Bezpieczeństwo wyborów: Nie trzeba ręcznie liczyć głosów

Czwartek, 30 Marca 2017, 14:21
Czwartek, 30 Marca 2017, 14:21 Clinton
Czwartek, 30 Marca 2017, 14:21 Barack Obama
Czwartek, 30 Marca 2017, 14:21

Ataki cyfrowe na systemy wyborcze są jak najbardziej prawdopodobnym scenariuszem. Dzięki wprowadzeniu odpowiednich środków bezpieczeństwa można uniknąć konieczności rezygnacji z technik cyfrowych, tak jak miało to miejsce w Holandii, gdzie zdecydowano o ręcznym liczeniu głosów.

Upowszechnienie się internetu, które ma miejsce od początku lat 90. XX wieku doprowadziło do sytuacji, w której praktycznie każdy element współczesnego państwa podłączony jest do sieci globalnej i wykorzystuje jej zasoby. Coraz częściej kupujemy online, płacimy online, wypełniamy nasze zobowiązania przez internet, do sieci podłączone są też systemy kontrolujące infrastrukturę. Również najważniejszy element każdej demokracji, czyli wybory staje się coraz bardziej zależne od cyberprzestrzeni.

Poszczególne państwa wprowadzają możliwość głosowania przez internet, a jeszcze więcej podlicza głosy wyborcze za pomocą systemów komputerowych. Często nie spełniają one wymogów bezpieczeństwa, przez co są narażone na ataki. W przeszłości mieliśmy już do czynienia z takim incydentami, dlatego bezpieczeństwo wyborów nie powinno być lekceważone. Poprosiliśmy ekspertów Exatel - polskiej firmy teleinformatycznej specjalizującej się w kwestii cyberbezpieczeństwa - o przygotowanie zaleceń, które po wypełnieniu mogą umożliwić przeprowadzenie bezpiecznego procesu wyborczego w oparciu o technologie cyfrowe.

Przykłady ataków

Do najgłośniejszych cyberataków doszło podczas wyborów prezydenckich w Stanach Zjednoczonych w 2016 roku, kiedy to z serwerów Komitetu Partii Demokratycznej rosyjscy hakerzy wykradli informacje. Wcześniej ten sam los spotkał wiadomości poczty elektronicznej kandydatki Partii Demokratycznej w wyborach prezydenckich Hillary Clinton. Następnie skradzione informacje zostały opublikowane przez portal Wikileaks i wykorzystane w politycznej grze przeciwko żonie byłego amerykańskiego prezydenta.

Clinton

Fot. Gage Skidmore/flickr/CC BY SA 2.0

Należy jednak podkreślić, że incydent ten nie ma nic wspólnego z hakowaniem systemów wyborczych. Była to próba wpłynięcia na przebieg procesu wyborczego poprzez zaatakowanie prywatnej strony kandydata i jego skrzynki poczty elektronicznej. Pokazuje to, że zabezpieczenie wyborów przed cyberatakami musi bazować na bardzo szerokim podejściu, uwzględniającym nie tylko same systemy odpowiedzialne za liczenie głosów i rejestrację wyborców, ale również urządzenia i sieci teleinformatyczne poszczególnych kandydatów i partii.

Nie oznacza to jednak, że w trakcie kampanii wyborczej w USA nie doszło do żadnych cyberataków na państwową, stanową i lokalną infrastrukturę wyborczą. Rosyjski haker Rasputin próbował wykraść loginy i hasła pracowników Komisji Pomocy Wyborczej w Stanach Zjednoczonych. Ta instytucja pełni role izby rozrachunkowej oraz źródła informacji i administracji wyborczej. Zaatakowano również systemy wyborcze używane na terenie Arizony oraz Illinois. W wyniku włamania hakerom udało się ukraść login jednego z polityków oraz dane personalne części wyborców. Incydent ten doprowadził do czasowego wyłączenia systemu.

