Мелким криптошрифтом: что не так с электронным голосованием на выборах в Госдуму
Проголосовать удаленно за депутатов Госдумы 19 сентября 2021 года смогут жители семи регионов. Это Курская, Мурманская, Нижегородская, Ростовская и Ярославская области, а также Севастополь и Москва. «Именно на этот вид голосования сейчас «формируется запрос у нового, «цифрового» поколения наших граждан», — объясняла нововведение председатель Центральной избирательной комиссии (ЦИК) Элла Памфилова в мае 2020 года. В этом году воспользоваться дистанционным голосованием смогут 1-1,5 млн избирателей, рассказал заместитель председателя ЦИК Николай Булаев на заседании комиссии 25 мая. Как будут работать технологические платформы для дистанционного выбора депутатов и какие к ним есть вопросы?
Две системы
Сейчас в России дорабатывают две системы для дистанционного голосования для сентябрьских выборов в Госдуму. «Ростелеком» создает совместно с Министерством цифрового развития федеральную платформу vybory.gov.ru и мобильное приложение к ней, а департамент информационных технологий (ДИТ) Москвы отдельно разрабатывает систему для удаленного голосования москвичей на сайте mos.ru и собственное приложение.
ДИТ уже разработал функционал приложения, сейчас оно находится на этапе закрытого тестирования, рассказал Forbes начальник управления по совершенствованию территориального управления и развитию смарт-проектов правительства Москвы Артем Костырко.
Когда заработает приложение «Ростелекома» и как будет проходить процесс голосования в мобильном варианте, в компании не комментируют: сейчас госоператор как технический исполнитель разрабатывает и согласовывает дорожную карту с заказчиками — Центризбиркомом и Минцифры, отметили в пресс-службе «Ростелекома».
Сколько именно потрачено на разработку платформ для дистанционных выборов, представители «Ростелекома», Минцифры и департамент информационных технологий не комментируют. Сделать вывод о стоимости еще одного приложения для дистанционного голосования можно на основе условий конкурса правительства Москвы, который в начале мая выиграла «Лаборатория Касперского». Сумма контракта составила 268,7 млн рублей, а система должна быть готова к началу IV квартала, то есть в сентябрьском голосовании она не будет задействована.
Ошибка сценария: почему думская кампания 2021 года не будет спокойной
Успеть до дедлайна
В федеральное мобильное приложение от «Ростелекома» будет интегрировано отечественное криптошифрование. Его разработкой госоператор займется совместно с компаниями, обладающими соответствующими лицензиями ФСБ России, отметил представитель «Ростелекома». Названия компаний госоператор не раскрывает. Над подобными приложениями обычно работают поставщики криптопровайдеров — компании «КриптоПро» или «ИнфоТеКС», поясняет начальник управления инновационных технологий в избирательном процессе аппарата ЦИК России Георгий Грицай. В «КриптоПро» и «ИнфоТеКС» не ответили на запрос Forbes.
Загрузить приложение с российским криптошифрованием в зарубежные магазины сложно, так как модерация от Apple и Google занимает несколько месяцев, говорит источник Forbes, близкий к команде разработки системы дистанционного голосования. «Если российское правительство обращается к Apple по какому-либо вопросу, американская компания всегда направляет его в центральный офис. Поэтому ускорить процесс внедрения приложения в App Store очень сложно. Поскольку голосование уже в сентябре, ЦИК может не успеть [загрузить приложение на платформу]», — отметил собеседник Forbes.
За три месяца нельзя разработать и внедрить в App Store и Google Play мобильное приложение для онлайн-голосования, уверен эксперт по информационной безопасности Cisco Алексей Лукацкий. Проблема не в разработке самого приложения, а в том, чтобы подтвердить его соответствие требованиям по безопасности ФСТЭК (Федеральная служба по техническому и экспортному контролю. — Forbes) и ФСБ. Это непростая процедура, продолжает он: «Такая сертификация занимает гораздо больше времени — в среднем не меньше года, и получить ее на мобильное приложение практически нереально».
Главная проблема в том, что система, на которую устанавливается мобильное приложение (Android или iOS), должна быть «условно доверенной», объясняет Лукацкий. Если проверить исходный код на Android можно, хотя и не быстро, то в случае с iOS это невозможно, поэтому регуляторы стараются дистанцироваться от сертификации мобильных приложений, отметил эксперт Cisco.
В случае если приложение будет запущено в короткий срок, это будет означать, что оно работает без должной проверки со стороны ФСТЭК и ФСБ, полагает Лукацкий. По его словам, в 2020 году платформа для выборов на блокчейне от mos.ru также была запущена без должной проверки регуляторов по защите информации.
С Лукацким согласен ведущий аналитик SearchInform Алексей Парфентьев. Приложение для голосования будет обрабатывать и хранить персональные данные россиян, поэтому механизмы его защиты должны удовлетворять минимум четвертому уровню доверия ФСТЭК (всего их шесть — шестой самый слабый), говорит он. «Это высокие требования, предполагающие проверку исходных кодов всех инструментов защиты, а также многочисленные тесты на безопасность для всей среды, в которой ведется разработка программы. Проверка регуляторов на практике может занимать многие месяцы; учитывая эту деталь, срок в три с половиной месяца становится критичным», — говорит Парфентьев.
