Бузин А.Ю., Исавнин А.А., Кузнецов Д.А., Нестеров Д.В., Овчинников Б.В., Реут О.Ч., Рыбин А.В., Толстогузов В.Л., Федин Е.В.
Эксперты в области применения на выборах информационных технологий обсуждают опыт и перспективы применения на зарубежных и российских выборах дистанционного электронного голосования с использованием сети Интернет (Интернет-голосования). Обсуждаемые вопросы касаются использования данного голосования в мировой практике, применения московской и федеральной платформ в российских голосованиях 2019–2021 гг., возможности обеспечения при использовании Интернет-голосования тайны голосования, точного подсчета голосов, защите от хакерских атак, давления на избирателей и их подкупа, возможности обеспечения эффективного общественного контроля за проведением Интернет-голосования.
Одним из наиболее важных новшеств последних лет на российских выборах стало применение дистанционного электронного голосования с использованием сети Интернет (ДЭГ), или, иначе говоря, Интернет-голосования. Внедрение этого новшества в России началось довольно неожиданно. Еще в октябре 2018 г. такие предложения обсуждались лишь как теоретические наработки для будущего [25]. Однако уже в феврале 2019 г. стали говорить о проведении эксперимента по использованию ДЭГ на выборах в Московскую городскую Думу в сентябре 2019 г., причем сразу как о деле решенном. И хотя один из инициаторов этого новшества, член Общественной палаты (ОП) г. Москвы А.А. Венедиктов в то время отмечал, что «для введения такого голосования нужен консенсус всех сторон – политических игроков, мэрии, наблюдателей» [39], к возражениям значительной части оппозиционных политиков и экспертов не стали прислушиваться [35]. Платформа ДЭГ была создана в сжатые сроки Департаментом информационных технологий (ДИТ) мэрии Москвы, проработка технических вопросов продолжалась почти до самого голосования [37; 38; 50].
Первое использование ДЭГ в сентябре 2019 г. обернулось скандалом. В одномандатном избирательном округе № 30 кандидат Р.Юнеман уступил М.Русецкой всего 84 голоса, при этом на обычных участках он лидировал, но по ДЭГ проиграл 665 голосов [34; 50]. По данным Юнемана, в ходе проведения голосования было много технических сбоев, плюс удалось выявить административную мобилизацию бюджетников [50].
После выборов 2019 г. руководители ЦИК России заявили, что ЦИК будет разрабатывать собственную платформу [15]. Такую платформу для ЦИК создал ПАО «Ростелеком», и она была впервые опробована в сентябре 2020 г. на дополнительных выборах в Государственную Думу в двух одномандатных округах [22]. В сентябре 2021 г. платформа ЦИК использовалась для проведения ДЭГ на выборах депутатов Государственной Думы в шести регионах [23].
Параллельно продолжала функционировать московская платформа. В июне 2020 г. она была использована при проведении Общероссийского голосования по изменениям Конституции РФ в двух регионах – Москве и Нижегородской области [21]. А в сентябре 2021 г. ее использовали на выборах депутатов Государственной Думы в Москве, и масштаб ее использования превзошел все ожидания: с помощью ДЭГ в Москве проголосовали 1 893 тыс. избирателей – лишь немногим меньше, чем в обычных УИК (1 946 тыс.). При этом результаты партий и кандидатов-одномандатников на онлайн и оффлайн избирательных участках сильно различались. Так, «Единая Россия» получила на оффлайн участках 29,4%, а на онлайн участках 44,8%. В 8 из 15 одномандатных округов победили кандидаты, проигрывавшие на оффлайн участках.
Такие результаты, а также различные сбои системы и другие подозрительные моменты, выявленные экспертами, привели к серьезному недоверию к официальным итогам голосования на онлайн участках и усилили недоверие к системе ДЭГ в целом. В СМИ появилось немало публикаций, в которых обсуждались механизмы предполагаемых фальсификаций [14; 18; 28; 26; 27; 30; 31; 32]. Тем не менее, официальные лица продолжают считать эксперимент успешным и предполагают дальнейшее развитие ДЭГ [42].
В связи с этим редакция журнала решила обсудить с экспертами опыт и перспективы использования ДЭГ. Мы сформулировали восемь вопросов, из которых четыре касаются опыта использования ДЭГ за рубежом и в нашей стране и четыре вопроса посвящены возможностям проведения дистанционного электронного голосования в соответствии со стандартами свободных и справедливых выборов.
На наши вопросы ответили девять экспертов, имеющих достаточную квалификацию в области информационных технологий, знающих реалии российских выборов и изучавших практику использования ДЭГ.
Овчинников Б.В.
Насколько я понимаю, в мире сейчас преобладает скорее скепсис в отношении онлайн-голосования. Отдельные примеры вроде небольшой Эстонии – это исключения, а никак не мейнстрим.
Главное же – в целом ориентироваться на опыт западных демократий с устойчивой политической конкуренцией нет смысла. В России совершенно иная ситуация с точки зрения монополизации электорального процесса одной политической силой и недоверия граждан к выборам. Тем более что есть множество других примеров, когда нормально работающие в других странах элементы электоральной системы в России приводят к увеличению фальсификаций: например, многодневное голосование или зависимость количества мест в парламенте у региона от явки на выборах.
Исавнин А.А.
Нежелание большинства стран форсировать внедрение ДЭГ понятно: информационные технологии по-прежнему слишком мистифицированы для большей части общества. Часть стран, например Германия, полностью отказываются от такого метода. Некоторые, например Швейцария, попробовали, но, столкнувшись с проблемами, приостановили внедрение. Единственный существенный пример активного использования – Эстония, но там это часть успешно внедряемого уже несколько десятилетий электронного государства, и доверие общества как к таким технологиям, так и к организаторам выборов заслужено и проверено.
Реут О.Ч.
Механизма предотвращения возможного нарушения принципов свободы волеизъявления и тайного голосования нет ни в одной национальной системе Интернет-голосования. Возникновение возможности соотнесения выбора с конкретным избирателем остаётся в центре внимания электоральных экспертов, специализирующихся на выработке современных методологических подходов в сфере цифровизации избирательных процессов. Есть немало работ в данной области [1; 3; 4; 6; 7; 10; 11; 12].
Кузнецов Д.А.
На мой взгляд, больше всего внимания заслуживает эстонский опыт проведения ДЭГ. В эстонском решении ДЭГ видно, что при создании решались другие проблемы: там не стоит проблема авторизации или анонимизации: система не делает развязку пользователя и голоса, а наоборот: до последнего этапа сохраняет связь.
Проблема подтверждения личности пользователя тоже не стояла перед разработчиками: в Эстонии избиратели авторизуются при помощи карточки гражданина. Главная решенная там задача – техническая открытость и проверяемость на этапе подведения итогов. Внедрение системы происходило при доверии к ИТ-инфраструктуре государства и избирательной системе.
Бузин А.Ю.
Опыт зарубежных стран я оцениваю как: а) совершенно естественный и б) очень полезный. Насколько я знаю, ни в каких странах, за исключением Эстонии, ДЭГ не внедрено в общенациональном масштабе. В некоторых странах после эксперимента от него предпочли отказаться, причем причинами отказа были недостаточная общественная подконтрольность такого вида голосования и возможность фальсификации итогов голосования.
Однако мне совершенно очевидно, что ДЭГ постепенно будет внедряться как вспомогательный способ голосования. Оно более удобно с точки зрения процедур, производимых как избирателем, так и организатором выборов.
