информбезопасность сервисы технологии цифровизация

4.9.2020

Волеизъявление онлайн

Как проходит цифровизация избирательного процесса

Разработанная «Ростелекомом» на основе блокчейна система дистанционного электронного голосования (ДЭГ) в августе прошла два технологических тестирования и одно общественное. Приняты меры по защите платформы, предотвращению мошенничества и утечек информации, проходит постоянный мониторинг для исключения вредоносных ресурсов. Инфраструктура электронного правительства, в которую встроен механизм ДЭГ, позволит взять на себя часть пиковой нагрузки в момент выборов.

ОТ ДОСТОПРИМЕЧАТЕЛЬНОСТЕЙ К КАНДИДАТАМ

Технология ДЭГ впервые на федеральных выборах будет применена 11–13 сентября 2020 года. Эксперимент пройдет в двух избирательных округах в Курской области и в одном – в Ярославской.

Этим летом данный опыт использовали в Москве и Нижнем Новгороде во время принятия поправок в Конституцию, а в прошлом году на выборах в Мосгордуму. 31 августа в ЦИК прошло общественное публичное тестирование системы ДЭГ: пока люди голосовали за лучшие достопримечательности в своих городах.

Потребность в проведении такой формы волеизъявления возрастает из-за санитарно-эпидемиологической обстановки, отмечают в Центризбиркоме (ЦИК).

Для избирателей, решивших проголосовать онлайн, необходимо иметь подтвержденную учетную запись на портале госуслуг (ЕПГУ). До 23:59 8 сентября им нужно подать заявление об участии в ДЭГ через ЕПГУ и получить подтверждение. До этого времени будет можно и отозвать запрос. Такое желание, по данным на 1 сентября, появилось у более чем 16 тыс. жителей Ярославля и Курска.

В ЦИК утверждают, что

данные граждан коррелируются с информацией из регистра избирателей ГАС «Выборы»

Стоит отметить, что ДЭГ через неделю пройдет и в столице – на дополнительных выборах в Советы депутатов муниципальных округов Марьино и Бабушкинский. Заявку на включение в список можно подать до 20:00 7 сентября на портале mos.ru. Система выдает электронные бюллетени до 19:59 12 сентября. Проектом занимается департамент информационных технологий столицы (ДИТ г. Москвы).

Сегодня более 4 тысяч человек подали заявление на участие в ДЭГ в двух муниципальных округах города Москвы, сообщили RSpectr в пресс-службе ДИТ.

Пресс-служба ДИТ г. Москвы:

– Открытое тестирование системы ДЭГ перед муниципальными выборами проводиться не будет, поскольку в конце июня она уже использовалась в течение нескольких дней для проведения голосования по вопросам внесения изменений в Конституцию РФ. Система отработала без сбоев, участие в голосовании приняли более миллиона человек.

Пока площадки ДЭГ не готовы для использования по всей стране. Имеющийся опыт масштабируют и объединят: всероссийская платформа электронного голосования разрабатывается

Пилотируемый в ЦИК программно-технический комплекс ДЭГ «Ростелекома» станет ее составной частью. Планируется, что система должна быть сделана к избирательной кампании в Госдуму в 2021 году.

«Нацеленное на достижение всеобщности избирательного права разумное увеличение доступных видов электоральных практик способствует росту числа граждан, принявших участие в голосовании, а также повышению гражданской активности», – напомнил RSpectr содержание постановления Конституционного суда вице-президент Невской коллегии адвокатов Андрей Алешкин.

НАДЕЖНЫЙ БЛОКЧЕЙН «РОСТЕЛЕКОМА»

В основе системы ДЭГ «Ростелекома» – программные и технические решения отечественного производства, включая блокчейн-платформу от компании Waves Enterprise. Это решение входит в единый реестр российского ПО.

Платформа обеспечивает высокую пропускную способность и конфиденциальность данных, поддерживает конфигурируемую криптографию для адаптации к требованиям регуляторов, а также контейнеризированные смарт-контракты на любом языке программирования, отмечает разработчик.

В пресс-службе «Ростелекома» RSpectr рассказали о преимуществах блокчейн-технологий при проведении ДЭГ:

1. Доступ к голосованию имеют только идентифицированные участники с необходимыми правами. Все их действия автоматически проверяются на достоверность с помощью смарт-контракта и записей в доверенный распределенный реестр.

2. Механизм ДЭГ исключает подмену данных на любом этапе процесса. Смарт-контракт запрещает доступ неавторизованных участников. Обработка и результаты итогов выборов защищены криптографическими алгоритмами.

3. Анонимность обеспечивается гомоморфным шифрованием. Сделанный пользователем выбор скрыт, но можно убедиться, что его голос учтен. Организатору голосования видны только итоговые результаты.

4. Сервис позволяет создать доверенную среду для организации независимого волеизъявления с распределенным органом подсчета голосов, а также проверить подлинность результатов подсчета всеми авторизованными участниками, например, независимыми наблюдателями.

Разработчики постоянно совершенствуют механизм ДЭГ, поскольку сайт ЦИК в период выборов и проведения референдумов нередко является объектом хакерских атак.

В августе 2020 года «Ростелеком» провел, кроме упомянутого публичного, два технологических тестирования, которые повторяли все этапы предстоящего ДЭГ:

– регистрация заявки на участие,

– авторизация и идентификация с помощью портала госуслуг,

– онлайн-голосование,

– подсчет голосов.

