използваме Google Analytics, ние трябва да предупредим потребителя и да му поискаме съгласието, а не Google. В този случай доставчикът на услугата (самият сайт) се явява като оператор на лични данни (не по смисъла на българския ЗЗЛД, но по смисъла на европейските директиви, а Google се явява трета страна оторизирана от администратора да управлява тези данни от негово име и за негова сметка – ерго отговорността е на администратора;
  5. Информиране на потребителя и искане на съгласие не е необходимо, когато записваните и четените данни се използват за технологични нужди и това е свързано с предоставянето на услугата, която потребителят изрично е поискал да използва. Бих казал, че когато случаят е такъв, лично аз бих избрал да информирам потребителя какво и защо се записва и чете, без обаче да му искам съгласието;
  6. Според Европейските директиви съгласието може да се изрази от потребителите и чрез специфични технологии създадени за тази цел, но използването на технологиите не отменя необходимостта от информиране на потребителя относно това какви данни се съхраняват и с каква цел се обработват;
  7. Европейската нормативна уредба в това отношение изглежда не е траспонирана в националното законодателство на България, което не означава, че може да не се спазва;


Имаш кола

Освен, че имаш кола, имаме и електронно правителство… поне по документи… по хартиени документи!

Но да се върнем на колата – имаш кола и шофьор, които имат идентификация – регистрационен номер и лична карта. Ако имаше истинско електронно управление – наличието на идентификация би било достатъчно за всичко, което ще последва. Но не…

Ако имаш кола – трябва да минаваш годишен технически преглед. Но не, не просто трябва да си минал преглед, за да се констатира този факт, трябва да имаш: стикер за ГТП, малък талон за ГТП, голям талон за ГТП и протокол от ГТП. След като ти издадат наръч с документи, трябва да си ги разхождаш през следващата година с теб.

Ако имаш кола – трябва да си плащаш данък МПС. Но не, не трябва да си платил данъка, трябва още да имаш и бележка, че си го платил. Можеш да го платиш онлайн или по друг безкасов начин (и най-вече без да се редиш на опашка), но след това трябва да отидеш в общината и да се наредиш на същата опашка, за да ти издадат хартиена бележка с мокър печат, сега слушайте внимателно, и холограмен стикер, щото иначе ги фалшифицират. После тази бележка трябва да я стискаш до следващата година и да я представяш на всеки ъгъл… щото я искат (КАТ пътна полиция, пунктовете за ГТП, нотариусите при прехвърляне и т.н.)

Ако имаш кола и пътуваш с нея извън населеното място в което живееш – трябва да имаш винетен стикер. Но не – не просто винетен стикер, трябва да имаш и “гръбчето” от винетния стикер и касовата бележка с която си го купил. Щото иначе ги крадат… фалшифицират… и т.н. Същите тия неща (гръбче и касова бележка) трябва също да ги разхождаш с теб докато е валидна винетката (в оптималния случай 13 месеца). Касовата бележка на термотрансферна хартия (90% от касовите бележки) трудно ще издържи повече от 2 – 3 месеца, но това са подробности…

Ако имаш кола – трябва да имаш и задължителна застраховка Гражданска отговорност. Но не, не трябва да имаш застраховка, трябва да имаш още и стикер, че имаш ГО, малък талон, че имаш ГО, както и да носиш в себе си полица за ГО и бланки за двустранен констативен протокол. Ако ГО е на разсрочено плащане трябва да носиш и вносните бележки за всички (подчертавам, за всички, не само за последната) вноска. Разбира се – докато се движиш по пътищата – винаги трябва да мъкнеш всичкия наръч със себе си. Освен изброеното – трябва да имаш и т.нар. зелена карта, която замества стикера, талончето и полицата и вносните бележки, когато пътуваш в други страни, но не може тази зелена карта да си важи и в България – за тук трябва да имаш папка с други документи.