Однако при ДЭГ труднее реализовать некоторые важные принципы выборов:
· добровольность голосования;
· тайну голосования;
· честность подсчета голосов;
· открытость и гласность работы организаторов выборов.
Пока эти проблемы не будут решены, ДЭГ не следует вводить как неисключительный способ голосования. Следует учитывать, что решение этих проблем очень сильно зависит от доверия к организаторам выборов и вообще к институту выборов.
Нестеров Д.В.
Проблема применения Интернет-голосования на выборах – комплексная. Следует учитывать ее техническое, социальное, институционально-организационное измерения. Если зарубежный опыт сравнивать с развитием российских систем, то наиболее поучительным будет анализ двух последних. В частности, интересно сравнить природы общественного (не)доверия и готовность институтов обеспечить приемлемый уровень прозрачности, понятности и добросовестности работы систем Интернет-голосования.
Здесь интересен прежде всего опыт Эстонии, единственной страны с достаточно устойчивой демократией, планомерно применяющей эту форму голосования для всех выборов на протяжении полутора десятилетий. Интересен и опыт подготовки, испытаний Интернет-голосования в таких странах, как Норвегия, где эксперименты дошли до испытания на реальных выборах, или как Канада, где после всестороннего изучения и сопутствующей общественной дискуссии эксперименты с Интернет-голосованием отложили на неопределенный срок.
Российские социальные и институциональные реалии далеки от ситуации в вышеперечисленных странах, однако глубоко изученный и хорошо задокументированный опыт этих стран представляет готовые материалы для анализа разных, не всегда очевидных, аспектов.
Толстогузов В.Л.
Прежде всего хотел бы уточнить используемую терминологию. Аббревиатура ДЭГ означает дистанционное электронное голосование, под которым может подразумеваться, например, СМС-голосование, телефонное и телеграфное, Интернет-голосование и другие системы. В ЦИК России под ДЭГ подразумевают систему Интернет-голосования, а в МГИК и ОП Москвы для Интернет-голосования используют ещё более общий термин – электронное голосование. При этом в законодательстве используется еще такой термин как КЭГ – комплекс электронного голосования, который устанавливается для избирателей на территории УИК и является сенсорным устройством для голосования с записью волеизъявления на бумажную ленту. Поэтому в нашей стране существует некоторая путаница, что подразумевается под электронным голосованием и ДЭГ. Чтобы избежать путаницы я буду писать про Интернет-голосование.
Для меня очевидно, что системы Интернет-голосования обладают целым рядом фундаментальных проблем, которые не позволяют обеспечить соблюдение принципов открытости и гласности, что значительно снижает право избирать и быть избранными.
К этим проблемам относится невозможность создать полноценный электронный эквивалент аутентификации личности избирателя по паспорту, волеизъявления в кабинке для тайного голосования на избирательном участке, работы с оригинальными бумажными документами, наблюдения на участке, которые так необходимы для обеспечения доверия к проводимым выборам. Любые попытки приблизить электронные системы голосования по уровню доверия и простоте проверки к классическим бумажным системам голосования заканчиваются созданием невероятно сложных электронных систем, осознать работу которых вряд ли сможет отдельно взятый специалист. Это ограничивает права граждан, не обладающих специальными знаниями, участвовать в процедурах подсчёта голосов и необходимых контрольных проверках систем безбумажного голосования. На основании этого в ряде передовых стран применение безбумажных систем электронного голосования на государственных выборах запрещено [47].
Единичные случае применения за рубежом систем голосования с имеющимися принципиальными проблемами считаю опасным опытом и оцениваю крайне негативно.
Рыбин А.В.
Проблемы ДЭГ не являются уникальными только для России. В зарубежной практике отмечаются многочисленные правовые проблемы электронного голосования. Так, Конституционный суд Австрии в 1985 г. пришел к выводу, что выборы по почте (почтовое голосование процедурно в наибольшей степени близко к дистанционному электронному голосованию) противоречат конституционным принципам публичного проведения выборов и тайного голосования, поскольку контроль за актом голосования невозможен. В Германии и Австрии наиболее активные дискуссии проходили по вопросу о сохранении тайны голосования. «Ахиллесова пята» выборов с использованием Интернета состоит в возможности раскрытия воли избирателей в момент подачи голосов [8].
Многие, как заклинание, произносят слово «Эстония» в качестве образца для подражания в области цифрового голосования. Однако и в Эстонии стоят все те же проблемы, что и во всех других странах, где избирательные органы пробуют применять электронного голосование.
Согласно Руководству БДИПЧ ОБСЕ [46], прозрачность и общественное доверие – это краеугольные камни демократических выборов. Там, где существует значительное недоверие к органам, ответственным за проведение выборов, или неудовлетворенность их работой, внедрение новых технологий голосования может оказаться проблематичным и может еще больше подорвать доверие к выборам. Поэтапный подход к внедрению новых технологий голосования, наряду с тщательным тестированием, возможностью проверки и полной прозрачностью, поможет сформировать доверие общественности к новым технологиям.
Исследователи электронного голосования обращают внимание на то, что практика применения различных способов дистанционного электронного голосования в зарубежных странах выявила типичные возможности нарушения избирательных прав граждан: ненадлежащее обеспечение тайны голосования; вмешательство в системы обработки голосов избирателей и связанная с этим необходимость обеспечения неизменности информации о волеизъявлении; сложность обеспечения наблюдения и контроля за процедурой дистанционного электронного голосования [41].
Сложности в обеспечении принципа защиты волеизъявления избирателей в рамках дистанционного электронного голосования обусловлены необходимостью фиксировать и хранить как данные, связанные с идентификацией личности избирателя, так и непосредственные данные о поданных голосах избирателей. При этом в мировой практике выработан универсальный подход к решению данного вопроса. Он заключается в том, что два вида указанных данных хранятся на обособленных друг от друга носителях, не позволяющих идентифицировать и соотнести данные о личности избирателя и сделанном им выборе [41].
Следует использовать международный опыт и распределить данные об избирателях и об их голосовании по разным компьютерным ресурсам, в том числе и заслуживающим доверие негосударственным ресурсам.
Цаплин А. Ю. отмечает, что подавляющее большинство стран, осваивающих сегодня дистанционное электронное голосование, – это устоявшиеся, «старые» демократии [49].
ДЭГ – удобная форма голосования для «продвинутой» части избирателей. Однако ввиду отмеченных ранее рисков не стоит спешить с широким применением ДЭГ у нас, так как Россия вряд ли сейчас может быть отнесена к категории стран «старой» демократии, а поспешность внедрения ДЭГ может подорвать доверие избирателей к выборам, в которых существенная доля голосования будет происходить в виртуальной среде без адекватных возможностей наблюдения за его честностью.
Кузнецов Д.А.
Разработка московской платформы в 2019–2021 гг. – это передовой опыт создания системы в дискуссии с экспертами разных политических структур. В результате экспериментальной разработки созданы базовые методы технического наблюдения за такой системой, но есть куда развиваться: система должна быть еще более открытой. Сейчас больше всего критики вызывает процедура переголосования, для которой не предусмотрена процедура проверки.
В рамках изучения официально опубликованных данных я не смог обнаружить доказательства нарушений, однако этих данных мало, чтобы делать выводы.
Толстогузов В.Л.
