Дистанционное голосование в Москве: что обсуждали на заседании рабочей группы

На модерации Отложенный

15 июля состоялось пятое по счету заседание технической рабочей группы. Из-за того, что правовая группа так и не была создана, второе заседание подряд мы также обсуждаем проекты документов Мосгоризбиркома относительно электронного голосования, которые представляет зампред МГИК Юрий Ермолов.

Что в сухом остатке.

1. О сбое при тестиро

Григорий Мельконьянц

Сопредседатель движения Голос , член Научно-экспертного совета при ЦИК России

15 июля состоялось пятое по счету заседание технической рабочей группы. Из-за того, что правовая группа так и не была создана, второе заседание подряд мы также обсуждаем проекты документов Мосгоризбиркома относительно электронного голосования, которые представляет зампред МГИК Юрий Ермолов.

Что в сухом остатке.

1. О сбое при тестировании на студентах

Технические данные о произошедшем сбое, логи и прочее нам не показали, хотя подразумевалось, что будет проведен детальный разбор не на пальцах. Обещают что-то выложить. Поэтому опять приходится верить на слово.

Объяснили следующее. Из-за того, что в день голосования кем-то производился подбор доступа к электронным бюллетеням (необходимые адреса узнали у тех, кто уже проголосовал), в центре обработки данных департамента информационных технологий автоматически включилась защита, и таким образом был заблокирован контур избирательной комиссии (печатающие устройства и экран отображения статистической информации). Специалисты департамента информационных технологий Москвы (ДИТ) это заранее не учли. В день голосования, напомню, озвучивалась версия потери связи с центром обработки данных.

2. О разнице в подходах

Возникла дискуссия вокруг оценки последствий произошедшего сбоя — что бы было, если такой сбой произошел на выборах 8 сентября. Технические разработчики заявили, что по их мнению это не повлияло бы на действительность итогов голосования, так как данные остались бы сохраненными на сервере, а значит специалисты пусть не сразу, но позже смогли бы выдать результаты голосования. На что услышали ряд эмоциональных возражений, что если бы на реальных выборах произошел отказ работы печатающих устройств, экрана со статистикой, а процедура так называемой расшифровки и подсчета голосов в присутствии членов комиссии и наблюдателей не произошла бы в день голосования, то это должно было привести к признанию результатов недействительными.

В своем отчете по итогам тестирования на студентах мы как раз обращали внимание на то, что разработчики, уделяя внимание техническим вопросам, что несомненно важно, на второй план относят вопросы открытости и гласности в работе комиссии, сопряжения электронного процесса с избирательным законодательством, а на выборах это является ключом для завоевания доверия. Если те или иные процедуры ускользают от контроля, то это ставит под сомнение достоверность результатов.

3. Добавляется возможность проверки правильности учета голоса

Это прорывное изменение, к которому пришли в результате критики непроверяемости правильности учета голосов. Теперь у избирателя появится возможность проверить правильность учета его голоса. В момент голосования избиратель может скопировать код своего зашифрованного голоса, а после окончания голосования, когда система расшифрует голоса, он сможет его расшифровать и сопоставить, чтобы удостовериться в корректности учета.

В нынешних условиях, когда система экспериментальная, эта опция с одной стороны снижает сохранение тайны голосования, с другой стороны повышает прозрачность работы системы и проверяемость ее самими избирателями. Так что на данном этапе расцениваю это как плюс.

4. Голосование электронных душ

Был поднят важный вопрос, который меня не оставляет с момента объявления о проведении этого эксперимента. Вопрос о возможности заявить аккаунты избирателей на mos. ru для дистанционного голосования, а затем с них проголосовать. При этом аккаунты будут действительно привязаны к избирателям, только избиратели об этих манипуляциях не будут знать.

Например, в выборку могут попасть избиратели, никогда не ходящие на выборы. Пока ни один из предлагаемых способов выявления такой технологии мне не представляется эффективным. Например, предлагается спрашивать у избирателя (проставлением галочки) при подаче электронного заявления его согласие на передачу контактных данных наблюдателям и кандидатам, чтобы они могли с ним связаться и удостовериться, что избиратель самостоятельно оформил заявление. Однако легко себе представить, что согласий на передачу контактной информации не окажется у аккаунтов, которые подали заявления без ведома избирателей.

5. Появится второе рабочее место на электронном участке

Физически члены комиссии и желающие присутствовать наблюдатели будут находиться в специально оборудованном помещении, где будут установлены печатающие устройства и экраны. Также в нем предполагалось рабочее место для председателя, на котором будет доступен электронный вид списка избирателей с обновляемой информацией о факте выдачи бюллетеня. Мы опасались, что члены комиссии и наблюдатели по факту могут быть не допущены к этому компьютеру. Наши опасения были услышаны: для них будет установлено отдельное рабочее место, чтобы они смогли проводить контроль за списком.

