Авторы: Крюков Валерий, Чуров Владимир, Ященко Виктор
В "КТ" #698 от 21.08.2007 г. опубликована статья Бёрда Киви "Вопросы без ответов", в которой рассматривается уровень защищенности электронных систем голосования и степень их уязвимости к атакам хакеров. Важность затронутой темы побудила нас выступить с этим кратким обзором по внедрению таких систем в мире, в первую очередь в России.
Валерий Крюков - член ЦИК РФ
Владимир Чуров - председатель Центральной избирательной комиссии РФ
Виктор Ященко - руководитель Федерального центра информатизации при ЦИК РФ
Применение электронных машин для голосования при проведении выборов и референдумов специалисты обсуждают не первое десятилетие. В Бразилии, Венесуэле, США сегодня широко используют такую технику. Пионером же в этом деле стала Индия, где машины для электронного голосования применяются с 1989 года. Однако в большинстве стран только в 1990-х годах начались систематические исследования в этой области. Например, Канада, Бельгия, Испания, еще некоторые страны занимаются тестовыми пилотными проектами в регионах. В целом в Европе электронные машины применяют большей частью для голосования на местном уровне, на школьных выборах, в качестве альтернативного способа или при досрочном голосовании.
Результатом исследований и экспериментов в Бельгии, Великобритании, Дании, Германии, Ирландии, Италии стали выводы о недостаточной безопасности, надежности, прозрачности голосования с помощью электронных машин. Отмечены и другие недостатки их применения: высокие затраты на хранение и транспортировку устройств, зависимость работы избирательных участков от электропитания, необходимость специальной подготовки членов комиссии и обучения избирателей, недоработки в программном обеспечении. Однако имеются и неоспоримые преимущества:
• значительное ускорение подведения итогов голосования;
• облегчение труда избирательных комиссий, снижение рисков от ошибок, связанных с усталостью;[Так, на 95 тысячах избирательных участков, создаваемых в РФ при проведении выборов федерального уровня, члены комиссии приступают к подсчету голосов после 13–14 часов напряженной работы на участке]
• использование многоязычных интерфейсов;
• удобства для избирателей с ограниченными физическими возможностями (например, незрячим избирателям предоставляется аудиоинтерфейс через наушники);
• применение достоверных технологий, надежных решений и стандартов, возможность их распространения на другие области общественных услуг, где используется компьютер.
Поэтому сегодня не подвергается сомнению необходимость продолжения работы над системами электронного голосования. По мнению специалистов по избирательным технологиям, вопрос не в том, нужно ли электронное голосование, а в том, как подготовить и оптимально внедрить его в практику.
В августе 2007 года в Республике Казахстан на 1512 избирательных участках применялась система электронного голосования. Избиратель мог проголосовать одним из двух способов - электронным или традиционным, с помощью бумажного бюллетеня. Из 1 920 000 избирателей электронными средствами воспользовались 132 181 человек (около 7%). Это означает, что избирателю психологически не просто отступить от привычных и понятных ему действий, а главное - поверить в то, что при электронном голосовании его голос будет принят и учтен правильно.
Переход на электронное голосование потребует немалого времени. Доверие общества к таким системам надо завоевывать, внедряя их осторожно, постепенно. Именно такой подход реализуется в Российской Федерации.
• Сегодня в нашей стране на выборах используются электронные системы двух типов:
• оптические сканеры, считывающие отметки избирателей на бумажных бюллетенях;
• сенсорные устройства электронного голосования без бумажного бюллетеня.
Оптические сканеры - составная часть так называемых комплексов обработки избирательных бюллетеней (КОИБ). В период с 2004 по 2007 год КОИБы применялись на выборах федерального, регионального и муниципального уровней в шестнадцати субъектах Российской Федерации на 3800 избирательных участках. Каждый КОИБ за это время использовался до шести раз. Отметим, что в США аналогичные комплексы используются в два-три раза менее интенсивно.
