Політика 2019-08-15 17:21 Шон Таунсенд
  ▪  

Совок у смартфоні

Чим небезпечне електронне урядування й електронне голосування в українських умовах

Одна з «фішечок», яку активно просуває команда президента Зеленського, — цифровізація, електронний уряд і «держава в смартфоні». Багато й часто про це говорить Михайло Федоров, відповідальний за диджитал-напрям у Зеленського. У суспільстві, просякнутому недовірою до влади й хтонічним жахом від необхідності взаємодіяти з пострадянською бюрократичною системою, такі ідеї знаходять живий відгук. Цей підхід дуже перегукується з наївною вірою тихоокеанських дикунів у те, що якщо побудувати літак із соломи, то рано чи пізно з нього посиплеться тушонка. Як deus ex machina грецького театру, із комп’ютера вийде дух прогресу й вирішить усі проблеми (навіть ті, яких у нас насправді немає).


Технології пришвидшують і спрощують уже наявні процеси. Кредитні картки й онлайн-банкінг покращують життя і продавцям, і покупцям, але вони ж допомагають злодіям і шахраям діяти зі ще більшою швидкістю та безкарністю. Це не означає, що потрібно повернутися до платіжних доручень і піших походів у банк, але й на ризики нових технологій потрібно зважати. PIN та CVV-коди, паролі і двофакторна ідентифікація ускладнюють крадіжку, але й не виключають таку можливість, у крайньому разі ви втратите заздалегідь відому суму грошей, яку банк може вам компенсувати, щоб підвищити довіру до банківської системи. Усі можливі витрати, пов’язані з шахрайством, давно підраховані й закладені у вартість послуг. У випадку з юридично значущими е-послугами» та «е-виборами все набагато складніше.

 

Читайте також: Цифрові замовляння ЗеКоманди


Що ми чекаємо від виборів? Розгорнемо Конституцію України й перечитаємо ст. 71: «Вибори до органів державної влади та органів місцевого самоврядування є вільними і відбуваються на основі загального, рівного і прямого виборчого права шляхом таємного голосування». Оскільки ми не можемо обмежити людей у їхньому праві голосувати, то разом з електронним доведеться зберегти й звичне для всіх паперове голосування. Ризики й можливість маніпуляцій у нас тоді з’являться і електронні, і паперові, а результат у кращому разі буде такий самий.


Чи довіряємо ми виборчим комісіям? Звичайно, ні! Тому на виборах завжди присутні спостерігачі, які дивляться за тим, щоб не було примусу, вкидання бюлетенів і щоб підрахунок голосів відбувався чесно. Спостерігачі від різних партій не довіряють одне одному, тому всі зацікавлені в тому, щоб не траплялося шахрайства. У будь-якій із наявних електронних систем для спостерігачів місця немає. Вони не бачать виборця, не бачать, як він голосує, а голоси підраховує чорний ящик із лампочками, і ніхто, включаючи експертів, не може гарантувати те, що комп’ютер працює правильно. Людство не вміє писати надійних програм навіть для літаків.


Жодна технологія не здатна замінити спостерігача, тому що це питання не технічного змісту, а довіри до держави. Естонія, де е-вибори вже відбуваються, — невелика відособлена нація з високим рівнем довіри до влади, тому там можливі такі експерименти. Хоча Франція, Норвегія та Фінляндія відмовилися від цих спроб через можливі ризики. Та й сама технологія містить у собі кілька поки що не вирішених конфліктів. Перше завдання пов’язане з ідентифікацією, тому що у виборах можуть брати участь тільки громадяни. Є поширена хибна думка, що надійність алгоритму цифрового підпису (або того самого підпису в мобільному телефоні, MobileID) забезпечує надійну ідентифікацію. Насправді підпис, який є в ID-картці, дає змогу перевірити справжність тільки документа, як-от печатка або водяні знаки.