6. Ручной электронный пересчет. Что первично: данные на сервере или распечатки из принтера

Возникла дискуссия вокруг пересчета, если возникнут сомнения. Сейчас нормативные документы говорят, что нужно пересчитывать бумажные распечатки, на которых будут отражены расшифрованные голоса. Но бумажные распечатки — это лишь производная от оригинальных данных, хранящихся на сервере. Поэтому разработчики из ДИТ и руководство МГИК обещали подумать над реализацией дополнительной гарантии, предусматривающей, наравне с существующей, процедуру так называемого ручного электронного пересчета голосов уже внутри системы. Придется также установить приоритет при выявлении расхождений результатов: на бумаге или на сервере.

7. Инструменты наблюдения еще не представлены

Для замечаний и предложений нам передали проект Положения о порядке дистанционного электронного голосования. В нем не содержатся инструменты для наблюдения и контроля за системой. Их еще предстоит разработать и обсуждать. Поддержку так называемой Ноды наблюдателя ДИТ подумывает передать во вне — например, Лаборатории Касперского. Напомню, что (опять же, в результате наших дискуссии о яйцах в одной корзине) анонимизацию ДИТ — выводит на сервера МГИК. Это шаги в правильном направлении.

8. Появится табличка логирования

На каждой нашей встрече технари задавали вопросы в духе: а откуда мы знаем, что вы не логируете лишнюю информацию, по которой потом можно будет сопоставить, как проголосовал избиратель или что не исполняются скрытые процессы. ДИТ обещает составить табличку, где вся логируемая информация должна быть поименована.

9. О дальнейших этапах тестирования

На днях ДИТ обещает начать второй этап тестирования — для технических специалистов. Ждем официальной новости с графиком и точками входа. Для получения доступа к тестовой инфраструктуре участнику тестирования необходимо будет принять оферту, размещенную на mos. ru, и направить в ДИТ перечень IP. С 15 августа обещают заключительный третий этап тестирования.

Также обещают начать выкладывать некие программные код на Гитхабе, но сроки этого регулярно сдвигаются.

Заявляется, что будет проверена защита от следующих типов угроз:

  • DDOS-атака на портал дистанционного голосования.

  • Использование уязвимостей инфраструктуры портала дистанционного электронного голосования (таких как устаревшие версии ПО, некорректные настройки web-серверов и т. п.).

  • Использование недостатков и уязвимостей процесса голосования.

Читайте также:

  • Как прошло тестирование дистанционного электронного голосования на студентах московских вузов;

  • Иван Шукшин: Беда электронного дистанционного голосования в Москве;

  • Олег Реут: Долгожданное тестирование Интернет-голосования;

  • Василий Вайсенберг: В Центризбиркоме показали образец цифрового участка;

  • Как пройдет голосование на цифровых участках.

17 июля 2019, 09:00

вании на студентах

Технические данные о произошедшем сбое, логи и прочее нам не показали, хотя подразумевалось, что будет проведен детальный разбор не на пальцах.

Обещают что-то выложить. Поэтому опять приходится верить на слово. 

Объяснили следующее. Из-за того, что в день голосования кем-то производился подбор доступа к электронным бюллетеням (необходимые адреса узнали у тех, кто уже проголосовал), в центре обработки данных департамента информационных технологий автоматически включилась защита, и таким образом был заблокирован контур избирательной комиссии (печатающие устройства и экран отображения статистической информации). Специалисты департамента информационных технологий Москвы (ДИТ) это заранее не учли. В день голосования, напомню, озвучивалась версия потери связи с центром обработки данных.

2. О разнице в подходах

Возникла дискуссия вокруг оценки последствий произошедшего сбоя — что бы было, если такой сбой произошел на выборах 8 сентября. Технические разработчики заявили, что по их мнению это не повлияло бы на действительность итогов голосования, так как данные остались бы сохраненными на сервере, а значит специалисты пусть не сразу, но позже смогли бы выдать результаты голосования. На что услышали ряд эмоциональных возражений, что если бы на реальных выборах произошел отказ работы печатающих устройств, экрана со статистикой, а процедура так называемой расшифровки и подсчета голосов в присутствии членов комиссии и наблюдателей не произошла бы в день голосования, то это должно было привести к признанию результатов недействительными.

В своем отчете по итогам тестирования на студентах мы как раз обращали внимание на то, что разработчики, уделяя внимание техническим вопросам, что несомненно важно, на второй план относят вопросы открытости и гласности в работе комиссии, сопряжения электронного процесса с избирательным законодательством, а на выборах это является ключом для завоевания доверия. Если те или иные процедуры ускользают от контроля, то это ставит под сомнение достоверность результатов.

