Bezpieczeństwo wyborów: Nie trzeba ręcznie liczyć głosów

Upowszechnienie się internetu, które ma miejsce od początku lat 90. XX wieku doprowadziło do sytuacji, w której praktycznie każdy element współczesnego państwa podłączony jest do sieci globalnej i wykorzystuje jej zasoby. Coraz częściej kupujemy online, płacimy online, wypełniamy nasze zobowiązania przez internet, do sieci podłączone są też systemy kontrolujące infrastrukturę. Również najważniejszy element każdej demokracji, czyli wybory staje się coraz bardziej zależne od cyberprzestrzeni.

Poszczególne państwa wprowadzają możliwość głosowania przez internet, a jeszcze więcej podlicza głosy wyborcze za pomocą systemów komputerowych. Często nie spełniają one wymogów bezpieczeństwa, przez co są narażone na ataki. W przeszłości mieliśmy już do czynienia z takim incydentami, dlatego bezpieczeństwo wyborów nie powinno być lekceważone. Poprosiliśmy ekspertów Exatel - polskiej firmy teleinformatycznej specjalizującej się w kwestii cyberbezpieczeństwa - o przygotowanie zaleceń, które po wypełnieniu mogą umożliwić przeprowadzenie bezpiecznego procesu wyborczego w oparciu o technologie cyfrowe.

Przykłady ataków

Do najgłośniejszych cyberataków doszło podczas wyborów prezydenckich w Stanach Zjednoczonych w 2016 roku, kiedy to z serwerów Komitetu Partii Demokratycznej rosyjscy hakerzy wykradli informacje. Wcześniej ten sam los spotkał wiadomości poczty elektronicznej kandydatki Partii Demokratycznej w wyborach prezydenckich Hillary Clinton. Następnie skradzione informacje zostały opublikowane przez portal Wikileaks i wykorzystane w politycznej grze przeciwko żonie byłego amerykańskiego prezydenta.

Należy jednak podkreślić, że incydent ten nie ma nic wspólnego z hakowaniem systemów wyborczych. Była to próba wpłynięcia na przebieg procesu wyborczego poprzez zaatakowanie prywatnej strony kandydata i jego skrzynki poczty elektronicznej. Pokazuje to, że zabezpieczenie wyborów przed cyberatakami musi bazować na bardzo szerokim podejściu, uwzględniającym nie tylko same systemy odpowiedzialne za liczenie głosów i rejestrację wyborców, ale również urządzenia i sieci teleinformatyczne poszczególnych kandydatów i partii.

Nie oznacza to jednak, że w trakcie kampanii wyborczej w USA nie doszło do żadnych cyberataków na państwową, stanową i lokalną infrastrukturę wyborczą. Rosyjski haker Rasputin próbował wykraść loginy i hasła pracowników Komisji Pomocy Wyborczej w Stanach Zjednoczonych. Ta instytucja pełni role izby rozrachunkowej oraz źródła informacji i administracji wyborczej. Zaatakowano również systemy wyborcze używane na terenie Arizony oraz Illinois. W wyniku włamania hakerom udało się ukraść login jednego z polityków oraz dane personalne części wyborców. Incydent ten doprowadził do czasowego wyłączenia systemu.

Oczywiście powyższe włamania nie miały znaczenia dla ostatecznych rezultatów wyborów, ale pokazały, że komputerowe systemy wyborcze nie są odporne na cyberataki. Ingerencja rosyjskich hakerów w proces wyborczy w 2016 roku doprowadziła do poważnych reperkusji ze strony władz amerykańskich. Barack Obama i Joe Biden zapowiadali amerykańską odpowiedź zarówno w środowisku wirtualnym jak i świecie rzeczywistym.

Skończyło się na wydaleniu 35 rosyjskich dyplomatów oraz zamknięciu dwóch rosyjskich placówek w Stanach Zjednoczonych. Władze amerykańskie zdecydowały również o uznaniu infrastruktury wyborczej za część infrastruktury krytycznej, co ma podnieść koszty ewentualnych cyberataków w przyszłości i odstraszyć przeciwników. Reakcje Amerykanów na ataki na infrastrukturę krytyczną mogą być znacznie poważniejsze niż na inne cele.

