Author: Marko

Categories
Edukacija i školstvo Internet

Računalna sigurnost, kratki vodič (I dio)

Sažetak bloga (dolje piše kako i zašto): što prije svoje korisničke prebacite na 2FA/MFA autentikaciju, a passwordi trebaju imati minimalno 12 (optimalno 14 i više znakova). Te dvije aktivnosti će vam umanjiti šansu kompromitacije korisničkog računa za +99%.

Ovaj blog je dopunjen 19. kolovoza 2022., osvježena je ilustracija s vremenom potrebnim za “razbijanje passworda” (stara slika je ostala usporedbe radi). Te je dodan link na službene Microsoftove preporuke za passworde.

Posljednjih dana, a potaknuti aktualnim događanjima, puno se razgovaralo o računalnoj sigurnosti. Često govorim o istim ili sličnim temama, pa sam krenuo pisati ovaj vodič čiji je cilj da malo bolje razumijete protiv kakvih prijetnji se borite ali i da dobijete ideju kako umanjiti ili u cijelosti izbjeći neke od tih opasnosti. Cijelo polje računalne sigurnosti je iznimno veliko, široko i komplicirano, te jednostavno nije realno obuhvatiti sve u jednom tekstu. Svrha ovog posta je da opišem nekoliko osnovnih problema i ponudim rješenja koja bi trebala dramatično povećati razinu vaše računalne sigurnosti (po Pareto principu, 20% aktivnosti će riješiti 80% mogućih problema). Za vas koji ste malo stručniji, odmah da napomenem kako je dio teksta, čitljivosti i opće razumljivosti radi, generaliziran i pojednostavljen. Također, sva je šansa da ćete na internetu ili od prijatelja i kolega dobiti pitanja “tko vam je to rekao?” pa ću pokušati objasniti razloge pojedinih taktika, kao i razloge zašto neke druge taktike nisu nužno bolje ili čak ispravne (a s čime se možete i ne morate složiti, no ako razmislite o njima već smo napravili pomak).

Ideja je ovaj vodič napraviti u više dijelova i u prvome dijelu se bavim samo zaštitom korisničkih računa (samo i jedino time). Kako drugi dijelovi budu dostupni, na ovome mjestu će se nalaziti linkovi na njih.

Korisnički računi

U današnje doba, suma vaših online korisničkih računa i interakcija putem društvenih mreža stvara vaš digitalni identitet koji je sve češće važan ili čak kritični element funkcioniranja u društvu. Ako vam netko preotme vaše korisničke račune na društvenim mrežama (Facebook, Instagram, Twitter, Linkedin, YouTube) i email servisima (Gmail, Outlook, Yahoo i dr.). osim što može naučiti sve ili puno toga o vama, u mogućnosti je analizirati mrežu vaših poznanstava, promotriti vaše interakcije, vjerojatno će pronaći i niz korisničkih računa u raznim web dućanima, forumima i cijelom nizu drugih web servisa koje koristite a koji se potom mogu eksploatirati.

U praksi, korisnički računi najčešće imaju hijerarhiju (koje možda niste ni svjesni), a koja se svodi na to da svi servisi koji su gore nabrojani, prije ili kasnije vode do vašeg email računa (bio to vaš privatni email račun ili poslovni). Na mnogim servisima će vaša email adresa biti ime korisničkog računa, dok će neki servisi koristiti vaše email sustav (gmail) ili društvene mreže (facebook) kao login podatke. Poanta je u tome da je vaša email adresa centar/ishodište vašeg digitalnog/virtualnog identiteta i najosjetljiviji korisnički račun kojeg treba štititi koliko je god to moguće, potom dolaze sekundarni servisi koji vas čine vidljivima na internetu (društvene mreže), te naravno svi onu servisu kroz koji obavljate različite financijske i druge transakcije (web dućani, zdrastvene ustanove, eGrađani i slično).

Da bi dobro zaštitili email račun, potrebno je uvijek odabrati dobar i jedinstveni password (šifru, zaporku). Oko toga kakav password treba odabrati ima puno diskusija, ali recimo da sigurnost passworda ovisi o njegovoj dužini i fondu znakova koji se koristi. Password može imati samo slova, slova i brojeve, slova i posebne znakove (+-*,.}[~*). Svaki dodatak u passwordu za red veličine diže kompleksnost zadatka “pogađanja” passworda, a isto vrijedi i za svaki dodatni znak u passwordu. Neki servisi i neke organizacije uvjetuju obaveznu promjenu passworda nakon isteka nekog vremenskog periodadanas se ta praksa smatra pogrešnom jer neminovno vodi do pojednostavljenih passworda, učestalog ponavljanja ili kreiranja varijacija na osnovnu temu, a zbog čestih promjena nerijetko budu i zapisani na nekom očiglednom mjestu.

