Глава федерального Центризбиркома Элла Памфилова пообещала исправить проблему с капчами на страницах избирательных комиссий, сообщил «Интерфакс» 16 сентября – через три дня после Единого дня голосования 2020 года. Накануне российские политологи, экономисты и гражданские активисты, занимающиеся наблюдением на выборах, опубликовали открытое письмо с просьбой облегчить доступ к данным о голосовании в российских регионах. Вместе со специалистами по цифровой безопасности объясняем, что не так с капчей на сайтах избиркомов.
Что такое капча
Капча (точнее, английская аббревиатура CAPTCHA) – это технология определения, кем является пользователь, пытающийся получить доступ к размещенной в сети информации, – человеком или компьютерной программой. CAPTCHA расшифровывается как Completely Automated Public Turing test to tell Computers and Humans Apart – полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей. Как правило, для прохождения теста необходимо ввести текст с неудобочитаемого изображения или отметить в серии изображений картинки определенного рода.
Капча нужна для предотвращения DDoS-атаки (большого, как правило, автоматизированного, количества обращений на сервер, делающего доступ к нему слишком медленным или вовсе невозможным) или защиты сервера от автоматической выкачки данных.
Как Центризбирком использовал капчу
Капча на сайте ЦИК со статистическими данными о голосованиях (vybory.izbirkom.ru) и его региональных поддоменах появилась во время общероссийского голосования по поправкам к Конституции в июне-июле 2020 года. При обращении к страницам со статистикой голосования сайт показывал пользователю картинку с пятью цифрами на зеленом фоне, напечатанными кривым шрифтом.
Во время сентябрьской выборной кампании капчу приходилось вводить при обращении к любой странице с данными о голосованиях 2020 года (к страницам с более ранними сведениям доступ был проще). Например, чтобы узнать итоги голосования в одномандатном округе на выборах в муниципальный представительный орган, капчу при переходе с главной страницы регионального избиркома приходится вводить три раза.
- После нажатия на ссылку с названием кампании;
- После нажатия на ссылку «Данные о предварительных итогах голосования по одномандатному (многомандатному) округу»;
- После выбора окружного избиркома в выпадающем списке;
+1 Кроме того, капчу необходимо ввести при возвращении на главную станицу избирательной кампании.
Например, выборы в Воронежскую гордуму прошли в 24 одномандатных округах, чтобы узнать их исход, надо ввести капчу 95 раз.
Это вообще законно?
Правовые основания для внедрения капчи появились за полгода до конституционного голосования – 25 декабря 2019 года.
В этот день ЦИК утвердил новые Требования к технологическим, программным и лингвистическим средствам обеспечения пользования официальным сайтом ЦИК РФ и официальными сайтами избирательных комиссий субъектов России. Из «Требований» пропала формулировка о том, что данные могут быть доступны для «автоматической (без участия человека) обработки информационными системами».
Это значит, что ЦИК гарантировал только ручной доступ к результатам выборов. Автоматизированный сбор и анализ этой информации (парсинг), позволяющий оперативно изучить данные, напрямую не запрещался, но обеспечивать его возможность ЦИК больше не был обязан.
Требования к технологическим, программным и лингвистическим средствам обеспечения пользования официальным сайтом Центральной избирательной комиссии Российской Федерации и официальными сайтами избирательных комиссий субъектов Российской Федерации
1. Информация, размещаемая на официальном сайте Центральной избирательной комиссии Российской Федерации (далее – сайт ЦИК России) и официальных сайтах избирательных комиссий субъектов Российской Федерации (далее – сайты ИКСРФ), входящих в Интернет-портал ЦИК России в информационно-телекоммуникационной сети «Интернет:
1.1. Должна быть круглосуточно доступна пользователям для получения, ознакомления и использования без взимания платы за ознакомление с информацией или иное ее использование и иных ограничений.
1.2. Должна быть доступна пользователям без использования программного обеспечения, установка которого на технические средства пользователей требует заключения пользователями лицензионного или иного соглашения с правообладателем программного обеспечения, предусматривающего взимание платы с пользователя.
