Дата
08.08.2019
Автор
Александр Амзин
Источник
The Bell
Сохранённая копия
Internet Archive
Original Material

Выборы как в Эстонии: что грозит интернет-выборам в Москве

В марте мэр Москвы Сергей Собянин поддержал идею проведения электронного голосования на сентябрьских выборах в Мосгордуму, соответствующие поправки уже к лету стали законом: проголосовать электронным способом смогут жители трех округов. Столичный эксперимент с цифровыми выборами, их устойчивость к внешним угрозам и внутренним манипуляциям вызывают много споров — особенно с учетом того, что созданием и обслуживанием системы интернет-голосования с использованием технологии блокчейн занимается сама мэрия. Но в вопросах и ответах на сайте московского правительства утверждается, что единственную угрозу эксперименту представляют хакеры. 5 августа глава Общественного штаба по наблюдению за московскими выборами Алексей Венедиктов даже пообещал 2 млн рублей тем хакерам, которые смогут взломать систему столичного электронного голосования во время тестирования 21 августа.

The Bell на примере стран, где электронное голосование уже применяется, разобрался, с какими еще проблемами, кроме хакеров, там сталкивались.

Эта статья была написана для технорассылки The Bell. Подписаться на нее можно здесь.

.card[data-color="#000000"]:before { background-color: #000000; } .card[data-color="#000000"]:after { background-color: #000000; }

Зачем нужно электронное голосование?

Системы электронного голосования существуют уже десятки лет и нужны в целом для трех вещей:

  • Для упрощения подсчета голосов. Эту проблему решают машины для голосования — как бумажные, так и безбумажные (например, в России — КОИБы). Первые эксперименты в этой области относят к 1964 году, когда в Калифорнии опробовали систему оптического сканирования бюллетеней.
  • Для голосования тех, кто не смог прийти на участок (военнослужащие при исполнении, граждане в сложных климатических условиях или вне городов). Именно с закона, который гарантировал такое право в США в 1986 году, начались инновации в отрасли удаленного — а затем и электронного голосования, не прекращающиеся до сих пор.
  • И, конечно, для быстрого подведения итогов. В Бразилии в 2010 году результаты выборов президента стали известны через 75 минут после окончания голосования.

.card[data-color="#000000"]:before { background-color: #000000; } .card[data-color="#000000"]:after { background-color: #000000; }

Электронное голосование — это через интернет?

Необязательно.

Часто проектировщики машин для голосования ради безопасности стараются вообще избегать связи через интернет. Для решения двух из трех задач — упрощения подсчетов и быстрого подведения итогов — интернет, в общем, не нужен.

Пример. В этом смысле показателен опыт Бразилии, которая в 1996 году разработала и с тех пор совершенствовала чрезвычайно простые машины для электронного голосования. Это были персональные компьютеры с небольшим экраном, очень ограниченной по возможностям операционной системой и 13 кнопками на передней панели. Вместо интернета у таких машин был пятиметровый кабель, тянущийся от терминала в кабинке к терминалу члена комиссии.

Но сейчас все чаще под словами «электронное голосование» подразумевается массовое онлайн-голосование. Здесь стоит поблагодарить Эстонию — в выборах 2014 и 2015 годов до трети голосов в стране было подано через сеть.

В Москве электронное голосование с компьютера или мобильника пройдет в трех избирательных округах, в процессе мэрия решила инновационно задействовать блокчейн и анонимизирующий механизм, обеспечивающий тайну голосования.

.card[data-color="#000000"]:before { background-color: #000000; } .card[data-color="#000000"]:after { background-color: #000000; }

С чем могут быть связаны проблемы при электронном голосовании?

  • С программным или аппаратным обеспечением.
  • С неверными инструкциями для избирателей.
  • С плохо спроектированными или настроенными машинами для голосования.

Например, в ноябре 2004 года в Северной Каролине машина на выборах потеряла 4438 голосов без возможности восстановления. Причина — человеческая ошибка в настройке, из-за которой память оказалась ограничена лишь 3000 голосов, и ошибка в проектировании, которая при заполнении памяти позволяла продолжать голосование. К сожалению, двух кандидатов разделяли всего 2287 голосов, так что одна ошибка стоила пересчета выборов.

А ниже — ролик с президентских выборов США 2012 года показывает, как сенсорный экран неправильно отрабатывает нажатие — вместо Барака Обамы голос отдается за Митта Ромни.

https://www.youtube.com/watch?v=QdpGd74DrBM

.card[data-color="#000000"]:before { background-color: #000000; } .card[data-color="#000000"]:after { background-color: #000000; }

Обязательно ли в неверном подсчете голосов виноват человек?

Необязательно. Это доказывает история федеральных выборов 2003 года в бельгийской коммуне Схарбек.

Все шло хорошо, пока из пустоты не возникли 4096 голосов. Ошибка осталась бы незамеченной, но в Схарбеке такому числу дополнительных избирателей взяться было просто неоткуда.

