Elektroninio balsavimo sistemų saugumas

Kaip iš viso atsirado elektroninis balsavimas

Elektroninio balsavimo idėja nėra nauja – pirmieji bandymai mechanizuoti balsavimo procesą prasidėjo dar XIX amžiaus pabaigoje. 1892 metais JAV buvo naudojamos pirmosios mechaninės balsavimo mašinos su svirtimis ir skaitikliais. Tai buvo revoliucija, palyginti su popieriniais biuleteniais, kuriuos galėjo lengvai klastoti ar neteisingai suskaičiuoti.

Tikrasis elektroninis balsavimas prasidėjo XX amžiaus antroje pusėje, kai kompiuteriai tapo prieinamesni. Pirmosios elektroninės sistemos atsirado 1960-aisiais – tai buvo didžiuliai aparatai, kurie tiesiog greičiau suskaičiuodavo balsus. Interneto era atvėrė visiškai naujas galimybes – teoriškai žmonės galėtų balsuoti iš namų, naudodamiesi kompiuteriu ar telefonu.

Estija tapo tikra elektroninio balsavimo pioniere – nuo 2005 metų ten galima balsuoti internetu per nacionalinius rinkimus. Kitos šalys, tokios kaip Šveicarija, Brazilija, Indija, taip pat eksperimentavo su įvairiomis elektroninio balsavimo formomis. Tačiau ne viskas buvo taip sklandu, kaip atrodė pradžioje.

Kokios grėsmės tyko elektroninėje erdvėje

Tradicinis balsavimas popieriniais biuleteniais turi vieną didžiulį privalumą – jis fizinis. Norint suklastoti rinkimus, reikia fiziškai patekti į balsavimo vietas, pakeisti biuletenius, papirkti komisijos narius. Tai sudėtinga, rizikinga ir reikalauja daug žmonių. Elektroninis balsavimas šį barjerą panaikina – vienas įgudęs hakeris teoriškai gali pakeisti tūkstančių ar net milijonų balsų rezultatus nesikeldamas iš kėdės.

Pagrindinės grėsmės elektroniniam balsavimui yra kelių tipų. Pirma, tai serverių įsilaužimai – jei kas nors gauna prieigą prie centrinės sistemos, gali keisti rezultatus kaip nori. Antra, tai klientinės pusės atakos – kenkėjiškos programos gali užkrėsti pačių rinkėjų įrenginius ir pakeisti jų balsus prieš juos išsiunčiant. Trečia, tai DDoS atakos – kai sistema užverčiama milžiniškais duomenų kiekiais ir tiesiog nebeveikia.

Bet ne tik technologinės grėsmės kelia nerimą. Yra ir žmogiškasis faktorius – programuotojai, kurie kuria sistemą, gali tyčia ar netyčia palikti saugumo spragų. Politikai ar valstybės institucijos gali norėti turėti „galines duris” sistemoje, kad galėtų stebėti ar kontroliuoti balsavimą. O tai jau visiškai prieštarauja demokratijos principams.

Šifravimas ir anonimizavimas – dviejų kėdžių dilema

Čia slypi didžiausias elektroninio balsavimo paradoksas. Iš vienos pusės, sistema turi garantuoti, kad kiekvienas balsas yra tikras ir priklauso realiam rinkėjui. Iš kitos pusės, niekas neturi galėti sužinoti, už ką konkretus asmuo balsavo. Tai kaip bandyti išlaikyti ledą šiltoje vietoje – reikia labai gudrių sprendimų.

Moderniose sistemose naudojami sudėtingi kriptografiniai metodai. Pavyzdžiui, homomorfinė kriptografija leidžia skaičiuoti užšifruotus duomenis neatšifruojant jų. Tai reiškia, kad galima suskaičiuoti balsus nežinant, kas už ką balsavo. Skamba kaip magija, bet matematika tai įgalina.

Kitas metodas – vadinamieji „blind signatures” arba aklieji parašai. Rinkėjas gauna unikalų kodą, kurį sistema patvirtina kaip tikrą, bet nepriskiria konkrečiam asmeniui. Tarsi gautum antspaudą ant laiško, kuris yra vokelyje – sistema žino, kad laiškas tikras, bet nemato, kas jame parašyta.

Estijoje naudojama dviejų lygių sistema: pirmiausia rinkėjas identifikuojasi naudodamas elektroninį ID, tada jo balsas užšifruojamas ir atsiejamas nuo tapatybės. Sistema išsaugo du atskirus duomenų rinkinius – vieną su tapatybėmis (kas balsavo), kitą su balsais (už ką balsavo), bet be jokios sąsajos tarp jų.

