В сентябре 2019 года в России впервые проведут эксперимент по голосованию через интернет — на выборах в Мосгордуму. Проект начали готовить всего за несколько месяцев до голосования, подготовка идет в полузакрытом режиме, всю техническую часть взяла на себя московская мэрия — «Медуза» уже объясняла, почему все это вызывает вопросы. Один из авторов идеи электронного голосования — главный редактор «Эха Москвы» Алексей Венедиктов 26 июня в эфире радиостанции заочно ответил на критику эксперимента. Единственная площадка для обсуждения и сбора отзывов по интернет-голосованию — собранная Венедиктовым техническая рабочая группа. «Медуза» попросила участников этого экспертного совета объяснить, почему некоторые заявления Венедиктова вызывают серьезные опасения.
Техническая рабочая группа для разработки программного кода к электронному голосованию была создана по инициативе самого Алексея Венедиктова, который рассказывал, что «продавил» это решение. Он пригласил к участию представителей всех партий, кандидатов и независимых наблюдателей. Группа встречалась трижды — 11 апреля, 27 мая и 21 июня. После майской встречи приглашенные эксперты сформулировали 23-страничный перечень замечаний и предложений (есть в распоряжении «Медузы»). Вместо подробного ответа мэрия на последней встрече показала элементы уже готовой системы голосования.
Члены технической рабочей группы, которые готовили комментарии для «Медузы»: Александр Исавнин, программист, член УИК, Пиратская партия; Дмитрий Кузнецов, ведущий инженер-программист, член ТИК, партия «Гражданская инициатива»; Григорий Мельконьянц, юрист, движение «Голос»; Дмитрий Нестеров, кандидат физико-математических наук, движение «Голос»; Алексей Сокирко, кандидат технических наук, член УИК; Евгений Федин, программист, член ТИК, КПРФ.
О спешке при подготовке
Ведущий: Почему система не была отлажена до принятия закона?
Венедиктов: Как это можно отладить до принятия закона, если у тебя нет возможности? Ты вообще не можешь заниматься. Нужно выделять финансирование. На основании чего?
Что не так: На самом деле отладить систему до принятия закона и получить государственное финансирование тоже можно. Например, выиграть грант (в том числе и государственный) на соответствующую НИОКР. Можно было добиваться включения соответствующего направления в какую-либо программу развития цифровых государственных услуг. Наконец, можно было начать готовить законодательную базу не в последние месяцы перед выборами, а заблаговременно.
При этом очевидно, что информационная система фактически разрабатывалась департаментом информационных технологий Москвы до принятия федерального закона (опубликован 29 мая) и до решения Московской городской избирательной комиссии от 17 июня (№ 96/1), в котором перечислены требования к программному обеспечению. Венедиктов никак не объясняет, что мешало начать разработку раньше, чтобы успеть все протестировать на голосованиях вне выборов органов государственной власти.
О полном контроле со стороны мэрии
Ведущий: Очень многих смущает, что голосование происходит на сервере mos.ru.
Венедиктов: А некоторых смущает, что все происходит на серверах в Штатах. Это совершенно одинаково. Когда вы там чего-то делаете, ваши персональные данные уходят американскому империализму.
Что не так: Венедиктов либо не понимает сути вопроса, либо намеренно уходит от ответа. Специалистов смущает, что голосование организовано не силами избирательных комиссий, не на их территории, не на принадлежащем им оборудовании, не на их программном обеспечении, а на официальном сайте мэра Москвы Сергея Собянина — члена бюро высшего совета партии «Единая Россия». Эта партия сейчас имеет большинство в Мосгордуме, но, как выяснила «Медуза», на предстоящих выборах поддержанные «Единой Россией» кандидаты будут скрывать партийную принадлежность. Избирательные комиссии при этом всего лишь легитимизируют такие выборы, ставя подпись под протоколом об итогах голосования. Члены избирательной комиссии не могут никаким образом проконтролировать происходящее внутри электронной системы мэрии Москвы.
О принципе «не хочешь — не участвуй»
Венедиктов: Смущаетесь — не голосуйте. Еще раз, это по выбору. Все знают, это на серверах mos.ru. Окей, голосуйте бумажно в том же округе. Нет вопросов.