Безбумажная технология голосования реализована в комплексе для электронного голосования (КЭГ).
В 2002–2004 гг. специалисты разных стран, в том числе и России, под эгидой Совета Европы разработали стандарты электронного голосования, изложенные в итоговом документе "Рекомендации R (2004) 11 Комитета Министров стран-участниц по правовым, организационным и техническим стандартам электронного голосования" (приняты Комитетом Министров 30 сентября 2004 года на 898-м заседании, www.cikrf.ru/cikrf/international/rec_rus.jsp). Эти рекомендации использовались ЦИК России при разработке и создании опытных образцов КЭГов, программно-технических средств подсчета голосов на основе сенсорных мониторов.
Правовые основы использования средств электронного голосования в Российской Федерации заложены в Федеральном законе "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", в нормативных актах Центральной избирательной комиссии Российской Федерации.
Созданные в нашей стране КЭГи первыми опробовали в 2005 году студенты, преподаватели и технический персонал ряда вузов Москвы, Воронежа и Томска. Их замечания и рекомендации послужили основой для усовершенствования комплексов. В этой работе активное участие принимали и представители ведущих российских политических партий.
По результатам испытаний и доработок комплексов ЦИК России принял решение об их применении на выборах депутатов Новгородской областной Думы. На пяти избирательных участках Великого Новгорода 6 октября 2006 года было проведено электронное голосование без использования бумажного бюллетеня. В оценке результатов принимали участие наблюдатели из Украины, Венгрии, Германии, Великобритании и Австрии.
Эксперимент в целом прошел успешно. От избирателей, членов избирательных комиссий, отечественных и зарубежных наблюдателей, политических партий были получены рекомендации, суть которых сводилась к следующему:
• избиратель должен иметь возможность выбора между двумя способами голосования: с использованием бумажного бюллетеня или при помощи электронного устройства;
• избиратель должен иметь возможность убедиться, что его голос правильно учтен средствами электронного голосования;
• избиратель должен иметь возможность убедиться, что тайна его волеизъявления при электронном голосовании обеспечивается;
• должна быть обеспечена возможность проверки результатов подсчета голосов при электронном голосовании.
Указанные рекомендации были учтены, и к моменту выборов депутатов Орловского областного Совета народных депутатов в марте 2007 года были реализованы в примененных там КЭГах.
На пяти избирательных участках Орла, наряду со стационарными ящиками для голосования, были установлены доработанные комплексы, и у избирателя появилась возможность выбирать способ голосования. Примерно 30% от общего числа избирателей на этих участках предпочли электронный способ, причем это были люди различных возрастных категорий.
Избиратель мог сравнить выбранные им кандидатуры на экране сенсорного монитора с теми, которые видел в окошке индивидуального печатающего устройства. После подтверждения избирателем совпадения данных на экране и ленте голосование считалось завершенным, и лента перемещалась, скрывая эту информацию от следующего избирателя.
По инициативе Избирательной комиссии Орловской области на одном (выбранном по жребию) из пяти избирательных участков, где использовались КЭГи, было проверено, правильно ли электроника подсчитывает голоса. В процедуре участвовали представители избирательных комиссий, политических партий и общественных организаций. Данные, полученные комплексом для электронного голосования, и результаты ручного подсчета голосов по контрольным лентам принтеров полностью совпали.
На наши вопросы об архитектуре и реализации электронных систем голосования ответил начальник управления эксплуатации и развития ГАС "Выборы" А. К. Попов.
Давайте начнем с КОИБ - какая там аппаратная и программная часть?
- В составе аппаратной части КОИБ используются как стандартные компьютерные компоненты (материнская плата, процессор Intel Celeron 900 или VIA 1000, оперативная память, НЖМД, НГМД), так и специально разработанное сканирующее устройство, рассчитанное на обработку бюллетеней, опускаемых в КОИБ избирателем. Работа этих компонентов координируется специализированным контроллером.