Эксперимент с использованием московской платформы Интернет-голосования, разработанной ДИТ Москвы, на практике подтвердил невозможность решить имеющиеся фундаментальные проблемы. За этой системой невозможно полноценно наблюдать, а поэтому ни подтвердить, ни опровергнуть доказательствами вмешательство в систему практически невозможно.
Исавнин А.А.
Опыт крайне негативен. Гласности работы городской комиссии ни в рамках подготовки к выборам, ни в разработке системы не было. Общественное внимание оказалось привлечено только после циничного проведения выборов силами исполнительной власти и статистического анализа, выявившего существенные провластные странности. Работа так называемой технической рабочей группы была скорее имитационной: для того чтобы пропагандисты всех уровней, не исключая и члена Общественной палаты Москвы Алексея Венедиктова, могли заявлять об открытости и отсутствии проблем.
Бузин А.Ю.
В опыте московской платформы я вижу один положительный момент: создание и работу технической группы при разработчиках. Тем не менее, насколько я понял, у членов технической группы есть большие претензии к этой платформе. В частности, они не имеют полного доступа к программному коду этой системы.
Последнее является причиной того, что убедительных доказательств фальсификаций или их отсутствия не может быть в принципе. Однако статистический анализ той информации, которая открыта, дает основания подозревать наличие фальсификаций.
Федин Е.В.
Хотел бы отметить функционирование в 2019–2021 гг. технической рабочей группы, на заседаниях которой озвучивались как решения по развитию ДЭГ, так и возможные последствия этих решений. С учётом того, что видеозаписи можно найти в публичном доступе [20], развитие этой системы оказалось задокументированным.
Совокупность косвенных доказательств сфальсифицированности результатов ДЭГ в Москве в 2021 г. для меня выглядит убедительно. О чем же можно говорить с полной убеждённостью, так это о наличии работоспособных способов фальсификации результата со стороны ДИТ Москвы, фактически проводившего дистанционное электронное голосование в Москве.
Овчинников Б.В.
Оцениваю резко отрицательно. Это изначально порочная схема, когда фактически отменяется даже формальная независимость организаторов электорального процесса от исполнительной власти и проведение голосования полностью отдается в руки сотрудникам мэрии. Но после голосования 2021 г. можно уверенно говорить уже не только о том, что в системе ДЭГ заложены возможности для фальсификации результатов, но и что они активно использовались.
Среди доказательств фальсификаций – разница в доле «переголосовок» у кандидатов власти и остальных кандидатов, резкие скачки доли таких «переголосовок» у остальных кандидатов в отдельные периоды, всплеск процента голосов за «Единую Россию» и за кандидатов власти в воскресенье начиная с 2 часов ночи, расхождение процента и количества голосов за «Единую Россию» и за кандидатов власти в одномандатных округах в воскресенье после 14 часов.
Рыбин А.В.
В России порядок ДЭГ [44], например, при проведении электронного голосования в Москве предусматривает, что его оператором является департамент информационных технологий г. Москвы (ДИТ), на компьютерных ресурсах которого хранятся как данные об избирателях, так и данные о поданных ими голосах, что подрывает доверие к надежности защиты результатов волеизъявления избирателей.
Сами по себе радикальные различия между итогами голосования на обычных участках и на электронных участках наводят на вполне обоснованные предположения относительно фальсификации итогов на последних. Развеять эти подозрения могла бы полная открытость ДИТ, его готовность раскрыть все технические и программные подробности реализации электронного голосования на выборах 19 сентября 2021 г.: предоставление информации о серверах в дата-центрах, их конкретных администраторах, о ключевых узлах связи, между которыми происходил обмен информацией в рамках ДЭГ, о хранилищах данных и т.д. Однако, насколько мне известно, ДИТ не проявил достаточной степени готовности к раскрытию всей информации, что дает повод утверждать, что есть что скрывать.
В рамках дела 2а-670/2021 по иску кандидата Лобанова М.С. в Пресненском суде ДИТ был привлечен в качестве заинтересованного лица. Истец просил суд истребовать материальные носители информации о ДЭГ на цифровом участке в округе № 197, привлечь специалистов к их изучению и даче заключения о том, имеются ли следы искажения волеизъявления избирателей. Однако суд не дал истцу возможность ничего доказывать в этом направлении, а ДИТ не посчитал нужным прислать своего представителя, которому истец мог бы задать вопросы, и ограничился представлением в суд отзыва на иск объемом в две страницы с предельно лаконичным содержанием: нарушений при электронном голосовании не было, в иске следует отказать.
Нестеров Д.В.
Опыт интересный и красноречивый. Почти трехлетняя история развития московской системы Интернет-голосования демонстрирует, что при наличии финансирования технически можно сделать продвинутую систему электронного голосования, однако основным тормозом ее приведения к применимому на выборах состоянию являются коррумпированная политическая система и бюрократические препоны. Московская система технически еще в 2020 г. имела шанс стать достаточно прозрачной и безопасной платформой, если бы внедрение ряда технических решений и соответствующие процедурные решения были бы одобрены. Анализируя принятые за три года решения и реакцию на предложения экспертов, сложно отделаться от ощущения, что одним из основных мотивов нынешней исполнительной власти в продвижения Интернет-голосования является желание иметь в распоряжении инструмент централизованного управления процессами голосования и подсчета, с возможностью масштабных и при этом малозаметных корректировок результатов (что позволило бы снять часть организационных сложностей и политических рисков, неизбежно возникающих при вмешательстве в распределенную систему традиционного офлайн-голосования).
Про общероссийское голосование 2020 г. доступных интересных данных для анализа не так много. Стоит напомнить пресеченную журналистами подготовку к возможному использованию схемы с виртуальными избирателями. Про голосование в ЕДГ-2021 гораздо больше статистического материала, который, к сожалению, свидетельствует о вероятности искажения волеизъявления при проведении и подсчете переголосования. Открытым остается вопрос и о возможном вкладе виртуальных избирателей. Скандал, случившийся на фоне нарушения процедуры подсчета и публикации контринтуитивных результатов и последовавшее нежелание организаторов открывать необходимые данные (которые обязаны были быть или публичными или доступными избирательной комиссии и наблюдателям) для проверки и пересчета, способствуют усилению недоверия к дистанционной форме голосования.
С точки зрения общества (как минимум политически активной его части), до сентября 2021 г. рациональная часть недоверия Интернет-голосованию была вызвана скорее общим недоверием нынешним институтам и непрозрачностью запускаемых систем Интернет-голосования. После ЕДГ-2021 в общественном понимании произошел заметный сдвиг в сторону осознания или веры в реальность внутреннего вмешательства в такие системы.
Реут О.Ч.
Первые предметные разговоры о применении ДЭГ на российских выборах появились летом 2018 г. Именно тогда Лаборатория Касперского заявила об использовании системы онлайн-голосований на основе технологии блокчейн и прозрачных криптоалгоритмов Polys (ru.polys.me). Удивительно, но за три года ни политические партии, ни кандидаты, ни структуры общественного наблюдения не сформировали устойчивые позиции по теории и практике применения Интернет-голосования.
Начиная с выборов депутатов Московской городской Думы в 2019 г., каждый год воспроизводится формула, при которой партии и кандидаты недооценивают степень влияния электронного голосования на итоговые результаты, в дни голосования ни партийные, ни независимые наблюдатели не оказываются достаточно подготовленными для специализированного наблюдения и документального обеспечения последующих электоральных споров, все обвинения в возможных фальсификациях строятся на выявлении аномалий, чего явно недостаточно для демонстрации готовности к защите избирательных прав как в системе избирательных комиссий, так и в судебном порядке.
