Медуза: власти выложили в открытый доступ персональные данные всех интернет-избирателей (на самом деле нет)

Как вы мог­ли заме­тить (123…), к темам пер­со­наль­ных дан­ных и элек­трон­но­го голо­со­ва­ния мы нерав­но­душ­ны и по отдель­но­сти, а уж когда они встре­ча­ют­ся вместе…

Более мил­ли­о­на жите­лей Москвы и Нижегородской обла­сти про­го­ло­со­ва­ли за поправ­ки к Конституции или про­тив них через интер­нет. «Медуза» выяс­ни­ла, что пас­порт­ные дан­ные этих изби­ра­те­лей лежа­ли прак­ти­че­ски в откры­том досту­пе. Более того, ока­за­лось, что неко­то­рые интернет-избиратели были запи­са­ны в систе­ме два­жды, а дру­гие смог­ли про­го­ло­со­вать, хотя их пас­пор­та МВД счи­та­ет недействительными.

TL;DR: что произошло:

  • УИКи (участ­ко­вые изби­ра­тель­ные комис­сии, это те, в кото­рые вы нога­ми ходи­те, что­бы про­го­ло­со­вать) полу­чи­ли от МГИК (мос­ков­ской город­ской изби­ра­тель­ной комис­сии, это глав­ная изби­ра­тель­ная комис­сия Москвы) про­грамм­ку, кото­рая поз­во­ля­ла быст­ро про­ве­рить, не голо­со­вал ли при­шед­ший за бумаж­ным бюл­ле­те­нем това­рищ дистан­ци­он­но по электронке
  • вме­сто досту­па к уда­лён­но­му сер­ве­ру при каж­дой про­вер­ке пред­ла­га­лось кач­нуть базу SQLite и про­ве­рять всё локаль­но — то ли ради про­сто­ты напи­са­ния соф­ти­ны, то ли на слу­чай сбо­ев связи
  • в базе были хэши номе­ров пас­пор­тов избирателей
  • разу­ме­ет­ся, базу сли­ли на сто­ро­ну, по хэшам за пару дней подо­бра­ли реаль­ные номе­ра паспортов
  • четы­ре с лиш­ним тыся­чи пас­пор­тов из базы при про­вер­ке в пуб­лич­ном интер­фей­се МВД ока­за­лись недей­стви­тель­ны­ми (ну и совсем по мело­чи там ещё было дуб­ли­ка­тов и т.п.)

Под катом — что про­изо­шло на самом деле и, глав­ное, как это рас­це­ни­вать с точ­ки зре­ния меня, как офи­ци­аль­но­го наблю­да­те­ля на ТИК ДЭГ от Общественной пала­ты РФ и Партии пря­мой демократии.

Фактическая часть изло­жен­но­го «Медузой» верна.

УИК, про­грам­ма, база дан­ных, номе­ра пас­пор­тов в ней — всё дей­стви­тель­но так. Файл базы уже рас­про­стра­ня­ет­ся по телеграм-каналам, жела­ю­щие могут без малей­ше­го тру­да его най­ти и, если не жал­ко про­цес­сор­но­го вре­ме­ни, повто­рить все про­це­ду­ры по вскры­тию, опи­сан­ные «Медузой»: сбрут­фор­сить пароль архи­ва, а потом вос­ста­но­вить номе­ра пас­пор­тов по их хэшам. Хэши несо­лё­ные, боль­ших про­блем не будет.

Так что если кто-то хочет заявить «Медуза всё навра­ла» — мы, как наблю­да­те­ли, ска­зан­ное «Медузой» в фак­ти­че­ской части под­твер­жда­ем. Другое дело — интерпретации.

Утечки пер­со­наль­ных дан­ных не произошло.

А вот здесь «Медуза» не усто­я­ла перед хай­по­вым заго­лов­ком. Номер пас­пор­та без допол­ни­тель­ной инфор­ма­ции не поз­во­ля­ет иден­ти­фи­ци­ро­вать чело­ве­ка, а зна­чит, не явля­ет­ся пер­со­наль­ны­ми дан­ны­ми. Если бы было ина­че — за пуб­ли­ка­цию тут цифе­рок, напри­мер, «4506 634−982» я с неко­то­рой веро­ят­но­стью мог бы пой­ти по 13.11 КоАП РФ, так как с неко­то­рой веро­ят­но­стью это может быть чей-то паспорт.

Когда изби­ра­тель при­хо­дил на УИК — комис­сия смот­ре­ла его пас­порт, све­ря­ла с его лицом, све­рял с кни­гой изби­ра­те­лей, и толь­ко потом, то есть после пол­ной иден­ти­фи­ка­ции граж­да­ни­на, про­ве­ря­ла номер его пас­пор­та по базе про­го­ло­со­вав­ших на ДЭГ.