Устройство функционирует под управлением операционной системы Linux SUSE 9.2 с установленной средой mono 1.1.13.6 и специализированного программного обеспечения (СПО).
Инструкция о порядке использования комплексов обработки избирательных бюллетеней на выборах и референдумах, проводимых на территории Российской Федерации, утверждена постановлением ЦИК России от 25 сентября 2007 года № 31/218-5, опубликована в журнале "Вестник Центральной избирательной комиссии Российской Федерации" и на сайте ЦИК России.
По окончании голосования, в соответствии с упомянутой Инструкцией, протокол участковой избирательной комиссии, полученный с помощью КОИБ и подписанный членами участковой избирательной комиссии, вместе с данными о результатах голосования, записанными на дискету, передается в вышестоящую избирательную комиссию для проверки и размещения в ГАС "Выборы". Бумажные бюллетени извлекаются из КОИБ и без сортировки запаковываются и в установленном законом порядке передаются вышестоящей избирательной комиссии для хранения в архиве.
Как работает КЭГ? Мы нажимаем нужную фамилию или название партии на экране - что происходит дальше? Голосование закончилось - как поступают с записанными электронными результатами?
- После нажатия на область экрана с надписью "кандидат" появляется окно с полной информацией о кандидате, где можно подтвердить или отменить свой выбор. После завершения голосования по всем электронным бюллетеням информация записывается на карту памяти, установленную в УСГ (микроконтроллерное устройство для голосования с сенсорным экраном), и одновременно поступает в сетевой контроллер СК (тоже микроконтроллерное устройство, на котором собирается вся информация со всех устройств для голосования), где записывается на карту памяти (SD-card).
Для подведения итогов электронного голосования председатель избирательной комиссии использует карточку со специальным штрих-кодом, который он считывает на считывателе СК, после чего автоматически блокируются все устройства для голосования (голосовать на них больше нельзя). На принтере с ленточной подачей бумаги (начало и конец ленты заверяются комиссией) распечатывается таблица итогов голосования с распределением голосов и дополнительной информацией по каждому электронному бюллетеню. Лента с таблицей является документом, данные из которого заносят в протокол об итогах голосования.
Какова программно-аппаратная база КЭГ?
- КЭГ состоит из двух частей: оборудования, которое используется непосредственно при голосовании, и дополнительного системного блока.
В голосовании используются УСГ и СК, объединенные в локальную сеть. УСГ (аналогичное по задачам кабинке для голосования) - это микроконтроллерное устройство с сенсорным экраном 17 дюймов. Функции СК - управление сетью и ведение базы данных. Для сети КЭГ разработан программный и сетевой протокол на базе физического протокола RS465-232. Для сопряжения КЭГ с ГАС "Выборы" на участке устанавливается PC-совместимый системный блок (сейчас это мини-PC на платформе VIA C3) с ОС Windows. Этот блок используется до проведения голосования для настройки конфигурации выборов, полученной из ГАС "Выборы", с помощью СПО, написанного на Delphi. СПО для УСГ и СК написано на языке С для микроконтроллеров.
Вся информация об архитектуре, аппаратной и программной частях КЭГ и КОИБ - открытая.
В каких регионах и в каком количестве в декабре 2007 года и в марте 2008 года планируется применять эту технику?
- Пять комплексов для электронного голосования должны работать на выборах депутатов Государственной Думы Федерального Собрания РФ пятого созыва и депутатов Областной думы в декабре 2007 года в Саратове.
В декабре КОИБ будет использован на 950 избирательных участках г. Москвы, на 357 избирательных участках г. Саратова и на 78 избирательных участках г. Энгельса Саратовской области.
Решение об использовании КЭГ и КОИБ на выборах Президента России будет принято после декабря текущего года.
В США за десятилетие использования электронных машин голосования федеральная власть НИ РАЗУ не подвергала это оборудование независимой, всесторонней и прозрачной аудиторской проверке на безопасность. Планируется ли такая проверка в России?