Oczywiście powyższe włamania nie miały znaczenia dla ostatecznych rezultatów wyborów, ale pokazały, że komputerowe systemy wyborcze nie są odporne na cyberataki. Ingerencja rosyjskich hakerów w proces wyborczy w 2016 roku doprowadziła do poważnych reperkusji ze strony władz amerykańskich. Barack Obama i Joe Biden zapowiadali amerykańską odpowiedź zarówno w środowisku wirtualnym jak i świecie rzeczywistym.

Barack Obama

Fot. U.S. Department of State/Flickr, Domena Publiczna

Skończyło się na wydaleniu 35 rosyjskich dyplomatów oraz zamknięciu dwóch rosyjskich placówek w Stanach Zjednoczonych. Władze amerykańskie zdecydowały również o uznaniu infrastruktury wyborczej za część infrastruktury krytycznej, co ma podnieść koszty ewentualnych cyberataków w przyszłości i odstraszyć przeciwników. Reakcje Amerykanów na ataki na infrastrukturę krytyczną mogą być znacznie poważniejsze niż na inne cele.

Administracja Obamy nie wykluczyła nawet konwencjonalnej odpowiedzi militarnej. Ponadto Grupa Rządowych Ekspertów ONZ pochodzących z różnych państw uzgodniła, że państwa powstrzymają się od atakowania infrastruktury krytycznej w czasie pokoju. Wprawdzie postanowienia te nie mają charakteru wiążącego prawa, stanowią raczej wytyczne, to ich złamanie negatywnie wpłynie na tworzenie norm zachowania i kodyfikację prawa w świecie wirtualnym, co aktywnie promują Rosja i Chiny. Zagroziłoby to odwetem ze strony państw zachodnich, a należy pamiętać, że największym potencjałem w cyberprzestrzeni dysponują Stany Zjednoczone.

Mniej znanym, ale zdecydowanie poważniejszym incydentem była próba zakłócenia wyborów na Ukrainie w 2014 roku. Groźny wirus Snake, stworzony prawdopodobnie przez Rosjan infekował przez wiele miesięcy komputery na Ukrainie. Głównym jego celem były systemy rządowe. Oprogramowanie dostało się również do systemów teleinformatycznych odpowiedzialnych za proces liczenia głosów. Miało ono skasować wszystkie napływające informacje i tym samym pokazać światu Ukrainę jako państwo, które nie potrafi przeprowadzić wyborów demokratycznych. Na szczęście, przy pomocy amerykańskich ekspertów, problem ten udało się rozwiązać a złośliwe oprogramowanie wyeliminować.

Zagrożenia na przyszłość

W 2017 roku odbędą się wybory w kilku państwach europejskich m.in. Holandii, Niemczech i Francji. Służby tych państw pomne wydarzeń ze Stanów Zjednoczonych podjęły działania ukierunkowane na zwiększenie cyberbezpieczeństwa systemów wyborczych aby maksymalnie utrudnić potencjalną ingerencję Rosjan. Holendrzy zdecydowali się na radykalny krok i głosy wyborcze policzą ręcznie. Ich decyzja jest efektem tego, że systemy wyborze są przestarzałe i tym samym podatne na ataki hakerskie. Francuskie i niemieckie służby ograniczyły się do ostrzeżeń i jednoczesnego podniesienia poziomu bezpieczeństwa systemów teleinformatycznych. Francuski minister spraw zagranicznych ostrzegał, że jakakolwiek ingerencja zewnętrzna we francuskie wybory spotka się z reakcją.

Fot. Remi Jouan/Wikicommons/ CC 3.0

Komentatorzy podkreślają, że bezpośredni atak na maszyny liczące głosy jest mało prawdopodobny, biorąc pod uwagę świadomość zagrożenia i inwestycje w zabezpieczenia krytycznych systemów. Rosja albo inne państwo może jednak spróbować wpłynąć na wyniki wyborów w inny sposób. Ataki DDoS na strony komisji wyborczych mogą doprowadzić do opóźnienia publikacji ostatecznych wyników wyborów i skutkować podejrzeniem o fałszowanie wyborów. Rosjanie mogą również spróbować manipulować danymi personalnymi.