Ако имаш кола – трябва да имаш и шофьорска книжка. Но не, не просто книжка, към нея трябва да имаш и контролен талон, а не е зле да имаш и лична карта. Сега, обърнете внимание, можеш да имаш книжка, но да нямаш талон без да си в нарушение. А книжката може да бъде и документ за самоличност, но странно защо, през 2016 г. обратното не може да е валидно. Разбира се – отново трябва да носиш всичко със себе си.

Ако имаш кола – трябва да имаш и регистрационен талон. Но не е просто талон – имаш малък талон и голям талон. При дадени условия може да има и приложение към тия талони. Слава богу – трябва да носиш със себе си само т.нра. малък талон. Обаче в даден момент се оказва, че този малък талон е толкова малък, че на него няма всички данни, които са необходими при пътуване извън страната и трябва да си извадиш по-голям малък талон, който се състои от две части.

За да затворим кръговрата на живота на хартиения документ – като отидеш да си правиш ГТП, трябва да донесеш в пункта всичко изброено до тук (без винетката, ако пунктът е в населеното място). Трябва да носиш: всички стари документи от предходния технически преглед (малък талон, голям талон и протокол); хартиената бележка, че е платен данък МПС; залък талон и застрахователна полица за ГО, а ако е на разсрочено плащане и вносните бележки за сумите до момента; трябва да носиш и малък и голям талон на автомобила, а ако има добавък към тях – и него; трябва да носиш и шофьорска книжка и лична карта. При минаването на ГТП, всички тези документи се сканират и изпращат към органа, който сертифицира пунктовете за ГТП. И се предполага, че някой прави последващ протокол.

:: тук има дълга пауза, напиках се от смях и ходих да с епреобличам ::

Искате да ми кажете, че имаме дори и зачатъци на електронно управление, при което през 2016 г. не е възможно, за регистрирани в България автомобили на територията на България, на базата на идентификация (регистрационен номер на автомобила и документ за това и ЕГН и лична карта на шофьора) – да се провери: дали автомобилът е преминал ГТП, дали има сключена ГО, дали е платен данък МПС, дали има платена винетна такса за автомобила, дали водачът има книжка и колко контролни точки има, какви са параметрите на автомобила. През 2016 г. в условията на “електронно управление” – контролът от чички с фуражки по улиците, които четат хартиени бележки е по-ефективен и финансово оправдан от автоматизирания контрол?

През 2016 г. трябва да декларираш (подчертавам, сам да декларираш) в общината, че си купил автомобил, който е вписан в куп регистри. Общините все още нямат ефективен механизъм да санкционират собствениците, които не са декларирали автомобилите си и не са платили данък МПС. Нещо повече – държавата прие амнистия на несъбрания данък МПС или с други думи тегли една тънка, па дълга на изрядните данъкоплатци и каза на онези, които с години не бяха плащали: “няма проблеми”…

Ама какво разбирам аз – трябват си КАТ-аджии, по възможност на всеки километър или по-често.

Да живее електронното управление, да живее ЗЕУ… късото съединение прави силата!

Jebem ti сплесканата жОрналистика

Извинявам се за вулгарното заглавие, но пиша в този блог по веднъж на година – две, което е достатъчно показателно, че го ползвам за място за излияния, когато наистина съм силно афектиран!

На сайта „Правен свят" беше публикувана статия озаглавена „Възлагат без конкурс машинното гласуване на държавна фирма без опит". Постоянно се говори за поръчкова журналистика, но честно казано, това, което прочетох надхвърля всякакви мои очаквания. Затова направих, не много кратък, анализ, практически на всяко изречение от публикуваната статия.

Анализът не е насочен в защита на някой от участниците, нито в нападение на друг от участниците, а единствено срещу сплесканата българска „журналистика". Между другото – статията е цитирана и папагалски препечатвана, дори и от сериозни медии в рамките на дните, след като е публикувана, което е още по-трагичен показател за българската журналистика.