Generalno gledano, konsenzus je da sigurni password danas ima 14 ili više znakova, te se sastoji od kombinacija malih i velikih slova, brojeva i/ili posebnih znakova. Sigurni password možete kreirati na puno načina, jedan od njih je da ga generirate u nekom password generatoru. Problem s računalno generiranim passwordima je da su oni najčešće “lagani” računalo za pogađati (jer računalo inkrementalno mijenja znak po znak dok ne dođe do “pobjedničke” kombinacije), a istovremeno iznimno teški ljudima za zapamtiti (pa se onda ti passwordi zapisuju po postitima, rokovnicima ili u drugim digitalnim dokumentima i bilješkama).

Koliko treba računalu/softwareu iz 2021. godine da “razbije” password.
Koliko treba za razbijanje passworda u 2022. godini (uočite razliku!!!)

Kako bi se tome doskočilo, postoje i aplikacije koje su namijenjene generiranju i čuvanju passworda – tzv. password manageri. To su najčešće aplikacije na vašem mobilnom telefonu koje otvarate nekim pinom ili sličnom shemom i koje za svaki korisnički račun imaju zapisan password. Treba reći da oni značajno pojednostavljuju priču, ali isto tako ovisite o tome da je uređaj s aplikacijom uvijek pored vas (da nije npr. ukraden). A treba znati da su neki od password managera u prošlosti bili uspješno hakirani i mnogi ili svi passwordi koji su tamo pospremljeni su odjednom postali dostupni hakerima (u hashiranom obliku, o čemu malo kasnije).

Treća i vrlo efikasna moguća taktika jest da kao password koristite neku vama lako pamtljivu rečenicu (rečenicu iz omiljene knjige, stih pjesme ili nešto slično), a kojeg “začinite” nekim slučajnim velikim slovom (usred riječi), interpunkcijom, brojem ili nekim posebnim znakom. Npr. password koji glasi “IvicaimAricasuseizGubili+1” lagano je pamtljiv i sastoji se od 26 znakova što ga čini iznimno sigurnim.

Svejedno, neovisno o tome koliko god sigurni password imali, to nije uvijek dovoljno. U praksi, neće se dogoditi da će haker pogađati vaš password pokušavajući se ulogirati u vaš email račun, nego će umjesto toga hakirati neki web servis i pokušati downloadati tablicu iz baze podataka u kojoj se nalazi vaše korisničko ime i/ili email adresa te password. To također znači da imate vrlo malo utjecaja na sigurnost svojeg vlastitog korisničkog računa jer će se proboj dogoditi negdje drugdje.

Vi nemate stvarnu kontrolu niti znate kako je vaš password pohranjen na nekom web servisu, no mogu objasniti kako to (najčešće) funkcionira. Aplikacije uopće neće bilježiti vaš password u svoju bazu podataka, nego će umjesto toga zapisati hash vrijednost vašeg passworda (ako vam prilikom pokušaja resetiranja passworda servis pošalje emailom vaš aktualni password, to znači da password zapisuju kao nezaštićeno tekstualno polje i bježite od tog servisa koliko god daleko možete).

Hashiranje je jednosmjerni matematički postupak koji će iz polja (u našem slučaju password) bilo koje dužine izračunati “hash” vrijednost uvijek iste veličine, a koji je jedinstven za upravo to polje znakova. Kažemo da postupak nije reverzibilan na isti način kao što iz mljevenog mesa ne možete natrag napraviti biftek (kada bi postupak bio reverzibilan onda ne bi govorili o hashiranju nego o enkriptiranju vaših podataka).

Programer vašeg hakiranog web servisa ima mnogo opcija, no na današnji dan, najbolja praksa zapisivanja passworda u baze uključuje hash funkciju (postoje mnogobrojne, danas je najčešća SHA256, prije je to bila SHA1 ili MD5), a koja je začinjena sa “solju” (engl. salt). Salt je “začin”, najčešće sasvim slučajni slijed znakova koji je jedinstven samo vašem korisničkom računu, a koji se pridoda vašem passwordu (na početku ili kraju) kako bi se dodatno zakomplicirala hash vrijednost. Ako se baš želi otežati situacija, onda primjerice hash funkciju provrtite npr. tisuću puta (zato da kalkulacija duže traje).