 

Читайте також: За партійними лаштунками


Як працює ідентифікація в офлайні? Я був учасником робочої групи з кібербезпеки в РНБО, де, до речі, здебільшого йшлося про вже наявні проблеми, а не про способи їхнього вирішення. Я не можу зайти туди в балаклаві тільки тому, що в мене є паспорт, телефон або ID-картка. Я показую паспорт, і охорона намагається впевнитися в його справжності, порівнює фото в документі з моїм обличчям і зі списком учасників. Тоді вона робить запис у журналі — контрольний слід, що дає змогу виявити порушення режиму. Саме так відбувається автентифікація, і жоден алгоритм не здатен це змінити. Можна використовувати кілька факторів, як роблять банки, і багаторазові перевірки, і вони (як у випадку з кредитками) знижують ризик шахрайства, але не виключають його повністю.


Цифровий підпис ідентифікує не людину, а пристрій, у якому його збережено. Разом з Українським кібер­альянсом і волонтерами ми проводили флешмоб #FRD (цензурно перекладається як «до біса відповідальне розголошення») і знайшли величезну кількість вразливостей у державних системах, практично в усіх центральних органах влади включно з Міністерствами охорони здоров’я, юстиції, внутрішніх справ, Адміністрацією президента та РНБО. Зокрема, велику кількість електронних ключів для входу в реєстри й особисті ключі нотаріусів. У разі компрометації ключа вам буде складно знайти винних і довести, що це не ви щойно переписали квартиру й бізнес на шахраїв і не ви надіслали всі свої заощадження в Нігерію.


Та уявімо, що проблему ідентифікації ми вирішили (нещодавній злам кредитного агентства Equifax у США, яке має право ідентифікувати громадян, підказує нам, що завдання насправді ще не вирішене). Наступний конфлікт онлайн-голосування — суперечність між ідентифікацією і таємницею голосу. В офлайні ви реєструєтеся перед виборами за місцем проживання. Зробити це потрібно заздалегідь заради уникнення того, що в програмуванні називається станом гонитви. Щоб людина не змогла переходити з дільниці на дільницю й голосувати повторно, обганяючи інформацію про те, що вона вже зробила це в іншому місці. Ви показуєте паспорт, вас знаходять у списку, відбувається автентифікація й авторизація, відкріпний талон із підписом — контрольний слід. А далі ніхто не бачить, як саме ви проголосували. Ідентифікація та волевиявлення розділені фізично.

 

Читайте також: Держава і смартфони


Як це завдання намагаються вирішити в онлайн-системах? Упускаючи математичні деталі й значно спрощуючи, більшість систем побудована на «подвійному конверті». Схожа система існує й на папері. Ви приходите на пошту, вас ідентифікують. Ви заповнюєте бюлетень і кладете його в непрозорий конверт. Листоноша запечатує і компостує конверт із бюлетенем, щоб можна було переконатися, що ніхто його не відкривав і не замінив уміст. Можна довго перераховувати можливі варіанти: «сліпі підписи», «анонімізація та перемішування голосів» (Естонія), гомоморфне шифрування, що дає змогу робити обчислення із зашифрованими даними, не розшифровуючи їх, поділ відповідальності на десятки й сотні незв’язаних між собою суб’єктів, зокрема предмет прагнення криптоанархістів — блокчейни, про що варто було б поговорити окремо.


Але довіра — це стосунки між людьми та людьми. Ви, як і раніше, повинні довіряти міграційній службі, яка виписує вам паспорт, виборчій комісії та їхнім комп’ютерам, власному смартфону, набитому програмами, написаними незрозуміло ким і де. Ніхто не може вам гарантувати, що не вкрадено майстер-ключі поліграфічного комбінату «Україна», численних «сертифікованих центрів», на перевірку яких у регулятора (ДССЗЗІ) немає ні повноважень, ні можливостей. Ви ж пам’ятаєте, як Держспецзв’язку та ДП «УСС» випустили фальшивий цифровий підпис Рябошапки? Незважаючи на ускладнення та посилення правил, і зараз можна безконт­рольно отримати підпис у ПриватБанку, викравши акаунт «Приват24». Не сумнівайтеся, рейдери вже користуються.