Administracja Obamy nie wykluczyła nawet konwencjonalnej odpowiedzi militarnej. Ponadto Grupa Rządowych Ekspertów ONZ pochodzących z różnych państw uzgodniła, że państwa powstrzymają się od atakowania infrastruktury krytycznej w czasie pokoju. Wprawdzie postanowienia te nie mają charakteru wiążącego prawa, stanowią raczej wytyczne, to ich złamanie negatywnie wpłynie na tworzenie norm zachowania i kodyfikację prawa w świecie wirtualnym, co aktywnie promują Rosja i Chiny. Zagroziłoby to odwetem ze strony państw zachodnich, a należy pamiętać, że największym potencjałem w cyberprzestrzeni dysponują Stany Zjednoczone.

Mniej znanym, ale zdecydowanie poważniejszym incydentem była próba zakłócenia wyborów na Ukrainie w 2014 roku. Groźny wirus Snake, stworzony prawdopodobnie przez Rosjan infekował przez wiele miesięcy komputery na Ukrainie. Głównym jego celem były systemy rządowe. Oprogramowanie dostało się również do systemów teleinformatycznych odpowiedzialnych za proces liczenia głosów. Miało ono skasować wszystkie napływające informacje i tym samym pokazać światu Ukrainę jako państwo, które nie potrafi przeprowadzić wyborów demokratycznych. Na szczęście, przy pomocy amerykańskich ekspertów, problem ten udało się rozwiązać a złośliwe oprogramowanie wyeliminować.

Zagrożenia na przyszłość

W 2017 roku odbędą się wybory w kilku państwach europejskich m.in. Holandii, Niemczech i Francji. Służby tych państw pomne wydarzeń ze Stanów Zjednoczonych podjęły działania ukierunkowane na zwiększenie cyberbezpieczeństwa systemów wyborczych aby maksymalnie utrudnić potencjalną ingerencję Rosjan. Holendrzy zdecydowali się na radykalny krok i głosy wyborcze policzą ręcznie. Ich decyzja jest efektem tego, że systemy wyborze są przestarzałe i tym samym podatne na ataki hakerskie. Francuskie i niemieckie służby ograniczyły się do ostrzeżeń i jednoczesnego podniesienia poziomu bezpieczeństwa systemów teleinformatycznych. Francuski minister spraw zagranicznych ostrzegał, że jakakolwiek ingerencja zewnętrzna we francuskie wybory spotka się z reakcją.

Komentatorzy podkreślają, że bezpośredni atak na maszyny liczące głosy jest mało prawdopodobny, biorąc pod uwagę świadomość zagrożenia i inwestycje w zabezpieczenia krytycznych systemów. Rosja albo inne państwo może jednak spróbować wpłynąć na wyniki wyborów w inny sposób. Ataki DDoS na strony komisji wyborczych mogą doprowadzić do opóźnienia publikacji ostatecznych wyników wyborów i skutkować podejrzeniem o fałszowanie wyborów. Rosjanie mogą również spróbować manipulować danymi personalnymi.

Jak podkreśla Tomasz Łużak, ekspert ds. rozwiązań cyberbezpieczeństwa w Exatel, w sytuacji potencjalnego zagrożenia atakami hakerskimi powinno się wdrożyć cały szereg środków bezpieczeństwa, pozwalających na przeprowadzenie głosowań za pomocą systemów cyfrowych bez narażania się na niepotrzebne ryzyko.

Zdaniem Łużaka cybersuwerenność to naturalnie cały zespół mechanizmów. Jeśli jednak skupić się na instytucji najistotniejszej z punktu widzenia demokracji, czyli na wyborach, to w branży cyberbezpieczeństwa już wypracowano najważniejsze paradygmaty.

Najistotniejsze kryteria przy opracowywaniu systemów odpornych na ingerencję z zewnątrz do e-wyborów to:

