200 угроз из виртуальной урны

Фото: Михаил Терещенко / ТАСС

На предстоящих выборах в Госдуму проголосовать онлайн можно будет сразу в семи регионах. Это первые выборы с применением дистанционного электронного голосования (ДЭГ) в таком масштабе. Голосование пройдет на базе двух систем — московской, созданной департаментом информационных технологий (ДИТ) Москвы, и федеральной, в разработке которой принимали участие «Ростелеком» и Минцифры.

Возможные угрозы для системы онлайн-голосования описаны в «Модели угроз и нарушителя безопасности информации». В этом документе ЦИК называет потенциальные риски, ответные меры на которые должны предусмотреть разработчики федеральной системы. Среди них: некорректная запись голосов избирателя, возможность реализации голосования более одного раза и нарушение анонимности голосующего, а также досрочное прекращение голосования, всего около 200 угроз.

Документ является традиционным для ИT-систем и согласовывается с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК), пояснил РБК заместитель председателя ТИК ДЭГ Олег Артамонов. По его словам, на все угрозы, которые указаны в модели, предусмотрены ответные меры.

Зарегистрироваться на онлайн-голосование с фейковым аккаунтом невозможно, так как подать заявку могут только пользователи с полной учетной записью на портале госуслуг, рассказали РБК в пресс-службе ДИТ Москвы. Она предполагает, что помимо паспортных данных пользователь также указал СНИЛС и получил подтверждение через МФЦ или банк.

Кроме того, списки подавших заявки на участие в онлайн-голосовании проходят несколько этапов проверки, в том числе на соответствие с данными ЦИК и МВД, отмечают разработчики.

Такую проверку теоретически могут пройти аккаунты недавно умерших избирателей, которые по-прежнему числятся в базах, аккаунты уехавших за границу избирателей или фейковые аккаунты с данными реальных избирателей, предположил электоральный эксперт Дмитрий Нестеров. «Есть риск того, что в списке может оказаться «мертвая душа», — согласен член технической рабочей группы ДИТ Москвы по электронному голосованию Евгений Федин. Пресс-служба ДИТ Москвы опровергла возможность проголосовать от имени умершего избирателя.

Доступ к аккаунту умершего избирателя теоретически можно получить, в случае если пароль ненадежный, сказал РБК программист, разработчик интернет-сервисов Алексей Щербаков. Создание полностью фейковых аккаунтов он считает маловероятным сценарием.

Заместитель генерального директора «РТ Лабс» по цифровизации избирательных процессов Юрий Сатиров исключил возможность массового создания ботов-избирателей: «Я исключаю появление внутреннего нарушителя — это сразу станет очевидным и будет выявлено».

Избирательные комиссии сейчас практически не осуществляют контроль за списками избирателей, они получают их извне, рассказал РБК Евгений Федин.

Проверить, что через аккаунты голосуют реальные избиратели, комиссия может их выборочным обзвоном, указывает Дмитрий Нестеров. Однако сложность такой проверки заключается в небольшом числе избиркомов: в Москве с потенциально 4,5 млн электронных избирателей создана всего одна комиссия по ДЭГ, указывает он. Нестеров предположил, что при недостатке контроля можно относительно незаметно включить до 20% виртуальных электронных избирателей.

«Нужно дробить комиссии электронного голосования до разумных размеров, чтобы на один электронный участок приходилось не более 10 тыс. избирателей, а не сотни тысяч и миллионы, как сейчас, а также нормативно закрепить возможности проверки со стороны комиссий», — сказал Нестеров.

Ранее источники РБК сообщали, что власти Москвы планируют довести число участников ДЭГ до 2 млн.

РБК направил запрос в пресс-службу ЦИК, туда же переадресовал запрос «Ростелеком».

25 августа для московской системы ДЭГ был запущен публичный сервис по наблюдению за подачей и обработкой заявлений на онлайн-голосование.

Серверы систем ДЭГ закрыты для контроля комиссий и наблюдателей: извне нельзя ни проверить исполняемый на серверах код, ни получить доступ к записям запросов системы. Это не позволяет убедиться в том, что система голосования соответствует исходному коду и в теории не будет изменена во время выборов, сказал РБК Алексей Щербаков.

«Сейчас тот, кто эксплуатирует систему, может изменить ее конфигурацию и любой ее компонент в ходе голосования так, что вы даже не заметите этого факта: современные системы позволяют сделать обновление ПО на серверной стороне совершенно незаметным для пользователя», — сказал Щербаков. Пусть есть два образа контейнера, поясняет он. Первый работает штатно — обрабатывает голоса избирателей и заносит их корректно в соответствии с исходным кодом. А второй собран из измененного кода и заносит голоса в блокчейн с особенностями (не заносит/записывает другой голос/отбирает бюллетень). Теоретически во время голосования можно заменить первый на второй, и замена пройдет незаметно для наблюдателя, объяснил программист.