Текстовете в курсив и отместени леко навътре са цитирани от статията публикувана в „Правен свят". На практика е цитирана почти цялата статия, с изключение на последните пет параграфа, в които се разглежда мнението на проф. Герджиков, което е изцяло ирелевантно къз засегнатата тема.

И така, да започнем:

Възлагат без конкурс машинното гласуване на държавна фирма без опит

Още в заглавието се говори за „държавна фирма без опит", но никъде не се доказва нито едно от твърденията: Дали изобщо нещо възлагат? Дали фирмата е държавна (по смисъла на българското законодателство)? Дали цитираната фирма няма опит в изборния процес? Дали цитираната фирма няма опит в машинното гласуване? Дали цитираната фирма няма опит в информационните технологии?

Сериозен скандал се задава около машинното гласуване на местните избори и референдума на 25 октомври т.г.

Първото изречение също съдържа фактологически грешки – на националния референдум на 25 октомври 2015 г. няма да се гласува машинно в нито една секция – нито в страната, нито извън страната.

Тръжната процедура по ЗОП за избор на фирма-изпълнител, стартирала в последния момент, днес е била прекратена от Министерския съвет, научи "Правен свят". Това, според запознати, може да доведе не само до опорочаване на машинното гласуване, а и до сериозни съмнения за подмяна на вота на гражданите.

Как по-точно стигнахме до извода, че пускането на процедурата в последния момент ще доведе до подмяна на вота – не става ясно. Кои по-точно са „запознатите", които по-надолу ще бъдат цитирани още много пъти, също не е ясно? По каква причина мнението на ниезвистнети „запознати" е меродавно – също не става ясно? Кой ги е определил за експерти и на каква база, за да се взима под внимание тяхното мнение?

Отделно от това, в доклада на ЦИК за гласуването през 2014 г. в раздел 11, който се отнася до машинното гласуване – основната препоръка е, подготовката на процедурата за избор на доставчик на машини за гласуване да стартира възможно най-рано. Факт с който законодателят по никакъв начин не се е съобразил.

В края на август Централната избирателна комисия (ЦИК) взе решение само в 50 секции в София да се проведе машинно гласуване, и то единствено за общински съветници.

Чакай малко, не прочетохме ли точно преди 4 изречения, за машинно гласуване на референдума?

За първи път този начин на гласуване ще бъде отчетен при крайния резултат на вота.

Едно от трите изречения, които са коректни в цялата статия. Направо е съмнително.

До момента бяха проведени две напълно успешни експериментални гласувания с машини.

Опаааа… я чакай малко. Кой ги определи за успешни? Малко по-надолу пише кой. А по какъв критерий ги определи като успешни? По критерий работят много сигурно? Или по критерий машините са работили без сривове? А къде е документирано че наистина е така? Някъде да има независим анализ на двата експеримента, който да не е изготвен от изпълнителите, възложителите или организаторите?

За първи път това стана на изборите за европарламент през пролетта на миналата година, когато в 100 секции бяха сложени машинки, а вторият път беше на парламентарните избори през октомври 2014 г., когато в 300 секции имаше такава техника. Във връзка с тазгодишното гласуване за местна власт, когато за първи път машинното гласуване ще се взима предвид при крайния резултат от вота, ЦИК очерта техническите параметри за провеждане на обществена поръчка за избор на изпълнител, а Министерският съвет я организира и проведе.

Ето това са второто и третото изречение от статията, които са коректни. Между другото, това са и последните такива изречения в целия текст!

По информация на "Правен свят" са се явили трима кандидати – две частни фирми (едната предложила цена 139 000 лева без ДДС, а другата – 149 000 лв. без ДДС), третата е държавната "Информационно обслужване" с предложение за около 28 000 лева без ДДС.

