д-р Стефан Манов*
Асоциация Френско-български форум
В настоящата статия се разглежда една възможна и ефикасна технология – съвкупност от мерки, които да осигурят надеждна защита срещу масово купуване и реализиране на „електронни гласове“.
В статията не се обсъждат в детайли самите технологични решения и тяхната конкретна техническа реализация (освен най-необходимото за разбирането на предлаганата система). Изложени са само общите принципи и механизми по понятен за широката публика начин, така че читателят да е в състояние да направи сам преценка за ефективността им.
Неизменно съпътстващ българската изборна действителност през последните две десетилетия е образът на брокера на изборни гласове, онзи от телевизионните репортажи, с характерния силует и ланци, обичайно действащ в „махалата“.
Покупко-продажбата на гласове, контролираният и корпоративен вот – реални или мними, мащабни или локални явления, освен всичко друго, подкопават трайно общественото доверие в изборния процес и в изборния резултат.
Въвеждането на електронно дистанционно гласуване по интернет неминуемо се сблъсква с контрааргумента на неговите противници, че то значително щяло да улесни масовото купуване на гласове и тяхното реализиране. Битува карикатурното виждане, че е достатъчно брокерът да събере/изкупи паролите на избирателите „от махалата“ и бързо и лесно да реализира 100, 500 или 1000 избиратели. Или пък че с един лаптоп ще обиколи къщите и ще постигне подобен резултат. Друго такова клише е сочената опасност, че работодателят щял да привика своите служители един по един в счетоводството и срещу получаването на аванса или заплатата, щял да ги принуди да гласуват от служебния компютър за правилния кандидат и партия.
Всъщност, електронният дистанционен вот дава значително повече възможности за противодействие на тези явления, отколкото хартиеният.
Стопроцентовата защита никога не е възможна. Целта на защитните мерки е не да постигнат някакъв утопичен „нулев риск“ т.е. нула купени гласа, а да свалят вероятността за масово реализиране на купени електронни гласове до ниво многократно по-ниско от това за хартиените гласове, така че да стане безсмислено.
На практика, това означава да се поставят серия от технически и/или финансови препятствия пред купуването и реализирането на електронни гласове, които, макар и преодолими всеки поотделно, кумулативно съставляват бариера, която напълно обезсмисля опитите за преодоляването им като го правят сложно, неефективно, рисковано, скъпо, трудоемко, оставящо следи, с непредвидим или непроверяем от брокера резултат.
Предлаганата в следващите редове система гарантира именно това.
Преди обаче да се обсъжда подсигуряването на етапите на електронното дистанционно гласуване срещу злоупотреба, е необходимо да се уточнят кои са тези етапи.
Незаобиколим първи етап е заявяване на намерението за гласуване чрез интернет и съответна регистрация на избирателя в системата за електронен дистанционен вот.
Нека приемем, че този етап се извършва не по-късно от 15 дни преди изборния ден т.е. достатъчно отдалечен от самото гласуване. Няма технически пречки крайният срок да бъде и по-късно, но е необходимо да се остави известно технологично време за заличаване на заявилите желание да гласуват по интернет от основния „хартиен“ избирателен списък преди отпечатването му (не по-късно от 5 дни преди изборния ден) и вписването им в списъка за гласуване по интернет.
Вторият етап е същинското електронно дистанционно гласуване. Практиката е то да не се случва в самия изборен ден и да протича в продължение на няколко дни. Удачно е то да се извърши в рамките на 3 дни, от четвъртък до събота в седмицата преди изборния ден.
Прозорецът за гласуването по интернет не трябва да е нито много рано – все пак предизборната кампания трябва да се е състояла, за да могат избирателите да са наясно с политическата „оферта“, нито в самия изборен ден, за да не се постави на изпитание системата – не само техниката, но и изборната администрация. Последното се налага и за да може да се реализира възможността за хартиен вот от избирателите, които искат да отменят електронния си вот или не са успели да го упражнят поради техническа причина да гласуват по интернет.