Единственное, что мож­но уста­но­вить по этой базе — факт голо­со­ва­ния изби­ра­те­ля на ДЭГ, и то, если вы зара­нее зна­е­те его номер пас­пор­та: напри­мер, мож­но про­бить род­ствен­ни­ков или сотруд­ни­ков. Смысла в этом не очень мно­го (даже если вы хоти­те кон­тро­ли­ро­вать факт голо­со­ва­ния — чело­век все­гда может ска­зать, что голо­со­вал «бумаж­но»), да и сре­ди наблю­да­те­лей жива веч­ная дис­кус­сия, мож­но ли факт голо­со­ва­ния без зна­ния его резуль­тат отно­сить к тайне голо­со­ва­ния — с учё­том, что самим наблю­да­те­лям и чле­нам УИК и ТИК поимён­ные спис­ки про­го­ло­со­вав­ших доступны.

Вопрос с недей­стви­тель­ны­ми пас­пор­та­ми пока неясен.

На наш запрос Артём Костырко, отве­ча­ю­щий за про­ект ТИК ДЭГ в Правительстве Москвы, отве­тил, что свер­ка пас­порт­ных дан­ных про­хо­ди­ла по СМЭВ (систе­ма меж­ве­дом­ствен­но­го элек­трон­но­го вза­и­мо­дей­ствия), ручать­ся же за досто­вер­ность дан­ных в пуб­лич­ном интер­фей­се про­вер­ки пас­пор­тов МВД он не может — более того, лич­но зна­ет двух людей, чьи пас­пор­та про­вер­ку не проходят.

В прин­ци­пе, объ­яс­не­ние выгля­дит прав­до­по­доб­ным, осо­бен­но с учё­том, что а) с мая по июль 209 пас­пор­тов из спис­ка вдруг ста­ли сно­ва дей­стви­тель­ны­ми, б) есть уже извест­ная исто­рия с тем, что доку­мен­ты, срок дей­ствия кото­рых исте­кал в апреле-июне и кото­рые ука­зом Президента были про­дле­ны до июля, про­вер­ку по ведом­ствен­ным базам не про­хо­дят и в) даже если пред­по­ло­жить некий «наме­рен­ный вброс», его мас­шта­бы в 0,4 % для вбро­са немно­го бессмысленны.

Причина все­го — меж­ве­дом­ствен­ное вза­и­мо­дей­ствие, отсут­ствие цен­тра­ли­за­ции раз­ра­бот­ки и сто­рон­не­го аудита.

Хотя в целом систе­мой ДЭГ зани­мал­ся ДИТ Москвы и как раз­ра­бот­чик, и как опе­ра­тор, кон­крет­но за УИКи он отве­чать не может, даже пра­ва тако­го не име­ет — поэто­му с УИКами рабо­та­ла МГИК, и кон­крет­но при­ло­же­ние для про­вер­ки пас­пор­тов изби­ра­те­лей делал не ДИТ. ДИТ толь­ко выгру­жал для него базу дан­ных номе­ров пас­пор­тов из сво­ей систе­мы ДЭГ.

Собственно, такой под­ход к раз­ра­бот­ке — тут ДИТ, тут МГИК, тут рыбу заво­ра­чи­ва­ли, а ответ­ствен­ных вооб­ще схо­ду не уста­но­вишь — и явля­ет­ся при­чи­ной наблю­да­е­мо­го бардака.

При этом то, что дистан­ци­он­ные элек­трон­ные голо­со­ва­ния в России будут внед­рять­ся и рас­ши­рять­ся, мож­но счи­тать уже фак­том — хотя бы по бур­но поло­жи­тель­ной реак­ции на про­шед­шее голо­со­ва­ние, в резуль­та­те кото­ро­го даже в КПРФ поме­ня­ли свою пози­цию с отри­ца­ния на под­держ­ку ДЭГ. И круп­ные пар­тии, и пра­ви­тель­ство, и изби­ра­те­ли с оче­вид­но­стью ДЭГ на дан­ный момент в целом довольны.

Соответственно, оста­ёт­ся толь­ко повто­рить тези­сы, кото­рые обя­за­ны быть учте­ны, что­бы инци­ден­тов, подоб­ных сего­дняш­не­му, в сле­ду­ю­щий раз не случалось:

  • раз­ра­бот­ка систе­мы ДЭГ долж­на быть выне­се­на на феде­раль­ный уро­вень и цен­тра­ли­зо­ва­на (NB: не путать с рабо­той опе­ра­то­ра систе­мы — опе­ра­то­ров долж­но быть несколько)
  • долж­ны быть назна­че­ны кон­крет­ные ответ­ствен­ные за каж­дый ком­по­нент ДЭГ
  • долж­на быть откры­то опуб­ли­ко­ва­на архи­тек­ту­ра и доку­мен­та­ция на ДЭГ, охва­ты­ва­ю­щая все её компоненты
  • дол­жен быть опре­де­лён и далее соблю­дён поря­док ауди­та всех ком­по­нен­тов ДЭГ неза­ви­си­мы­ми экс­пер­та­ми и наблюдателями

И, кажет­ся, сего­дняш­няя новость под­чёр­ки­ва­ет, поче­му сло­ва «всех ком­по­нен­тов» выки­ды­вать из тек­ста нель­зя. Вот кто бы неде­лю назад вооб­ще обра­тил вни­ма­ние на кро­шеч­ную про­грамм­ку на ком­пью­те­рах работ­ни­ков мос­ков­ских УИК?..

Олег Артамонов, руко­во­ди­тель груп­пы научно-технической экс­пер­ти­зы Партии пря­мой демократии
Поделиться