U praksi to znači da ako imate password “mračniblog” MD5 hash vrijednost glasi “d66b9eb45c0a19fa5171fffe432ddec4”, ali ako to izvrtimo stotinu puta onda je rezultat “0adcac5a56774665e22cadd4941d3c0a”. Ako na password dodamo “+salt” tada će vrijednost biti “12c148ece5e82c6ae0c26ef93688efae”, a ako protjeramo takav začinjeni password stotinu puta dobijemo “1fd2d3a475aa90454c0668d49a2135a0”. Sve ovo i sami možete provjeriti na nekom od online hash generatora. Poanta, soljenja hasha je u tome da se čak i malenom razlikom u polju kojeg hashiramo, finalni rezultat drastično razlikuje – što se vidi iz gornjeg primjera.

Na web stranici Have I Been Pwned možete upisati svoje email adrese koje koristite, kao odgovor dobiti ćete popis curenja podataka u kojima se one spominju. Ovisno o tipu proboja, vjerojatno se u njima negdje nalazi i hash vrijednost passworda kojeg ste tada koristili. To još uvijek ne znači da je vaš password kompromitiran. Ako se hash vašeg passworda nalazi u nekoj od tzv. rainbow tablica tada će haker usporediti i pokušati pronaći hash vašeg passworda i passworda koji se nalaze u rainbow tablicama i ako postoji podudaranje to znači da je vaš password kompromitiran i svima dostupan. Zato je “salt” bitan jer on dodaje razinu kompleksnosti na svaki hash i uobičajene rainbow tablice tu neće pomoći, pa se umjesto toga, ako ste doista osoba od interesa, pokušava napraviti brute force koji pokušava napraviti hash od svih mogućih permutacija ili dictionary attack koji pak koristi riječnik već poznatih passworda. Ovdje dolazi do izražaja i programer aplikacije, jer ako je proces hashiranja napravljen 100x uzastopce tada će svaka operacija trajati stotinu puta duže (i toliko je manja šansa da password bude otkriven). Moderno računalo može kreirati milijune hasheva u sekundi, a ako za hashiranje koristite grafičku karticu tada možemo govoriti o desetinama ili stotinama milijuna kalkulacija u sekundi.

Možete se zaštititi dobrim passwordom (i gore je navedeno kakav bi password trebao biti), no password sam po sebi nije uvijek dovoljan i potrebno je podići razinu sigurnosti za još jednu razinu. Kako bi to postigli, koristi se princip višestruke autentikacije ili najčešće korišten 2FA. 2 (two) Factor Autentikacija koristi vrlo jednostavno načelo koje kaže da za uspješnu autorizaciju morate imati dva elementa: nešto što znate i nešto što posjedujete – i ovo je srž svake dobro implementirane sigurnosne politike. Banke vam vjeruju s milijunskim transakcijama preko interneta zato što ste prilikom prijave servisu napisali nešto što znate (PIN ili password) i zato što imate neki fizički predmet koji je jedinstven i kojeg nije moguće kopirati (bankovnu karticu, USB s certifikatom, token uređaj ili nešto treće).

Prijedlog je dakle da na svim imalo kritičnim korisničkim računima aktivirate 2FA autentikaciju, jer ako haker i posjeduje vaše korisničko ime i password, to mu i dalje neće biti dovoljno da izvrši uspješnu autentikaciju i preuzme kontrolu nad servisom (email računom, društvenom mrežom ili web dućanom). Ovo osobito vrijedi ako ste administrator nekog servisa u kojem se nalaze podaci o većem broju korisnika (gdje je veći broj korisnika svaka brojka koja je jednaka ili veća broju 2).

Gotovo svi moderni servisi posjeduju 2FA način autentikacije i smatram da u današnje doba, ako naletite na neki servis koji to ne podržava, morate ozbiljno razmisliti želite li s njima poslovati. Na internetu ima više imenika sa servisima koji podržavaju 2FA, a ovo je jedan od onih koje ja (ponekad) koristim.