Расследование показало, что дело не в хакерах и не в ошибках. Наиболее вероятной причиной оказались космические лучи — заряженная частица переключила бит в счетчике голосов и не вызвала дополнительных разрушений, которые бы привели к ошибке.

Один из специалистов, расследовавших случай, признается, что в штате Теннесси, откуда он родом, ошибку бы не заметили — там во время выборов не остается бумажного «хвоста».

.card[data-color="#000000"]:before { background-color: #000000; } .card[data-color="#000000"]:after { background-color: #000000; }

Как хакеры могут взломать машины для голосования?

Есть три основных вектора атаки:

  • Сама машина во время или после учета голоса. Например, на предыдущем ролике неверная отработка нажатий на экране могла бы быть делом рук злоумышленника, вмешавшегося в ПО. Кроме того, голосующий должен быть уверен, что его голос учтен в базе данных так, как он проголосовал.
  • Учет на промежуточном пункте. Например, перехват и изменение трафика от кабинки до пункта приема голоса (в комиссии или сразу в единой системе). Для этого в системе необходима стойкая криптография.
  • Единая система подсчета голосов. Здесь речь идет скорее о несанкционированном доступе к базе данных, либо к атакам, заставляющим сервисы, связанные с базой данных, выйти из строя.

Цели хакеров при этом могут быть многообразны: срыв голосования (например, приведение машин в негодность), манипулирование результатами выборов, деанонимизация голосующих, доступ к личным данным, публикация результатов до окончания подсчетов и т.п.

.card[data-color="#000000"]:before { background-color: #000000; } .card[data-color="#000000"]:after { background-color: #000000; }

Часто бывают утечки?

Довольно часто.

  • Крупнейшая утечка такого рода была подтверждена в 2019 году и затронула 198 млн американских избирателей.
  • Рядом в этом скорбном списке — утечка записей о 93,4 млн мексиканских избирателей и данные о 55 млн филиппинских избирателей, включая миллионы отпечатков пальцев.
  • В целом для правительств всего мира характерна некомпетентность государственных IT-служб — и данные, которые могут помочь в манипуляции выборами, совершенно не обязательно утекают из систем электронного голосования. Характерный пример — недавняя утечка информации об 11 млн казахстанцев — всего совершеннолетнего населения страны.

Часто проблемы связаны с машинами для голосования. Даже после того, как их признают ненадежными, местные власти и подрядчики очень неохотно идут на замену — этому посвящен целый спецпроект издания Politico, затронувший 14 штатов США.

Электронное голосование привлекательно для хакеров тем, что часто не оставляет следов и не дублируется на бумаге, поэтому «откатить» неправильно поданные голоса невозможно. В США пытаются заменить безбумажные машины на бумажные, в Москве — сразу внедряют блокчейн и регистрацию для электронных избирателей в МФЦ.

.card[data-color="#000000"]:before { background-color: #000000; } .card[data-color="#000000"]:after { background-color: #000000; }

Как в мире противостоят хакерам и ошибкам?

Самый действенный способ борьбы с хакерами — это открытость. Аудит открытого исходного кода снимает ответственность с разработчика и существенно снижает риски. На 1 июля разработчики системы интернет-выборов в Мосгордуму не давали возможности всем желающим ознакомиться с исходным кодом.

Кроме того, во избежание ошибок в самих машинах для голосования стремятся сохранить бумажное дублирование. Вот несколько примеров того, что происходит в мире:

  • Microsoft в июле заявила, что разработала и раздаст ПО ElectionGuard с открытым исходным кодом, призванную защитить голоса. Систему интегрируют производители машин для голосования и местные власти уже в 2020 году.
  • В Швейцарии разработали систему электронного голосования, опубликовали ее исходный код и снабдили свободной лицензией.
  • Управление перспективных исследовательских проектов министерства обороны США (DARPA) потратит $10 млн на разработку системы голосования с открытым исходным кодом и надежным аппаратным обеспечением. В августе управление показало свою разработку и предложило хакерам попытаться получить доступ даже к аппаратной части — через Bluetooth и USB-порт.
  • Крупнейший производитель машин для голосования ES&S больше не будет продавать безбумажные агрегаты. Сейчас на них оказывают серьезное давление из-за того, что они предлагают машины десятилетней давности и избегают независимого аудита.

.card[data-color="#000000"]:before { background-color: #000000; } .card[data-color="#000000"]:after { background-color: #000000; }

Два миллиона рублей?

Столько Алексей Венедиктов обещал хакерам, которым удастся сломать систему в Москве. Безусловно, безопасность стоит дороже, а техническое тестирование — лишь один из шагов к идеальной системе электронного голосования.

Пока такой системы нет нигде в мире, но вот какой она должна быть:

  • Открытой, чей код можно проанализировать всем желающим.
  • Дающей возможность проконтролировать голосование на всех этапах.
  • Работающей быстро.
  • Обеспечивающей тайну голосования.
  • Дающей возможность избирателю при необходимости проверить, верно ли учтен его голос.
  • Стойкой не только к хакерам, но и к вмешательству всех заинтересованных сторон, гарантированно не содержащей бэкдоров.
  • Защищенной от утечек данных избирателей.