Ar galima patikrinti, kad viskas veikia teisingai

Tradiciniame balsavime yra stebėtojai – žmonės, kurie stebi, kad niekas nesukčiautų. Elektroniniame balsavime reikia kitokių mechanizmų. Vienas iš jų – tai vadinamasis „end-to-end verifiable voting” arba visapusiškai patikrinamas balsavimas.

Tokiose sistemose kiekvienas rinkėjas gauna unikalų kodą, su kuriuo vėliau gali patikrinti, ar jo balsas buvo teisingai užregistruotas ir įskaičiuotas. Tai kaip gavus kvitą parduotuvėje – gali patikrinti, ar tau teisingai apskaičiavo prekes. Tačiau šis kodas neatskleidžia, už ką balsavai, tik patvirtina, kad tavo balsas yra sistemoje.

Kai kurios sistemos leidžia net pakeisti balsą iki balsavimo pabaigos. Estijoje, pavyzdžiui, galima balsuoti internetu kelis kartus – skaičiuojamas tik paskutinis balsas. Kodėl? Tai apsauga nuo prievartos – jei kas nors verčia tave balsuoti tam tikru būdu, gali vėliau pakeisti savo balsą.

Dar vienas svarbus aspektas – atviras kodas. Kai sistemos kodas yra viešas, bet kuris programuotojas gali jį peržiūrėti ir ieškoti klaidų ar saugumo spragų. Tai kaip leisti visiems apžiūrėti balsadėžę prieš rinkimus – skaidrumas kuria pasitikėjimą.

Realūs incidentai ir jų pamokos

Ne visos elektroninio balsavimo istorijos baigiasi gerai. 2017 metais Olandija atsisakė elektroninio balsavimo nacionaliniuose rinkimuose dėl Rusijos kibernetinių atakų grėsmės. Grįžo prie senų gerų popierinių biuletenių – kartais atgal žengti yra išmintinga.

Vokietijoje 2009 metais Konstitucinis Teismas pripažino elektronines balsavimo mašinas nekonstitucingomis. Priežastis? Sistema nebuvo pakankamai skaidri – eilinis pilietis negalėjo suprasti, kaip ji veikia ir ar galima ja pasitikėti. Tai svarbi pamoka – technologija turi būti ne tik saugi, bet ir suprantama.

JAV 2016 metų rinkimai parodė, kaip pažeidžiamos gali būti net paprastos rinkėjų duomenų bazės. Nors pats balsavimas vyko tradiciškai, įsilaužimai į registracijos sistemas sukėlė chaosą. Kai kurie rinkėjai negalėjo balsuoti, nes jų duomenys buvo pakeisti ar ištrinti.

Šveicarija, kuri buvo viena pažangiausių elektroninio balsavimo srityje, 2019 metais sustabdė savo sistemą po to, kai saugumo ekspertai rado rimtų spragų. Vyriausybė pakvietė hakerius bandyti įsilaužti į sistemą (tai vadinama „bug bounty” programa), ir jie tai padarė per kelias valandas.

Fiziniai įrenginiai prieš internetinį balsavimą

Ne visas elektroninis balsavimas vyksta internetu. Daugelyje šalių naudojamos specialios balsavimo mašinos – tai kompiuteriai, kurie stovi balsavimo vietose ir nėra prijungti prie interneto. Teoriškai tai saugiau, bet praktikoje turi savo problemų.

Tokios mašinos vis tiek gali būti užkrėstos kenkėjiškomis programomis dar gamykloje arba per techninės priežiūros vizitus. Yra dokumentuotų atvejų, kai saugumo tyrėjai demonstravo, kaip galima pakeisti tokių mašinų programinę įrangą per kelias minutes, nepaliekant jokių pėdsakų.

Kita problema – šios mašinos dažnai saugomos nepakankamai saugiai tarp rinkimų. Jos gali stovėti paprastose sandėliuose, kur bet kas gali prie jų prieiti. O jei kas nors turi fizinę prieigą prie įrenginio, jokia programinė apsauga nebepadės.

Internetinis balsavimas turi vieną privalumą – patogumą. Žmonės gali balsuoti iš bet kur, nebereikia eiti į balsavimo vietą. Tai ypač svarbu žmonėms su negalia, gyvenantiems užsienyje ar tiems, kurie negali atsitraukti nuo darbo. Tačiau šis patogumas kainuoja – saugumo rizika yra daug didesnė.