В ДИТе отметили, что с 2019 года публикуют исходные коды системы на сервисе GitHub; обращений об отличиях опубликованного и исполняемого департамент не получал. В нем также указали, что на электронных УИК будет развернута нода наблюдателя, которая позволит проверить работу системы и убедиться в ее стабильности и неизменности.

Ранее Forbes со ссылкой на близкий к команде разработки ДЭГ источник также писал о том, что узлы блокчейна, по которым можно проверить подлинность транзакции, находятся на стороне правительства.

Доступ к Центру обработки данных (ЦОД) ограничен из-за повышенных требований к информационной безопасности системы, пояснили РБК в пресс-службе ДИТа. «Система ДЭГ размещена в отдельном ЦОДе, сертифицированном по максимальному классу защиты, чтобы исключить возможность внешнего вмешательства в систему», — сказали там.

Для анализа реально выполняющегося на серверах ПО требуется очень высокая квалификация — у большинства партий наблюдателей с такой подготовкой нет, сказал РБК Олег Артамонов. Кроме того, значительная часть алгоритмов происходит на устройстве избирателя: «Внести в систему скрытые возможности, не меняя при этом указанные алгоритмы, невозможно». Риск подмены или изменения системы есть, но он незначительный, заключил Артамонов.

Разработчики обеих систем настаивают, что проследить судьбу каждого голоса невозможно: голос шифруется на устройстве избирателя, а электронный бюллетень не привязан к пользователю.

Однако, по мнению члена Пиратской партии Александра Исавнина, специализирующегося на рисках электронного волеизъявления, вопрос соблюдения тайны онлайн-голосования все же остается открытым, так как в российских системах нет механизма независимых друг от друга «двух агентств» — одно для выдачи бюллетеней, второе для подсчета. Два разработчика выдают бюллетени и пересчитывают их, что потенциально позволяет им сопоставить пользователя и его голос, указывает он. С тем, что такая проблема существует, согласен и член технической рабочей группы ДИТ Москвы Евгений Федин. «Если у нас логи одной системы есть и другой системы есть, то тайны голосования в абсолютном понимании нет», — сказал он.

Ни в одной стране мира нет таких двух агентств, которые обладали бы техническими ресурсами и квалификацией, не вызывали бы подозрений в попытках саботировать выборы и были бы абсолютно независимы, сказал Олег Артамонов. «Поэтому, если мы хотим обеспечения тайны голосования, надо искать методы, которые бы ее обеспечили, даже если агентства не независимы, т.е. протокол не соблюдается», — отметил он.

Анонимность обеспечивается отвязкой персональных данных избирателя от его бюллетеня за счет алгоритма «слепой подписи», сказал Юрий Сатиров. «Мы подписали вслепую его идентификатор, дальше его потеряли. Мы никогда не знаем, проголосовал избиратель или нет, — у нас есть информация только о том, что был подписан его маскированный ключ», — отметил он.

Издание Republic 6 августа сообщало о требованиях руководства подотчетных московской мэрии структур к своим сотрудникам регистрироваться на онлайн-голосование. Общественный штаб по наблюдению в Москве зарегистрировал несколько жалоб граждан на принуждение к участию в ДЭГ.

С социальной угрозой, когда человека принуждает к голосованию руководство, на техническом уровне сделать ничего нельзя, говорит Олег Артамонов. По его словам, обезопасить от принуждения может отложенное голосование, которое на данный момент работает в Москве, но не на федеральном уровне.

Впрочем, отложенное голосование делает бессмысленной проверку избирателем своего голоса, говорит Евгений Федин. По его словам, избиратель не может знать, не было ли от его имени другого голоса, который впоследствии и зачелся. Отложенное голосование позволяет избирателю в течение одного дня несколько раз открыть бюллетень и изменить свой выбор, при этом учитывается последний вариант.

По мнению Федина, у избиркомов ДЭГ нет способа противодействовать давлению на избирателей — в случае, если работодатель, например, принудит проголосовать в одном помещении.

На программном и концептуальном уровнях российские системы интернет-голосования действительно вполне современные и даже передовые, считает Дмитрий Нестеров. «Недопустимая степень их непрозрачности и вытекающие из этого риски прежде всего определяются не технологическими, а политическими и бюрократическими ограничениями», — отметил он.

ДИТ и «Ростелеком» выкладывают исходные коды на GitHub, ознакомиться с ними могут все желающие, указывает Евгений Федин. По сравнению с 2019 годом разработчики московской системы смогли решить проблему сбоев, а также начали работать над доступностью системы — например, платформа поддерживает скринридер для слабовидящих избирателей.