При этом совершенно непонятно, к кому адресованы обвинения в возможных фальсификациях. В ответчики назначаются победившие кандидаты, их предвыборные штабы, «операторы политических процессов», организующие выборы избирательные комиссии, Департамент информационных технологий (ДИТ) г. Москвы, системные администраторы порталов государственных услуг и официального портала Мэра и Правительства Москвы и даже разработчики программного обеспечения. Презумпция виновности всех перечисленных акторов «подтверждается» казусом Юнемана, обосновывающим, почему с 2019 г. «использование электронного голосования на выборах – новая жизнь административного ресурса».
В рассматриваемых обстоятельствах люди, неудовлетворённые объявленными результатами электронного голосования, «обречены» заявлять о фальсификациях, что снижает доверие к электоральным процедурам. В свою очередь члены комиссий, ответственных за ДЭГ, предпочитают закрывать глаза на отход от требований регламентов и даже нарушения закона, любое из которых безусловно требует минимальной публичной реакции.
После выборов-2021 Интернет-голосование переведено из режима новых технологических экспериментов в неизбежную рутину. Однако обязательная в таком случае дискуссия об электоральной кибербезопасности не только не развивается, но, напротив, микшируется и подталкивается в направлении переноса анализа Интернет-технологий на нормативные суждения об общественно-политических последствиях их использования.
Принуждение к голосованию, ненадёжность и небезопасность Интернет-соединения, нарушение тайны волеизъявления конкретного гражданина на любой стадии голосования, возможность идентификации личностей избирателей и непосредственных данных о поданных ими голосах по-прежнему формируют основное поле снижения доверия к онлайн-голосованию [45].
Но есть и нечто новое. Слабая в методологическом отношение аргументация через статистику аномалий. Не выявленные и задокументированные уязвимости, не описательные и не объяснительные модели поведения избирателей (детерминанты электорального выбора), а кажущиеся нелогичными (как правило, в сравнительной перспективе) аномалии помещаются в центр «доказательств фальсификаций». При переводе в плоскость постэлекторальных споров статистика аномалий не может быть положена в основу правовых притязаний. Выступая предметом спора, она не выступает относимым доказательством, подтверждающим наличие существенных нарушений волеизъявления избирателей, и, следовательно, предопределяет решение, выносимое по делу судом.
В означенном контексте электоральным экспертам стоит не столько обсуждать вопросы о том, как «работает» электоральное доверие в цифровую эпоху, сколько вырабатывать методологию обоснования Интернет-наблюдения, адаптировать и модифицировать её с учётом уже применяемых технологических решений и общественно-политических реалий.
Бузин А.Ю.
Эта система совсем закрыта для общественного контроля. Но именно она будет внедряться в ближайшее время. При современной ситуации с институтом выборов в нашей стране такое внедрение будет усугублять недоверие к выборам. Внедрение ДЭГ на платформе ЦИК согласуется с общей тенденцией антидемократического движения нашей страны.
Исавнин А.А.
Здесь, в отличие от Москвы, открытости общественной деятельности не было: группа экспертов ЦИК была закрытой, в неё взяли только “проверенных” участников. Но разработчики ЦИК прислушались и реализовали ряд существенных замечаний московской технической рабочей группы, от которых ДИТ Москвы отказался.
Рыбин А.В.
Полагаю, что она не принципиально отличается от московской платформы. Скандалов с итогами на федеральной платформе не было, по всей видимости, лишь из-за того, что в регионах, где она применялась, не было нужды что-то «рисовать» с помощью ДЭГ.
Толстогузов В.Л.
Платформа Интернет-голосования от компании Ростелеком, используемая ЦИК России, принципиально не отличается от московской.
Я был на выборах 19 сентября 2021 г. членом с правом совещательного голоса ТИК ДЭГ, которая устанавливала итоги по 1691 голосованию, и написал в комиссию ряд обращений, например, попросил предоставить мне копии электронных документов, по которым наша комиссия должна была установить результаты голосования, и не получил на них должного ответа даже спустя один месяц. Также мне не позволили ознакомиться с документацией на систему на основании того, что эти документы только для служебного пользования (ДСП), не предоставили должный доступ к системе во время работы, а также я встретил множество других технических и организационных ограничений.
Кузнецов Д.А.
При том, что система разрабатывалась на год позже, не видно прямых технических заимствований из московской системы. Система ДЭГ Центральной избирательной комиссии решала другие технические задачи: проведение большого количества голосований при обеспечении возможности централизованного контроля за системой.
Было опубликовано некоторое количество технической документации, что обозначает качественно новый уровень подхода к документированию таких систем. При этом менее открыто выглядел диалог с техническим сообществом на этапе создания системы: в ЦИК функционировала закрытая непубличная техническая группа.
Федин Е.В.
В этом году я был назначен членом ТИК ДЭГ с правом совещательного голоса, и меня удивила степень противодействия моей работе, в котором принимали участие три сотрудника аппарата ЦИК России. Работа избирательной комиссии при отсутствии опыта работы в избирательных комиссиях председателя и заместителя председателя, а также слабом подборе её членов, выглядела неприятно. Возможно, это могло было быть компенсировано обучением, что является упущенной возможностью. Вероятно, прямым следствием стало то, что большой объём работ выполнялся в помещении ТИК ДЭГ сотрудниками РТЛабс, которые не были включены в состав комиссии.
Нестеров Д.В.
Опыт фактически первого масштабного запуска системы ДЭГ от Ростелекома интересный, особенно в контексте сравнения с московской системой. Фактически видно, что развитие системы ведут по немного иной, но также достаточно непрозрачной траектории. При том, что нет концептуальных технических препятствий сделать систему намного более прозрачной и проверяемой.
Положительные моменты вижу в неплохой реализации системы подтверждения приема электронного бюллетеня избирателя. И в том, что, пусть запоздало и неполно, но описание концепции системы было выложено в публичный доступ. Однако отказы от реализации полноценной проверки собственного голоса избирателем и внедрения проверяемой процедуры переголосования, фактически нивелирует первое достоинство.
На данный момент я бы сказал, что система ДЭГ Ростелекома концептуально также еще не готова к применению на выборах. И снова, уязвимым местом является отсутствие канонических механизмов публичной защиты от искажения волеизъявления избирателей внутренним злоумышленником.
Овчинников Б.В.
Больших скандалов вокруг «федерального» ДЭГ в этот раз не возникло. Однако я не уверен, что это основание говорить о том, что оно принципиально лучше. Возможно, причина отсутствия больших скандалов просто в том, что данные федерального ДЭГ не анализировались так пристально и что у акторов, контролирующих федеральный ДЭГ, не было прямой необходимости использовать возможности «подкрутки» результатов – для федерального центра, в отличие от региональных властей, перспектива прохождения некоторого количества умеренно-оппозиционных кандидатов (как например «эсеры» в Ярославской области) не была чем-то неприемлемым.
В любом случае, базовые проблемы внедрения ДЭГ в России – отсутствие возможностей эффективного общественного контроля (в том числе и в части защиты от вбросов и перебросов), отсутствие реальных гарантий тайны голосования, открытость ДЭГ для голосования под контролем начальства или других лиц или даже для голосования за других лиц – присущи для «федерального» ДЭГ в точно такой же мере, как и для московского.
Толстогузов В.Л.