Čisto da bude jasno, ima puno različitih nijansi 2FA autentikacije i iako svaka od njih je bolja od toga da nemate uključen 2FA, činjenica je da su neka od rješenja manje ili više podložna proboju (ali opet, u redovima veličina je to teže nego da zlonamjernici imaju samo vaše korisničko ime i password).

Najjednostavnija i vrlo česta forma 2FA autentikacija je autentikacija putem SMS-a. To otprilike znači da ste morali autorizirati prilikom prve prijave i svoj broj mobilnog telefona, a u času kada se pokušate ponovno ulogirati u servis, vlasnik servisa će vam nakon što ste uspješno upisali korisničko ime i password, na broj vašeg mobitela poslati jednokratnu šifru tzv. OTP (najčešće šesteroznamenkasti broj). Problem sa SMS porukama je što one nisu apsolutno sigurne jer se SMS poruka može presresti, a SIM kartica klonirati.

One Time Password je moguće generirati i putem aplikacija za autentikaciju (npr. Google ili Microsoft Authenticator, makar postoje i druga rješenja) a koje onda možete koristiti da pospremi sve korisničke račune koji mogu koristiti 2FA. Ovo je nešto sigurnija metoda od SMS-a, jer nema razmjene podataka putem interneta ili GSM mreže, no i ovdje postoji šansa kompromitacije ako je vaš mobilni uređaj zaražen nekim virusom/trojanom a koji može u pozadini pokretati aplikacije i čitati odgovore koje aplikacija daje. Fizička ekstenzija OTP autentikacije su tokeni, njih najčešće koriste banke i financijske institucije, a ponekad se koriste i kao element ulogiravanja u računala (inače, jedna od poznatijih kompromitacija token sustava je onaj kada je bio hakiran RSA).

Obitelj Yubico ključeva.

Ultimativno rješenje za sigurnost je korištenje security ključeva poput onih koje prodaje Yubico ili Hypersecu (ja koristim). Ovdje je riječ o minijaturnim računalima koja su zalivena u blok plastike i koje spajate na računalo/mobilni telefon putem USB porta (ok, postoje i NFC verzije, ali shema je ista). U trenutku autentikacije, ključ mora biti u USB portu i na traženje vaše web aplikacije morate kliknuti fizički gumbić na security ključu (što osigurava da nitko ne može aktivirati ključ s udaljene lokacije, nego to može samo korisnik napraviti). U tom času računalo USB ključu pošalje upit (challenge), USB ključ vraća odgovor (response) i ako on odgovara očekivanom odgovoru autentikacija je dopuštena. Vrijedi samo napomenuti da se security ključevi razlikuju ne samo po vrsti porta na koji se spajaju, nego i po sigurnosnim protokolima koje podržavaju tako da nije svejedno koji ključ ćete koristiti za koju namjenu (i da, jedan ključ se može koristiti za mnogobrojne servise).

Da zaključim, da bi bili sigurni – vaši passwordi moraju biti kompleksni (14 znakova i više), moraju biti jedinstveni (jer ako sigurnost jedne web stranice bude probijena onda je probijena svugdje gdje imate korisnički račun) i za pravu sigurnost morate koristiti neku od ponuđenih 2FA taktika. Izbjegavajte koristiti lagano dostupna imena iz obitelji, datume rođenja i slične očigledne passworde. Ako krenete u zonu 2FA, pokušajte izbjegavati SMS autentikaciju – no svakako je koristite ako je to jedina 2FA metoda na željenom servisu. Naučite koristiti autentikator aplikacije, a za doista mirni san počnite koristiti security ključeve (i ne zaboravite na sigurnom mjesto pohraniti backup podatke, jer ako izgubite 2FA. Svakako preporučam da vaša glavna email adresa (ona na koju su vezani svi drugi servisi) svakako bude na nekom sigurnom servisu koji omogućava sve ove oblike zaštite (primjerice Gmail, Outlook, Office365…).

p.s. ista shema funkcionira i za PIN-ove, bolje je koristiti šesteroznamenkasti PIN nego četveroznamenkasti (gdjegod ga koristili), a ako možete konfigurirajte i paswordless login na svojem računalu (to je podržano i na Windowsima i OS X).

Misao dana:
Most people are starting to realize that there are only two different types of companies in the world: those that have been breached and know it and those that have been breached and don’t know it. Therefore, prevention is not sufficient and you’re going to have to invest in detection because you’re going to want to know what system has been breached as fast as humanly possible so that you can contain and remediate.

