Как прошло тестирование дистанционного электронного голосования на студентах московских вузов
Настоящий материал (информация) произведен и (или) распространен иностранным агентом Общероссийским общественным движением в защиту прав избирателей «Голос», либо касается деятельности иностранного агента Общероссийского общественного движения в защиту прав избирателей «Голос».
Департамент информационных технологий г. Москвы (далее, ДИТ Москвы) в рамках процесса разработки системы дистанционного электронного голосования на выборах депутатов Московской городской думы с 5 по 11 июля 2019 г. проводил тестирование этой системы на студентах московских вузов. На голосование выносился вопрос о выборе лучшего председателя студенческого совета Москвы по итогам учебного года, выбирали из 15 кандидатов.
Для участия в тестовом электронном голосовании необходимо было в период с 10:00 05.07.2019 по 20:00 10.07.2019 подать заявление на включение в список избирателей для дистанционного электронного голосования на официальном сайте мэра Москвы mos.ru. Далее необходимо было дождаться получения подтверждающего статуса в личном кабинете, на электронную почту или sms. 11 июля с 8:00 до 20:00 можно было проголосовать. Всего было получено 1986 заявок от студентов, из них к голосованию было допущено 1794. На следующий после голосования день, ДИТ Москвы сообщил СМИ, что в тестировании приняли участие 1253 студентов, всего было подано голосов 1218.
За демонстрацией тестирования наблюдали члены технической рабочей группы: Александр Исавнин (программист, член УИК, «РосКомСвобода», «Пиратская Партия»), Григорий Мельконьянц (сопредседатель движения «Голос», член Научно-экспертного совета при ЦИК России) и Евгений Федин (программист, член ТИК, движение «Сонар»). По итогам наблюдения подготовлен настоящий отчет.
Выводы
Можно констатировать, что в настоящий момент система не обеспечивает возможность технического контроля со стороны наблюдателей. Фактически в период тестирования можно было визуально наблюдать лишь за экраном со статистикой и печатающими устройствами.
При проведении интернет-голосования были зафиксированы случаи нарушения тайны голосования и принуждения к голосованию студентов. Руководителям студентов удавалось в принудительном порядке привлечь студентов к голосованию и полностью проконтролировать процесс их участия в выборах.
Были зафиксированы случаи доступа к электронному бюллетеню и участия в тестовом голосовании третьих лиц, не зарегистрированных на портале mos. ru с помощью доступа к личному кабинету избирателя и его мобильному телефону.
Студенты в процессе получения электронного бюллетеня сталкивались с различными проблемами, которые в том числе приводили к потере возможности проголосовать: из-за настроек и версий браузера, степени заполненности личного кабинета или кратковременного разрыва связи. Таким образом, право на участие в голосовании нарушалось без возможности восстановления.
Около 16:30 возник сбой, приведший к видимой остановке деятельности системы: контрольные листы перестали распечатываться, информация о количестве проголосовавших на экране перестала обновляться до окончания голосования. Таким образом был зафиксирован отказ базовой функциональности по отображению промежуточных итогов, по печати данных о поданных голосах, по печати данных об участии в голосовании. Это также привело к тому, что этап расшифровки голосов и подведения итогов был проведен в закрытом режиме без наблюдателей.
На момент составления настоящего отчета, спустя 20 часов после окончания процедуры интернет-голосования, протокол с результатами голосования еще не был опубликован. В социальной сети «ВКонтакте»на странице «Ассоциации студентов и студенческих объединений Москвы» в час ночи появилась информация лишь о трех победителях, без дополнительной информации по количеству выданных бюллетеней, количеству проголосовавших и распределению голосов по всем 15 кандидатам. Для сравнения, системы электронного голосования типа КОИБ или КЭГ выдают результаты голосования непосредственно после завершения процедуры голосования в присутствии наблюдателей и членов комиссии.
Мы рассчитываем, что отчет с указанием всех выявленных недостатков и уязвимостей в рамках тестирования будет опубликован ДИТ Москвы.
