Глава федерального Центризбиркома Элла Памфилова пообещала исправить проблему с капчами на страницах избирательных комиссий, сообщил «Интерфакс» 16 сентября – через три дня после Единого дня голосования 2020 года. Накануне российские политологи, экономисты и гражданские активисты, занимающиеся наблюдением на выборах, опубликовали открытое письмо с просьбой облегчить доступ к данным о голосовании в российских регионах. Вместе со специалистами по цифровой безопасности объясняем, что не так с капчей на сайтах избиркомов.
Что такое капча
Капча (точнее, английская аббревиатура CAPTCHA) – это технология определения, кем является пользователь, пытающийся получить доступ к размещенной в сети информации, – человеком или компьютерной программой. CAPTCHA расшифровывается как Completely Automated Public Turing test to tell Computers and Humans Apart – полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей. Как правило, для прохождения теста необходимо ввести текст с неудобочитаемого изображения или отметить в серии изображений картинки определенного рода.
Капча нужна для предотвращения DDoS-атаки (большого, как правило, автоматизированного, количества обращений на сервер, делающего доступ к нему слишком медленным или вовсе невозможным) или защиты сервера от автоматической выкачки данных.
Как Центризбирком использовал капчу
Капча на сайте ЦИК со статистическими данными о голосованиях (vybory.izbirkom.ru) и его региональных поддоменах появилась во время общероссийского голосования по поправкам к Конституции в июне-июле 2020 года. При обращении к страницам со статистикой голосования сайт показывал пользователю картинку с пятью цифрами на зеленом фоне, напечатанными кривым шрифтом.
Во время сентябрьской выборной кампании капчу приходилось вводить при обращении к любой странице с данными о голосованиях 2020 года (к страницам с более ранними сведениям доступ был проще). Например, чтобы узнать итоги голосования в одномандатном округе на выборах в муниципальный представительный орган, капчу при переходе с главной страницы регионального избиркома приходится вводить три раза.
- После нажатия на ссылку с названием кампании;
- После нажатия на ссылку «Данные о предварительных итогах голосования по одномандатному (многомандатному) округу»;
- После выбора окружного избиркома в выпадающем списке;
+1 Кроме того, капчу необходимо ввести при возвращении на главную станицу избирательной кампании.
Например, выборы в Воронежскую гордуму прошли в 24 одномандатных округах, чтобы узнать их исход, надо ввести капчу 95 раз.
Это вообще законно?
Правовые основания для внедрения капчи появились за полгода до конституционного голосования – 25 декабря 2019 года.
В этот день ЦИК утвердил новые Требования к технологическим, программным и лингвистическим средствам обеспечения пользования официальным сайтом ЦИК РФ и официальными сайтами избирательных комиссий субъектов России. Из «Требований» пропала формулировка о том, что данные могут быть доступны для «автоматической (без участия человека) обработки информационными системами».
Это значит, что ЦИК гарантировал только ручной доступ к результатам выборов. Автоматизированный сбор и анализ этой информации (парсинг), позволяющий оперативно изучить данные, напрямую не запрещался, но обеспечивать его возможность ЦИК больше не был обязан.
Но капча есть у всех, что не так на сайте ЦИК?
Во-первых, капча замедлила анализ хода и исхода голосования для независимых наблюдателей.
«Это крайне затруднило работу всех, кому нужны данные о выборах. Их стало крайне сложно получить в машиночитаемом формате, пригодном для анализа. ЦИК, декларируя открытость, поставил новые препоны, создал проблемы для представителей гражданского общества», – так охарактеризовало практику применения капчи общественное движение за права избирателей «Голос».
«Открытость данных о голосовании и возможность быстро их скачивать представляет проблему для властей по двум причинам. Во-первых, оно позволяет оперативно выявлять и делать достоянием гласности статистические аномалии и рисовку результатов - то есть, когда, например, в каком-то районе на всех участках один кандидат получает одинаковую долю голосов. Во-вторых, регулярное, через интервалы, скачивание данных позволяет выявлять подлог, когда результаты вводятся заново и меняются задним числом», – написал на своей странице в соцсети Facebook преподаватель Высшей школы экономики, экономист Алексей Захаров.