Share the post "Računalna sigurnost, kratki vodič (I dio)"

  • Facebook
  • X
Categories
Business Politika Priroda i društvo

Godina iza nas, godina ispred nas

Obično sam na kraju godine znao raditi nekakve inventure što se dogodilo ili što očekujem da će se dogoditi, u nekom trenutku sam prestao jer se problemi uporno ponavljaju i radimo malo ili ništa da promijenimo stanje. Ipak, da zapišem i sistematiziram misli evo jedne kraće verzije inventure, očekivanja i razmišljanja.

  • Godina je očigledno bila obilježena pandemijom, ipak, moramo biti iskreni kako je utjecaj pandemije na naše živote ipak sve manji i da smo našli na cijeli niz načina kako se prilagoditi ovoj situaciji. Moje mjerilo normalnosti su putovanja; u 2020. ih nije bilo uopće, u 2021. sam ipak putovao (niti blizu kao prije ili onoliko koliko bih želio ali se putovalo). Očekujem da će 2022. biti skoro pa normalna u tom smislu.
  • Puno sam razmišljao o tome i u biti mislim da je potrebno reći kako smo kroz ekonomske efekte pandemije prošli vrlo dobro. Vlada (ne moram naglasiti da se s njima duboko ne slažem oko većine odluka) je kroz subvencije uspjela održati većini ekonomije glavu iznad vode i bez većih posljedica. Napisao sam detaljni popis proračunskih rupa tamo početkom pandemije u 2020. i zanimljivo je danas to čitati i gledati gdje sam sve pogodio ili fulao (i razmišljati o tome koliko su prognoze ili analize poput te pomogle da se crni scenariji nikada ne dogode). Možda ne zvuči tako, ali to je doista iskreni kompliment Vladi (a ne dajem ih često).
  • Uz časni i nevjerojatni izuzetak te reakcije Vlade na pandemiju, u svim ostalim područjima u biti smo na istome ili stagniramo. Apsolutno smo nezainteresirani i/ili nesposobni pozabaviti se bilo kakvim suvislim promjenama (aka. reformama) neovisno o tome koliko smo ih se naobećavali ili koliko se one od nas traže.
  • U 2022. godinu ulazimo bez poreznih promjena; naravno da tražimo nova rasterećenja, ali ako malo bolje pogledate i usporedimo to s našom neposrednom okolinom ili ostatkom EU, objektivno mi i ne stojimo toliko loše s poreznim teretom. Problem koji nas muči (a to je ovaj s kojim nikako da se razračunamo) je prvenstveno problem naše neefikasnosti tj. neproduktivnosti. Dakle, fokus moramo prebaciti na podizanje učinkovitosti a manje na to da za malo rada dobijemo više. Ideja bi bila kako unutar postojećeg okvira proizvesti više, prostora ima u nedogled.
  • U 2022. nas uz malo sreće očekuje ulazak u Schengenski režim – nije to neka velika pobjeda ali će veseliti da se kroz granični prijelaz provozamo bez zaustavljanja, to mi se čini kao neka simbolična granica koju treba srušiti da punim plućima počnemo vjerovati da smo dio Europske unije, a ne samo nekakvo slijepo crijevo koje su prikvačili jer manje boli dok smo unutra nego dok smo vani. Nešto slično je i s eurom, mi nikada nismo imali pravu i istinsku domaću valutu, sve što imalo vrijedi smo oduvijek kupovali ili u glavi čuvali u njemačkim markama ili eurima. Ekonomija nam je toliko ovisna i u toj mjeri indeksirana u odnosu na euro da je jednostavno blesavo opirati se. Puno ćemo uštedjeti prelaskom na euro i puno novih mogućnosti otvoriti (i da, biti će onih koji će loviti u mutnom i pokušati zaraditi ali ako budemo dovoljno pametni i to se može zaustaviti ili smanjiti na nekakvu prihvatljivu mjeru koja uz inflaciju koja ionako dolazi, sa ili bez eura, može to sve skupa lijepo popeglati).
  • Ipak, ima nekoliko područja s kojima smo tradicionalno slabi. Zdravstvo je posebni i osobito bolni problem, dugogodišnjim kadroviranjima pretvorio se u medicinsko krilo vladajuće partije i uglavnom služi za cementiranje postojećih odnosa bez ikakvog kvalitativnog pomaka. Promatrajući prihode našeg zdravstva, nije teško zaključiti kako su doprinosi nešto veći nego u ostatku Europe i vjerojatno balans moramo tražiti u racionalizaciji sustava (uklanjati viškove, osobito administrativne) kao i povećanju baze onih koji actually plaćaju doprinose (jer smo i tu na dnu Europe; broj pacijenata je fiksan i neće se mijenjati, ali broj onih koji plaćaju doprinos je premalen). Nema logike da imamo relativno skup ili među najskupljim sustavima u Europi, a istovremeno imamo loše rezultate tog istog sustava (pogledajte samo smrtnost od Covida, ne možemo/ne smijemo baš sve “viškove” podvesti pod glupost ljudi koji su se odlučili ne cijepiti).
  • Spominjanje zdravstva teško može proći bez stožera i pandemijskih mjera i kampanje (ne)cijepljenja. Nekonzistentnost odluka i mjera koje su same po sebi velikim dijelom bile nelogične i međusobno kontradiktorne, dodatno su urušene selektivnim pristupom gdje negdje vrijede a negdje ne vrijede, te naravno bez ikakvih imalo suvislih kontrolnih mehanizama da se te mjere doista i provode. O cijepljenju i broju ljudi kojima elementarno obrazovanje nije uspjelo pomoći objasniti koji je smisao cijepljenja bolje da i ne govorimo, baš kao i količini novonastalih digitalnih proroka koji najvijaju za jednu ili drugu stranu (od kojih su, barem meni, ovi iz “anti” tabora osobito glasni u svojoj gluposti i kratkovidnosti).
