Выборы как в Эстонии: что грозит интернет-выборам в Москве

Системы электронного голосования существуют уже десятки лет и нужны в целом для трех вещей:

• Для упрощения подсчета голосов. Эту проблему решают машины для голосования — как бумажные, так и безбумажные (например, в России — КОИБы). Первые эксперименты в этой области относят к 1964 году, когда в Калифорнии опробовали систему оптического сканирования бюллетеней.
• Для голосования тех, кто не смог прийти на участок (военнослужащие при исполнении, граждане в сложных климатических условиях или вне городов). Именно с закона, который гарантировал такое право в США в 1986 году, начались инновации в отрасли удаленного — а затем и электронного голосования, не прекращающиеся до сих пор.
• И, конечно, для быстрого подведения итогов. В Бразилии в 2010 году результаты выборов президента стали известны через 75 минут после окончания голосования.

Необязательно.

Часто проектировщики машин для голосования ради безопасности стараются вообще избегать связи через интернет. Для решения двух из трех задач — упрощения подсчетов и быстрого подведения итогов — интернет, в общем, не нужен.

Пример. В этом смысле показателен опыт Бразилии, которая в 1996 году разработала и с тех пор совершенствовала чрезвычайно простые машины для электронного голосования. Это были персональные компьютеры с небольшим экраном, очень ограниченной по возможностям операционной системой и 13 кнопками на передней панели. Вместо интернета у таких машин был пятиметровый кабель, тянущийся от терминала в кабинке к терминалу члена комиссии.

Но сейчас все чаще под словами «электронное голосование» подразумевается массовое онлайн-голосование. Здесь стоит поблагодарить Эстонию — в выборах 2014 и 2015 годов до трети голосов в стране было подано через сеть.

В Москве электронное голосование с компьютера или мобильника пройдет в трех избирательных округах, в процессе мэрия решила инновационно задействовать блокчейн и анонимизирующий механизм, обеспечивающий тайну голосования.

• С программным или аппаратным обеспечением.
• С неверными инструкциями для избирателей.
• С плохо спроектированными или настроенными машинами для голосования.

Например, в ноябре 2004 года в Северной Каролине машина на выборах потеряла 4438 голосов без возможности восстановления. Причина — человеческая ошибка в настройке, из-за которой память оказалась ограничена лишь 3000 голосов, и ошибка в проектировании, которая при заполнении памяти позволяла продолжать голосование. К сожалению, двух кандидатов разделяли всего 2287 голосов, так что одна ошибка стоила пересчета выборов.

А ниже — ролик с президентских выборов США 2012 года показывает, как сенсорный экран неправильно отрабатывает нажатие — вместо Барака Обамы голос отдается за Митта Ромни.

https://www.youtube.com/watch?v=QdpGd74DrBM

Необязательно. Это доказывает история федеральных выборов 2003 года в бельгийской коммуне Схарбек.

Все шло хорошо, пока из пустоты не возникли 4096 голосов. Ошибка осталась бы незамеченной, но в Схарбеке такому числу дополнительных избирателей взяться было просто неоткуда.

Расследование показало, что дело не в хакерах и не в ошибках. Наиболее вероятной причиной оказались космические лучи — заряженная частица переключила бит в счетчике голосов и не вызвала дополнительных разрушений, которые бы привели к ошибке.

Один из специалистов, расследовавших случай, признается, что в штате Теннесси, откуда он родом, ошибку бы не заметили — там во время выборов не остается бумажного «хвоста».

Есть три основных вектора атаки:

• Сама машина во время или после учета голоса. Например, на предыдущем ролике неверная отработка нажатий на экране могла бы быть делом рук злоумышленника, вмешавшегося в ПО. Кроме того, голосующий должен быть уверен, что его голос учтен в базе данных так, как он проголосовал.
• Учет на промежуточном пункте. Например, перехват и изменение трафика от кабинки до пункта приема голоса (в комиссии или сразу в единой системе). Для этого в системе необходима стойкая криптография.
• Единая система подсчета голосов. Здесь речь идет скорее о несанкционированном доступе к базе данных, либо к атакам, заставляющим сервисы, связанные с базой данных, выйти из строя.

Цели хакеров при этом могут быть многообразны: срыв голосования (например, приведение машин в негодность), манипулирование результатами выборов, деанонимизация голосующих, доступ к личным данным, публикация результатов до окончания подсчетов и т.п.

Довольно часто.

• Крупнейшая утечка такого рода была подтверждена в 2019 году и затронула 198 млн американских избирателей.
• Рядом в этом скорбном списке — утечка записей о 93,4 млн мексиканских избирателей и данные о 55 млн филиппинских избирателей, включая миллионы отпечатков пальцев.
• В целом для правительств всего мира характерна некомпетентность государственных IT-служб — и данные, которые могут помочь в манипуляции выборами, совершенно не обязательно утекают из систем электронного голосования. Характерный пример — недавняя утечка информации об 11 млн казахстанцев — всего совершеннолетнего населения страны.

Часто проблемы связаны с машинами для голосования. Даже после того, как их признают ненадежными, местные власти и подрядчики очень неохотно идут на замену — этому посвящен целый спецпроект издания Politico, затронувший 14 штатов США.

Электронное голосование привлекательно для хакеров тем, что часто не оставляет следов и не дублируется на бумаге, поэтому «откатить» неправильно поданные голоса невозможно. В США пытаются заменить безбумажные машины на бумажные, в Москве — сразу внедряют блокчейн и регистрацию для электронных избирателей в МФЦ.

Самый действенный способ борьбы с хакерами — это открытость. Аудит открытого исходного кода снимает ответственность с разработчика и существенно снижает риски. На 1 июля разработчики системы интернет-выборов в Мосгордуму не давали возможности всем желающим ознакомиться с исходным кодом.

Кроме того, во избежание ошибок в самих машинах для голосования стремятся сохранить бумажное дублирование. Вот несколько примеров того, что происходит в мире:

• Microsoft в июле заявила, что разработала и раздаст ПО ElectionGuard с открытым исходным кодом, призванную защитить голоса. Систему интегрируют производители машин для голосования и местные власти уже в 2020 году.
• В Швейцарии разработали систему электронного голосования, опубликовали ее исходный код и снабдили свободной лицензией.
• Управление перспективных исследовательских проектов министерства обороны США (DARPA) потратит $10 млн на разработку системы голосования с открытым исходным кодом и надежным аппаратным обеспечением. В августе управление показало свою разработку и предложило хакерам попытаться получить доступ даже к аппаратной части — через Bluetooth и USB-порт.
• Крупнейший производитель машин для голосования ES&S больше не будет продавать безбумажные агрегаты. Сейчас на них оказывают серьезное давление из-за того, что они предлагают машины десятилетней давности и избегают независимого аудита.

Столько Алексей Венедиктов обещал хакерам, которым удастся сломать систему в Москве. Безусловно, безопасность стоит дороже, а техническое тестирование — лишь один из шагов к идеальной системе электронного голосования.

Пока такой системы нет нигде в мире, но вот какой она должна быть:

• Открытой, чей код можно проанализировать всем желающим.
• Дающей возможность проконтролировать голосование на всех этапах.
• Работающей быстро.
• Обеспечивающей тайну голосования.
• Дающей возможность избирателю при необходимости проверить, верно ли учтен его голос.
• Стойкой не только к хакерам, но и к вмешательству всех заинтересованных сторон, гарантированно не содержащей бэкдоров.
• Защищенной от утечек данных избирателей.