Коалиционные депутаты 26 января проголосовали против обсуждения уязвимостей в системе э-выборов в спецкомиссии по борьбе с коррупцией, поскольку, по их оценке, было бы неправильно обсуждать эту тему именно в этой комиссии, пишет ERR.

В рамках свободного обсуждения в комиссии научный сотрудник факультета инфотехнологий ТТУ Тарво Трейер представил свою научную работу, на основе которой Государственная служба по организации выборов расширит к выборам 2027 года функциональность одного из инструментов аудитора – программное решение, с помощью которого аудитор сможет самостоятельно выполнить все проверки электронных голосов.

При этом Государственная служба по организации выборов опровергла утверждения о том, что примерно 8000 электронных голосов, подлежавших аннулированию на последних муниципальных выборах, можно было манипулировать.

"Система электронного голосования построена таким образом, что ни на одном этапе невозможно незаметно добавить, удалить или изменить электронные голоса. На это обстоятельство никак не влияет то, проводил ли аудитор проверки вручную или автоматизированно", – заверил глава Государственной службы по организации выборов Арне Койтмяэ.

Предполагается, что в дальнейшем аудитор сможет выполнять больше проверок в автоматизированном режиме. При этом Трейер в своей работе сосредоточился на программном решении для аудита и не рассматривал, реализуемы ли теоретические внутренние атаки в реальности и какими мерами эти риски уже нивелированы.

"Манипулирование электронными голосами в ходе аннулирования повторных и двойных голосов предполагало бы заражение вредоносным программным обеспечением компьютера, на котором обрабатываются электронные голоса. Для предотвращения подобного для обработки голосов используется защищенный компьютер без сетевого соединения, на который установлено соответствующее программное обеспечение, выявляющее такие атаки. Аудитор дополнительно проверяет как надежность самого компьютера, так и работы программного обеспечения, – пояснил Койтмяэ. – За счет большей автоматизации аудита мы сможем сократить число споров о том, смог ли аудитор в достаточной мере убедиться в корректной обработке электронных голосов".

По его словам, в дальнейшем будет неактуальным вопрос доверия к Государственной службе по организации выборов или аудитору, поскольку на основе открытых исходных кодов используемых на выборах приложений и тестовых данных, созданных Трейером, любой человек с достаточными ИТ-знаниями сможет сам убедиться, что электронные голоса подсчитываются корректно.

С 2024 года Государственная служба по организации выборов сотрудничает с учеными Таллиннского технического университета, чтобы сделать аудит электронного голосования более прозрачным, понятным и автоматизированным. В результате этого сотрудничества аудиторское приложение было впервые дополнено к выборам в Европейский парламент, когда была добавлена автоматизированная проверка криптограмм. На основе последней научной статьи Трейера Государственная служба по организации выборов разрабатывает программное решение к парламентским выборам 2027 года. 

Как сообщалось ранее, изучивший систему аудирования Трейер искусственно создавал ошибочные ситуации, чтобы посмотреть, как на них реагирует официальный аудиторский инструмент для проверки.

"Я создал множество пробных избирательных урн и в каждую искусственно внес какую-то ошибку. А затем показал, что аудиторы могли бы использовать их для обучения, для проверки своих инструментов – способны ли эти инструменты выявлять такие ситуации", – пояснил Трейер.

Он выявил 37 возможных сценариев ошибок, из которых в эксперименте использовал 17. Контрольный инструмент аудиторов обнаружил лишь пять из них.

Так, инструмент для проверки не выявил ситуацию, при которой в электронную избирательную урну был добавлен незаметный, так называемый голос-призрак. Кроме того, система признала действительным электронный голос, хотя избиратель позже изменил свой выбор, проголосовав на участке.

Трейер подчеркнул, что из его работы не следует делать вывод, будто он выявил атаку на систему электронного голосования или что обнаруженные им риски реализовались.