  • Ako ste pratili, jedan sam od osnivača Udruge obveznika obaveznih i dobrovoljnih mirovinskih fondova. Fascinantno mi je da četvrtinu naših mirovinskih davanja već dvadeset godina spremamo u OMF-ove dok objektivno imamo vrlo malo uvida u to kako oni posluju i s kojim rezultatima. Smatram da ima punoooo prostora da budu uspješniji, da budu transparentniji u svojem poslovanju, ali i da treba jasno identificirati i kazniti “disgresije” proteklih razdoblja kako bi spriječili da se isto ponovi. Tijekom 2021. godine napravili smo iznimno detaljnu analizu mirovinskog sustava (s time da je sve skupa jedna velika spojena posuda i nije moguće promatrati samo OMF-ove već je potrebno promatrati daleko veću sliku), o samoj analizi i nekim (mojim) zaključcima ću pisati uskoro, a samu analizu na svih svojih 140 stranica možete pronaći na stranicama udruge. Promjene u mirovinskom sustavu nas čekaju u 2022. godini i nadam se da će neki od naših zaključaka pronaći put do zakona, a sve kako bi jednoga dana mirovine bile veće (jer kako je sustav postavljen danas, to se neće dogoditi; neće propasti ali neće biti bolje).
  • Pravosuđe je također tradicionalna bolna točka naše države. Pravda koja je isporučena s puno godina zakašnjenja nije pravda. Korupcija se razmahala u razmjerima koje čak i zatvoreni Ivo Sanader promatra sa zanimanjem i iskrenim čuđenjem. Apsolutna nespremnost Vlade da se obračuna s korupcijom je također impresivna, kao što je to Mart Laar svojevremeno izgovorio Ivi Sanaderu u lice, potrebno je možda i Andreju Plenkoviću reći kako borba protiv korupcije počinje tako da i sam nisi korumpiran. Bavim se javnim nabavama i korupcijom sustava (skoro pa profesionalno) i uvjeren sam da bi čak i razmjerno jednostavnim odlukama mogli dramatično poboljšati sustav i smanjiti mito i korupciju vrlo brzo. Nažalost, ne vidim spremnost niti neku pripremu da bilo što učinimo po toj temi.
  • Obnova od potresa je posebna tema. Sve što imam reći o tome je da bi u bilo kojoj normalnoj državi Vlada odavno pala zbog totalnog i apsolutnog izostanka čak i najskromnijih mogućih rezultata u obnovi. Ludilo resornog ministra je duboko, ignorancija koju posjeduje nevjerojatnih razmjera, a debljina obraza i besramlja epskih proporcija. Fascinantno je gromoglasno ignoriranje države prema obnovi, ali i totalno pacificirani stanovnici čije se negodovanje jedva čuje; vrlo tužno.
  • Negdje putem smo izgubili i oporbu. To mi je totalni fenomen, ekipa se izgubila u vlastitom traženju i pokušaju utaživanja vlastitih i redom kratkoročnih interesa; i male i veće stranke rastaču se nevjerojatnom brzinom. Pokušajte promatrati saborske rasprave, svega je nekoliko ljudi u sabornici i kvaliteta diskusije je uglavnom na razini povremenih uvredljivih doskočica. Oporba nikako da shvati da su oni zaduženi da drže kvalitetu rasprave (od Sabora na niže), dok je na vlasti da odgovori na kritike i održava kvorum. Nažalost, od proteklih parlamentarnih izbora nismo do današnjeg dana čuli kvalitetnog iskoraka oporbe, niti u suvisloj kritici a još manje u kvalitetnom prijedlogu/protuprijedlogu. Konstruktivna i promišljena oporba bi dramatično povećala kvalitetu političkih odluka kroz pritisak na vladajuće. Ako mislite da sam neprijateljski orijentiran prema Vladi onda me morate pitati za mišljenje o opoziciji.
  • Zagreb je posebni problem, “gridlock” koji se dogodio traži mjesece ako ne i godine da se razriješi, nema tu prečaca (barem ne prevelikih). Kapacitet objektivno malene skupine ljudi koji su pobijedili zauzet je rješavanjem “Zagrebačke situacije” u kojoj imaju jako malo saveznika i veliki broj objektivnih i subjektivnih prepreka koje treba riješiti. Ne vidim da je dvadeset godina nereda moguće riješiti u kratkom roku, dapače, smatram da ćemo nered (osobito onaj koji je nastao u prostoru) rješavati i osjećati posljedice u sljedećih stotinu godina.
  • Treba spomenuti i famozni nacionalni plan oporavka i obnove (ili obnove i oporavka) gdje nam se obećavaju silne milijarde. Upravo taj “novčani” plijen je jako problematičan jer nas pohlepa za tim novcem paralizira u nasušnoj potrebi da se mijenjamo, dok korumpirani slojevi društva, gledaju načine kako se dokopati “besplatnih” novaca bez obzira na opće društvene posljedice. To prokletstvo da nikada ne bankrotiramo nas priječi da postanemo uspješno društvo jer nam nikada nije dovoljno loše da odlučimo da doista treba zasukati rukave, početi raditi i mijenjati navike.

