В ЦИК представили модель угроз для электронного голосования
Вчера, 27 июля, на очередном заседании экспертной группы ЦИК РФ были представлены принципы, на базе которых формируется модель угроз и нарушителя для дистанционного электронного голосования (ДЭГ).
Что это такое — модель угроз? Угроза — это любое действие, которое может нарушить работу, в том числе повлиять на достоверность данных, в системе ДЭГ. Все угрозы можно разделить на три большие группы:
- социальная: например, так называемое голосование под давлением, когда человека принуждает к определённому выбору руководство или родственники. По большому счёту, техническими средствами с ней мало что можно сделать — даже закрытые кабинки для голосования на обычных участках плохо решают вопрос с голосованием под давлением: избиратели, от которых кто-то настойчиво требует сделать правильный выбор, даже оказавшись наедине с собой, не всегда решаются перечить. В некоторой степени в ДЭГ может помочь отложенное голосование — избиратель может демонстративно проголосовать «как надо», а потом, спустя несколько часов, как он хочет сам.
- электоральная: когда проводятся манипуляции на уровне процедур избирательной системы, например, вброс бюллетеней. Наглядным примером атаки и противодействия может служить известная история лета прошлого года, когда, с одной стороны, некие люди стали скупать аккаунты на mos.ru, а с другой, ДИТ Москвы объявил, что к голосованию не будут допущены аккаунты, зарегистрированные после 5 июня. Это решение кривоватое и одноразовое, но общую идею демонстрирует — архитектура ПТК ДЭГ и протоколы взаимодействия с другими системами должны строиться так, чтобы максимально затруднять подобные фокусы. Например, сейчас в федеральной ДЭГ голосовать могут только верифицированные аккаунты на «Госуслугах», плюс каждый аккаунт сверяется с базами данных МВД и избирателей. Массово что-то вбросить здесь уже проблематично даже для государства, не говоря уже про сторонних игроков (плюс, детализированная статистика подачи голосов, которая становится доступна с выгрузкой блокчейна, покажет любые неаккуратно делавшиеся вбросы).
- техническая: прямые «хакерские» атаки на инфраструктуру программно-технического комплекса (ПТК) ДЭГ с целью нарушить его работу или исказить данные.
Именно за последний пункт и отвечает модель угроз и нарушителя: это перечисление всех минимально мыслимых атак и всех возможных авторов таких атак — будь то иностранные спецслужбы, администратор серверов или уборщица в дата-центре. Каждая возможная угроза должна быть упомянута и детализирована — тогда этот документ станет основой для разработки другого документа, модели защиты, которая фактически является ответом разработчиков системы на вопрос «Вот вам все мыслимые угрозы, как вы будете с ними справляться?»
Если говорить корректно, то вчера были представлены принципы формирования модели угроз — но пока не сама модель: работа над ней активно ведётся, на данный момент это очень увесистый документ почти в полторы сотни страниц текста. Успеют ли модель угроз финализировать и опубликовать до выборов, пока неясно, однако по презентации можно сделать несколько общих выводов о принципах её формирования:
- система ПТК ДЭГ признаётся системой высокого уровня значимости, при разработке модели угроз учитываются требования, предъявляемые к государственным информационным системам (ГИС), а также рекомендации и требования ФСТЭК России;
- отдельное внимание уделяется защите персональных данных избирателей, обрабатываемых в ПТК ДЭГ;
- модель угроз согласовывается с ФСБ и ФСТЭК России;
- в качестве возможных нарушителей рассматриваются как внешние, так и внутренние нарушители, от зарубежных спецслужб до обслуживающего персонала помещений, в которых располагаются сервера ПТК ДЭГ;
- в качестве угрозы рассматривается не только нарушение работы ПТК ДЭГ, но и возможность нарушения тайны голосования, подмены голосов, неоднократного голосования и установления промежуточных итогов до окончания голосования.
Особенно хотелось бы отметить последний пункт в этом списке — он подчёркивает специфику ПТК ДЭГ как электоральной системы и необходимость защиты специфических для электоральной системы свойств (например, тайны голосования) от любых возможных нарушителей.
Ну а за тем, как это будет реализовано на практике, мы продолжим наблюдать — в том числе на сегодняшнем семинаре.
P.S. Ознакомиться с презентацией можно в PDF-файле: «Презентация по МУиН ДЭГ»