В мелких деталях можно увидеть некоторые отличия, например, в декларируемых методах шифрования или в информации об используемых алгоритмах, однако принципиальных отличий между ними нет. За работой федеральной системы тоже невозможно полноценно наблюдать.
Бузин А.Ю.
Внешнее различие заключается в том, что московская платформа допускает переголосование. С моей точки зрения, это достоинство московской платформы. Разработка московской платформы происходила более гласно, чем разработка платформы ЦИК.
Исавнин А.А.
Проработка платформы ЦИК с точки зрения криптографии была однозначно лучше чем у московской. И ЦИК не побоялась опубликовать (хоть и без подписей ответственных лиц и связи с “Порядком…”) ряд документов.
И в одном, и в другом случае имело место совершенно бессмысленное применение технологии “блокчейн”, скорее как создание ложной цели для использования пропагандистами и убеждении широкой общественности в надёжности и тайности голосования.
Удивительно, но и в том, и в другом случае нам неизвестно мнение о системах российских официальных регуляторов информационной безопасности и криптографии: Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности.
Нестеров Д.В.
Обе системы ДЭГ ограничены условиями, параметрами и задачами, которые ставят политические группы и ведомства, принимающие решения в отношении развития этих систем. В обеих системах нет механизмов контроля корректности списков избирателей (основной защиты от масштабных манипуляций со списками избирателей). В обеих системах нет полноценных механизмов проверки избирателем собственного голоса (единственной внешней защиты от масштабной подмены голосов и некорректного подсчета). Механизм переголосования в федеральной системе вообще не реализован. А в московской системе он оказался реализован парадоксальным образом, (якобы) не предусматривающем непосредственной возможности внешней проверки корректности учета переголосования.
Обе системы ДЭГ по уровню прозрачности и полноте защиты от внутренних воздействий не могут безопасно применяться на выборах. Как минимум для неограниченных категорий избирателей. С учетом обозначенных недоработок различия технических реализаций, с точки зрения применимости систем на выборах, второстепенны.
Федин Е.В.
По состоянию на 2021 г. самые большие видимые отличия, на мой взгляд, заключались в следующем:
а) московская платформа позволяла осуществлять переголосование, платформа ЦИК – нет;
б) код платформы ЦИК [2] свидетельствует о более высокой культуре разработки, нежели код московской платформы [9], и это бросается в глаза – при том, что выложена также лишь часть исходного кода системы;
в) замеченные технические сбои в ходе работы ДЭГ относились к московской платформе (возможно, причина в том, что выборы в Москве были более конкурентными и привлекли больше внимания);
г) схема шифрования, применённая на платформе ЦИК, выглядела интереснее;
д) относительно платформы ЦИК опубликованы некоторые документы [36].
Кузнецов Д.А.
Основная разница в технических решениях обнаруживается в реализации анонимизации, шифрования и переголосования. Не уходя в обсуждение двух агентств: в решении ЦИК анонимизация осуществляется классической изученной схемой Хе-Су, а в решении ДИТ применена самостоятельно разработанная схема анонимизации, которая не смогла вызвать моего доверия.
В то же время для процедуры подсчета в решении ЦИК применяется гомоморфное шифрование, которое не расшифровывает каждый отельный бюллетень вместо индивидуальной расшифровки и публикации расшифрованных бюллетеней и ключа расшифрования в решении ДИТ. На мой взгляд решение ДИТ хоть и менее технически элегантно, но более понятно для широкого круга избирателей и наблюдателей.
Предложенная ДИТ система переголосования, на мой взгляд, неудачна и для дальнейшего использования требует серьёзной доработки в части проверяемости подсчёта.
Исавнин А.А.
Конечно. Но и то, и другое должно обеспечиваться не только технологиями, но и организационными мерами. В части они будут похожи на меры для обычных выборов, но в другой части могут быть совершенно неожиданными.
Бузин А.Ю.
Программно тайну голосования можно обеспечить с очень высокой степенью. Такие технологии сохранения тайны используются в банковском бизнесе, где тем не менее происходят и будут происходить мошеннические действия. Речь может идти не об абсолютном сохранении тайны, а о повышении степени защищенности голоса при возможности проверки правильности его учета самим избирателем.
Необходимым условием для сохранения тайны голосования является открытый программный код системы ДЭГ.
Кузнецов Д.А.
Это технически решенные проблемы. Протоколы тайного голосования – отдельная теоретическая и практическая тема криптографии. На мой взгляд, протокол голосования Хе-Су вполне обеспечивает его тайну – разделение учетной записи избирателя и сделанного им выбора при этом обеспечивает невозможность голосования посторонним лицам.
Доверие к процедуре подсчета обеспечивается большей публичной открытостью самой процедуры. На мой взгляд, тут стоит обратить внимание на опыт эстонских коллег, которые техническую работу комиссии ведут публично и совместно, выполняя принцип коллегиальности.
Нестеров Д.В.
Гарантия тайности голосования в системах ДЭГ возможна теоретически. Однако основная проблема с тайной голосования в том, что ее соблюдение трудно гарантировать и доказать. Это касается практически всех систем Интернет-голосования. Если немного упростить, то даже программный компонент анонимизации в московской системе (даже если быть в нем уверенным), не гарантирует невосстановимого разрыва связи избирателя и его волеизъявлений. Восстановить связь теоретически можно косвенными способами, например через логируемую служебную информацию компонентов ДЭГ или внешней серверной инфраструктуры. Отсутствие или неиспользование такой информации, как и параметры генерируемой служебной информации в нынешних системах ДЭГ не контролируются извне.
Способы обеспечения точного подсчета, гарантии его корректности и обеспечения независимой проверяемости подведения итогов – являются стандартными и известными для электронных систем с тайным голосованием. Отсутствие полноценной реализации таких мер в нынешних российских системах Интернет-голосования, по моему убеждению, есть следствие политической воли администраций и иных вовлеченных в процесс акторов.
Овчинников Б.В.
Теоретически (и технически) задачи обеспечения тайны голосования и точного подсчета никак не противоречат друг другу. Сложнее, но, кажется, тоже возможно их совместить с третьим элементом – прозрачностью голосования и подсчета, возможностью эффективного контроля со стороны общества и кандидатов.
Но в современных российских условиях решение этих задач невозможно – для этого нужна политическая воля и готовность отказаться от монопольного принятия решений. Более того, даже если эти задачи вдруг удалось бы решить, это не дало бы существенного улучшения ситуации – потому что все равно осталась бы проблема неверия существенной части избирателей в тайность голосования (что может влиять на их выбор) и недоверия общества в целом к результатам онлайн-голосования.
Толстогузов В.Л.
Поскольку проверить систему Интернет-голосования в достаточном объёме наблюдателям и членам комиссии на практике невозможно, то ни о каких гарантиях обеспечения тайны голосования и точного подсчёта голосов для внешнего наблюдателя не может быть и речи. В настоящее время точный подсчёт и тайна голосования обеспечиваются только декларативными заявлениями разработчиков и, возможно, некоторыми закрытыми документами, которые общественности получить не удалось. Кроме практической невозможности внешним наблюдателям убедиться по отдельности в обеспечении тайны голосования и точном подсчете голосов, у Интернет-голосования существует и фундаментальная проблема невозможности обеспечить два этих условия одновременно. Попробую это объяснить.