Значи кои са другите две фирми не е нужно да се споменава в статията – те явно не са от значение? Или просто не трябва да се набива на очи? Въпреки, че техните цени се цитират съвсем точно! Третата фирма обаче се сочи поименно, макар и не много точно. Въпреки, че нейната цена е около някакво число… в офертата не пишеше около, там пише точно 28 950 лв. без ДДС. Говорейки за третата фирма – трябва да отбележим, че по смисъла на българското законодателство „Информационно обслужване" АД е частна фирма – акционерно дружество. Между другото и аз съм акционер в това дружество. За да бъдем напълно коректни – да наистина – държавата е мажоритарен собственик на акциите, но далеч не е единствения.

"Информационно обслужване" е отстранена от процедурата заради нереално ниска цена.

Мда, сигурен съм, че в протокола на комисията точно така е било и записано: „тая цена е нереална". Значи едната цена е нереално ниска, но другите две цени не са нереално високи? В действителност, при дадени две цени – съответно 139 000 и 149 000 лв. без ДДС, средната цена на другите участници е 144 000 лв. без ДДС, като 20% под тези цени прави 115 200 лв. без ДДС. Т.е. каквато и цена да даде „Информационно обслужване" АД – процедурата ще бъде прекратена, а фирмите дисквалифицирани. Истинската причина е малко по-различна от представената в статията манипулация. Нещо повече – в случващата се схема очевидно има нещо нередно, само че ключът от бараката е заровен на съвсем друго място.

По наша информация Министерският съвет е прекратил процедурата по ЗОП с мотив, че няма "излишни" 139 000 лева без ДДС, която е символично малка сума на фона на общата сума избори.

Ахъм – точно така, причината е баш, защото нямат излишни пари. И в протокола вероятно така е записано. А това, че две от фирмите са дали цени над максимално допустимата по процедурата – малко е пропуснато в статията, явно не е много важно. Всъщност насажда се мнението, че процедурата е прекратена заради езотеричното зло – „Информационно обслужване" АД, а не заради другите две фирми.

Вместо това, смята да прибегне до директно възлагане на поръчката на "Информационно обслужване" по Наредбата за възлагане на малки ОП, като при това положение цената трябва да е под 20 000 лева.

Ама че извод – това обявено ли е от някого официално или е предположение на анонимния автор, което се представя като факт? Да не коментираме, че цитираната наредба е отменена 01.04.2012 г, но това е „Правен свят" – те са юристи, аз ли да споря с тях?

Подобен финансов аргумент обаче е не само несъстоятелен, но и абсурден, твърдят запознати и напомнят, че цената по договор за провеждане на пробното машинно гласуване на парламентарните избори м.г. е била 442 800 лева, а общата сума, която ще бъде изхарчена за местния вот и референдума е цели 51 млн. лева.

Оставям на вас да прецените, колко състоятелен аргумент е цената за наем на 50 машини да бъде 139 000 лв. без ДДС – това прави по 2 780 лв на машина – наем за един ден! Подчертавам – наем – машините не се купуват, а се наемат! Между другото – цената през 2014 г. е 442 800 лв. за 300 секции, което прави 1 476 лв. без ДДС за една машина. Т.е. в момента същата машина, със същия софтуер, доставена от същата фирма, излиза с повече от 88% по-скъпо! Наистина фактите са несъстоятелни, само дето фактите са други.

Проблемите в случая са следните.

По-надолу ще видим, че проблемите са съвсем други…

Фирмата, обявена за победител преди прекратяването, има опит при провеждането на машинното гласуване, защото и двата експеримента са организирани и проведени от нея, с нейна техника, т.е. машините са се доказали като работещи, сигурни, защитени от манипулация, гарантиращи тайната на вота и не на последно място – лесни за използване.

Интересна констатация, която никъде не е потвърдена. В доклада на ЦИК за проведените през 2014 г. избори са изброени проблеми, които са възникнали при използването на машините за гласуване. Като успех на машинното гласуване в доклада се посочва броят на гласувалите с използване на машините, което по никакъв начин не показва, че машините са сигурни, защитени от манипулация, гарантират тайната на вота. Интересна е и констатацията, че машините са лесни за използване, защото в доклада на цик се споменава като констатиран проблем, че е имало „затруднения във връзка със стартирането на изборния процес с машини от членове на няколко СИК". Нещо повече – докладът включва и информация за „грешки в протоколи на СИК за отчитане на резултатите от машинното гласуване" и между другото, тези грешки са и публикувани в сайта с резултатите.

