Наконец вышел наш большой отчет с рекомендациями «О результатах наблюдения за тестированием системы дистанционного электронного голосования (ДЭГ) ЦИК России 21 апреля — 14 мая 2021 года»

Напомню, в ЕДГ-2021 эта система будет применяться в Курской, Мурманской, Нижегородской, Ростовской, Ярославской областях и Севастополе. В Москве тоже будет ДЭГ, но на своей платформе.

Скачать отчет в pdf можно тут.

25 ключевых выводов:

  • Тестирование системы дистанционного электронного голосования до старта выборов, помимо проверки технической готовности, призвано повысить доверие к ней за счет контроля наблюдателями, экспертами, политическими партиями и всеми желающими. Для этого им необходимо было предоставить инструменты контроля. Однако ЦИК России не воспользовалась этой возможностью. Организационные процедуры ДЭГ проходили не открыто и не гласно, а обществу не были предоставлены инструменты для контроля работы системы, что способствовало усилению недоверия.
  • Разработка системы ДЭГ проводится не на основе проработанного технического задания со стороны ЦИК России, четко описывающего процедуры и процессы, а наоборот, разработчики сначала создают систему, а затем то, что получилось, оформляется нормативными документами ЦИК России. Прежде всего это связано с отсутствием проработанных законодательных норм с требованиями к системам интернет-голосования. Их отсутствие позволяет разработчикам внедрять системы голосования со встроенными существенными недостатками и при этом избегать ответственности.
  • ЦИК России не провела необходимого открытого общественного и экспертного обсуждения системы ДЭГ, что значительно снизило доверие к ней. После прозвучавшей критики о закрытости системы в разгар тестирования председатель ЦИК России создал Группу экспертной оценки системы ДЭГ, состав которой не был опубликован. Из обрывочных комментариев в СМИ стало известно, что указанную группу по экспертной оценке возглавили сами разработчики системы ДЭГ, что является явным конфликтом интересов.
  • Официальный код используемых на тестировании компонентов системы и его описание для проверки и анализа опубликованы не были. Также не была предложена обязательная процедура удостоверения соответствия работающего во время тестирования программного кода компонентов системы ДЭГ программным кодам, ранее опубликованным для проверки и анализа. Альтернативных полноценных способов проверки системы также предложено не было.
  • Случайно или намеренно ЦИК России назначил тестирование системы ДЭГ параллельно с проходящими т. н. праймериз партии «Единая Россия». При этом оба мероприятия проводились на базе портала «Госуслуги». Это привело к тому, что в регионах стали использовать административный ресурс для принуждения работников бюджетной сферы принимать участие в тестировании ЦИК России и в праймериз «Единой России». Из-за особенностей удаленного участия в ДЭГ избиратели стали еще более уязвимы для давления.
  • На протяжении периода приема заявлений на участие в ДЭГ члены комиссии не имели доступа к информации обо всех поданных заявлениях, включая список отклоненных системой заявлений с причинами отказов, а доступ имели только технические специалисты ГАС «Выборы» и Ростелекома.
  • ЦИК России не оперировала точными числами, как должна поступать избирательная комиссия, а обнародовала округленные числа полученных и отклоненных заявлений избирателей на участие в ДЭГ.
  • Без содержательного объяснения причин к участию в тестировании не было допущено большое количество избирателей — 137 тыс. отказов (точное число не называлось) из почти 2,5 млн избирателей, подавших заявления (точное число не называлось).
  • Несмотря на то, что одной из задач тестирования ставилась оценка обеспечения системой ДЭГ тайны голосования, никаких возможностей для такой проверки предоставлено не было. По результатам тестирования оказалось, что граждане не имеют возможность убедиться, что система ДЭГ обеспечивает тайну их волеизъявления.
  • Для системы ДЭГ устройства пользователей не являются доверенной средой, так как в результате их заражения вредоносной программой может происходить искажение волеизъявления или нарушение тайны голосования, которые не будут замечены системой ДЭГ.
  • Проголосовать за избирателя могло любое лицо, получившее доступ к логину и паролю от личного кабинета избирателя на портале «Госуслуги». Злоумышленник мог легко изменить номер мобильного телефона для получения СМС-кода, который используется для подтверждения личности избирателя. Примеры такого несанкционированного доступа к системе подтверждения личности получены из разных регионов. Серьезной уязвимостью системы является то, что к голосованию допускаются учетные записи, к которым привязан номер мобильного телефона, оформленный не на голосующего избирателя, а на других лиц. Система ДЭГ не обеспечивает возможность проверки членами комиссии и наблюдателями факта, что все избиратели приняли личное участие в ДЭГ: лично ввели логин, пароль и СМС-код.