В Интернет-голосовании из-за малого физического размера носителя данных о волеизъявлении, сравнимого с размером электрона, а также из-за удалённости самого избирателя, члены комиссии никак не могут своими глазами убедиться, что конкретный избиратель получил бюллетень, проголосовал, его голос не был искажён и он не проголосовал дважды. Поэтому для голосования по сети Интернет уникальный физический образ избирателя заменяется уникальным номером, связанным с его именем и адресом в базе данных, который присваивается каждому электронному бюллетеню и затем отправляется избирателю. Номер полученного назад бюллетеня сверяется с базой данных. Кроме этого, системе становятся известны и другие параметры, например IP-адрес избирателя, а также версия ПО. Но если у каждого бюллетеня существует уникальный номер, то тайна голосования может быть раскрыта. Отказаться от использования нумерации бюллетеней нельзя, так как в этом случае от каждого избирателя или других лиц может поступить сколько угодно бюллетеней и таким образом будет нарушен точный подсчёт голосов. Использование различных схем шифрования бюллетеня (в том числе использование гомоморфного шифрования) не решает проблему, поскольку после расшифровки результатов данные любого электронного бюллетеня, привязанного к своему уникальному номеру, необходимо раскрыть для понятного, открытого и гласного подсчёта голосов. Проблема открытого и понятного для всех разделения уникального номера и данных о волеизъявлении для невидимых невооружённым глазом электронных бюллетеней не была решена. Эквивалентная проблема на классическом участке решается наглядно и просто в момент собственноручного опускания избирателем бюллетеня в щель прозрачного накопителя в присутствии комиссии и наблюдателей.
На сегодняшний момент ни одним разработчиком не представлены достаточные доказательства, что их система обеспечивает тайну голосования и точный подсчёт голосов. Обычно аргументы сводятся к ссылкам на отдельные теоретические работы в области шифрования и построению связанных списков. Однако доказательство работоспособности всей системы не может основываться только на отдельных теориях, поскольку также важна их реализация, среда функционирования и все иные этапы работы с обрабатываемой информацией. Способа доказательства того, что в момент голосования используются именно предварительно задекларированные решения, а не какие-нибудь другие, что параллельно не работают какие-то иные алгоритмы, разработчиками тоже не представлено. Таких проверок нет и в нормативных документах по Интернет-голосованию, но даже если их реализовать, то от всех неравнодушных граждан потребуется владение неописуемо большим объёмом специальных знаний. Альтернативных наглядных способов проверки систем Интернет-голосования разработчики не представили.
В качестве примера могу привести случай на заседании технической рабочей группы при испытании московской системы, на котором на видеокамеру, в присутствии представителей МГИК, ДИТ, ЦИК и разных общественных организаций было показано, что результат волеизъявления избирателя может быть искажён уже на устройстве пользователя и разработчики не могут этого обнаружить. Поэтому волеизъявление избирателей также могут исказить, в том числе, не связанные с поставщиками системы Интернет-голосования разработчики серверного, электрического и сетевого оборудования, устройств пользователя, операционных систем, драйверов, браузеров, приложений для голосования, администраторы, а также хакеры.
О методах наблюдения за процессом голосования на устройстве пользователя, а также за всем происходящим на серверном оборудовании до момента публикации зашифрованной информации в нормативных документах ничего не говорится. Кроме этого, сложность представляет получение якобы публичной информации с данными волеизъявления в зашифрованном виде. Мне, как члену ТИК ДЭГ, не удалось ознакомиться с эксплуатационной документаций на федеральную систему, а также не удалось получить копии документов с зашифрованными данными о результатах волеизъявления на электронных носителях, в том числе после официального обращения в ТИК ДЭГ и жалобой на отсутствие должного ответа в ЦИК России.
Федин Е.В.
Обеспечение тайны голосования при проведении ДЭГ возможно, однако, по моему убеждению, московская платформа и платформа ЦИК таковую не гарантируют. Обеспечение точного подсчёта голосов при проведении ДЭГ возможно, как и одновременное обеспечение такового с тайной голосования.
С теми платформами, что применялись на российских выборах, одной из главных проблем было то, что они не гарантировали личное голосование. Получив контроль над чьим-то личным кабинетом в Госуслугах / портале мэра Москвы злоумышленник мог проголосовать за другого человека. Иногда для этого требовалось также указывать цифры, пришедшие на «привязанный» к личному кабинету телефон. Однако опять-таки вместо избирателя это мог делать кто угодно. Самое известное видео в этом году – [17], в прошлом же году прогремело журналистское расследование Антона Баева [13].
Кроме того, были случаи голосования по устаревшим данным в списке избирателей. Вероятно, лучше всего задокументирован случай с голосованием избирателя УИК № 1039 [19], однако этот случай не единственный [24; 30], и общее их число оценить трудно.
Рыбин А.В.
Дистанционное электронное голосование является наиболее проблематичным с точки зрения его контроля. Как верно заметил Е.И.Колюшин, «цифровизация в отличие от автоматизации переводит реальные явления в виртуальный мир, известно новое понятие "виртуальная реальность". Доступ в этот мир закодирован. Реальность отступает на второй, третий, а возможно, и на десятый план в зависимости от программного обеспечения. Если вы оцифровываете избирателя В.А.А., то в выборах будет участвовать не сам избиратель, а его цифровая копия. Возникает вопрос о правовых механизмах идентичности этой копии и реального избирателя» [29].
Дистанционное электронное голосование технологически организовано наиболее сложным образом. Оно требует специального аппаратно-компьютерного обеспечения, специального программного обеспечения, а также особой инфраструктуры межкомпьютерной сети с узлами обработки и передачи информации. Если и возможно проконтролировать эту сложно устроенную техническую систему, то кандидату или партии понадобится высококвалифицированный специалист в области IT-технологий, программирования и коммуникаций. Но далеко не все могут это себе позволить. И тогда возникает вопрос о равенстве конкурирующих сил на выборах, которые в первую очередь заинтересованы в честности голосования путем наблюдения за ним.
В не менее ущербной ситуации оказываются избиратели, абсолютное большинство которых понятия не имеют, как устроено ДЭГ, и вынуждены доверять заверениям официальных лиц избирательных органов о том, что ничей голос не будет потерян и не будет изменен или подменен.
Бузин А.Ю.
Этот вопрос относится не к организации выборов, а к организации государства. Но переголосование может снизить возможности принуждения и подкупа.
Реут О.Ч.
Данный контроль – характеристика действующего политического режима. Организация и проведение выборов, применение цифровых технологий не могут рассматриваться вне контекста режимных характеристик. К настоящему времени процесс консолидации российского авторитаризма в основном завершён, для режима, существующего в форме персоналистской автократии, принципиально важно обеспечить несменяемость власти в личной форме. Консолидация авторитаризма означает создание институциональных возможностей «контролируемых» или по крайней мере «предсказуемых» электоральных результатов, одним их инструментов которого выступает ДЭГ.
Толстогузов В.Л.
Поскольку обеспечить присутствие наблюдателей, членов комиссии и полиции во всех помещениях, где голосуют избиратели онлайн, на практике невозможно, то минимизировать эту проблему можно только минимизировав число голосующих по Интернету. Лучше всего вообще отказаться от этого способа голосования.
Кузнецов Д.А.
ДЭГ – не панацея от подкупа или давления. Проблема давления должна решаться недопустимостью такого давления и ответственностью лиц, совершающих давление или подкуп. Переголосование, на мой взгляд, не решает проблему давления.
Исавнин А.А.