Сбои не зафиксированы, в пиковые нагрузки система работала устойчиво, отметили в пресс-службе оператора. Там добавили, что

подсчет результатов пробного голосования состоялся менее чем за минуту благодаря применению гомоморфного шифрования

Эта технология позволяет выполнять с зашифрованной информацией математические действия и получать результат, который после расшифровывания будет таким же, как если бы такие действия выполнялись с исходными данными.

Уровень технической готовности к ДЭГ глава Минкомсвязи Максут Шадаев определяет как достаточно высокий. «Наша задача, чтобы граждане могли проголосовать в один клик и понимали, что это безопасно, анонимно и просто», – сказал он.

Министр отметил, что

платформа ДЭГ существует не автономно, а в рамках общей инфраструктуры электронного правительства (ЭП), что дает дополнительные преимущества

А именно:

существующая система авторизации пользователей на госуслугах обеспечивает 100-процентную идентификацию граждан;
инфраструктура ЭП позволит взять на себя часть пиковой нагрузки в момент выборов.

В «Ростелекоме» уточнили, что тестирования позволили выявить потенциальные проблемы, которые могут возникнуть у избирателей:

– использование устаревших браузеров,

– оптимизацию под мобильные устройства без адаптации для больших мониторов.

ВОЗМОЖНЫЕ ПРОБЛЕМЫ ДЛЯ ОНЛАЙН-ИЗБИРАТЕЛЯ

Риски информационной безопасности (ИБ) всегда есть и на стороне сервиса, и на стороне пользователя, но последние существенно выше, рассказал RSpectr директор профильного департамента компании «Системный софт» Яков Гродзенский.

Яков Гродзенский, «Системный софт»:

– Если для аутентификации в системах применяется логин и пароль, а не средства усиленной аутентификации, например биометрия, то есть риски компрометации учетной записи с помощью шпионского ПО.

Эксперт отмечает, что сама система голосования наверняка защищена достаточно хорошо, с помощью барьеров от DDOS-атак, WAF-решений (Web Application Firewalls) и того же блокчейна.

Руководитель группы менеджеров Accord digital Денис Силантьев также выделил ряд рисков, которые может содержать российская система ДЭГ. В частности, это опасность изменения или создания голосов.

Денис Силантьев, Accord digital:

– Блокчейн используется только на этапе сохранения и считывания голоса. Авторизация и само голосование происходят на одном сервере, что дает владельцу системы возможность создания призрачных аккаунтов и отправки голосов от их имени или изменения существующих голосов до шифрования.

Эксперт указал, что трудно проверить данную информацию, поскольку российской общественности не предоставили открытый исходный код, как это сделали, например, в Эстонии.

Такие данные летом 2020 года публично выложили о системе ДЭГ, разработанной ДИТ г. Москвы. Эксперты указали на возможные уязвимости. Кстати, ДИТ использует блокчейн-платформу Exonum.

Пресс-служба ДИТ г. Москвы:

– Система ДЭГ включает в себя не только блокчейн-платформу. В ее состав входит множество элементов, в том числе электронный реестр избирателей, сам электронный бюллетень, инструменты наблюдения, включая трансляцию всех транзакций в режиме реального времени, и программно-технический комплекс по онлайн-печати транзакций на бумажном носителе.

Д. Силантьев также отметил риск голосования без ведома гражданина. Он пояснил, что в момент авторизации на ЕПГУ не происходит сопоставление личности владельца SIM-карты и его паспорта. По словам представителя Accord digital, на множестве госсервисов используется цифровая подпись, которая однозначно подтверждает личность. Почему технология не применяется в ДЭГ – вопрос открытый.

Существует риск идентификации личности и голоса и, таким образом, нарушения анонимности. Подтверждение происходит на государственном сервере еще до разрыва связи между ними, до шифрования и записи в блокчейн-систему, то есть владелец сервера располагает всей информацией о действиях клиента, говорит Д. Силантьев.

Я. Гродзенский напомнил, что при онлайн-голосовании на выборах в Мосгордуму в прошлом году были найдены уязвимости в системе шифрования. Эксперт предполагает, что обнаруженные проблемы были локализованы.

Ранее СМИ сообщали о случаях, когда людям удавалось проголосовать дважды – удаленно и на участке, добавил Д. Силантьев.

В ЦИК отвечают, что это будет исключено: если гражданин подал заявление на ЕПГУ на участие в ДЭГ и не отозвал его до 8 сентября, он не сможет получить бюллетень на избирательном участке.

А. Алешкин назвал основные задачи развития ДЭГ – повышение транспарентности и прозрачности процессов учета голосов избирателей, а также сохранение тайны волеизъявления.

«Для их решения необходимо всестороннее обеспечение безопасности механизма как от попыток вмешательства лиц с преступным умыслом, так и от злоупотреблений со стороны должностных лиц органов публичной власти, в том числе членами избирательных комиссий. Если эти задачи не будут решены, цифровизация избирательного процесса с высокой вероятностью обернется как минимум всплеском обращений в суды», – считает эксперт.

В «Ростелекоме» добавили, что уделяют вопросам ИБ особое внимание.

Помимо защиты непосредственно информационной системы и используемой инфраструктуры, происходит постоянный мониторинг фишинговых и иных вредоносных ресурсов, принимаются меры по предотвращению мошенничества и утечек информации

Разработчик утверждает, что во время пробных голосований и в результате учета многочисленных предложений от участников тестирования система стала намного лучше. По словам вице-президента по цифровым платформам «Ростелекома» Дмитрия Репникова, ее сделали более простой и интуитивно понятной, а также устранили возможные проблемы, с которыми могут столкнуться избиратели.

Изображение: RSpectr, freepik.com

ЕЩЕ ПО ТЕМЕ: