Как у них 8 августа 2019

Выборы как в Эстонии: что грозит интернет-выборам в Москве

В марте мэр Москвы Сергей Собянин поддержал идею проведения электронного голосования на сентябрьских выборах в Мосгордуму, соответствующие поправки уже к лету стали законом: проголосовать электронным способом смогут жители трех округов. Столичный эксперимент с цифровыми выборами, их устойчивость к внешним угрозам и внутренним манипуляциям вызывают много споров — особенно с учетом того, что созданием и обслуживанием системы интернет-голосования с использованием технологии блокчейн занимается сама мэрия. Но в вопросах и ответах на сайте московского правительства утверждается, что единственную угрозу эксперименту представляют хакеры. 5 августа глава Общественного штаба по наблюдению за московскими выборами Алексей Венедиктов даже пообещал 2 млн рублей тем хакерам, которые смогут взломать систему столичного электронного голосования во время тестирования 21 августа.

The Bell на примере стран, где электронное голосование уже применяется, разобрался, с какими еще проблемами, кроме хакеров, там сталкивались.

Эта статья была написана для технорассылки The Bell. Подписаться на нее можно здесь.

Зачем нужно электронное голосование?

Системы электронного голосования существуют уже десятки лет и нужны в целом для трех вещей:

  • Для упрощения подсчета голосов. Эту проблему решают машины для голосования — как бумажные, так и безбумажные (например, в России — КОИБы). Первые эксперименты в этой области относят к 1964 году, когда в Калифорнии опробовали систему оптического сканирования бюллетеней.
  • Для голосования тех, кто не смог прийти на участок (военнослужащие при исполнении, граждане в сложных климатических условиях или вне городов). Именно с закона, который гарантировал такое право в США в 1986 году, начались инновации в отрасли удаленного — а затем и электронного голосования, не прекращающиеся до сих пор.
  • И, конечно, для быстрого подведения итогов. В Бразилии в 2010 году результаты выборов президента стали известны через 75 минут после окончания голосования.

Электронное голосование — это через интернет?

Необязательно.

Часто проектировщики машин для голосования ради безопасности стараются вообще избегать связи через интернет. Для решения двух из трех задач — упрощения подсчетов и быстрого подведения итогов — интернет, в общем, не нужен.

Пример. В этом смысле показателен опыт Бразилии, которая в 1996 году разработала и с тех пор совершенствовала чрезвычайно простые машины для электронного голосования. Это были персональные компьютеры с небольшим экраном, очень ограниченной по возможностям операционной системой и 13 кнопками на передней панели. Вместо интернета у таких машин был пятиметровый кабель, тянущийся от терминала в кабинке к терминалу члена комиссии.

Но сейчас все чаще под словами «электронное голосование» подразумевается массовое онлайн-голосование. Здесь стоит поблагодарить Эстонию — в выборах 2014 и 2015 годов до трети голосов в стране было подано через сеть.

В Москве электронное голосование с компьютера или мобильника пройдет в трех избирательных округах, в процессе мэрия решила инновационно задействовать блокчейн и анонимизирующий механизм, обеспечивающий тайну голосования.

С чем могут быть связаны проблемы при электронном голосовании?
  • С программным или аппаратным обеспечением.
  • С неверными инструкциями для избирателей.
  • С плохо спроектированными или настроенными машинами для голосования.

Например, в ноябре 2004 года в Северной Каролине машина на выборах потеряла 4438 голосов без возможности восстановления. Причина — человеческая ошибка в настройке, из-за которой память оказалась ограничена лишь 3000 голосов, и ошибка в проектировании, которая при заполнении памяти позволяла продолжать голосование. К сожалению, двух кандидатов разделяли всего 2287 голосов, так что одна ошибка стоила пересчета выборов.

А ниже — ролик с президентских выборов США 2012 года показывает, как сенсорный экран неправильно отрабатывает нажатие — вместо Барака Обамы голос отдается за Митта Ромни.

Обязательно ли в неверном подсчете голосов виноват человек?

Необязательно. Это доказывает история федеральных выборов 2003 года в бельгийской коммуне Схарбек.

Все шло хорошо, пока из пустоты не возникли 4096 голосов. Ошибка осталась бы незамеченной, но в Схарбеке такому числу дополнительных избирателей взяться было просто неоткуда.

Расследование показало, что дело не в хакерах и не в ошибках. Наиболее вероятной причиной оказались космические лучи — заряженная частица переключила бит в счетчике голосов и не вызвала дополнительных разрушений, которые бы привели к ошибке.

Один из специалистов, расследовавших случай, признается, что в штате Теннесси, откуда он родом, ошибку бы не заметили — там во время выборов не остается бумажного «хвоста».

Как хакеры могут взломать машины для голосования?

Есть три основных вектора атаки:

  • Сама машина во время или после учета голоса. Например, на предыдущем ролике неверная отработка нажатий на экране могла бы быть делом рук злоумышленника, вмешавшегося в ПО. Кроме того, голосующий должен быть уверен, что его голос учтен в базе данных так, как он проголосовал.
  • Учет на промежуточном пункте. Например, перехват и изменение трафика от кабинки до пункта приема голоса (в комиссии или сразу в единой системе). Для этого в системе необходима стойкая криптография.
  • Единая система подсчета голосов. Здесь речь идет скорее о несанкционированном доступе к базе данных, либо к атакам, заставляющим сервисы, связанные с базой данных, выйти из строя.

Цели хакеров при этом могут быть многообразны: срыв голосования (например, приведение машин в негодность), манипулирование результатами выборов, деанонимизация голосующих, доступ к личным данным, публикация результатов до окончания подсчетов и т.п.

Часто бывают утечки?

Довольно часто.

  • Крупнейшая утечка такого рода была подтверждена в 2019 году и затронула 198 млн американских избирателей.
  • Рядом в этом скорбном списке — утечка записей о 93,4 млн мексиканских избирателей и данные о 55 млн филиппинских избирателей, включая миллионы отпечатков пальцев.
  • В целом для правительств всего мира характерна некомпетентность государственных IT-служб — и данные, которые могут помочь в манипуляции выборами, совершенно не обязательно утекают из систем электронного голосования. Характерный пример — недавняя утечка информации об 11 млн казахстанцев — всего совершеннолетнего населения страны.

Часто проблемы связаны с машинами для голосования. Даже после того, как их признают ненадежными, местные власти и подрядчики очень неохотно идут на замену — этому посвящен целый спецпроект издания Politico, затронувший 14 штатов США.

Электронное голосование привлекательно для хакеров тем, что часто не оставляет следов и не дублируется на бумаге, поэтому «откатить» неправильно поданные голоса невозможно. В США пытаются заменить безбумажные машины на бумажные, в Москве — сразу внедряют блокчейн и регистрацию для электронных избирателей в МФЦ.

Как в мире противостоят хакерам и ошибкам?

Самый действенный способ борьбы с хакерами — это открытость. Аудит открытого исходного кода снимает ответственность с разработчика и существенно снижает риски. На 1 июля разработчики системы интернет-выборов в Мосгордуму не давали возможности всем желающим ознакомиться с исходным кодом.

Кроме того, во избежание ошибок в самих машинах для голосования стремятся сохранить бумажное дублирование. Вот несколько примеров того, что происходит в мире:

  • Microsoft в июле заявила, что разработала и раздаст ПО ElectionGuard с открытым исходным кодом, призванную защитить голоса. Систему интегрируют производители машин для голосования и местные власти уже в 2020 году.
  • В Швейцарии разработали систему электронного голосования, опубликовали ее исходный код и снабдили свободной лицензией.
  • Управление перспективных исследовательских проектов министерства обороны США (DARPA) потратит $10 млн на разработку системы голосования с открытым исходным кодом и надежным аппаратным обеспечением. В августе управление показало свою разработку и предложило хакерам попытаться получить доступ даже к аппаратной части — через Bluetooth и USB-порт.
  • Крупнейший производитель машин для голосования ES&S больше не будет продавать безбумажные агрегаты. Сейчас на них оказывают серьезное давление из-за того, что они предлагают машины десятилетней давности и избегают независимого аудита.

Два миллиона рублей?

Столько Алексей Венедиктов обещал хакерам, которым удастся сломать систему в Москве. Безусловно, безопасность стоит дороже, а техническое тестирование — лишь один из шагов к идеальной системе электронного голосования.

Пока такой системы нет нигде в мире, но вот какой она должна быть:

  • Открытой, чей код можно проанализировать всем желающим.
  • Дающей возможность проконтролировать голосование на всех этапах.
  • Работающей быстро.
  • Обеспечивающей тайну голосования.
  • Дающей возможность избирателю при необходимости проверить, верно ли учтен его голос.
  • Стойкой не только к хакерам, но и к вмешательству всех заинтересованных сторон, гарантированно не содержащей бэкдоров.
  • Защищенной от утечек данных избирателей.

Александр Амзин