Jak podkreśla Tomasz Łużak, ekspert ds. rozwiązań cyberbezpieczeństwa w Exatel, w sytuacji potencjalnego zagrożenia atakami hakerskimi powinno się wdrożyć cały szereg środków bezpieczeństwa, pozwalających na przeprowadzenie głosowań za pomocą systemów cyfrowych bez narażania się na niepotrzebne ryzyko.

Zdaniem Łużaka cybersuwerenność to naturalnie cały zespół mechanizmów. Jeśli jednak skupić się na instytucji najistotniejszej z punktu widzenia demokracji, czyli na wyborach, to w branży cyberbezpieczeństwa już wypracowano najważniejsze paradygmaty.

Najistotniejsze kryteria przy opracowywaniu systemów odpornych na ingerencję z zewnątrz do e-wyborów to:

  • uwierzytelnianie – tylko autoryzowani wyborcy powinni mieć możliwość głosowania,
  • niepowtarzalność - żaden wyborca nie powinien mieć możliwości głosowania więcej niż raz,
  • dokładność – systemy powinny należycie liczyć głosy,
  • integralność – głosy nie powinny być modyfikowane bez wykrywania tego faktu,
  • weryfikowalność – powinna istnieć możliwość weryfikacji, czy głosy zgadzają się w ostatecznym zestawieniu,
  • audytowalność – zapisy (rekordy) z wyborów powinny być rzetelne i wyraźnie autentyczne,
  • niezawodność – wszystkie systemy powinny pracować w sposób należyty, nawet w obliczu pojawiających się błędów czy awarii,
  • tajność – nikt nie powinien mieć możliwości określenia, jak dana osoba głosowała,
  • nieprzymusowość - wyborcy nie powinni mieć możliwości udowodnienia, jak głosowali (w celu uniknięcia handlu głosami),
  • elastyczność – rozwiązanie powinno pozwalać na stosowanie różnych formatów kart do głosowania,
  • wygoda – wyborcy powinni mieć możliwość oddawania głosów przy minimalnej ilości wymaganego sprzętu i umiejętności,
  • certyfikacja – systemy do głosowania powinny być testowalne pod kątem wybranych, istotnych kryteriów,
  • transparentność – wyborcy powinni posiadać ogólne zrozumienie całego procesu głosowania,
  • efektywność kosztowa – systemy do głosowania powinny być niedrogie i wydajne,

Co ciekawe, pomimo iż kryteria dotyczące bezpieczeństwa systemu głosowań zostały sformułowane już 15 lat temu (Internet Policy Institute, Report of the National Workshop on Internet Voting: Issues and Research Agenda), to nadal są jak najbardziej trafne i aktualne.

Ekspert Exatela podkreśla również, że zakres wymagań do zabezpieczenia „cyfrowego głosowania” wyborów jest szeroki, ale biorąc pod uwagę możliwe skutki zaniechań, nie powinno się rezygnować ze środków bezpieczeństwa, ani z użycia systemów elektronicznych. Wybory przecież są kwestią racji stanu. E-wybory mogą dobrze wpłynąć na frekwencję oraz umożliwić uczestnictwo w demokracji osobom do tej pory z niej wykluczonym.

Jak więc zabezpieczyć wrażliwy proces głosowania przed ingerencją? Przede wszystkim musimy dbać o infrastrukturę centralną. Systemy, które odpowiadają za ewidencję i liczenie głosów muszą mieć najlepsze dostępne zabezpieczenia. Powinno się stosować wielowarstwowe i wieloskładnikowe zabezpieczenia od różnych usługodawców i na bazie różnych dostępnych technologii. Przykładowo, mogą to być  systemy klasy IPS/IDS – intrusion prevention / detection, WAF – web application firewall czy DLP – zapobiegające wyciekowi danych. Infrastruktura centralna wykorzystywana do głosowania musi być także odporna na ataki DDoS i próby zainfekowania złośliwym oprogramowaniem. Cała architektura powinna być redundantna, oparta na co najmniej dwóch centrach danych zbudowanych w różnych lokalizacjach geograficznych.