Исключительно воспитанием гражданской ответственности внутри таких групп. Уже сейчас они не дают так легко свой паспорт или пароли от Интернет-банков. Аналогично необходимо воспитывать отношение и к аккаунту на государственных сервисах, и к электронной подписи. К сожалению, и в продвинутой Эстонии жалуются на упрощение подкупа и подконтрольного голосования с введением электронного голосования. Там такой контроль в обмен на спиртное, как говорят, осуществляется прямо с доставкой на дом.
Овчинников Б.В.
Частичное улучшение ситуации возможно, если ограничить онлайн-голосование выходными днями. Можно также прямо в интерфейсе голосования выводить информацию о незаконности принуждения к голосованию, контроля за тем, как человек голосует, и т.д. – со ссылками на статьи Административного и Уголовного кодексов.
Федин Е.В.
Очень хороший эффект дали бы свободные независимые СМИ, работающие органы правопорядка и суды.
Если говорить о техническом решении, на мой взгляд, нет вариантов соответствующей законодательству реализации ДЭГ без того, чтобы перед голосованием был осуществлён сеанс видеосвязи и член избирательной комиссии мог убедиться в том, что избиратель голосует лично, свободно, добровольно, без того, чтобы за спиной у него при этом стоял другой человек. Некоторый контроль за голосованием зависимых категорий это даст. Выявлять подкуп можно пробовать, осуществляя поиск возможностей по продаже голоса перед голосованием.
Нестеров Д.В.
В практике Интернет-голосования (с тайным голосованием) основным средством минимизации подконтрольного голосования является возможность избирателей переголосовывать неограниченное число раз. Переголосование должно быть реализовано так, чтобы, с одной стороны, сохранять тайну переголосования, с другой – сохранить контроль избирателя над собственным голосованием, с третьей – обеспечить возможность проверяемого и однозначного подведения итогов. При наличии такой опции переголосования контроль за голосованием избирателя не сможет быть широким и при этом эффективным, поскольку контролирующий не сможет быть уверен, что избиратель не поменяет свое решение.
Правильно реализованное переголосование – необходимый компонент систем Интернет-голосования. Он компенсирует дополнительные риски контроля голосования, возникающие при простых удобных реализациях системы контроля корректности учета собственного голоса избирателем. Также переголосование предоставляет эффективную страховку от технических сбоев во время голосования, не позволив потерять избирательное право из-за разрыва связи, программного или аппаратного сбоя.
Реут О.Ч.
Такой контроль должен перестать быть общественным в том смысле, что задачи по предотвращению (аудит, консалтинг, проактивная защита), реагированию (при неправомерном использовании) и расследованию киберпреступлений должны решать профессиональные команды, работающие на аутсорсинге у нового поколения общественных контролёров. Только они могут создавать собственные продукты и сервисы, развивать hard и soft навыки, создавать локальные практики, обогащающие глобальную экспертизу.
Исавнин А.А.
Разработанные математиками протоколы голосования могут обеспечивать такую гарантию. Но их внедрение требует аккуратности и открытости.
Бузин А.Ю.
Открытый код системы ДЭГ является необходимым условием общественного контроля. Также эффективным средством является возможность избирателя проверить учет своего голоса (которая в определенной степени противоречит принципу тайны голосования).
Кузнецов Д.А.
В первую очередь состав избирательной комиссии должен формироваться на конкурентной основе. Процедуру подсчёта не должны обеспечивать безымянные технические специалисты. Комиссия должна принимать участие в технической процедуре подсчета и действовать открыто и гласно.
Федин Е.В.
Если ДЭГ как форма голосования не будет в России свёрнута после скандалов 2021 г., необходимо добиваться появления контроля над работой платформы ДЭГ. Требуется обеспечить как доступ на чтение членов избирательных комиссий, осуществляющих ДЭГ, и, возможно, наблюдателей к задействованной серверной инфраструктуре, так и возможность анализа всего объёма логов, которые пишутся в ходе эксплуатации платформы ДЭГ.
Овчинников Б.В.
Я считаю, что в современных российских условиях правильным решением было бы вообще отказаться от онлайн-голосования – уровень развития общества, политической сферы, гражданской сознательности, мягко говоря, недостаточный.
Но если рассуждать в рамках конструкции «как минимизировать зло», то, конечно, нужно отделить организацию онлайн-голосования от исполнительной власти, нужно делать открытым – притом заранее – весь код, нужно делать публичными (как минимум доступными для представителей кандидатов) списки избирателей с указанием, кто проголосовал, нужно отказываться от механизма переголосования, нужно публиковать результаты онлайн-голосования с большей детализацией – собственно говоря, ничто не мешает это делать с разбивкой по обычным УИКам.
Но чтобы общественный контроль был реально эффективным, нужны еще независимые суды, политически нейтральные органы следствия и надзора, самостоятельный и объективный ЦИК и еще много других, увы, сказочных пока элементов.
Толстогузов В.Л.
Обеспечить эффективный общественный контроль за Интернет-голосованием на практике невозможно, поскольку всем участникам такого общественного контроля необходимо обладать специальными знаниями в достаточном для понимания принципа работы всей системы Интернет-голосования объеме. Однако вряд ли удастся найти даже отдельного специалиста с таким багажом знаний. Чтобы ответить даже на простые вопросы, заданные здесь, потребовалось обращаться к экспертам.
Об обязательном требовании обеспечить возможность участия в мероприятиях по контролю за системами Интернет-голосования любым гражданам, не обладающим специальными знаниями, а также многих других важных моментах написано в разработанном членами технической рабочей группы при ОП Москвы документе о требованиях к содержанию технического задания на систему Интернет-голосования [48]. Требования разработаны исходя из принципа не ухудшить возможности классического голосования с использованием бумажных бюллетеней, выполнив которые, можно было бы обеспечить эффективный общественный контроль за Интернет-голосованием. Документ отправлен в ЦИК России и ДИТ Москвы. Однако ни ДИТ Москвы, ни Ростелеком к настоящему времени выполнить этот комплекс требований не смогли.
Нестеров Д.В.
Должны быть реализованы стандартные для подобных систем технические и процедурные решения, которые позволят снять основные риски. Среди них риски подмены голосов, вброса виртуальных избирателей, несанкционированного голосования или переголосования за избирателей, некорректного подведения итогов.
Комплекс мер неоднократно предлагался независимыми экспертами, и это достаточно объемный список рекомендаций.
Если говорить об общих фундаментальных моментах, при сохранении неограниченности участия в Интернет-голосовании следует диверсифицировать и децентрализовать управление и контроль систем Интернет-голосования. Управление системами Интернет-голосования должно быть в большей мере делегировано избирательным комиссиям, при этом с разделением контроля и независимым подведением итогов на региональном уровне и централизованно на уровне ЦИК (как минимум для выборов регионального и федерального уровней).
У избирателей должен появиться контроль за корректностью учета своего голоса и за производимые избирательные действия. У членов комиссии и наблюдателей должен быть комплекс возможностей многофакторного контроля корректности списков избирателей, работы системы Интернет-голосования, подведения итогов. Само подведение итогов должно проводиться на основе более публичной, хорошо регламентированной и воспроизводимой работы с данными (массивами зашифрованных бюллетеней).