Ką daro šalys, kurios vis tiek naudoja elektroninį balsavimą

Estija lieka elektroninio balsavimo čempione, nors ir ten sistema nuolat kritikuojama. Jie naudoja kelių lygių apsaugą: elektroninį ID kortelę su PIN kodu, dviejų lygių šifravimą, galimybę patikrinti savo balsą mobiliąja programėle. Sistema yra atvirojo kodo, ir jos kodą peržiūrėjo nepriklausomi ekspertai.

Brazilija naudoja elektronines balsavimo mašinas nuo 1996 metų. Ten sistema veikia be interneto – kiekviena mašina yra atskiras įrenginys. Po balsavimo duomenys perkeliami į centrinę sistemą naudojant specialius užšifruotus atmintukus. Tai lėčiau nei internetas, bet saugiau.

Indija turi didžiausią elektroninio balsavimo sistemą pasaulyje – per milijardą rinkėjų. Jie naudoja labai paprastas mašinas, kurios veikia be interneto ir turi minimalią programinę įrangą. Kuo paprastesnė sistema, tuo mažiau dalykų gali sugedti ar būti nulaužta.

Australija eksperimentuoja su hibridine sistema – dauguma žmonių balsuoja tradiciškai, bet tam tikros grupės (pvz., neįgalieji, užsienyje gyvenantys) gali balsuoti elektroniškai. Tai kompromisas tarp patogumo ir saugumo.

Ar ateitis priklauso blockchain technologijai

Pastaraisiais metais daug kalbama apie blockchain arba blokų grandinės technologijos panaudojimą balsavimui. Idėja paprasta – kiekvienas balsas būtų kaip kriptovaliutos transakcija, užregistruota nekeičiamoje, decentralizuotoje duomenų bazėje.

Teoriškai tai skamba puikiai. Blockchain užtikrina, kad duomenų negalima pakeisti nepastebėtam. Kiekvienas balsas būtų užšifruotas ir patvirtintas kelių nepriklausomų mazgų. Rezultatai būtų skaidrūs ir patikrinami, bet kartu išlaikant rinkėjų anonimiškumą.

Praktikoje yra nemažai problemų. Pirma, blockchain sistemos yra lėtos – Bitcoin tinklas gali apdoroti tik apie 7 transakcijas per sekundę. Rinkimuose per kelias valandas gali būti milijonai balsų. Antra, blockchain nėra visiškai anonimiška – su pakankamai pastangų galima atsekti transakcijas iki konkrečių vartotojų.

Trečia, ir galbūt svarbiausia, blockchain neišsprendžia „paskutinės mylios” problemos. Net jei balsas saugiai užregistruojamas blokų grandinėje, kas garantuoja, kad rinkėjo kompiuteris ar telefonas neužkrėstas virusu, kuris pakeičia balsą prieš jį išsiunčiant? Tai kaip turėti neįsilaužiamą seifą, bet paliekant duris į namą atidarytas.

Kas svarbiau – patogumas ar saugumas

Grįžtant prie esmės, reikia pripažinti, kad elektroninis balsavimas yra kompromisas. Jis siūlo patogumą, greitį, potencialiai didesnį rinkėjų aktyvumą. Bet kartu kelia rimtų klausimų apie saugumą, skaidrumą ir pasitikėjimą demokratiniais procesais.

Daugelis kibernetinio saugumo ekspertų teigia, kad dabartinės technologijos dar nėra pakankamai brandžios saugiam elektroniniam balsavimui. Tradicinis popierinis balsavimas, nors ir lėtesnis bei brangesnis, turi vieną neįkainojamą privalumą – jis suprantamas kiekvienam. Bet kuris pilietis gali stebėti, kaip skaičiuojami biuleteniai, ir įsitikinti, kad viskas vyksta teisingai.

Galbūt ateityje technologijos pasieks tokį lygį, kad elektroninis balsavimas taps saugesnis už tradicinį. Galbūt kvantinė kriptografija ar kitos dar neatrastos technologijos išspręs dabartines problemas. Bet kol kas daugelis šalių renkasi atsargumą – geriau lėčiau, bet patikimai.

Jei vis tiek nusprendžiama įdiegti elektroninį balsavimą, būtina laikytis kelių principų: sistema turi būti atvirojo kodo, nepriklausomai audituota, turėti fizinę atsarginę kopiją (pvz., popierinį pėdsaką), leisti rinkėjams patikrinti savo balsus, ir svarbiausia – būti suprantama eiliniams piliečiams. Technologija, kuri veikia kaip „juodoji dėžė”, niekada neturėtų būti naudojama demokratijoje.