Прозрачный черный ящик

/  Hi-tech /  Бизнес

Какой должна быть система подсчета голосов, чтобы быть уверенным в честности выборов?

Чем ближе день 4 марта, тем сильнее порывы ветра перемен. Так, выразители протестных настроений — учредители Лиги избирателей — решили запустить во время выборов президента РФ систему «Сводный протокол», которую с чьей-то легкой журналистской руки сразу окрестили альтернативной системой ГАС «Выборы». Сможет ли она стать таковой на практике?

Идея «Сводного протокола» проста: это интернет-площадка, на которой работают ПО учета голосов избирателей — его разработал несколько лет назад известный айтишник, а ныне депутат Госдумы Илья Пономарев — и система визуализации результатов. На избирательных участках будут работать наблюдатели, зарегистрировавшиеся на площадке. После того как на участке закончится подсчет голосов и будет сформирован протокол, они сразу же позвонят по специальному номеру телефона в сall-центр и сообщат свои цифры. Или введут цифры через специальную форму на сайте площадки: ФИО наблюдателя — его логин, а номер телефона — пароль. И смогут еще добавить в форму отсканированный вариант самого протокола.

Правда, нет никакого смысла напрямую сравнивать эту систему с ГАС «Выборы» — огромной федеральной структурой из десятков тысяч автоматизированных комплексов, соединенных защищенным каналом связи. На ее создание уже потрачено несколько миллиардов рублей и еще более 13,5 миллиарда планируется вложить в течение трех лет в автоматизацию всех участковых избирательных комиссий. А «Сводный протокол» специалисты по информационной безопасности даже обсуждать отказываются — нет там, говорят, ни малейшего соответствия общепринятым стандартам. В этом смысле легитимность «Протокола» под вопросом.

Если ГАС «Выборы» проходила госсертификацию на соответствие целому комплексу требований, то аудит механизма «Сводного протокола» никто пока не проводил. И вообще непонятно, кто этим займется, если во главу угла поставлено желание уйти от государева ока. К тому же, как отмечает Илья Пономарев, российская правовая система не рассматривает данные электронных систем в качестве доказательства в суде и основой для доказательной базы может считаться разве что единый архив копий протоколов с участков. «Наша система носит не альтернативный, а контрольный характер, — поясняет Пономарев.— Ее главная ценность — в оперативности, то есть получении результата в первые часы после окончания голосования».

Можно ли доверять контрольным цифрам, полученным посредством «Протокола»? Лига избирателей уверяет, что подъем волонтерского движения позволяет рассчитывать на охват 80—85 процентов избирательных участков. «Но даже если предположить, что реальные наблюдатели будут предоставлять абсолютно корректные данные, применяемая для доступа к системе информация — ФИО и номер телефона — не может быть использована для аутентификации наблюдателя, то есть однозначного определения источника данных,— поясняет Сергей Гордейчик, технический директор PositiveTechnologies. — Просто потому, что эта информация не является секретом. Доказательство — надоедливые агенты «увасскорозакончитсякаско». Основная проблема данной системы, уверен эксперт, это не вполне достоверные исходные данные: фактически неизвестно, от каких лиц будет поступать информация, за достоверность которой они не несут никакой ответственности.

В целом доля электронных технологий в новом проекте оказывается еще ниже, чем в ГАС «Выборы». А в «Протоколе» появляется дополнительное слабое звено в виде рассеянных барышень из сall-центра, принимающих звонки от наблюдателей и вводящих цифры в систему. Получается, что одну явно непрозрачную систему собирается контролировать другая, еще более непрозрачная?

«Я считаю, что создание альтернативной системы выборов — это утопия, и даже больше — крайне опасная затея,— уверен Сергей Рыжиков, генеральный директор «1С-Битрикс».— В любом случае она столкнется с теми же проблемами, что и основная, — фальсификацией данных, только заниматься этим будут другие люди». Похоже, что ключевое слово во всей этой истории — прозрачность.

Правда, одновременно обеспечить безопасность и прозрачность большой системы — задачка весьма нетривиальная, отмечает Алексей Тубальцев, директор практики разработки заказных систем «Техносерв Консалтинг»: «Наименее затратный вариант — обеспечение открытости существующей системы, чтобы имелась практическая возможность получить данные из системы и убедиться, что подсчет ведется правильно на всех уровнях». Как же это сделать?

В многочисленных обсуждениях неоднократно высказывалась мысль о том, что программы, обслуживающие выборы, должны быть выполнены на базе открытого ПО и даже размещены на сайте в открытом доступе, чтобы любой любопытствующий гражданин мог проверить корректность работы «машинки» для учета голосов избирателей. Точнее, убедиться в отсутствии в ПО недекларированных процедур. Правда, у специалистов такие заявления вызывают недоумение: для таких проверок нужны усилия высокопрофессионального коллектива, обладающего авторитетом. «Абсолютным авторитетом обладает Федеральная служба по техническому и экспортному контролю, — поясняет Николай Гарбуз, генеральный директор «Инфра-Ресурс». — Мнения других сторон об отсутствии недокументированных возможностей не имеют юридической значимости независимо от типа лицензии исследуемого ПО и доступности исходного кода». Для экспертизы системы исходного кода мало, продолжает эксперт, также требуется анализировать как минимум логику работы оборудования, сети и операционной системы.

Кроме того, любая программная система содержит два основных компонента: данные и алгоритмы их обработки. Даже если алгоритмы безупречны, кто даст гарантию, что у злоумышленника нет иного алгоритма, имеющего доступ к тем же данным? Например, подмена итоговой ведомости перед отправкой в систему.

«Сам факт использования открытого или закрытого ПО ничего не меняет. Должны применяться более грамотные технологии, которые позволяют технологически исключить возможность модификаций,— уверен Сергей Рыжиков.— Такие технологии сегодня существуют и могут сыграть важную роль при формировании системы, к которой будет высокое доверие». Пример — концепция, предложенная американским разработчиком систем электронного голосования Дэвидом Бисмарком. Ее идея заключается в том, что каждый отдельный бюллетень имеет свой уникальный двумерный штрихкод. Партии на таком бюллетене расположены в случайном порядке, и после того как избиратель проголосует, он разрывает бюллетень на две половинки. Одну — со штрихкодом и галочкой — отдает отсканировать на избирательном участке и забирает с собой, вторую — с названиями партий — можно уничтожить за ненадобностью. Штрихкод используется затем для распознавания данных и учета голосов, а после выборов с его помощью избиратель может проверить, как был учтен его голос. При таком подходе достигается несколько целей: анонимность избирателя (никто не может узнать, как именно проголосовал конкретный человек) и невозможность подделки результатов (сам избиратель может проверить, как именно учтен его голос в общем котле).

Разработок в этом направлении во всем мире ведется немало. Правда, идеальной модели e-voting, на сто процентов гарантирующей защиту от махинаций, к сожалению, до сих пор не создано нигде на планете. Да и вряд ли можно рассчитывать на то, что решение щепетильных вопросов из сферы честности можно будет полностью переложить на компьютерные системы. А вот уровень доверия к таким автоматизированным комплексам повысить можно. Не только избирательные урны — сам черный ящик e-voting может стать гораздо прозрачнее.