  • 12 мая было зафиксировано аномальное соотношение числа транзакций «Выдача бюллетеня», публикуемых на главной странице «Портала наблюдения ДЭГ», к числу публикуемых транзакций «Зашифрованный бюллетень» — первые появлялись в 11,5 раза чаще вторых. Если исходить из презумпции честной и безошибочной реализации системы, такое соотношение должно быть близко к 1. Разработчики системы не смогли объяснить причину выявленной статистической аномалии, сослались на неполноту данных, публикуемых системой во время тестирования ДЭГ, и просили подождать реализации следующей версии системы с другими инструментами и возможностью получения большего количества данных.
  • Данные внешнего наблюдения свидетельствуют о сбоях в работе системы ДЭГ.
  • На тестирование был представлен урезанный интерфейс наблюдения без возможности скачивания файлов с транзакциями и прямого доступа к базе данных. Следует отметить, что в прошлом году возможность скачивания такого файла на портале наблюдения уже была реализована.
  • Отсутствовали какие-либо объективные инструменты подтверждения участниками выборов и наблюдателями существования заявленного ЦИК России блокчейна. Невозможно проверить, производится ли сохранение данных, в какую базу происходит сохранение и сколько таких баз используется. Базы данных остаются подконтрольны только техническим специалистам и закрыты от внешнего наблюдения. Демонстрации набора блокчейн-транзакций в веб-интерфейсе «Портала наблюдения ДЭГ» или возможности скачивания транзакций в виде файла для контроля за работой системы ДЭГ недостаточно, поскольку нет никакой возможности убедиться, что не отображается уже «смонтированный ролик» вместо прямой трансляции из базы данных.
  • Интерфейс голосования не предусматривал возможности доступа избирателя к информации обо всех кандидатах, списках кандидатов, избирательных объединениях, внесенных в бюллетень: биографические данные кандидатов в объеме, установленном комиссией, организующей выборы; сведения о доходах и об имуществе кандидатов в объеме, установленном организующей выборы избирательной комиссией; информацию о фактах представления кандидатами недостоверных сведений и т. д., как того требует ст. 61 67-ФЗ.
  • Система ДЭГ не была адаптирована для голосования незрячих и слабовидящих избирателей. По итогам тестирования разработчики обещали улучшить интерфейс.
  • В рамках проводимых тестирований системы ДЭГ все обращения граждан о проблемах и реакция на них должны быть публичными. Разработчики системы, выполняя дорогостоящий контракт, как мы видим, не заинтересованы самостоятельно рассказывать о возникающих сбоях, проблемах и их масштабах, а инструментов внешнего контроля они не предоставляют. При этом заявлено, что в службу поддержки за время тестирования поступило более 10 тыс. обращений.
  • Формирование и разделение ключа расшифрования на отдельные части на тестировании производилось не открыто и не гласно.
  • Отсутствие инструментов для контроля (ключ расшифрования, база транзакций и удостоверяющие ее аутентичность реквизиты) не позволили проконтролировать корректность расшифровки голосов и правильность их подсчета.
  • Документы системы, в том числе электронные бюллетени, не подписаны электронной подписью членов комиссии, поэтому они не обладают необходимой юридической значимостью.
  • Отсутствует метод контрольного подсчета результатов ДЭГ, не уступающий по объективности и доступности контрольному подсчету по бумажным бюллетеням.
  • По итогам тестирования не был предоставлен детальный отчет, в том числе с приложением технических сведений и наборов данных, позволяющий оценить результаты проведенной работы, а также выполнение поставленных перед тестированием целей. В рамках заседания ЦИК России 19 мая с докладами об итогах тестирования выступала лишь заинтересованная сторона — разработчики системы, доклады которых носили фрагментарный и необъективный характер.
  • Вопрос кибербезопасности выборов при интернет-голосовании стоит достаточно остро. Представители органов власти и избирательных комиссий последнее время много заявляют об иностранном вмешательстве в российские выборы, однако это не мешает им продвигать интернет-голосование. Либо они понимают, что на самом деле такой угрозы нет, либо, зная об угрозе, подвергают выборы неоправданному риску.
  • Во избежание нарушения избирательных прав граждан и делегитимизации результатов выборов недопустимо использовать на выборах предложенную на тестирование систему ДЭГ без существенной доработки с учетом предложенных в настоящем отчете рекомендаций.

Оригинал