Останнім часом в інформаційному просторі з’являється все більше розмов про наступні вибори. Дехто навіть називає орієнтовні дати їх проведення – наприклад, 31 березня 2024 року для президентських виборів. Втім, лишається відкритим важливе питання: як саме можна голосувати, якщо перемоги не буде і Росія нікуди не подінеться?
Більше 5 мільйонів українців нині перебувають за кордоном. Також багато людей переїхали у західні регіони України. Виборчі дільниці, які зараз існують на цих територіях, просто не зможуть пропустити таку кількість виборців, тому потрібно шукати інших рішень. Однією з панацей називають голосування через інтернет – наприклад, у «Дії». Ми вже звикли, що в цьому додатку можна швидко отримати багато послуг, ковідні сертифікати і навіть посвідчення водія. Здавалося б: додаємо туди послугу «вибори» – і всі голосують швидко й дешево. Однак викликів, пов’язаних з інтернет-голосуванням, дуже багато.
Як приклад вдалої реалізації цієї технології часто наводять Швейцарію. Ця країна славиться своїми референдумами з будь-якого питання, демократичністю та безпечністю (справді по-швейцарськи). А ще тут скоро відбудуться федеральні вибори. Виклики голосування в мережі відрізняються від класичного – від «транзитного сервера ЦВК» до людини з валізою грошей, яка буде обходити виборців і допомагати «правильно» проголосувати. Це приклад суто технічних/процедурних проблем, які можуть виникнути.
Швейцарія – країна, яка хотіла зробити все правильно і в процесі зрозуміла, що важливою частиною правильного вибору є ретельне дослідження, яке не залежить ні від постачальника системи, ні від урядового органу, який цю систему купує. Дослідження не було надто дорогим – близько пів мільйона доларів США – але це пів мільйона, які більшість штатів США та інших країн не витрачали, перш ніж поспішати з розгортанням системи. Врешті, швейцарський уряд зробив такий висновок: «Система електронного голосування, яку зараз розробляє Пошта Швейцарії, була значно вдосконалена. Однак все ще необхідні подальші розробки, зокрема суттєві».
Як і будь-яка система інтернет-голосування, швейцарська технологія має вразливі місця: скажімо, зловмисники можуть спотворити підрахунок голосів. А якщо тисячі комп'ютерів виборців будуть зламані шкідливим програмним забезпеченням, воно може змінити голоси під час їх передачі. Швейцарія «розв’язала» проблему зловмисних інсайдерів по-своєму – офіційно заявивши, що не розглядатиме цю модель загроз під час оцінки кібербезпеки.
Система електронного голосування Swiss Post (яку використовують у Швейцарії) підходить до проблеми шкідливого програмного забезпечення на комп'ютері виборця у цікавий спосіб, який варто сприймати серйозно. Кожному виборцю надсилають аркуш паперу зі спеціальними «кодами повернення», які ніколи не бачить комп'ютер виборця, тож будь-яке потенційне шкідливе програмне забезпечення не може їх дізнатися. Кожен виборець отримує інструкції протоколу, дотримуючись якого, він звіряє коди повернення, що відображаються на екрані, з кодами на папері. Також тут варто згадати, як «уважно» люди читають інструкції та дотримуються їх – якщо можна просто тиснути «далі».
Андреас Кустер – комп'ютерний науковець зі Щвейцарії, який живе за кордоном, і кілька місяців тому він отримав поштою виборчий пакет зі свого рідного кантону Санкт-Галлен. Він виявив, що система електронного голосування припустилася базової помилки: інструкції для перевірки зворотного коду не надруковані на папері, а є лише на самому вебсайті для голосування. Тож якщо комп'ютер виборця зламаний шкідливим програмним забезпеченням, воно може спрямувати людину на фальшивий вебсайт з іншими інструкціями та нікому не потрібним протоколом. Або, як демонструє Кустер, шкідливе програмне забезпечення може встановити плагін для браузера, який змінює поведінку справжнього вебсайту. Дослідник детально пояснює ці проблеми у своєму блозі.
Кустер створив маніпульований шкідливим програмним забезпеченням сайт. Замість того, щоб показувати коди верифікації для користувача, який має порівняти їх із кодами на папері, сайт просить виборця ввести ці коди у форму. Оскільки вебсайт не знає, що написано на папері, користувач заповнює цю вебформу лише «для галочки». Звичайно, Кустер не використовував вірус бот-мережі для розповсюдження свого шкідливого програмного забезпечення серед реальних виборців! Він тримає його у своїй системі і демонструє у відеоролику.
Як бачимо, онлайн-голосування небезпечне. Можливо, воно придатне для якихось малозначущих виборів, але в нас таких я не пригадаю. Вихід лише один – папір.
Насамкінець я хочу надіслати вам листівку. Заодно ми дізнаємося, скільки часу може йти бюлетень з України до вас і назад. Форма для зголошення тут: https://forms.gle/FhJe61YokMxA2o7k7
Юрій Лісовський, спеціально для ЦЕНЗОР.НЕТ