Прозорецът не трябва да е прекалено дълъг – нарочният „недостиг“ на време е част от съвкупността от мерки срещу евентуален опит за реализиране на купен/контролиран вот в големи размери или злонамерени атаки срещу сървърите, нито да е прекалено къс, за да има достатъчно време избирателите да гласуват, без да се натоварва прекалено системата, ако е само един ден.
Стандартна практика е избирателят да може да променя вота си като гласува няколко пъти, например до 3 пъти. Разбира се, отчита се само последното гласуване. Необходимо е да се предвиди и възможност за гласуване с хартиена бюлетина в изборния ден, което да отменя електронния вот.
Тези две мерки са важни, защото позволяват на избирателя да се чувства свободен в избора си, ако по някакъв начин той е бил компрометиран (опит за контролиран вот, например), а от друга страна действат възпиращо у този, който планира да реализира купен или контролиран вот, тъй като създават висока степен на несигурност за резултата от опита за покупко-продажба.
Избирателите заявили желание за гласуване по интернет се заличават от основния списък по постоянен адрес и се вписват в списък-приложение на лицата заявили желание за гласуване по интернет. Ако в изборния ден те се явят в избирателната секция, те се допускат да гласуват, като това обстоятелство се отбелязва в списъка-приложение и се съобщава незабавно на РИК по телефона. Имената и ЕГН-тата на тези избиратели се посочват и в протокола. След края на изборния ден, след като протоколът и изборните книжа бъдат предаден в РИК, РИК предава информацията на ЦИК, която анулира съответния електронен глас.
За да се запази тайната на вота, при електронното дистанционно гласуване се използва принципа на „двойния плик“, познат например от кандидатстудентските изпити и практикуван масово в дистанционните форми на гласуване по пощата – гласът на избирателя се съдържа в анонимизиран (бял) запечатан вътрешен плик, поставен в друг външен плик, който носи името (идентификатора) на избирателя. След приключване на изборния ден, избирателната комисия изважда вътрешните пликове, без да ги разпечатва, от външните и пуска в общата урна. Едва след като всичките вътрешни пликове са събрани в урната, започва тяхното отваряне респ. отчитане на вота.
Именно този начин се прилага и при дистанционното електронно гласуване, разбира се използвайки съответните дигитални технологии за криптиране. Така, в случай, че избирателят е гласувал хартиено, неговият електронен глас може да бъде анулиран, без да бъде разкрит вота му, доколкото в този момент „вътрешният плик“ съдържащ гласа все още не е изваден от „външния“, идентифициращ гласоподавателя.
Често електронното дистанционно гласуване се свързва с необходимостта от използване на електронен подпис, с който избирателят се идентифицира.
Сам по себе си обаче електронният подпис или друг подобен електронен идентификатор не дава гаранции срещу масовата злоупотреба с „електронни гласове“. Нищо не пречи масовото изкупуване на електронни идентификатори от брокера на гласове и последващото им използване. В този смисъл, абсолютизирането му като единствено средство за осъществяване на електронно дистанционно гласуване по интернет, е непропорционално на търсената цел затруднение за избирателите.
Авторът смята, че трябва да се възприеме процедура, която да е осъществима от дистанция, така че да не се налага избирателят да се явява лично пред администрация в страната или задгранично представителство за да получи електронен идентификатор. В противен случай се обезсмисля самата идея за дистанционен вот. А той цели най-напред да се облекчи и насърчи участието в избори на избирателите извън страната, на инвалидите – две целеви групи, които по очевидни причини не могат лесно да се сдобият с електронен подпис, или на младите избиратели, които са слабо мотивирани да извършват административни постъпки.
Не на последно място, електронният подпис изисква и финансови разходи по получаването и поддържането на валидността му.
Един надежден и лесен дистанционен начин за получаване на електронен идентификатор за гласуване е посочен в края на тази статия.
За опростяване на настоящото изложение, ще приемем, че заявителят вече разполага с електронен подпис или друг електронен идентификатор.