Eto, to je otprilike sažetak situacije kako je ja danas vidim. Nisam od onih koji žele previše kopati po prošlosti jer u njoj ima malo dobroga i ništa bitno se neće promijeniti ako se njome bavimo, ali istovremeno mislim da moramo nešto naučiti i promijeniti način na koji funkcioniramo kako bi spriječili da iste greške (isti kriminal ako tako hoćete) ne ponavljamo u budućnosti. Ignorirajući mogućnost velike svjetske ekonomske krize (a samo jedno loše jutro nas dijeli od toga), budućnost nam je manje više skroz ružičasta (s elementima pojedinačnih tragikomedija) i moje žaljenje i pesimizam nije toliko usmjeren prema onome što jesmo (kao društvo) nego prema onome što bi po svim parametrima mogli biti.

Misao dana:
“Nell,” the Constable continued, indicating through his tone of voice that the lesson was concluding, “the difference between ignorant and educated people is that the latter know more facts. But that has nothing to do with whether they are stupid or intelligent. The difference between stupid and intelligent people—and this is true whether or not they are well-educated—is that intelligent people can handle subtlety. They are not baffled by ambiguous or even contradictory situations—in fact, they expect them and are apt to become suspicious when things seem overly straightforward.”

Share the post "Godina iza nas, godina ispred nas"

  • Facebook
  • X
Categories
eDržava

Nova Uredba o uredskom poslovanju

Najčešće sam kritičan prema onome što naša država radi (nije da daju puno materijala da ih se podržava u potezima ili pohvali), no evo dogodilo se prije nekoliko dana nešto pozitivno što svakako treba istaknuti i pohvaliti.