С ним согласен эксперт в области защиты данных и цифровой безопасности, директор ассоциации «Новая группа», сооснователь проекта «Цифровая безопасность просто» Николай Кванталиани:
— Капча в ГАС «Выборы» нужна, чтобы жизнь стала сложнее у тех, кто собирает и проверяет на сайте информацию. Другого логического объяснения я не вижу. Это блокировка для удобного получения данных. То есть, данные вроде и доступны, но есть сложности. Если бы на сайте Центризбиркома была информация, к которой можно было получить несанкционированный доступ – еще было бы более или менее понятно. Но мы видим, что сайт не использует шифрованное подключение – потому что там открытые и публичные данные.
Об этом же говорится в письме российских ученых и наблюдателей, опубликованном в «Новой газете».
Во-вторых, капча не решает проблемы DDoS-атак, на которые представители ЦИК жаловались и во время конституционного плебисцита в июне и июле 2020 года и во время Единого дня голосования в сентябре.
— Капча – не самый эффективный, мягко говоря, способ [борьбы с DDoS-атаками], – уверен эксперт по IT-безопасности Михаил Ивановский. – Скорее, самый простой. Я руководил телеком-компанией, мы занимались там защитой от DDoS-атак и использовали более эффективные способы защиты, не капчу.
По его словам, для борьбы с DDoS-атакой достаточно обязать пользователя ввести капчу один раз: система распознает в нем живого человека, и ее это больше не интересует. Но на сайтах избиркомов капчу надо было вводить постоянно.
– Очевидно, что разработчики [те, кто прикрутил капчу в ГАС «Выборы»] преследовали одну цель: максимально помешать людям собирать аналитические данные о выборах и сделать минимальной или вовсе исключить машинный [автоматический] сбор данных, – добавил Ивановский.
Николай Кванталиани предположил, что к применению избыточной капчи могла привести ошибка программистов: когда «привинчивали» капчу на внутреннюю админку для сотрудников избиркома, то забыли снять «галку» для публичного сайта. Но эта версия маловероятна.
Что говорит по поводу капчи ЦИК
Элла Памфилова подтвердила, что Центризбирком ввел капчу, чтобы затруднить автоматический сбор данных.
– Учитывая существенно изменившуюся и возросшую нагрузку, нами и было принято решение о введении механизма CAРTCHA на сайте izbirkom.ru, ограничивающего бесконтрольное массовое автоматическое скачивание данных с сайта. Поскольку технически это пришлось осуществлять в крайне сжатые сроки, соглашусь, что сделали, мягко говоря, неудачно - будем дорабатывать, - привел ее слова «Интерфакс».
«7x7» направил в ЦИК запрос об угрозах, с которыми была призвана справиться капча, и о том, как комиссия оценивает последствия ее применения, но оперативного ответа не получил.
Что надо сделать с капчей на сайте избиркомов на самом деле
Убрать.
Об этом говорят и электоральные аналитики, и специалисты по цифровой безопасности.
По мнению эксперта по IT-безопасности Михаила Ивановского, публичные данные в ГАС «Выборы» должны скачиваться удобно и единым массивом. Например, прошли выборы, избирком загружает их в один файл и публикует ссылку для скачивания.
– Почему бы так не сделать – непонятно: это очень просто и достаточно сделать один раз. Проще забрать [данные] целиком, чем городить эти огороды. Но слишком уж много у нас развелось этих аналитиков, которые пишут о фальсификациях и приходят к выводу, что результаты выборов нелегитимные, – сыронизировал он.
Депутат Московской городской думы Дарья Беседина направила в ЦИК письмо с предложением публиковать итоги голосования на всех российских выборах в формате открытых данных в машиночитаемом виде.
Авторы открытого письма в «Новой газете» заявили, что подобная практика используется «от Польши и Финляндии до Испании и Бразилии». Кроме того, они предложили «выкладывать в онлайне сканы протоколов избирательных комиссий. Не требующая затрат бюджетных средств ликвидация капчи при этом является первоочередной мерой, которая может и должна быть немедленно реализована».