1.Заявяването на желание за гласуване по интернет се извършва на специална страница на изборната администрация (Централна избирателна комисия). Заявяването се извършва чрез :
2. При заявяването, избирателят посочва и номер на банкова карта. Системата извършва т.нар. нулева банкова операция, при която се установя валидността на съответната банкова карта, но действителна парична транзакция не се извършва. Такива операции се използват изключително често в ежедневието, например при резервация по интернет на кола под наем, хотелска стая и т.н. Една банкова карта може да се използва само от един избирател. Данните от използваната банкова карта се запазват от системата и се асоциират със съответния избирател.
3. На този етап избирателят заявява и получава потребителско име и парола, които се използват по-късно при самото гласуване.
4. Системата регистрира в базата данни IP адреса[2] на използвания компютър, както и други хардуерни кодове, специфични за съответното устройство (например MAC-адрес на мрежовата платка, кодовете на микропроцесора, на хард-диск, графична платки и др.под.). Тези параметри се асоциират в базата-данни със съответния избирател – лични данни, телефонен номер, банкова карта.
Един набор от хардуерни кодове може да се използва от 4-ма избиратели[3].
Ако заявяването е успешно регистрирано, избирателят получава цифров сертификат (файл) важащ само за съответния избор.
Напълно реализуемо е и използването на пръстов отпечатък (въпреки че авторът смята това за ненужно, предвид другите предвидени защити). Днес огромен брой устройства (смартфони, лаптопи…) имат вече вграден четец за пръстови отпечатъци, а с въвеждането на биометрията при издаване на личните документи, пръстовите отпечатъци на практически всички избиратели са налични в системата на MВР. Впрочем, в последните две години голям брой европейски летища въведоха успешно електронна граница, при която пътуващият се легитимира и преминава чрез електронна проверка на паспорта и неговата биометрия, без участието на граничен полицай. Каква по-добра гаранция за ефикасност и сигурност на системата, щом тя е възприета в тези най-чувствителни области каквито са преминаването на държавната граница и въздушния транспорт и то при състоянието на терористична заплаха, в които живее светът през последните години.
Гласуването може да се извърши единствено от компютъра регистриран в т.4.
Процесът на самото гласуване трябва да има продължителност от не по-малко от 10 минути[4].
За да може да го допусне до гласуване, системата идентифицира избирателя чрез :
В процеса на гласуване системата изисква и :
Като възможна допълнителна защита, би могло да се предвиди системата да изисква в процеса на идентификация отговор на случаен въпрос относно лични данни на близки роднини на лицето, например бащино име на майката, място на раждане на бащата, рождена дата на брат и др.под.[5]
Иновативен, но напълно реалистичен, ефективен и сигурен начин за дистанционно получаване на електронен идентификатор за гласуване е чрез използване на видеоконферентна връзка.
Избирателят се свързва чрез видеоконферентна връзка с държавен орган, администрация или задгранично представителство. Избирателят се легитимира пред държавния служител с валиден личен документ, показан четливо на уеб-камерата, след което посочва в текстов чат номер на мобилен телефон, на който получава код за регистрация, валиден няколко часа.
Получаването на еднократен код чрез смс на мобилен телефон е широко използван способ за идентификация при интернет банкирането в т.ч. прехвърлянето на крупни суми между банкови сметки.
Един мобилен номер може да се ползват само от едно лице. С получения код, избирателят получава своя електронен идентификатор на специална интернет страница. С този електронен идентификатор се извършват останалите операции по регистрацията на намерението за гласуване по интернет и самото гласуване (вж по-горе).
За предотвратяването на злоупотреби, видеоконферентната връзка и текстовият чат се записват и архивират.
По надеждност, този дистанционен метод на получаване на електронен идентификатор, всъщност дава повече гаранции за сигурност отколкото традиционното закупуване на електронен подпис в офиса на частна фирма.
За осъществяването на дистанционно получаване на електронен идентификатор чрез видеоконферентна връзка би могло да се мобилизират служители от дипломатическите и консулски представителства (ДКП), РПУ, митници, НАП, териториалните звена на ГРАО, министерства, общини и др. Ако се оборудват например само 500 пункта за видеоконферентна идентификация – брой, който в никакъв случай не изглежда непостижим при цялата армия от държавни служители в посочените ведомства, и всеки от тях регистрира скромните 20 избиратели на ден, в продължение само на 15 дена капацитетът е от 150 000 регистрирали се.
