Команда президента Владимира Зеленского работает над проектом The Vote, который позволит в будущем голосовать онлайн на выборах. Эта система должна стать одним из столбов в реализации президентской программы "Государство в смартфоне".

В августе, тогда еще советник президента Михаил Федоров рассказал, что таким образам украинцам хотят дать "инструменты прямой демократии". Также он добавил, что The Vote может работать уже на выборах президента 2024 года.

А теперь - что думают эксперты?  Насколько эта идея близка к реализации? Колонка Романа Химича. 

Для начала предлагаю определить общественно значимую проблему, для которой целесообразно возиться с удаленным голосованием. На мой взгляд, речь должна идти исключительно о голосовании украинских граждан, находящихся за пределами нежно любимого Отечества. Во всех прочих случаях изобретать цифровой велосипед не стоит, существующая технология надежнее любых подобных изысков.

Как только речь заходит про удаленное голосование, дает о себе знать один примечательный, но и характерный дефект мышления. В силу очевидных причин идея именно УДАЛЕННОГО взаимодействия слипается в сознании добрых граждан с идеями автоматизации, во-первых, неограниченного масштабирования, во-вторых, и централизации, в-третьих. Мол, раз уж мы ищем или уже нашли способ учитывать волеизъявление дистанционно, рассуждают они, так давайте сразу и автоматизируем этот процесс. А раз мы решили его автоматизировать, логично же придать этой автоматизации масштаб настолько большой, насколько это возможно. А естественная потребность сэкономить на масштабе подводит к идее централизованной обработки обрабатываемой информации.

Даешь миллион голосов посредством Всеукраинского вычислительно-голосовательного центра, десять даешь!

Однако по зрелом размышлении именно автоматизация, централизация и масштабирование в случае голосования оказываются факторами риска.

Автоматизация сопряжена с размыванием, вплоть до полного неразличения, персональной ответственности за нарушения регламентов и процедур, в том числе нарушения злонамеренные. Пока ключевые операции в процессе голосования - идентификацию гражданина, его авторизацию в качестве участника процедуры голосования (не голосовал ли уже, регистрировался ли на данном участке и т.п.), подсчет голосов, наконец, - выполняет другой гражданин, этого другого завсегда можно привлечь, изобличить и, буде таковая необходимость, расточить. В том числе без остатка - пожизненно и с конфискацией.

Если же мы доверяем эти операции программному коду или даже остромодному "программно-аппаратному комплексу", вопрос об ответственности в случае сколь угодно жестокого fuck up повисает в воздухе. Ни сисадмин, допустивший немыслимое, ни, тем более, разработчик, настрогавший неописуемое, ни даже поставщик "решения", получивший за него сколь угодно безумные деньги под суд, в общем случае, не пойдут и даже разговоров об этом не потерпят на этапе обсуждения смелого проекта.

Стоит напомнить, что самый общий (и общепринятый, заметим) подход в этих ваших интернетах заключается в том, что сервис, услуга и прочий цифровой продукт принимается как есть, в рамках априорного представления о несовершенстве мира, его существования как юдоли страданий, где и нелепо, и неприлично задаваться вопросами наподобие "Доколе?", "Кто написал эту х*ню?", "Кто виноват?" и "А меня-то за что?"

Автоматизация тянет за собой вторую фундаментальную проблему и вызов для доверия в цифровой среде. Автоматизация целевой деятельности открывает возможность для автоматизации и соответствующего фрода, т.е. его масштабирование.

Теоретически не вопрос подкупить рядового избирателя или даже члена комиссии или всех членов сразу. Однако подкупив одну территориальную комиссию, вы получаете контроль над всего лишь одной комиссией из более чем 30 000. При этом с членами каждой из этих 30 000 комиссий, разбросанных по всей стране, вам нужно договариваться отдельно.

