Nahlasovanie nekalých praktík je citlivá záležitosť, ktorá vyžaduje dôveru. Uvedomujeme si, že k budovaniu bezpečného prostredia neodmysliteľne patrí aj ochrana oznamovateľa, pripravujeme preto riešenie, ktoré whistleblowerom umožní oznámiť podnet bezpečne, a ak si to budú želať, aj anonymne.
Spôsobov, ako oznámiť protispoločenskú činnosť, je viacero; oznamovatelia môžu poslať zásielku poštou na adresu úradu (Námestie slobody 29, 811 06, Bratislava), alebo využiť podateľňu úradu (pondelok a piatok: 8.00 – 12.00, streda: 12.00 – 16.00).
Najrýchlejším a najpohodlnejším spôsobom podávania oznámení, ktorý navyše funguje bez časového obmedzenia, je využitie online formuláru na našej webovej stránke. Toto dočasné riešenie nahradí po ukončení verejného obstarávania nová platforma online oznamovania. Termín na predkladanie ponúk je do 14. februára 2022o 09.00 hod.
V zmysle zaslanej Výzvy na predkladanie ponúk – Platforma podávania oznámení a webstránka ÚOO si Vám dovoľujem ako osloveným záujemcom poslať informáciu o doplnení Súťažných podkladov.
Jedná sa o uvedenie miesta a času otvárania ponúk – 15.02.2022 o 09:00 hod. v priestoroch úradu. Otváranie je verejné a môže sa ho zúčasniť zástupca každého uchádzača, ktorý predloží ponuku.
Druhým doplnením je možnosť predložiť zaheslovanú ponuku (v záujme transparentnosti). Heslo je však potrebné doručiť Úradu pred dátumom a časom otvárania ponúk alebo priamo na otváraní ponúk.
Odôvodnenie a presný text Vám zasielam v prílohe a je zverejnený aj na dočasnej webstránke Úradu. Link:
To sedí.
Tu skôr ide zrejme o to, že ak niekto o tom len uvažuje, že sa stane oznamovateľom a chce sa na tomto úrade informovať o tom, akú ochranu vie úrad poskytnúť, čo by mal robiť atď (no ešte nič neoznámil) … teda zvažuje urobiť úvodný kontakt cez webovú stránku, tak budúci oznamovateľ (možno) skôr urobí tento krok, ak vie, že sa info o tom, že napr. (nezáväzne) kontaktoval tento úrad nikde neuchováva na webe, v databáze a pod, že to neunikne skôr, než sa to nezverejní a že je to technicky pripravené tak, že kontaktovať tento úrad je bezpečné.
Ide tu skôr dôveru v prvotný kontakt, nie o anonymitu ako takú.
@jsuchal Vo všeobecnosti platí, že oznamovateľ povie o sebe toľko, koľko povedať chce. Niektoré veci nevie oznámiť bez toho, aby prezradil svoju identitu. Máš pravdu, že ak chce ochranu, anonymný nemôže byť.
@dusoft Na podobných portáloch to väčšinou funguje tak, že je nejaký návod: ak chce používateľ ochranu od toho, aby ISP nevidel, že bol na portáli, tak použije VPN. Alebo TOR, ak má záujem o vyšší level anonymity (plus throwaway mailovú adresu). Alebo mu to je jedno a pôjde napriamo a na kontakt použije svoju osobnú freemail adresu.
Na rozdiel od komerčných krabicových riešení bude Úrad vlastniť zdrojáky a tieto plánuje aj zverejniť, aby ich mohol použiť ktokoľvek (podľa legislatívy je u nás množstvo povinných osôb, ktorým sa FLOSS riešenie môže zísť).
Na rozdiel od existujúcich open source riešení ako napr. SecureDrop či GlobaLeaks bude toto podstatne jednoduchšie a má oveľa menší scope, pretože sa tu vôbec neukladajú dáta, len sa rovno preposielajú ďalej. Je tu len nevyhnutne malý attack surface a žiadna databáza. Ako vyplýva zo špecifikácie, kontakt s oznamovateľom úrad rieši výhradne cez email.
Ano attack surface je maly ale z pohladu oznamovatela (hlavne nie uplne znaleho) dost celkom podstatny a to emailova adresa a práve spatná komunikácia ktorú vyžaduje smernica. Ako nechcem do toho rypat ale secure drop je z pohľadu oznamovetala viac anonymny. A SecureDrop je sice krabica ale open source s free zdrojovym kodom.
Ak nechcel úrad komunikovať a používať nástroj a má preferenciu že oznamovania mu búdú pristávať šifrované v emaily stačí ho upraviť a takisto nemusí uchovávať celú históriu púodaní stačí vždy aktuálny feedback, ktorý sa po prečítaní zmaže.
Jasné, možných prístupov, ako to riešiť, je viacero.
To, čo obstaráva úrad, je niečo oveľa jednoduchšie ako SecureDrop. Pri tejto jednoduchej požiadavke na funkcionalitu vyzerá byť menej zložité napísať to “from scratch” ako forkovať SecureDrop. Ale ak si nejaký potenciálny dodávateľ myslí, že je lepšie použiť SecureDrop ako základ tak, aby sa splnili požiadavky, nech ponúkne. Čím viac záujemcov sa prihlási, tým lepšie. Keď príde viac ponúk, bude mať úrad z čoho vyberať…
@robert.kuchar IIRC, v podkladoch na verejné obstarávanie sa predpokladá využitie štátneho dizajn manuálu.
Súčasný web je dočasný (úplne prvá veta na hlavnej stránke: “Vitajte na dočasnej stránke ÚOO”). Vylaunchovalo sa v krátkom čase niečo, čo funguje, následne sa to môže doladiť.