Что не так: Тут происходит подмена понятий. Венедиктова спрашивают, что делать тем, кто не доверяет электронному голосованию на сайте, контролируемом представителем правящей партии. Он в ответ не предлагает повысить степень доверия к такому голосованию, а просто советует сомневающимся не пользоваться им. Но даже если избиратель проголосует классическим путем (с помощью бюллетеня), его голос потом суммируется с голосами, полученными с помощью интернет-голосования, которому он не доверяет.
Право избирателя — это не просто право опустить бюллетень в урну. Российский закон гарантирует участие в выборах на равных основаниях для всех, а значит, любой избиратель должен быть уверен, что все используемые системы голосования одинаково надежны.
Об электронном списке избирателей
Венедиктов: За три дня до голосования (4 сентября) эти списки [выбравших интернет-голосование] будут публичными. И представители кандидатов могут пройти по этим адресам и спросить: «А вы записались в электронное голосование?»
Что не так: Предложенный Венедиктовым способ контроля неосуществим по ряду причин. Список избирателей будет отображаться лишь на мониторе компьютера, установленного в помещении УИК по дистанционному электронному голосованию. На электронной презентации, представленной на комиссии Мосгордумы по государственному строительству и местному самоуправлению 23 апреля, этот компьютер обозначен как «АРМ Председателя УИК», что вызывает опасения в связи с возможным ограничением доступа к компьютеру другим членам комиссии и наблюдателям. Даже если председатель комиссии позволит ознакомиться со списком кандидатам/членам комиссии/наблюдателям, то попытки выписать из него фамилии и адреса избирателей немедленно будут пресечены. По закону список избирателей составляется только в двух экземплярах, его копирование запрещено.
Если допустить, что кто-то позволит кандидатам скопировать персональные данные избирателей, возникает другая проблема. Венедиктов предложил обходить избирателей по месту жительства (постоянной регистрации). Но речь об избирателях, которые решили проголосовать электронно, как раз чтобы не ходить в день голосования в избирательную комиссию по месту жительства. Следовательно, их вряд ли можно будет застать по адресу регистрации. При этом обойти тысячи избирателей практически не представляется возможным. Посещение каждого адреса с юристом или нотариусом может обойтись в существенную сумму.
О бумажной копии результата голосования
Ведущий: Валерий Рашкин говорит, что нет никакой возможности оспорить результаты голосования, если они будут сфальсифицированы.
Венедиктов: Значит, есть такая возможность. Там будет распечатан, там будет идти параллельно распечатанный листок. И можно будет посмотреть, сколько голосов проголосовало и как они разложились. Так же как бюллетень падает сейчас [в урну] и ты не знаешь, какой твой бюллетень, точно так же количество бюллетеней, количество проголосовавших на каждом этапе… и тут можно будет видеть из дома каждому, сколько человек проголосовало. А потом сверить это.
Что не так: Венедиктов сравнивает бумажную ленту с результатами электронного голосования (почему он говорит про листок, неясно — рабочей группе показывали именно рулон ленты) и классический бумажный бюллетень. Это некорректное сравнение.
Бюллетень является первичным документом, на котором избиратель лично поставил свою отметку. Избиратель опускает бюллетень в урну и может быть уверен, что документ с его отметкой находится среди других таких же исходных документов. Подменить бумажные документы незаметно — сложная задача.
В случае же интернет-голосования избиратель нажимает на кнопку, а потом начинается непрозрачный процесс (разработчики пока не показывали код системы), который на самом последнем этапе приводит к печати ленты в избирательной комиссии. Независимый наблюдатель никак не может удостовериться, что запись на ленте соответствует реально проголосовавшему избирателю и что напечатанный на ленте голос за конкретного кандидата соответствует тому выбору, который сделал избиратель.
Бумажная лента — это уже конечный результат работы системы, примерно как протокол обычной избирательной комиссии. И при оспаривании результатов классических выборов проверяют не протоколы, а бюллетени, которые хранят в мешках один год. Следовательно, при оспаривании результатов электронного голосования следует проверять не распечатки, а саму электронную систему — чтобы убедиться, что голос от избирателя правильно фиксируется на ленте. Как это можно проверить, пусть даже после подведения итогов выборов, неизвестно. Ни закон об эксперименте, ни документы Мосгоризбиркома такую процедуру не предусматривают.