Naime, nakon jako dugo vremena, na 65-toj sjednici Vlade, izglasana je nova Uredba o uredskom poslovanju. Uredba o uredskom poslovanju zvuči kao (i za većinu građana vjerojatno i je) nebitan i dosadan dokument, no u svojoj biti to je “biblija” postupanja s dokumentima unutar državne uprave, uredba se odnosi i na sva druga državna tijela, lokalnu i područnu samoupravu kao i svih drugih pravnih osoba koja imaju javne ovlasti. Nadalje, ta uredba je u manjoj ili većoj mjeri standard postupanja s dokumentima gotovo pa svugdje, te se može koristiti kao predložak za postupanje s dokumentacijom u praktički bilo kojoj pravnoj osobi neovisno bila ona državna, javna ili privatna. Naravno da u malim organizacijama to zvuči suviše komplicirano, no čim tvrtka naraste – pravila o postupanju s dokumentacijom su nužna da bi tvrtka (ili institucija) učinkovito funkcionirala. Uredba o uredskom poslovanju je zato iznimno bitan dokument koji velikim dijelom utječe na efikasnost državnog aparata.

Kao i puno toga drugoga, rukovanje dokumentacijom svoje korijene vuče još iz vremena Habsburške monarhije (dakle doslovno iz vremena Marije Terezije) koja je svojevremeno puno učinila za efikasnost upravljanja svojim teritorijima pa je tako jedna od temeljnih ideja u administraciji nastao i koncept urudžbenih brojeva i klasa koji su aktualni i dan danas. Novom uredbom se nismo udaljili od urudžbenog broja i klase (što je manje bitno, jer te oznake uglavnom služe za identifikaciju tko je i gdje proizveo neki dokument – čini se da je aktualni pravilnik o formiranju klasa i urudžbenih brojeva još iz 1988. godine, čisto da dobijete sliku koliko je to sve skupa antikno), ali smo uveli nekoliko velikih i za našu administraciju gotovo revolucionarnih novina, pa tako već članak 3. uredbe definira ukupni ton cijele uredbe:

Uredba sada definira da država komunicira primarno elektroničkim putem, a kaže i da sva tijela moraju imati javno istaknutu adresu i način za zaprimanje elektroničkih dokumenata. Osim toga, uredba u više navrata i na više načina propisuje da se cijeli spis (ili zbirke spisa) kada je god to moguće moraju stvarati, kolati i čuvati u elektroničkom i strojno čitljivom obliku. Izjednačavaju se elektronički potpis (ok, i pečat) s običnim potpisom i pečatom, a pismena (dokumenti) se obrađuju isključivo u informacijskom sustavu, a dokumenti zaprimljeni u fizičkom obliku pretvaraju se u elektronički oblik.

I posljednje, jednako bitno (a možda i najbitnije), propisuje se da informacijski sustavi tijela moraju moći međusobno komunicirati i razmjenjivati podatke/spise elektroničkim putem (koliko je to bitno najbolje je shvatiti na konkretnom primjeru kod obnove od potresa gdje dva tijela radi propisa, iako su u istoj zgradi, moraju dokumente razmjenjivati poštom). Ova uredba stupa na snagu za koji dan, no puna implementacija se mora osigurati najkasnije do 1. siječnja 2023. godine što je više nego dovoljno vremena da se osiguraju svi preduvjeti za “nove” okolnosti.

Ova uredba je (po meni), drastični odmak od postojeće prakse i ima potencijala stvoriti kolosalne promjene u funkcioniranju državne/javne/lokalne uprave kakve nijedna od dosadašnjih promjena zakona i/ili pripadajućih im ministara nisu uspjeli osigurati, pa čak ni u pretpostavci. Ova uredba je temelj i nužni preduvjet za doista efikasnu upravu i njezino donošenje će imati pozitivne dugoročne i dalekosežne posljedice za sve nas zajedno.

Misao dana:
One of the greatest threats to mankind today is that the world may be choked by an explosively pervading but well camouflaged bureaucracy.

p.s. nadam se samo da ćemo uspjeti iz ove velike prilike, kroz labirinte nesposobnosti državnih službenika i korumpirane javne nabave uspjeti dobaviti rješenja koja će actually funkcionirati a ne da ćemo ih morati popravljati i nadograđivati sljedećih deset godina dok se koferi naših crony dobavljača ne napune (nažalost malo je dokaza da će se to i dogoditi, osobito ako pratimo razvoje javnih nabava koje se na to odnose posljednjih dana ali svi možemo biti idealisti i nadati se)

Share the post "Nova Uredba o uredskom poslovanju"

  • Facebook
  • X