Вчера, 27 июля, на оче­ред­ном засе­да­нии экс­перт­ной груп­пы ЦИК РФ были пред­став­ле­ны прин­ци­пы, на базе кото­рых фор­ми­ру­ет­ся модель угроз и нару­ши­те­ля для дистан­ци­он­но­го элек­трон­но­го голо­со­ва­ния (ДЭГ).

Что это такое – модель угроз? Угроза — это любое дей­ствие, кото­рое может нару­шить рабо­ту, в том чис­ле повли­ять на досто­вер­ность дан­ных, в систе­ме ДЭГ. Все угро­зы мож­но раз­де­лить на три боль­шие группы:

• соци­аль­ная: напри­мер, так назы­ва­е­мое голо­со­ва­ние под дав­ле­ни­ем, когда чело­ве­ка при­нуж­да­ет к опре­де­лён­но­му выбо­ру руко­вод­ство или род­ствен­ни­ки. По боль­шо­му счё­ту, тех­ни­че­ски­ми сред­ства­ми с ней мало что мож­но сде­лать – даже закры­тые кабин­ки для голо­со­ва­ния на обыч­ных участ­ках пло­хо реша­ют вопрос с голо­со­ва­ни­ем под дав­ле­ни­ем: изби­ра­те­ли, от кото­рых кто-то настой­чи­во тре­бу­ет сде­лать пра­виль­ный выбор, даже ока­зав­шись наедине с собой, не все­гда реша­ют­ся пере­чить. В неко­то­рой сте­пе­ни в ДЭГ может помочь отло­жен­ное голо­со­ва­ние – изби­ра­тель может демон­стра­тив­но про­го­ло­со­вать «как надо», а потом, спу­стя несколь­ко часов, как он хочет сам.
• элек­то­раль­ная: когда про­во­дят­ся мани­пу­ля­ции на уровне про­це­дур изби­ра­тель­ной систе­мы, напри­мер, вброс бюл­ле­те­ней. Наглядным при­ме­ром ата­ки и про­ти­во­дей­ствия может слу­жить извест­ная исто­рия лета про­шло­го года, когда, с одной сто­ро­ны, некие люди ста­ли ску­пать акка­ун­ты на mos.ru, а с дру­гой, ДИТ Москвы объ­явил, что к голо­со­ва­нию не будут допу­ще­ны акка­ун­ты, заре­ги­стри­ро­ван­ные после 5 июня. Это реше­ние кри­во­ва­тое и одно­ра­зо­вое, но общую идею демон­стри­ру­ет – архи­тек­ту­ра ПТК ДЭГ и про­то­ко­лы вза­и­мо­дей­ствия с дру­ги­ми систе­ма­ми долж­ны стро­ить­ся так, что­бы мак­си­маль­но затруд­нять подоб­ные фоку­сы. Например, сей­час в феде­раль­ной ДЭГ голо­со­вать могут толь­ко вери­фи­ци­ро­ван­ные акка­ун­ты на «Госуслугах», плюс каж­дый акка­унт све­ря­ет­ся с база­ми дан­ных МВД и изби­ра­те­лей. Массово что-то вбро­сить здесь уже про­бле­ма­тич­но даже для госу­дар­ства, не гово­ря уже про сто­рон­них игро­ков (плюс, дета­ли­зи­ро­ван­ная ста­ти­сти­ка пода­чи голо­сов, кото­рая ста­но­вит­ся доступ­на с выгруз­кой блок­чей­на, пока­жет любые неак­ку­рат­но делав­ши­е­ся вбросы).
• тех­ни­че­ская: пря­мые «хакер­ские» ата­ки на инфра­струк­ту­ру программно-технического ком­плек­са (ПТК) ДЭГ с целью нару­шить его рабо­ту или иска­зить данные.

Именно за послед­ний пункт и отве­ча­ет модель угроз и нару­ши­те­ля: это пере­чис­ле­ние всех мини­маль­но мыс­ли­мых атак и всех воз­мож­ных авто­ров таких атак — будь то ино­стран­ные спец­служ­бы, адми­ни­стра­тор сер­ве­ров или убор­щи­ца в дата-центре. Каждая воз­мож­ная угро­за долж­на быть упо­мя­ну­та и дета­ли­зи­ро­ва­на – тогда этот доку­мент ста­нет осно­вой для раз­ра­бот­ки дру­го­го доку­мен­та, моде­ли защи­ты, кото­рая фак­ти­че­ски явля­ет­ся отве­том раз­ра­бот­чи­ков систе­мы на вопрос «Вот вам все мыс­ли­мые угро­зы, как вы буде­те с ними справляться?»

Если гово­рить кор­рект­но, то вче­ра были пред­став­ле­ны прин­ци­пы фор­ми­ро­ва­ния моде­ли угроз — но пока не сама модель: рабо­та над ней актив­но ведёт­ся, на дан­ный момент это очень уве­си­стый доку­мент почти в пол­то­ры сот­ни стра­ниц тек­ста. Успеют ли модель угроз фина­ли­зи­ро­вать и опуб­ли­ко­вать до выбо­ров, пока неяс­но, одна­ко по пре­зен­та­ции мож­но сде­лать несколь­ко общих выво­дов о прин­ци­пах её формирования:

• систе­ма ПТК ДЭГ при­зна­ёт­ся систе­мой высо­ко­го уров­ня зна­чи­мо­сти, при раз­ра­бот­ке моде­ли угроз учи­ты­ва­ют­ся тре­бо­ва­ния, предъ­яв­ля­е­мые к госу­дар­ствен­ным инфор­ма­ци­он­ным систе­мам (ГИС), а так­же реко­мен­да­ции и тре­бо­ва­ния ФСТЭК России;
• отдель­ное вни­ма­ние уде­ля­ет­ся защи­те пер­со­наль­ных дан­ных изби­ра­те­лей, обра­ба­ты­ва­е­мых в ПТК ДЭГ;
• модель угроз согла­со­вы­ва­ет­ся с ФСБ и ФСТЭК России;
• в каче­стве воз­мож­ных нару­ши­те­лей рас­смат­ри­ва­ют­ся как внеш­ние, так и внут­рен­ние нару­ши­те­ли, от зару­беж­ных спец­служб до обслу­жи­ва­ю­ще­го пер­со­на­ла поме­ще­ний, в кото­рых рас­по­ла­га­ют­ся сер­ве­ра ПТК ДЭГ;
• в каче­стве угро­зы рас­смат­ри­ва­ет­ся не толь­ко нару­ше­ние рабо­ты ПТК ДЭГ, но и воз­мож­ность нару­ше­ния тай­ны голо­со­ва­ния, под­ме­ны голо­сов, неод­но­крат­но­го голо­со­ва­ния и уста­нов­ле­ния про­ме­жу­точ­ных ито­гов до окон­ча­ния голосования.

Особенно хоте­лось бы отме­тить послед­ний пункт в этом спис­ке – он под­чёр­ки­ва­ет спе­ци­фи­ку ПТК ДЭГ как элек­то­раль­ной систе­мы и необ­хо­ди­мость защи­ты спе­ци­фи­че­ских для элек­то­раль­ной систе­мы свойств (напри­мер, тай­ны голо­со­ва­ния) от любых воз­мож­ных нарушителей.

Ну а за тем, как это будет реа­ли­зо­ва­но на прак­ти­ке, мы про­дол­жим наблю­дать – в том чис­ле на сего­дняш­нем семи­на­ре.

P.S. Ознакомиться с пре­зен­та­ци­ей мож­но в PDF-файле: «Презентация по МУиН ДЭГ»