Powyższe zabezpieczenia wymagają inwestycji w infrastrukturę i przeszkolenia pracowników administracji. Druga strona procesu, czyli głosujący, są żywiołem o wiele trudniejszym do zabezpieczenia. Od strony użytkownika systemu należy się spodziewać wszystkich możliwych do popełnienia błędów.

Zacznijmy od autentykacji. Polska wypracowała prawidłowe mechanizmy przetestowane na przykład przy okazji elektronicznego rozliczenia PIT. Można zatem bez inwestycji w biometrię stworzyć dość dobrze działający system logowania się. Należy oczywiście zadbać, by cała komunikacja między głosującym i „serwerem wyborczym” była szyfrowana, a sesja ograniczona czasowo. Wyborca musi też otrzymać potwierdzenie oddania głosu –  najlepiej na zarejestrowane urządzenie mobilne, przypisane do konkretnego użytkownika.

Inną kwestią jest ochrona przed złośliwym oprogramowaniem. Należy wymagać i egzekwować od e-wyborców stosowanie odpowiedniej klasy zabezpieczeń na komputerach i urządzeniach mobilnych użytkowników oraz nauczyć ich podstawowych zasad cyberbezpieczeństwa. Kolejnym wyzwaniem, którego technologia sama nie rozwiąże, jest szybkość działania centralnego systemu i jego integracja z lokalami wyborczymi. Kwestią przepisów i kultury pracy jest szybka rejestracja oddanych głosów i zabezpieczenie przed podwójnym głosowaniem.

Wiedza jest bowiem równie ważna jak kwestie technologiczne i metodologiczne. Przeszkolenie administracji i edukacja obywateli są niezbędne do zachowania bezpieczeństwa państwa. Wprowadzenie systemów elektronicznych w procesie wyborczym jest więc możliwe i korzystne również dla ustroju państwa, o ile tylko zadba się o odpowiedni poziom zabezpieczeń.



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz

6 komentarzy

sylwester Środa, 05 Kwietnia 2017, 9:38
dlaczego nie wprowadzić numerowanych kart do głosowania , głosujesz spisujesz numerek swojej karty a w domu sprawdzasz czy głos na karcie się zgadza , jak nie to powinieneś to zgłosić do biura partii na którą głosowałeś , jako dowód że na tą kartę głosowałeś powinno się coś odklejać od karty i zostawiać na karcie swój odcisk palca
πkolo Środa, 05 Kwietnia 2017, 20:52
Tajność głosu musi być zachowana i jest chyba najtrudniejszym elementem do zapewnienia. Odcisk palca odpada.
sylwester Piątek, 07 Kwietnia 2017, 9:30
a kto poza służbami ma możliwość potwierdzenia ze to twój odcisk , komu dadzą karty aby sprawdzić , po resztą chcesz zostawiasz odcisk nie chcesz nie zostawiasz , chcesz odklejasz numer nie chcesz nie odklejasz - po resztą zamiast odklejać to spisać nr karty będzie bezpieczniej
denzel Poniedziałek, 03 Kwietnia 2017, 0:46
Internetowe wybory, maszynki do glosowania a'la USA są odpowiedzią na demokrację. Przecież nie może być tak, że ludzie sobie wybiorą kogo chcą.
Oficer Sobota, 01 Kwietnia 2017, 12:11
Dwa tygodnie temu francuzi zrezygnowali z wyborów przez internet ( w tym roku miały być dwa razy w tym prezydenckie ). Tłumaczą to NIEMOŻLIWOŚCIĄ zapewnienia bezpieczeństwa głosowania internetowego.
tks Piątek, 31 Marca 2017, 23:10
Nie wszystko trzeba komputeryzować na maxa. Ćwierć miliona ludzi, zaangażowanych w obsługę wyborów, zawsze będzie rodzić incydenty bezpieczeństwa. Koszty sensownego zabezpieczenia IT będą zawrotne. A zysk jest wątpliwy - i tak będzie istniała "analogowa" ścieżka głosowania. W dodatku bardzo trudno będzie rozwiać wątpliwości, że ktoś majstrował w komputerowych wynikach.

Można się skupić na porządnym publikowaniu, na bieżąco, wyników głosowania i wyborów.