Так значно простіше, ніж підробляти документи й шукати «чорного реєстратора». Ніхто не може вам обіцяти, що кандидат не занесе мільйон чи десять в АЦСК і вони не згенерують мільйон підписів людей, яких ніхто не знає. Відсутність спостерігачів і таємниця голосування завадять виявити вкидання. Ніхто не може поручитися за те, що працівники ДМС і ЦВК не домовляться між собою, щоб деанонімізувати голоси, і про ваш вибір не дізнаються сусіди, колеги, керівництво, що відкриває можливості для примусу або помсти за зроблений вибір. Не варто забувати про те, що наша країна шостий рік воює з РФ, і агресор, який уже втручався у вибори по всьому світу, не втратить можливості знайти й скористатися вразливістю онлайн-систем.


І, нарешті, ще один традиційний спосіб захисту голосування від змови — розподілення. В Україні понад 30 тис. дільниць і 200 виборчих округів. Можна змахлювати на одній із них, на десяти. Або навіть підім’яти під себе кілька округів (близько 1% голосів), але практично неможливо змахлювати всюди. Навіть якщо ЦВК оголосить зовсім не ті результати або її систему зламають, як це спробувала зробити Росія у 2014-му («перемога Яроша»), то потім з’являться протоколи виборчих комісій та особисті свідчення спостерігачів. Можна буде достовірно визначити, де саме сталося шахрайство, чи впливає воно на загальний результат, і покарати винних. Електронна виборча дільниця одна. Навіть якщо буде знайдено один підроблений або неправильно врахований голос, то це поставить під сумнів результати виборів загалом: і в електронному, і в паперовому варіантах. 


Саме тому розвинені демократії з інтересом стежать за естонським експериментом, але переймати передовий досвід не поспішають. Дуже важко завоювати довіру людей, а ось втратити її, замкнувши на комп’ютер, у роботі якого ніхто не розбирається, можна в один момент. Не кажучи вже про те, що масштабні й дорогі проекти реалізовуються не тому, що «модно й молодіжно», а з певною метою. Вибори в Україні аж ніяк не ідеальні, але загалом вони відбуваються з невеликими порушеннями, і ніхто всерйоз не оспорює результатів, принаймні цього й попереднього разу. Не варто лагодити те, що не зламане. І відмовлятися від технологій теж не потрібно: чимало з них дає можливість підвищити прозорість і надійність традиційної системи. Цим, зокрема, займаються нині в DARPA (вони розробляють не електронну систему голосування, як багато хто думає, а доповнення до традиційної системи).

 

Нову команду цікавлять не тільки вибори, а й інші аспекти державного управління. Часто звучать заяви про об’єднання реєстрів, введення наскрізної ідентифікації та документообіг усередині державних структур. Я хочу нагадати ентузіастам цифровізації, що дані в нашій країні потрібно охороняти не від злих хакерів (хоча від них також), а передусім від самих чиновників, які можуть «просто подивитися» або навіть унести зміни в реєстри. Такі плани не тільки не захистять громадян, а спростять стеження, корупцію і зловживання владою. Найліпший спосіб захистити інформацію — не зберігати її. Наприклад, раніше для зміни місця голосування потрібно було принести підтверджувальні документи, які насправді ніхто не міг перевірити. Ксерокопії, де вони зараз? Нещодавно ЦВК просто скасувала цю вимогу, і достатньо самої заяви. Світ не завалився. Що стосується реєстру виборців, то там й адресу зберігати не обов’язково, достатньо номера паспорта й номера дільниці. Держагенство з питань електронного урядування дуже пишається тим, що за однією з е-послуг у них не було жодної відмови. Але якщо немає відмов, то немає й рішень, а отже, це просто повторна реєстрація документів, виданих державою. Багато реєстрів і довідок можна просто скасувати, а решту вже об’єднувати документообігом із контролем за тим, хто й із якої причини запитував дані. Кожна помилка повинна мати ім’я. Якщо хочете, то ім’я з цифровим підписом. Із виключенням людини з ланцюжка управління розмивається відповідальність. Немає крайніх. «Так у комп’ютері написано». Автоматизуючи безлад, можна отримати тільки автоматичний безлад. Є закон Конвея, який каже: якщо організація створює автоматичну систему, то остання копіює і втілює в собі її комунікаційну структуру. Якщо автоматизувати радянську систему з усіма численними довідками, затвердженими незрозуміло ким у 1980-х роках, то в результаті отримаємо «совок у смартфоні». Совок на стероїдах.