1.3. Не должна быть зашифрована или защищена от доступа иными средствами, не позволяющими осуществить ознакомление пользователей с ее содержанием. Доступ к информации, размещенной на сайте ЦИК России и сайтах ИКСРФ, не может быть обусловлен требованиями регистрации пользователей или предоставления ими персональных данных, а также требованием заключения ими лицензионных или иных соглашений.
Но капча есть у всех, что не так на сайте ЦИК?
Во-первых, капча замедлила анализ хода и исхода голосования для независимых наблюдателей.
«Это крайне затруднило работу всех, кому нужны данные о выборах. Их стало крайне сложно получить в машиночитаемом формате, пригодном для анализа. ЦИК, декларируя открытость, поставил новые препоны, создал проблемы для представителей гражданского общества», – так охарактеризовало практику применения капчи общественное движение за права избирателей «Голос».
«Открытость данных о голосовании и возможность быстро их скачивать представляет проблему для властей по двум причинам. Во-первых, оно позволяет оперативно выявлять и делать достоянием гласности статистические аномалии и рисовку результатов - то есть, когда, например, в каком-то районе на всех участках один кандидат получает одинаковую долю голосов. Во-вторых, регулярное, через интервалы, скачивание данных позволяет выявлять подлог, когда результаты вводятся заново и меняются задним числом», – написал на своей странице в соцсети Facebook преподаватель Высшей школы экономики, экономист Алексей Захаров.
С ним согласен эксперт в области защиты данных и цифровой безопасности, директор ассоциации «Новая группа», сооснователь проекта «Цифровая безопасность просто» Николай Кванталиани:
— Капча в ГАС «Выборы» нужна, чтобы жизнь стала сложнее у тех, кто собирает и проверяет на сайте информацию. Другого логического объяснения я не вижу. Это блокировка для удобного получения данных. То есть, данные вроде и доступны, но есть сложности. Если бы на сайте Центризбиркома была информация, к которой можно было получить несанкционированный доступ – еще было бы более или менее понятно. Но мы видим, что сайт не использует шифрованное подключение – потому что там открытые и публичные данные.
Об этом же говорится в письме российских ученых и наблюдателей, опубликованном в «Новой газете».
Во-вторых, капча не решает проблемы DDoS-атак, на которые представители ЦИК жаловались и во время конституционного плебисцита в июне и июле 2020 года и во время Единого дня голосования в сентябре.
— Капча – не самый эффективный, мягко говоря, способ [борьбы с DDoS-атаками], – уверен эксперт по IT-безопасности Михаил Ивановский. – Скорее, самый простой. Я руководил телеком-компанией, мы занимались там защитой от DDoS-атак и использовали более эффективные способы защиты, не капчу.
По его словам, для борьбы с DDoS-атакой достаточно обязать пользователя ввести капчу один раз: система распознает в нем живого человека, и ее это больше не интересует. Но на сайтах избиркомов капчу надо было вводить постоянно.
– Очевидно, что разработчики [те, кто прикрутил капчу в ГАС «Выборы»] преследовали одну цель: максимально помешать людям собирать аналитические данные о выборах и сделать минимальной или вовсе исключить машинный [автоматический] сбор данных, – добавил Ивановский.
Николай Кванталиани предположил, что к применению избыточной капчи могла привести ошибка программистов: когда «привинчивали» капчу на внутреннюю админку для сотрудников избиркома, то забыли снять «галку» для публичного сайта. Но эта версия маловероятна.
Что говорит по поводу капчи ЦИК
Элла Памфилова подтвердила, что Центризбирком ввел капчу, чтобы затруднить автоматический сбор данных.
– Учитывая существенно изменившуюся и возросшую нагрузку, нами и было принято решение о введении механизма CAРTCHA на сайте izbirkom.ru, ограничивающего бесконтрольное массовое автоматическое скачивание данных с сайта. Поскольку технически это пришлось осуществлять в крайне сжатые сроки, соглашусь, что сделали, мягко говоря, неудачно - будем дорабатывать, - привел ее слова «Интерфакс».
«7x7» направил в ЦИК запрос об угрозах, с которыми была призвана справиться капча, и о том, как комиссия оценивает последствия ее применения, но оперативного ответа не получил.