Децентрализация системы осуществления волеизъявления граждан вкупе с громоздкими процедурами бумажной отчетности сами по себе обеспечивают довольно высокую устойчивость к попыткам злонамеренного вмешательства. Если у вас авторитарное государство, эффективная охранка или тонтон-макуты, все схвачено, за все заплачено, тогда да, можно ставить фальсификации на поток и никакая децентрализация вам не помеха. Но это если у вас есть все вышеперечисленное.

Централизация автоматизированной обработки создает предпосылки для неограниченного масштабирования фрода, невозможности ему эффективно противостоять или хоть как-то нивелировать его влияние.

Раз так, нужно помыслить схему взаимодействия граждан и государства, которая позволяет голосовать на выборах дистанционно, но без автоматической обработки информации. Также не должно быть использования всевозможных токенов и т.п. функциональных аналогов бюллетеня (артефактов, воплощающих отчуждаемое право на волеизъявление), поскольку они позволяют осуществлять скупку голосов для контролируемого вброса.

Садитесь поближе, мои маленькие друзья. Щас спою.

Итак, гражданин или гражданка посредством любого VoIP-сервиса с функцией видеосвязи в день голосования связывается со специализированной избирательной комиссией (ИК). Таких комиссий должно быть много, и чтобы упростить обработку БУМАЖНЫХ бюллетеней, и чтобы усложнить попытки взлома.

Сетевой индентификатор своей комиссии граждане получают в процессе предварительной регистрации, процедура которой аналогична нижеописанному, поэтому я не буду на ней останавливаться.

Сотрудник ИК идентифицирует гражданина/гражданку самым примитивным образом - попросив показать в камеру удостоверяющий документ с фотографией. Сличаются, во-первых, физиономия предъявителя и фото в документе. Во-вторых, по соответствующему реестру сличается фото в документе и его реквизиты с эталонными данными.

Итак, удаленная идентификация происходит (или не происходит) самым примитивным, дедовским способом. Если лицо человека, который видит сотрудник ИК, примерно совпадает с тем, что значится в удостоверяющем его документе (взятом из реестра), а то, что человек держит в руках выглядит (потрогать же нельзя, мы помним) как оный документ, значит всё в порядке.

Я исхожу из того, что организовать не просто массовую, но ЗНАЧИМУЮ, хотя бы пару процентных пунктов от общего количества избирателей, т.е. 400-600 000 человек, фальсификацию биометрических (человеческой внешности) данных чересчур сложно. Нужно слишком много людей, готовых очень быстро менять парики и грим. Подделка объектов физического мира, таких как человеческая внешность, не то чтобы сложна, но плохо масштабируется. Слишком много возни, трудозатрат.

Если качество связи и картинки/звука недостаточно для уверенной идентификации, это проблемы гражданина. Пущай ищет более качественный дома, в соседнем городе и т.п. Невозможность для значимого количества граждан принять участие в голосовании ввиду технических причин не должна рассматриваться как проблема. Учитывая, что сейчас имеют возможность проголосовать порядка 0,1% украинцев за рубежом, голосование даже 5% или 10% уже весьма значимое достижение.

После успешной идентификации наступает этап аутентификации, т.е. выяснение полномочий принимать участие в голосовании.

Напомню, что ранее гражданин должен зарегистрироваться для участия в голосовании, получив номер ИК, куда должен обращаться в день выборов. Соответственно, каждая ИК располагает пофамильным списком избирателей, которые имеют право голосовать у нее. Если избиратель еще не голосовал, его авторизуют, отмечая этот факт в привычном нам бумажном списке зарегистрированных на этом участке избирателей. Все как сейчас. Естественно, сотрудник, который делает отметку, ставит свою подпись. Каждое юридически значимое действие фиксируется на бумаге и сопровождается подписью ответственного сотрудника ИК.