В ограничениях Google Play нет запрета на использование сторонней криптографии, поэтому вряд ли будут проблемы с публикацией приложения в магазине, рассказывает руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов. «Правила App Store намного жестче, возможно, придется дополнительно согласовывать использование отечественной криптографии. Учитывая текущую политическую обстановку, это может растянуться на месяцы», — говорит Ненахов.
Подать заявку и получить одобрение на установку своего приложения через App Store и Google Play вполне возможно, говорит ведущий эксперт направления информационная безопасность IT-компании «Крок» Александр Черныхов. «Более того, там уже сейчас есть ряд приложений, которые используют алгоритмы шифрования, одобренные ГОСТом, например, VPN-клиент Ngate», — говорит он. Черныхов объясняет, что как такового шифрования в приложениях обычно нет, им защищаются каналы передачи, а также хранящаяся на серверах информация.
Неустойчивое равновесие: прогноз на думские выборы 2021 года по итогам Единого дня голосования
Проверить свой голос
Голосование, в котором будут участвовать москвичи, анонимизировано и зашифровано с помощью технологии блокчейн, указано на сайте mos.ru. Однако это не гарантируют прозрачность голосования и доверие избирателей к выборам, говорит собеседник Forbes, близкий к команде разработки системы дистанционного голосования. «Дело в том, что узлы блокчейна, по которым можно проверить подлинность транзакции (действительно ли голос был отдан за данного кандидата), находятся на стороне правительства. Это значит, что мы не можем проверить, правда ли результаты голосования верны и вынуждены верить на слово тому, кто держит узлы блокчейна», — объясняет источник Forbes.
По словам Георгия Грицая, при электронном голосовании скорость обработки голосов и выдачи результатов так велика, что технически нет времени на подделку динамики, статистики выдачи, заполнения бюллетеней и вбросы голосов.
Благодаря технологии блокчейна электронное голосование будет тайным и анонимным, а голос избирателя никто не сможет изменить, утверждает представитель ДИТ Москвы. При этом стать наблюдателем на электронном голосовании может любой человек — для обычных пользователей будет работать программа наблюдения, в которой в режиме онлайн будут видны все транзакции, проходящие в ходе голосования, добавил он.
Против электронного голосования выступил и депутат КПРФ Евгений Колюшин на совещании ЦИК 25 мая — он считает этот процесс непрозрачным.
«Прозрачные ящики позволяли человеку увидеть, куда попадает его бюллетень. Теперь человеку гарантируется только право начать процесс голосования. А закончится ли оно учетом воли избирателей, они не знают», — заявил депутат на заседании. Он также добавил, что «многие европейские страны отказываются от дистанционного электронного голосования». В 2009 году от электронного голосования по решению суда отказалась Германия — суд посчитал, что оно не отвечает принципам честных и открытых выборов. Однако запрет касался не всего электронного голосования, а его проведения на определенных машинах нидерландского производства. Об отказе от онлайн-голосования в 2017 году говорили во Франции, Германии и Нидерландах. Тогда в Европе опасались, что дистанционные выборы могут привлечь хакеров.
Колюшин предложил ограничить эксперимент с голосованием двумя регионами — Мурманской областью и Северной Осетией. Последней, по словам депутата, эксперимент с электронным голосованием может позволить провести интернет в отдаленные территории. Но глава ЦИК Памфилова не поддержала это решение.
Представители Минцифры и ЦИК не ответили на запрос Forbes.
Как голосовали раньше
Дистанционное электронное голосование впервые состоялось в Москве в 2019 году на сайте mos.ru. Тогда удаленно можно было проголосовать на выборах депутатов в Мосгордуму, однако из более 500 000 избирателей на дистанционные выборы зарегистрировались всего 2,23% — 11 227 человек (данные ЦИК). Из них проголосовало 10 200 — почти 91% от числа зарегистрировавшихся.
Гораздо больше человек приняло участие в удаленном голосовании по поправкам к Конституции в Москве. Из 7,4 млн человек на удаленное голосование зарегистрировалось чуть больше 1 млн. Всего за поправки в Конституцию проголосовало онлайн 979 092 избирателей. Эти цифры вызывали вопросы у экспертов — исследователь электоральной статистики Сергей Шпилькин, например, обратил внимание на аномальное количество онлайн-избирателей в Троицком административном округе. Там заявления на электронное голосование подали 39% избирателей — 36 895 человек. При этом на четырех участковых избирательных комиссиях в округе количество людей, записавшихся на онлайн-голосование, превышала предельную численность избирателей на участке — 3000 человек. В зависимости от участка, голосовать в интернете решили от 3565 до 7296 человек, заметил Шпилькин. На других участках в Троицком округе, по словам эксперта, таких аномалий не было.
В мае 2020 года президент Владимир Путин подписал несколько законов, связанных с проведением дистанционного голосования на выборах. Один из них — о проведении эксперимента по дистанционному голосованию на выборах в органы государственной власти и органы местного самоуправления в Москве, в 2020 и 2021 годах. Еще в одном было конкретизировано понятие дистанционных выборов.