Что надо сделать с капчей на сайте избиркомов на самом деле
Убрать.
Об этом говорят и электоральные аналитики, и специалисты по цифровой безопасности.
По мнению эксперта по IT-безопасности Михаила Ивановского, публичные данные в ГАС «Выборы» должны скачиваться удобно и единым массивом. Например, прошли выборы, избирком загружает их в один файл и публикует ссылку для скачивания.
– Почему бы так не сделать – непонятно: это очень просто и достаточно сделать один раз. Проще забрать [данные] целиком, чем городить эти огороды. Но слишком уж много у нас развелось этих аналитиков, которые пишут о фальсификациях и приходят к выводу, что результаты выборов нелегитимные, – сыронизировал он.
Депутат Московской городской думы Дарья Беседина направила в ЦИК письмо с предложением публиковать итоги голосования на всех российских выборах в формате открытых данных в машиночитаемом виде.
Авторы открытого письма в «Новой газете» заявили, что подобная практика используется «от Польши и Финляндии до Испании и Бразилии». Кроме того, они предложили «выкладывать в онлайне сканы протоколов избирательных комиссий. Не требующая затрат бюджетных средств ликвидация капчи при этом является первоочередной мерой, которая может и должна быть немедленно реализована».
Уважаемая Элла Александровна!
База данных Центральной избирательной комиссии России о готовящихся, идущих и состоявшихся выборах, размещенная по адресу izbirkom.ru, до нынешнего года была примером полноты, аккуратности и открытости электоральных данных. Статистический анализ этой базы в ее всероссийской полноте давал серьезный вклад в развитие социальных наук в нашей стране.
В нынешнем году доступ к этой базе был радикально осложнен (по сути — блокирован) путем введения при переходе на каждую следующую страницу капчи — картинки, изображение с которой должен распознать и ввести живой пользователь. Такая мера имеет своей целью воспрепятствовать машинному доступу к данным и позволить просматривать лишь вручную единичные участки из десятков тысяч избиркомов по всей стране.
Профессиональное сообщество наблюдателей, политологов, социологов, журналистов, аналитиков, специализирующихся на изучении выборов, тем самым оказалось отсечено от полных данных по России, которые теперь невозможно получить. Чтобы осуществить анализ всероссийских данных, нужно вручную ввести капчу порядка 100000 раз, т. е. с учетом времени загрузки страницы потратить около 30 миллионов секунд — почти год работы.
В итоге исправно работающий инструмент, созданный ЦИК за прошлые годы, превратился в неработающий.
Для увеличения прозрачности избирательного процесса и для снижения нагрузки на серверы ЦИК было бы целесообразно, наоборот, максимально облегчить гражданам доступ к детализированным данным о выборах путем предоставления данных в виде машиночитаемых таблиц, как это практикуется во многих странах мира, от Польши и Финляндии до Испании и Бразилии, а также выкладывать в онлайне сканы протоколов избирательных комиссий. Не требующая затрат бюджетных средств ликвидация капчи при этом является первоочередной мерой, которая может и должна быть немедленно реализована.
С уважением,
- Владимир Гельман, кандидат политических наук.
- Алексей Захаров, кандидат экономических наук.
- Андрей Заякин, кандидат физико-математических наук, редактор data-отдела «Новой газеты».
- Александр Кынев, кандидат политических наук, член Экспертно-консультационной группы при председателе ЦИК и Научно-экспертного совета при ЦИК до 2020 г.
- Григорий Мельконьянц, сопредседатель движения «Голос», член Научно-экспертного совета при ЦИК до 2020 г.
- Станислав Рачинский, редактор портала «Справочник наблюдателя», член Экспертно-консультационной группы при председателе ЦИК и Научно-экспертного совета при ЦИК до 2020 г.
- Кирилл Рогов, кандидат филологических наук.
- Константин Сонин, кандидат физико-математических наук, профессор Чикагского университета.
- Сергей Шпилькин, независимый аналитик, член Научно-экспертного совета при ЦИК до 2020 г.
- Екатерина Шульман, кандидат политических наук.