Взаимодействие между отдельными подразделениями не налажено. В поддержании функционирования системы, в противоречие духу гласности выборов, участвует неопределенный круг лиц, вовлеченных в функционирование ИТ инфраструктуры города, но не в организацию электронного голосования, что может приводить к подобным или более серьезным сбоям. К тому же это существенно усложняет проведение выборов и контроль за ними.
Процедуры технического восстановления системы и деятельности избирательной комиссии в случае неустранимых сбоев на тестировании не прорабатывались. Обращаем внимание, что участники технической рабочей группы с начала ее работы задавали вопрос про работу избирательной комиссии в случае технических сбоев, вопрос был разработчиками «принят к сведению».
Разработка системы ведется без учета духа избирательного законодательства, исключительно как один из многочисленных сервисов «Портала мэра Москвы». Процедуры, которые должны обеспечивать независимость и гласность деятельности избирательной комиссии, не прорабатываются и не воспринимаются разработчиками системы как первоочередные.
Разработка и эксплуатация системы ведется без публикации документов, подтверждающих соответствие разработки требованиям Московской городской избирательной комиссии.
1. Возможности для наблюдения в рамках тестирования
11 июля на площадке Московской городской Думы был организован демонстрационный электронный избирательный участок:
установлены экраны (Изображение 1) с обновленной статистикой голосования по трем показателям: дата/время, всего проголосовали, всего приняли участие/выдано бюллетеней). Указанные показатели обновлялись с 8:00 до 10:00 каждые 60 минут, затем стали обновляться каждые 30 минут;
установлены два печатающих устройства на прозрачных ящиках (Изображение 2), одно из которых распечатывало на термобумаге формата А5 Ф. И. О. проголосовавших студентов, а второе — закодированные голоса.
Участникам наблюдения не были предоставлены инструментальные возможности для технического наблюдения: нода наблюдателя, код программного обеспечения, доступ к серверу, доступ к системе мониторинга в случае использования таковой, доступ к рабочему месту председателя комиссии. Не был предоставлен список избирателей.
Также не было обеспечено системное предоставление информации о проблемах, которые находили студенты-тестировщики, разработчики, о том, какие из найденных проблем исправляются, а какие настройки меняются.
ДИТ Москвы позиционировал тестирование со студентами с целью выявления и отработки возможных ошибок, для отлаживания всех элементов системы. Помимо внутреннего тестирования ДИТ Москвы самой системы, акцент был сделан на сбор обратной связи от студентов, которые сталкивались с теми или иными техническими проблемами при голосовании.
Второе тестирование для технических специалистов с публикацией кодов должно начаться с 15 июля. При этом стоит отметить, что сроки публикации программных кодов сдвигались неоднократно с мая на июнь, с июня на июль. Третье тестирование ДИТ Москвы обещает провести для профессионалов с экскурсией в ЦОД и тестовым голосованием наблюдателей и кандидатов в середине августа, т. е. в период, когда уже будет осуществляться прием заявок на участие в электронном голосовании 8 сентября. Остается открытым вопросом, появятся ли на последующих этапах тестирования эффективные инструменты технического контроля за системой.
2. Замечания
В связи с тем, что участники наблюдения фактически не были допущены до технического контроля непосредственно электронной системы, ниже приводится описание того, что удалось зафиксировать при внешнем наблюдении.
2.1. Сбой системы
Около 16:30 печатающие устройства прекратили свою работу. По информации ДИТ, голоса продолжали учитываться, однако задания для печати информации об этих голосах копились в очереди. На экране статистика также перестала обновляться и с 17:00 показывались одни и же числа по выданным бюллетеням и проголосовавшим студентам (Изображение 3).
Сбой привел к тому, что внешнее наблюдение за процессом голосования было сорвано. В 19:00 руководство ДИТ Москвы предложило участникам наблюдения расходиться, так как восстановить работу системы не удалось, и что запланированный для демонстрации подсчет голосов — введение ключей для дешифрования, распечатка на печатающем устройстве контрольных листов с расшифрованными голосами — будут проводиться позже непублично.