Итак, избиратель авторизован для волеизъявления. Сотрудник ИК нажимает условную кнопку и на экране у избирателя появляется таблица, где напротив имени каждого кандидата значится некое условное слово, например, "Синий" или "Одиннадцать". У сотрудника эта таблица выводится в урезанном виде, в ней нет имён кандидатов, только условные слова.

ВАЖНО! Условное слово генерируется и сопоставляется имени кандидата ситуативно, в ходе каждого сеанса связи ИК с избирателем. Сотрудник ИК не знает, какие условные слова сопоставлены каким кандидатам. Он вообще не видит содержание таблицы, ее генерирует ПО на стороне ИК.

Как это сделать - неважно. От корявого электромеханического табло, развёрнутого к видеокамере так, чтобы его не видел сотрудник ИК, до микширования видеосигнала средствами VoIP-клиента - вариантов безліч.

Сотрудник ИК спрашивает "Ваш выбор?", а избиратель называет условное слово, соответствующее его кандидату. Сотрудник выбирает это же слово в своей таблице, избиратель видит/слышит подтверждение на экране, таинство выбора совершено. Клиентское ПО рабочего места сотрудника ИК посылает на печать две бумаги, каждая из которых печатается на отдельном принтере.

Один из принтеров печатает бумажки, который содержат имя кандидата, за которого только что проголосовали. Эти бумаги попадают прямо в изолированный и опечатанный ящик, функциональный аналог урны для голосования. Никто не должен видеть их содержимое до момента подсчёта голосов.

Вторая бумага содержит имя избирателя, имя сотрудника, отметку времени и что еще может быть полезно на случай оспаривания результатов и для фиксации ответственности сотрудника. Эти бумаги формируют журнал/протокол голосования. Сотрудник ИК показывает гражданину его листок с отметкой о голосовании, говорит спасибо. Сеанс связи завершается.

Разумеется, сеанс (данные с видеокамеры и микрофона сторон) записывается на случай оспаривания.

По завершении голосования комиссия обычным образом вскрывает урны, пересчитывает и отправляет наверх результаты, сверяет количество проголосовавших и т.п. Попросту говоря, я предлагаю воспроизвести традиционную схему голосования, только на иной технологической базе. Производительность такого ИК не должна сильно отличаться от традиционной. Технические решения представляются мне несложными, защита их - возможной.

Взломать процедуру идентификации возможно, но массово? Не верю. Покупать голоса возможно, как и сейчас, когда люди делают в кабинке фото бюллетеня с отметкой напротив нужного кандидата. Эту задачу даже не нужно пытаться решить.

А вот скупать бюллетени для последующего массового вброса на подконтрольных участках не получится. Нет артефакта, который можно отчуждать с последующими манипуляциями, все нужно делать по ходу сеанса.

Можно дидосить, не давать голосовать, таким образом влияя на итоговую картину.

Вбрасывать поддельные голоса в массовом порядке я (пока) не вижу как.

Разумеется, было бы хорошо добавить пупырок. Например, сделать отдельный клиент для избирателей, заверенный электронной подписью ЦВК или даже лично Его ясновельможности Головного Отамана или кто там у нас будет лет через пять. Хорошо бы иметь MobileID как ЕЩЕ одно средство аутентификации избирателя уже по ходу сеанса. Подписывать, например, с ее помощью протокол.

Дело в том, что MobileID использует т.н. сигнальный трафик, в который очень непросто влезть. Самое главное, чтобы влезть туда, нужны физические объекты - фейковые соты и т.п. устройства. Т.е. это также плохо масштабируется. Благодаря наличию MobileID возможно выяснять примерное месторасположение смартфона, на котором установлен клиент для голосования. Эти данные выдаст оператор, в чьей сети карта обслуживается. Взломать такую схему, не оставляя следов, повсеместно (глобально) и в массовом порядке я не представляю как. Возможно, просто не хватает фантазии.

В общем, панацеи и волшебной палочки я не изобрел, а как рабочая схема для реальной жизни мне представляется реалистичной. Впрочем, давайте критиковать.