О наблюдении за электронным голосованием
Ведущий: Григорий Мельконьянц: непонятно, как наблюдатели будут следить за этим голосованием.
Венедиктов: Господину Мельконьянцу, который был приглашен в штаб и является членом штаба, надо просто приходить на совещания, где ему подробно технически рассказывают, как можно следить.
Ведущий: А нам вы можете сказать?
Венедиктов: Я не могу сказать, потому что есть техническая часть — я ее не понимаю.
Уведомление о возможном конфликте интересов. Сопредседатель движения «Голос» Григорий Мельконьянц участвовал в подготовке приведенного ниже комментария.
Что не так: Вместо ответа на поставленный вопрос Венедиктов утверждает, что Мельконьянц не участвует в подготовке системы. Григорий Мельконьянц, а также его коллеги были на всех совещаниях технической рабочей группы, созданной по инициативе Общественной палаты Москвы. Ни на одной из этих встреч не было Алексея Венедиктова (это подтверждается видеозаписями встреч). Вероятно, Венедиктов имеет в виду какие-то другие совещания, на которые представителей «Голоса» не приглашали.
На встречах рабочей группы обсуждался контроль только на одном из последних этапов процедуры голосования — наблюдатели смогут удостовериться, что записанный в блокчейн голос надежно зашифрован и его невозможно никак изменить. Остаются без контроля проверка личности избирателя перед выдачей бюллетеня, тайна голосования, передача голоса в систему, его обработка и запись голоса в блокчейн. По результатам этих совещаний наблюдателям и экспертам до сих пор непонятно, как они смогут следить за голосованием. Можно привести такую аналогию: наблюдателям предлагают только удостовериться, что ящик с бюллетенями надежно опечатан, не спрашивая, как эти бюллетени туда попали.
О возможности проверить программный код
Ведущий: Почему ААВ [Алексей Алексеевич Венедиктов] обещал программистам участие в разработке кода экспериментального электронного голосования, хотя на деле там код посмотреть не дают?
Венедиктов: Потому что вы пришли или не пришли! Потому что вместо того, чтобы присылать программистов туда, туда послали политиков, которые так же, как я, ни хрена в этом не понимают. А вот теперь код будет открыт для всех, для хакеров. Надо приходить, когда вас зовут, а не когда вы хотите! Партии стали присылать политиков, мы им говорили: «Пришлите программистов, которые разделяют ваши политические [взгляды], чтобы писать [код] вместе!» Кто пришел на первое заседание? Никто. Кто пришел на второе заседание? Только коммунисты.
Что не так: То, как Венедиктов описывает совещания технической рабочей группы, не соответствует действительности. Рабочая группа, на заседаниях которой Венедиктов не появлялся, работает в формате вопрос-ответ, сотрудники мэрии собирают пожелания. Совместная разработка или аудит всего программного кода не предлагались ни на одном из заседаний. На последней встрече 21 июня проверку работы системы хотя бы в формате тестового использования (даже не изучения кода!) снова отложили на месяц. Любой желающий может убедиться в этом, посмотрев видеозапись.
На первом, на втором и на третьем заседании рабочей группы присутствовали и представители партий, и программисты. Ни на одном из совещаний не обсуждалось, что кто-то из приглашенных программистов сможет участвовать в написании кода для системы электронного голосования. Более того, разработавший систему департамент информационных технологий мэрии до сих пор не предъявил код для независимой экспертизы.
О сборе данных всех, кто проголосует через интернет
Венедиктов: Самое интересное будет — сравнить по бумаге один округ. И мы увидим, что если там [в системе электронного голосования] голосуют 2% от пришедших, а 98% голосует бумажно, как это может повлиять? Никак, кроме как посмотреть социологию. Потому что мы увидим в списке записавшихся и проголосовавших их возраст, их положение семейное, их доходы, ну, приблизительно, профессию.