- В России комплексы для электронного голосования прошли все обязательные проверки, определенные законом. После проверки СПО КЭГ на недекларированные возможности получен российский сертификат соответствия №1403 от 19 июня 2007 г. Кроме того, специализированной российской организацией была проведена проверка и дано заключение на отсутствие средств беспроводного доступа.
СПО КОИБ прошло сертификацию Федеральной службы по техническому и экспортному контролю России на отсутствие недекларированных возможностей (сертификат соответствия №1378).
КОИБ выпускается в соответствии с ТУ 4013-001-17404049-2003, сертифицирован в системе ГОСТ Р Госстандарта России (сертификат соответствия №РОСС RU.ME20.A02373) и имеет санитарно-эпидемиологическое заключение №77.МЮ.01.401.П.011522.03.05 от 31.03.2005 г.
Если будет определена независимая международная организация, способная и полномочная провести всестороннюю прозрачную аудиторскую проверку КЭГ на безопасность, ЦИК России готов представить КЭГ на сертификацию.
Одно из важнейших преимуществ компьютерных систем голосования - возможность свести итоговые результаты выборов в единую базу, по которой каждый избиратель может анонимно и достоверно проверить, что его голос учтен, и учтен правильно. Криптография и Интернет давно позволяют обеспечить такую, подлинную, прозрачность выборов, но пока это не реализовано на практике ни в одной стране. Намерена ли это сделать Россия?
- ЦИК России внимательно следит за развитием новых технологий голосования, имея в виду решение главной задачи - обеспечить эффективную идентификацию избирателя на выборах и одновременно полную тайну его волеизъявления. Как только появятся убедительные результаты использования криптографии и Интернета, мы, безусловно, примем участие в этой работе.
Полученные результаты позволяют сделать вывод о том, что разработанные комплексы удовлетворяют требованиям российского избирательного законодательства и европейских стандартов электронного голосования, а нормативная правовая база достаточна для подготовки и использования этих комплексов на выборах и референдумах.
Разработанные КЭГи имеют все необходимые российские сертификаты (см. врезку). Комплексы локальны, то есть не связаны с Интернетом, а через другие каналы связи - и с любыми другими средствами автоматизации, благодаря чему они надежно ограждены от хакерских атак. При создании комплексов использовалось "прошитое" микропрограммирование на уровне микроконтроллеров, которое практически невозможно изменить.
Вместе с тем недавние испытания на выборах в Орле выявили усложнение процедуры подведения итогов голосования на тех участках, на которых применялись КЭГи. Дело в том, что данные, полученные от КЭГа, и результаты подсчета голосов по бумажным бюллетеням приходится "сводить" вручную. Для этого составляется промежуточная таблица суммирования результатов, на основе которой формируется увеличенная форма протокола об итогах голосования. Дополнительные ручные операции по суммированию данных повышают вероятность появления ошибок при подсчете голосов избирателей.
Для решения этой проблемы предполагается совместно использовать на избирательном участке два комплекса - КЭГ и КОИБ. Это обеспечит:
• повышенную устойчивость к перебоям с электроэнергией;
• ускорение и упрощение процедуры подсчета голосов избирателей и подведения итогов голосования;
• автоматизированное формирование протокола итогов голосования с автоматической проверкой контрольных соотношений.
Одним из перспективных направлений дальнейшего развития средств электронного голосования является использование российской системы спутниковой связи и (или) системы глобальной навигации ГЛОНАСС.
С помощью таких средств может осуществляться сбор и подсчет голосов избирателей с привязкой к месту голосования. Это потребует разработки и испытания решений, обеспечивающих высокую надежность, безопасность информации и, главное, тайну голосования.
К рассмотрению дальнейшего развития способов и систем электронного голосования ЦИК России планирует вернуться по завершении федеральных избирательных кампаний 2007–2008 годов и анализа результатов применения существующих технических средств подсчета голосов.
Редакция благодарит Олега Белякова, ответственного секретаря Редакционно-издательского совета ЦИК РФ, за помощь в подготовке материала.