• uwierzytelnianie – tylko autoryzowani wyborcy powinni mieć możliwość głosowania,
• niepowtarzalność - żaden wyborca nie powinien mieć możliwości głosowania więcej niż raz,
• dokładność – systemy powinny należycie liczyć głosy,
• integralność – głosy nie powinny być modyfikowane bez wykrywania tego faktu,
• weryfikowalność – powinna istnieć możliwość weryfikacji, czy głosy zgadzają się w ostatecznym zestawieniu,
• audytowalność – zapisy (rekordy) z wyborów powinny być rzetelne i wyraźnie autentyczne,
• niezawodność – wszystkie systemy powinny pracować w sposób należyty, nawet w obliczu pojawiających się błędów czy awarii,
• tajność – nikt nie powinien mieć możliwości określenia, jak dana osoba głosowała,
• nieprzymusowość - wyborcy nie powinni mieć możliwości udowodnienia, jak głosowali (w celu uniknięcia handlu głosami),
• elastyczność – rozwiązanie powinno pozwalać na stosowanie różnych formatów kart do głosowania,
• wygoda – wyborcy powinni mieć możliwość oddawania głosów przy minimalnej ilości wymaganego sprzętu i umiejętności,
• certyfikacja – systemy do głosowania powinny być testowalne pod kątem wybranych, istotnych kryteriów,
• transparentność – wyborcy powinni posiadać ogólne zrozumienie całego procesu głosowania,
• efektywność kosztowa – systemy do głosowania powinny być niedrogie i wydajne,

Co ciekawe, pomimo iż kryteria dotyczące bezpieczeństwa systemu głosowań zostały sformułowane już 15 lat temu (Internet Policy Institute, Report of the National Workshop on Internet Voting: Issues and Research Agenda), to nadal są jak najbardziej trafne i aktualne.

Ekspert Exatela podkreśla również, że zakres wymagań do zabezpieczenia „cyfrowego głosowania” wyborów jest szeroki, ale biorąc pod uwagę możliwe skutki zaniechań, nie powinno się rezygnować ze środków bezpieczeństwa, ani z użycia systemów elektronicznych. Wybory przecież są kwestią racji stanu. E-wybory mogą dobrze wpłynąć na frekwencję oraz umożliwić uczestnictwo w demokracji osobom do tej pory z niej wykluczonym.

Jak więc zabezpieczyć wrażliwy proces głosowania przed ingerencją? Przede wszystkim musimy dbać o infrastrukturę centralną. Systemy, które odpowiadają za ewidencję i liczenie głosów muszą mieć najlepsze dostępne zabezpieczenia. Powinno się stosować wielowarstwowe i wieloskładnikowe zabezpieczenia od różnych usługodawców i na bazie różnych dostępnych technologii. Przykładowo, mogą to być  systemy klasy IPS/IDS – intrusion prevention / detection, WAF – web application firewall czy DLP – zapobiegające wyciekowi danych. Infrastruktura centralna wykorzystywana do głosowania musi być także odporna na ataki DDoS i próby zainfekowania złośliwym oprogramowaniem. Cała architektura powinna być redundantna, oparta na co najmniej dwóch centrach danych zbudowanych w różnych lokalizacjach geograficznych.

Powyższe zabezpieczenia wymagają inwestycji w infrastrukturę i przeszkolenia pracowników administracji. Druga strona procesu, czyli głosujący, są żywiołem o wiele trudniejszym do zabezpieczenia. Od strony użytkownika systemu należy się spodziewać wszystkich możliwych do popełnienia błędów.

Zacznijmy od autentykacji. Polska wypracowała prawidłowe mechanizmy przetestowane na przykład przy okazji elektronicznego rozliczenia PIT. Można zatem bez inwestycji w biometrię stworzyć dość dobrze działający system logowania się. Należy oczywiście zadbać, by cała komunikacja między głosującym i „serwerem wyborczym” była szyfrowana, a sesja ograniczona czasowo. Wyborca musi też otrzymać potwierdzenie oddania głosu –  najlepiej na zarejestrowane urządzenie mobilne, przypisane do konkretnego użytkownika.

Inną kwestią jest ochrona przed złośliwym oprogramowaniem. Należy wymagać i egzekwować od e-wyborców stosowanie odpowiedniej klasy zabezpieczeń na komputerach i urządzeniach mobilnych użytkowników oraz nauczyć ich podstawowych zasad cyberbezpieczeństwa. Kolejnym wyzwaniem, którego technologia sama nie rozwiąże, jest szybkość działania centralnego systemu i jego integracja z lokalami wyborczymi. Kwestią przepisów i kultury pracy jest szybka rejestracja oddanych głosów i zabezpieczenie przed podwójnym głosowaniem.

Wiedza jest bowiem równie ważna jak kwestie technologiczne i metodologiczne. Przeszkolenie administracji i edukacja obywateli są niezbędne do zachowania bezpieczeństwa państwa. Wprowadzenie systemów elektronicznych w procesie wyborczym jest więc możliwe i korzystne również dla ustroju państwa, o ile tylko zadba się o odpowiedni poziom zabezpieczeń.