Что не так: То, что Венедиктов описывает как сбор социологических данных, на самом деле может представлять собой нарушение тайны голосования. На классических выборах члены избирательных комиссий видят в списках избирателей только дату рождения (возраст) и место жительства избирателя. Но по закону даже эти сведения о проголосовавших не могут быть доступны никому, кроме членов участковых комиссий в момент голосования. После выборов списки избирателей опечатываются и сдаются на ответственное хранение — по закону никто не может открыть их и посмотреть, какие люди пришли на выборы, чтобы составить социологический портрет. Социологические исследования на выборах проходят только в формате опросов на выходе с участков. Причем любой избиратель может отказаться от участия в таком опросе.
Поскольку мэрия Москвы до сих пор не дала никаких гарантий тайны волеизъявления при электронном голосовании, такое заявление Венедиктова вызывает серьезные опасения.
Дополнительные комментарии: о проверке личности избирателя и о принуждении к голосованию
О проверке личности избирателя
Что не так: В предлагаемой системе интернет-голосования процедура подачи заявления на включение гражданина в «Реестр избирателей» происходит с помощью СУДИР, которая согласно п. 4.4 постановления Правительства Москвы от 2 декабря 2014 года № 718-ПП «Об автоматизированной информационной системе „Система управления доступом к информационным системам и ресурсам города Москвы“» использует так называемую технологию однократной аутентификации, позволяющей выполнять вход в различные информационные системы города Москвы посредством разового ввода логина/пароля/СМС-кода. Такая аутентификация не гарантирует соответствие личности избирателя предъявленному им идентификатору.
Предложенный способ аутентификации предоставляет возможность злоумышленникам голосовать без ведома избирателя с помощью украденного логина, пароля и средства связи либо получив их от избирателя за денежное вознаграждение. При этом действия злоумышленников не могут быть пресечены на месте членами комиссии, наблюдателями и полицией, как это возможно в помещении для голосования, в котором процедура идентификации избирателя происходит по фамилии, имени, отчеству и адресу в паспорте, с использованием книги избирателей, а аутентификация — с помощью сравнения фото в паспорте с лицом гражданина. Таким образом, не гарантируется соблюдение нормы закона, согласно которому каждый избиратель, участник референдума голосует лично, голосование за других избирателей, участников референдума не допускается.
Комментируя эту уязвимость, ДИТ мэрии рассказал, что для установления личности человек должен сам сходить в МФЦ и получить на руки пароль от личного кабинета, что позволяет существенно снизить мошеннические действия. Однако эта процедура никак не связана с моментом голосования и таким образом не подтверждается, что именно владелец личного кабинета будет голосовать.
ДИТ также сообщил, что с учетом процедуры в МФЦ, а также использования СУДИР для аутентификации избирателя с помощью логина/пароля/СМС-кода обеспечивается однозначная идентификация избирателя. В этом комментарии происходит подмена строгого понятия аутентификации на понятие идентификации. Действительно, с помощью СУДИР можно однозначно идентифицировать избирателя, то есть найти о нем информацию в базе данных по логину и паролю. Но однозначно подтвердить, что именно он вошел в личный кабинет, то есть аутентифицировать его, не представляется возможным.
О принуждении к голосованию
Что не так: Избирательная комиссия участка дистанционного электронного голосования не знает, в каких условиях голосует избиратель. Комиссии неизвестно, является ли он военнослужащим, находится в местах лишения свободы или больнице, дееспособен, оказывается ли на него давление и вообще существует ли он на момент голосования. В подобной сложной ситуации также находятся избиратели в неблагополучных семьях, на предприятиях моногородов, в больницах и регионах, находящихся под контролем диаспор.
В системе нет защиты избирателя от воздействия или давления иных лиц, поскольку у персонального компьютера голосующего нет рядом наблюдателей, членов комиссии, представителей СМИ, к которым он мог бы обратиться за помощью, как это можно сделать на классическом избирательном участке. Избиратель не может проконсультироваться и узнать, что его права нарушены. В помещении или на улице, где избиратель голосует через интернет, может располагаться реклама кандидатов и партий, что также нарушает процедуру голосования.
Предлагаемая проверка личности через голосовой звонок на зарегистрированный в личном кабинете номер телефона не избавит от указанной проблемы, поскольку избиратель может не отвечать на звонки, а оператор не сможет отличить конкретного избирателя по его голосу от другого человека, который снимет трубку. На заседаниях технических рабочих групп иных решений проблемы предложено не было.