Также должно быть снято практически полное опосредование системами авторизации/верификации действий избирателя при подаче заявок на участие в Интернет-голосовании и при получении бюллетеня в ходе голосования. Сейчас полностью разорвано взаимодействие избирателей и избирательных комиссий, что ставит целостность голосования в зависимость от добросовестности эксплуатантов систем авторизации/верификации. Как минимум имеет смысл при подаче заявок на Интернет-голосование через Госуслуги прикладывать скан короткого заявления с номером паспорта и подписью избирателя, которые в электронном виде должны переправляться офлайновым участковым комиссиям как основания для вычеркивания из списков избирателей на УИК. Вероятно, имеет смысл дополнительно подтверждать самоличность переголосования тем или иным удобным способом, проверяемым избирательными комиссиями.
Рыбин А.В.
Единственным универсальным способом предотвращения фальсификаций при голосовании является зависимое (от конкурирующих на выборах сил) и независимое наблюдение. С этой точки зрения ДЭГ в браузере на домашнем компьютере или смартфоне проконтролировать невозможно. Поэтому следует на настоящем этапе избегать ДЭГ в такой форме. Если уж и применять ДЭГ, то делать это нужно в специальных местах (торговых центрах, МФЦ, библиотеках и т.д.), этих мест не должно быть слишком много, но они должны быть доступны для присутствия наблюдателей. Эти места нужно оборудовать компьютерной техникой, находящейся в кабинках, чтоб избиратель мог в интимной обстановке проголосовать. И это было бы доступно для наблюдения. И в таком случае надо пересмотреть текущее регулирование наблюдения: упростить возможности для наблюдения, увеличить число наблюдателей, ввести обязательное видеонаблюдение с трансляцией для всех желающих.
Необходимо отметить, что наблюдение за ДЭГ требует привлечения высококвалифицированных специалистов, обладающих специальными знаниями в области программирования, криптографии, технических коммуникаций и компьютерной техники.
Представляется, что наиболее эффективным средством для контроля за ДЭГ является модификация процедуры тайного голосования. В этом случае каждый избиратель должен иметь реальную возможность проследить правильный учет своего голоса в итоговом протоколе комиссии.
Кроме того, для исключения голосования вымышленными виртуальными «избирателями» необходимо раскрыть и опубликовать список проголосовавших в ДЭГ, чтобы кандидаты и партии, а также избиратели смогли проконтролировать реальность существования включенных в список избирателей. Такой опыт имеется в Армении, где списки избирателей после подведения результатов выборов сканируются и публикуются на сайте ЦИК Армении [40].
Бузин А.Ю.
В очень высокой степени. В не меньшей, чем правительственную связь.
Федин Е.В.
Скорее нет, чем да. Если говорить о среднесрочной или долгосрочной перспективе, возможно, решение можно искать в северокорейских практиках.
Толстогузов В.Л.
Считаю, что из-за наличия фундаментальных проблем обезопасить систему Интернет-голосования до достаточного для проведения государственных выборов уровня невозможно.
Овчинников Б.В.
Не берусь судить, поскольку не специалист. Но, к сожалению, намного более актуальным вопросом является – как обезопасить от воздействий изнутри? (речь про воздействия, искажающие результаты волеизъявления). И в рамках существующей в России политической системы этот вопрос, кажется, не имеет ответа.
Исавнин А.А.
Идеально защищён находящийся в закрытой комнате компьютер, не подключенный к Интернету, в еще большей степени – выключенный совсем.
Современный технологии и методологии позволяют свести риск подобных вмешательств к минимуму или сделать их легко определяемыми. В данном случае важно желание организаторов выборов и открытость их действий – в информационной безопасности отсутствие прозрачности процедур также не в почёте.
Кузнецов Д.А.
Риск обнаружения уязвимостей есть в любом программном обеспечении. Для этого проводится аудит исходного кода специализированными организациями из сферы информационной безопасности и публикация кода с общественным аудитом и выплатой наград за обнаруженные уязвимости (см. [5] – уязвимость, обнаруженная П.Годри). Частичная публикация исходных кодов недостаточна для такого анализа, необходима публикация исходных кодов всего технического решения. Результаты внешнего коммерческого аудита должны быть доступны общественности.
Нестеров Д.В.
И компьютерную, и сложную серверную систему, имеющую выходы в Интернет, можно страховать от внешних атак сколько угодно глубоко и тщательно. Однако, поскольку среда, в которой идёт часть процессов Интернет-голосования, открытая, не может быть полной гарантии защиты от неограниченного спектра возможных атак.
Концептуальной страховкой от данного фактора неопределенности может быть только возможность отменить результаты голосования в случае обнаружения широкомасштабной внешней (или внутренней) атаки. С учетом такой принципиально ненулевой вероятности должна существовать возможность позвать электронных избирателей проголосовать на обычных избирательных участках в основной день голосования. Для этого электронное голосование должно быть досрочным (как это сделано, например, в Эстонии).
В российских реалиях допустимо, чтобы Интернет-голосование проводилось в субботу, при проведении основного голосования в воскресенье.
Реут О.Ч.
К сожалению, «доказательства фальсификаций», построенные исключительно на статистике аномалий, способствуют искусственному отказу от обсуждения причин электорального хакинга. Как правило, они сводятся к выведению некой сущности, будь то социальная несправедливость, стремление к самоутверждению или обогащению, нерешённость какого-то конкретного общественно-политического конфликта. На самом деле такое положение вещей делает электоральный хакинг политическим явлением в одном, по крайней мере, важном смысле – хакинг оказывается предметом общественно-политических отношений, поскольку затрагивает избирательную кампанию и выборы как процесс обретения политической власти.
Но даже если закрыть глаза на поиск ответа на вопросы о том, почему и зачем транснациональные хакерские команды предпринимали свои попытки 17–19 сентября 2021 г., то всё равно открытым остаётся вопрос, почему критерии успешного хакинга, означающие «взлом системы электронного голосования», выведены за пределы пространства объяснения разницы результатов бумажного и Интернет-голосований.
Рыбин А.В.
17 сентября 2021 г. с 8.00 до примерно 14.00 портал Госуслуг не функционировал и «зависал», что подтверждается многочисленными публикациями СМИ и блогеров [16; 33; 43]. Таким образом, вопрос с вмешательством не праздный.
Теоретически внешнее иностранное вмешательство можно исключить, создав замкнутую внутри России сеть для голосования (по типу ГАС «Выборы», которая не имеет связи со всемирной сетью). Однако полагаю, что иностранная угроза выглядит больше пугалом, чем реальной опасностью.
Реальная опасность для честных выборов в России исходит от административного ресурса, имеющего чисто родные корни. И хороших решений для избавления от вмешательства в систему, обеспечивающую ДЭГ, не видно. Если ПАК ДЭГ располагается на ресурсах органов исполнительной власти, то мы оказываемся в ситуации из поговорки про «козла в огороде с капустой». Но если комплекс будет располагаться на ресурсах частных субъектов, то и в этом случае нельзя ничего гарантировать, если этих субъектов будет немного и они будут подвержены административному давлению. Размещение же на ресурсах, специально предоставленных для избирательных органов, также повлечет проблемы – придется рекрутировать дополнительные кадры специалистов в области IT, коммуникаций, программирования и т.д.
Ключевая проблема ДЭГ в том, что его проводят не избирательные комиссии, а технические специалисты, системные администраторы и программисты, причем их знания настолько далеки от обыденных, что обычному члену избирательной комиссии невозможно понять, что в каждый конкретный момент времени делает такой специалист в системе ДЭГ.
Поэтому полагаю, что внешнее вмешательство в широком смысле исключить в ДЭГ нельзя. И это главная его инфраструктурная уязвимость.
Поступила в редакцию 10.11.2021, в окончательном виде 14.11.2021.