Предлаганият механизъм за защита срещу масово купуване и реализиране на купени „електронни гласове“ се основава на принципа на натрупването на серия от бариери и затруднения, които е практически невъзможно да се преодолеят в цялост и за значим кръг от избиратели. Той съчетава както чисто технически мерки – уникалност на използвания компютър например, така и психологически бариери – малко хора ще са готови да поверят банковата си карта или данните от нея на случаен брокер.
Евентуално масово издаване на банкови карти с цел масово купуване на вот изисква откриване на множество банкови сметки, което е свързано както с разходи, така и със снемане на самоличността и други логистични усложнения. Такова едно мероприятие би оставило ясни следи за самоличността на притежателя/издателя на картите.
Масово купуване на предплатени СИM-карти също би оставило следи, доколкото от няколко години то не може да се извърши без снемане на самоличността на купуващия ги (поне в страните от ЕС).
Промяната на хардуерни кодове като MAC-адрес и др.под. не е невъзможно, но изисква сериозни познания и значително време. IP-адресите се генерират от интернет доставчика, а не от потребителя. Освен това, те лесно могат да бъдат проследени (така например работят службите при установяването на нарушения на закона за авторските права). Напълно нереалистично е, предвид необходимите финансови средства, да се сглобят хиляди компютърни конфигурации и сключат хиляди интернет абонаменти специално за реализирането на масово купуване на вот.
Не на последно място, защитата идва и от създаваните множество етапи и процедурни пречки, които усложняват процеса, проточват го във времето и така правят статистически невъзможна реализацията на значим брой купени гласове.
Като цяло, при предложения механизъм на електронно дистанционно гласуване потенциалните брокери на купени гласове се излагат на много висок риск за провал или за осветяването им, отколкото при класическото купуване на хартиени гласове „в махалата“, чиято цена остава ниска.
[1] Могат да се ползват единствено телефонни номера от държави, в които е задължително посочването на личен документ при закупуване на сим-карта. Така, възможното закупуване „на едро“ на сим-карти може лесно да се проследи, ако изобщо то има смисъл предвид финансовия импакт на подобна операция върху цената на един купен глас.
[2] IP-адресите биват статични и динамични и се определят от интернет провайдерът. Потребителят не може да смени своя IP-адрес, нито да го преотстъпи на друг потребител. Масово набавяне на IP-адреси е трудно реализуемо, а финансово е скъпо и разбира се, оставя следи, доколкото е свързано с вписване в съответни регистри. Привързването на процедурата по електронно дистанционно гласуване към даден IP-адрес дава изключително високо ниво на идентификация. То е и ефикасна мярка срещу корпоративния вот, защото IP адресът лесно може да се проследи.
Привързването на процедурата към даден IP-адрес означава, че тя е изпълнима в цялост само за потребители имащи статичен (постоянен) IP-адрес. Въпреки, че такъв е преобладаващият брой случаи, това крие риск – при смяна на IP-адреса в дните между регистрацията и самото гласуване, избирателят не би могъл повече да гласува. Това е сериозно ограничение, което с оглед на другите защити, би могло да не се приложи.
[3] Разбира се, това е с оглед да се даде възможност за едно „стандартно“ семейство да гласува от един и същи компютър.
[4] Отново, става дума за физическо затрудняване на серийното гласуване. Дори ако приемем, че всички други защити са преодолени, един брокер ще може да „изгласува“ за 24 часа непрекъсната работа най-много 140 избиратели.
[5] В регистъра на населението на ЕСГРАОН записът за всяко лице е свързан със записите на близките роднини – майка, баща, евентуални братя и сестри. Системата за регистрация и провеждане на интернет гласуването може да има връзка с ЕСГРАОН, такава каквато се използва от няколко години за потвърждаване на личните данни при заявяване на гласуване извън страната чрез електронно заявление от страницата на ЦИК.
* авторът е член на Инициативния комитет „Гласувай без граници“ регистриран в подкрепа на електронното дистанционно гласуване на националния референдум проведен на 25.10.2015г.