Таким образом был зафиксирован отказ базовой функциональности по отображению промежуточных итогов, по печати данных о поданных голосах, по печати данных об участии в голосовании. Это также привело к тому, что этап расшифровки голосов и подведения итогов был проведен в закрытом режиме.
О причинах сбоя обещали проинформировать на заседании технической рабочей группы 15 июля.
При этом на следующий после голосования день ИА «ТАСС» привело официальную версию, которую озвучил заместитель руководителя ДИТ Москвы Москвы Артем Костырко: «Причиной сбоя стала проблема в сетевых настройках. Система была включена задолго до начала голосования для проверки на контрольных примерах и впервые работала непрерывно больше 12 часов. А сетевые настройки для вывода результатов не были сделаны должным образом».
Также в СМИ было заявлено, что «студенты-наблюдатели, представители МГИК, кто оставался до конца голосования в пилотном электронном участке, смогли присутствовать при процедуре сборки ключа и начала расшифровки. К слову сказать, явка и первичные сведения о количестве проголосовавших, использованных и неиспользованных электронных бюллетенях были доступны через 10 минут после окончания голосования». Стоит отметить, что указанная в сообщении процедура «сборки ключа и начала расшифровки» является лишь началом процесса подсчета голосов, который изначально предполагался для демонстрации и не был проведен публично из-за сбоя. Расшифровка голосов избирателей занимает до двух часов, что дополнительно предполагает печать расшифрованных голосов на печатающем устройстве и изготовление протокола.
2.2. Сбои при доступе к электронному бюллетеню
В процессе получения электронного бюллетеня студенты сталкивались с различными проблемами из-за настроек и версий браузера, степени заполненности личного кабинета или кратковременного разрыва связи. Приведем несколько примеров.
Накануне дня голосования система уведомляла избирателя о предоставлении права участия в голосовании, однако в день голосования из-за того, что в профиле на mos.ru у студента не был указан пол, не позволяла голосовать. Указание пола в день голосования также не приводило к устранению проблемы.
При переходе к процедуре голосования студенты не могли проголосовать из-за ошибки, связанной с устаревшей версией браузера. Обновление версии браузера до последней не привела к работе сервиса. Приступить к процедуре голосования можно только при смене браузера.
Было зафиксировано, что студенты не могли завершить голосование из-за потери электронного бюллетеня, если на этапе его заполнения кратковременно прерывалась связь с интернетом. При этом появлялось сообщение об ошибке «Голос не может быть подан» (Изображение 4). При дальнейших попытках проголосовать выдавалось сообщение о запрете доступа к дистанционному электронному голосованию (Изображение 5). Это также подтверждает и ДИТ Москвы, в официальном сообщении которого сказано, что «проблемы при голосовании возникли у 1,7% голосовавших и были связаны с потерей связи на мобильном телефоне».
2.3. Соблюдение тайны голосования и принуждение к голосованию
При проведении интернет-голосования были зафиксированы случаи нарушения тайны голосования и принуждения к голосованию студентов.
Руководителям студентов удавалось в принудительном порядке привлечь к голосованию студентов и полностью проконтролировать процесс их участия в выборах. В том числе, с участием руководителей удавалось:
зарегистрировать студентов на портале mos.ru;
находиться в помещении, где студент голосует;
видеть избирательный бюллетень голосующего;
узнать за кого избиратель собирается проголосовать;
в процессе проставления отметки вместе с ним обсудить представленные кандидатуры;
в процессе проставления отметки проагитировать проголосовать за иного кандидата;
изменить выбор студента до проставления отметки.
С помощью контроля доступа к интернету руководству удавалось заблокировать доступ избирателей к порталу mos.ru на любом этапе голсования. Кратковременная блокировка доступа к сети на этапе проставления отметки в бюллетене приводила к ошибке и потере бюллетеня. Таким образом право на участие в голосовании нарушалось без возможности восстановления.
2.4. Идентификация и аутентификация избирателей
Были зафиксированы случаи доступа к электронному бюллетеню и участия в тестовом голосовании третьих лиц, не зарегистрированных на портале mos.ru с помощью доступа к личному кабинету избирателя и его мобильному телефону. Таким образом подтвердилась ранее обнаруженная уязвимость однофакторной идентификации и аутентификации избирателя с помощью логина, пароля и СМС-сообщения.