3. Добавляется возможность проверки правильности учета голоса

Это прорывное изменение, к которому пришли в результате критики непроверяемости правильности учета голосов. Теперь у избирателя появится возможность проверить правильность учета его голоса. В момент голосования избиратель может скопировать код своего зашифрованного голоса, а после окончания голосования, когда система расшифрует голоса, он сможет его расшифровать и сопоставить, чтобы удостовериться в корректности учета. 

В нынешних условиях, когда система экспериментальная, эта опция с одной стороны снижает сохранение тайны голосования, с другой стороны повышает прозрачность работы системы и проверяемость ее самими избирателями. Так что на данном этапе расцениваю это как плюс.

4. Голосование «электронных душ»

Был поднят важный вопрос, который меня не оставляет с момента объявления о проведении этого эксперимента. Вопрос о возможности заявить аккаунты избирателей на mos. ru для дистанционного голосования, а затем с них проголосовать. При этом аккаунты будут действительно привязаны к избирателям, только избиратели об этих манипуляциях не будут знать. 

Например, в выборку могут попасть избиратели, никогда не ходящие на выборы. Пока ни один из предлагаемых способов выявления такой технологии мне не представляется эффективным. Например, предлагается спрашивать у избирателя (проставлением галочки) при подаче электронного заявления его согласие на передачу контактных данных наблюдателям и кандидатам, чтобы они могли с ним связаться и удостовериться, что избиратель самостоятельно оформил заявление. Однако легко себе представить, что согласий на передачу контактной информации не окажется у аккаунтов, которые подали заявления без ведома избирателей.

5. Появится второе рабочее место на электронном участке

Физически члены комиссии и желающие присутствовать наблюдатели будут находиться в специально оборудованном помещении, где будут установлены печатающие устройства и экраны. Также в нем предполагалось рабочее место для председателя, на котором будет доступен электронный вид списка избирателей с обновляемой информацией о факте выдачи бюллетеня. Мы опасались, что члены комиссии и наблюдатели по факту могут быть не допущены к этому компьютеру. Наши опасения были услышаны: для них будет установлено отдельное рабочее место, чтобы они смогли проводить контроль за списком.

6. Ручной электронный пересчет. Что первично: данные на сервере или распечатки из принтера

Возникла дискуссия вокруг пересчета, если возникнут сомнения. Сейчас нормативные документы говорят, что нужно пересчитывать бумажные распечатки, на которых будут отражены расшифрованные голоса. Но бумажные распечатки — это лишь производная от оригинальных данных, хранящихся на сервере. Поэтому разработчики из ДИТ и руководство МГИК обещали подумать над реализацией дополнительной гарантии, предусматривающей, наравне с существующей, процедуру так называемого ручного электронного пересчета голосов уже внутри системы. Придется также установить приоритет при выявлении расхождений результатов: на бумаге или на сервере.

7. Инструменты наблюдения еще не представлены

Для замечаний и предложений нам передали проект Положения о порядке дистанционного электронного голосования. В нем не содержатся инструменты для наблюдения и контроля за системой. Их еще предстоит разработать и обсуждать. Поддержку так называемой Ноды наблюдателя ДИТ подумывает передать во вне — например, Лаборатории Касперского. Напомню, что (опять же, в результате наших дискуссии о яйцах в одной корзине) анонимизацию ДИТ — выводит на сервера МГИК. Это шаги в правильном направлении.

8. Появится табличка логирования

На каждой нашей встрече технари задавали вопросы в духе: а откуда мы знаем, что вы не логируете лишнюю информацию, по которой потом можно будет сопоставить, как проголосовал избиратель или что не исполняются скрытые процессы. ДИТ обещает составить табличку, где вся логируемая информация должна быть поименована.

9. О дальнейших этапах тестирования

На днях ДИТ обещает начать второй этап тестирования — для технических специалистов. Ждем официальной новости с графиком и точками входа. Для получения доступа к тестовой инфраструктуре участнику тестирования необходимо будет принять оферту, размещенную на mos. ru, и направить в ДИТ перечень IP. С 15 августа обещают заключительный третий этап тестирования.

Также обещают начать выкладывать некие программные код на Гитхабе, но сроки этого регулярно сдвигаются.

Заявляется, что будет проверена защита от следующих типов угроз:

  • DDOS-атака на портал дистанционного голосования.
  • Использование уязвимостей инфраструктуры портала дистанционного электронного голосования (таких как устаревшие версии ПО, некорректные настройки web-серверов и т. п.).
  • Использование недостатков и уязвимостей процесса голосования.

Читайте также: 

  • Как прошло тестирование дистанционного электронного голосования на студентах московских вузов;
  • Иван Шукшин: Беда электронного дистанционного голосования в Москве;
  • Олег Реут: Долгожданное тестирование Интернет-голосования;
  • Василий Вайсенберг: В Центризбиркоме показали образец цифрового участка;
  • Как пройдет голосование на цифровых участках.