Запознати твърдят, че машините на "Информационно обслужване" са обикновени касови апарати, някак пригодени за конкурса, които не предлагат и половината от функционалностите на машините, с които бяха проведени два експериментални вота до момента.

Още по-интереесна констатация. Отново се сблъскваме с мистериозните „запознати", които са някакви имагинерни лица, за които не знаем нищо – нито кои са, нито от къде са запознати, нито дали изобщо са експерти в цитираната област. Нещо повече – в доклада на комисията за оценяване на офертите, стр. 10 се посочва, че: „Комисията счита, че предложеното техническо решение съответства на изискванията на документацията и не е по-различно от предложенията на останалите участници по отношение на интегрираност, високотехнологичност и надеждност" – цитира се техническото решение на „Информационно обслужване" АД. Единственият показател, за който предложението на „Информационно обслужване" АД получава по-малко точки при техническата оценка е размерът на дисплея на машината за гласуване. Твърдението, че предложените машини са „обикновени касови апарати" също не отговаря на истината, тъй като устройствата не отговарят на изискванията на българското законодателство към касови апарати – нямат модули за безжична връзка с НАП, нито фискална памет по смисъла на закона за счетоводството! Това са компютри с процесори, памет, екрани, принтери, четци за карти и друга периферия в пластмасова кутия – точно както и машините на другите участници и е факт, че комисията за оценка на офертите констатира, че предложените решения не се отличават.

Те никога не са участвали в машинно гласуване на парламентарни, президентски или местни избори.

Поредната манипулация – умело се заобикаля истината, като изрично се посочва, че не са участвали в парламентарни, президентски и местни избори, но фактическата истина е, че машините са участвали в избори, просто тези избори не са от изброените видове. Или иначе обяснено – в статията се поставят по-различни изисквания от изискванията на възложителя на поръчката, като умишлено се премълчават останалите факти.

При това положение възникват основателни съмнения, че машинното гласуване не само може да бъде опорочено, но и че самият вот на хората може да бъде подменен.

Още един извод, до който не става ясно как е достигнато? За разлика от автора на статията в „Правен свят", аз не се позовавам на „запознати", а на официални документи – доклади, заповеди, решения и др. документи на различни институции. И в тези документи ясно е посочено, че единствената разлика между предложените решения е размерът на екрана. От статията не става ясно по какъв начин размерът на екрана ще доведе до подмяна на вота?

Някои дори смятат, че така се готви изборна измама в столицата, защото е много трудно да се приеме аргумент, че държавата не може да отдели 139 000 лева без ДДС като възложи поръчката на проверен доставчик на услугата.

Върхът на сладоледа настъпва в края на статията – вече дори не говорим за „запознатите", вече става дума за „някои" – съвсем неназовани лица. Не е ясно и защо се смята, че се възлага на „непроверен доставчик", защото „Информационно обслужване" АД е изпълнител на повече от 12 проекта за компютърна обработка на резултатите от всички избори в България от 2003 г. досега, а също така има и изпълнени проекти за машинно гласуване. Да се твърди, че дружеството няма опит и експертиза в областта е просто смешно.

Още повече, че резултатите от машинното гласуване през 2014 г. бяха високо оценени именно от МС и от ЦИК, които ги обявиха за успешни.

Както цитирах по-горе доклада на ЦИК, експериментите с машинно гласуване през 2014 г. са обявени за успешни на базата на брой гласували с машини. А ако трябва да цитирам по-точно – на базата на 8014 гласували с машини на изборите за членове на Европейския парламент от Република България от общо 24 978 имащи право на глас в секциите, където има разположени машини. Това между другото са малко повече от 32% от избирателите!

Любопитен момент е откъде е дошъл натискът за прекратяване на процедурата по ЗОП.

Любопитен е, наистина е любопитен и при това – много любопитен. Нека още веднъж да разгледаме решението на Министерски съвет за прекратяване на процедурата – мотивите са, че офертите на две от фирмите участващи в процедурата надвишават финансовия ресурс, който възложителят може да осигури. Тук следва да се отбележи, че цената за наем на една машина през 2014 г. от същата фирма е 1 476 лв. без ДДС (442 800 лв. за 300 секции разположени в София, Пловдив, Кюстендил, Плевен и Перник) срещу 2 780 лв. за същите машини, от същата фирма, за същия период (139 000 лв. за 50 секции, всичките разположени в същото населено място, където е седалището на фирмата). Да попитаме още веднъж – откъде е дошъл натискът?

Защото тогава ще стане ясно и за какво и за кого лобира, казват още запознати, които дори стигат до крайност – предполагат, че по този начин се цели премахването на машинното гласуване.

Хайде – „запознатите" се върнаха… за кого се лобира? На 25 септември 2015 г. Нова телевизия излъчва репортаж „от офиса на фирмата, която организира машинното гласуване" с демонснтрация как ще функционира то. Докладът на комисията за избор на такава фирма е от 06 октомври 2015 г. Кой за какво и за кого лобира и дали има връзка между издателя на „Правен свят" и някоя от участващите в конкурса фирми – оставям на вас да прецените.

А за да бъда максимално коректен, за разлика от издателите на „Правен свят", аз не цитирам „запознати" и „някои", а държавни институции и официални документи, към които по-долу ще дам линкове. Освен това горният текст си има автор, за разлика от статията на „Правен свят", в която такъв не е посочен. Още нещо – аз не крия от никого, че работя в една от фирмите участващи в конкурсната процедура, както и че съм акционер в същата фирма – „Информационно обслужване" АД. А горният текст изразява изцяло, само и единствено моето лично мнение и доколкото същото може да бъде експертно в засегнатата област, предвид професионалния ми опит и образованието ми.

  1. Статията в „Правен свят"
    http://legalworld.bg/47740.vyzlagat-bez-konkurs-mashinnoto-glasuvane-na-dyrjavna-firma-bez-opit.html
  2. Доклад на ЦИК относно организацията и провеждането на избори през 2014 г.
    http://old.cik.bg/f/1184
  3. Процедура за възлагане на обществена поръчка с предмет „Осигуряване/наемане на машини за гласуване за провеждане на изборите за общински съветници и за кметове на 25 октомври 2015 г."
    http://customerprofile.government.bg/vieworder.php?id=8F935523-5E08-11E5-B97C-0019B90D614A#orderfiles
    Тук са публикувани и докладите на комисията за оценка на предложенията, но няма как да се даде директен линк.
  4. Решение на МС за прекратяване на процедурата
    http://www.aop.bg/case2.php?mode=show_doc&doc_id=691349&newver=2
  5. Репортаж на Нова телевизия
    http://novanews.novatv.bg/news/view/2015/09/25/125223/%D0%97%D0%B0%D0%B4%D0%B0%D0%B2%D0%B0%D1%82-%D1%81%D0%B5-%D0%BD%D0%B0%D0%B9-%D1%81%D0%BA%D1%8A%D0%BF%D0%B8%D1%82%D0%B5-%D0%B8-%D1%81%D0%BB%D0%BE%D0%B6%D0%BD%D0%B8-%D0%B8%D0%B7%D0%B1%D0%BE%D1%80%D0%B8-%D0%B2-%D0%BD%D0%BE%D0%B2%D0%B0%D1%82%D0%B0-%D0%BD%D0%B8-%D0%B8%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F-/
  6. В секция с 1018 имащи право на глас, машинно е гласувал само един човек:
    http://results.cik.bg/pi2014/mashinno/protokoli/10/2900023.html
    http://results.cik.bg/pi2014/protokoli/10/2900023.html

По-стари »