2.5. Ошибки в отображении информации на экране
В первые часы голосования было обнаружено, что на информационном экране публикуется некорректная информация о количестве выданных бюллетеней и проголосовавших (Изображение 6). Получалось, что на 10.30 проголосовало больше (101), чем было выдано бюллетеней (95). После замеченного несоответствия программисты поменяли местами эти числа.
В течение дня работники ДИТ Москвы имели возможность вносить изменения в работу элемента системы, отображающего статистику голосования (менялся номер версии на экране из Фото 1). Это говорит о компетентности разработчиков и их готовности вносить изменения по актуальным замечаниям. Но в итоговой системе должно быть гарантированно отсутствие возможности внесения изменений в систему в процессе работы избирательной комиссии.
Требования к выводу данных о ходе голосования на информационном экране не были указаны в функциональных требованиях, сценариях участия пользователя портала в дистанционном электронном голосовании и техническом задании в тех версиях, которые были предоставлены технической рабочей группе и/или опубликованы в качестве приложения к решению Московской городской избирательной комиссии. Cпецифицированный пунктом 3.8.10 функциональных требований объем сведений (количество зарегистрировавшихся избирателей, число принятых бюллетеней и статус: идет регистрация / регистрация завершена / идет прием бюллетеней и т. д.) не соответствовал тому, что отображалось на информационном экране.
2.6. Несовершенство интерфейса подтверждения участия в голосовании
Один из студентов, участвующих в тестировании сервиса, в 19.51 зафиксировал состояние страницы подтверждения участия в голосовании (Изображение 7).
Как можно видеть на данной странице, текст подтверждения, с которым следовало согласиться участнику эксперимента, содержал неверное название выборов. Студенты участвовали в выборах лучшего председателя студенческого совета Москвы по итогам учебного года, а для участия в них каждому из тестировщиков требовалось подтвердить, что он ознакомлен с порядком проведения дистанционного электронного голосования на иных выборах, выборах депутатов Московской городской Думы седьмого созыва. При этом не удалось найти место, где этот порядок был опубликован. Обращаем внимание, что представителям ДИТ Москвы на заседании технической рабочей группы 8 июля 2019 г. было указано на эту недоработку.
Также страница не предполагала какой-либо интерфейс упрощенного сообщения о выявленной проблеме, контакта, по которому о проблеме можно сообщить. Студент-тестировщик не получил от организаторов эксперимента сценариев тестирования либо методологии его проведения.
2.7. Реагирование на ошибки
Поскольку мероприятие позиционировалось как первое в серии из трех тестирований перед запуском эксперимента, было важно получить информацию о реагировании на ошибки, выявляемые в ходе тестирования, и об оперативности их исправления.
Для этого примерно за два часа до окончания голосования была проанализирована страница входа в сервис голосования по выборам лучшего председателя студенческого совета Москвы. На данной странице была обнаружена неверно сформированная ссылка «https://www.mos.ruservices/catalog/popular/» вместо «https://www.mos.ru/services/catalog/popular/», приводящая к тому, что при переходе по ней вместо страницы с популярными сервисами пользователь получал сообщение об ошибке.
Отчет о найденной ошибке в 18.29 дня проведения тестирования был направлен на адрес Общественной палаты Москвы для передачи в Электронный штаб по наблюдению за электронным голосованием при Общественном штабе по контролю и наблюдению за выборами депутатов Мосгордумы VII созыва, а в 18.54 дня проведения тестирования был также направлен по адресу, указанному на информационном экране в качестве адреса технической поддержки — [email protected]. Ни реакции, ни исправления не последовало как минимум до 15.00 следующего за днем проведения тестирования дня.
Мы будем присылать только важные сообщения, что нельзя пропустить, и по вторникам аналитический еженедельник «ИЗБИРАТЕЛЬНЫЙ БЮЛЛЕТЕНЬ»
Эксперимент по интернет-голосованию в Москве
На выборах депутатов Московской городской Думы в трех округах (1, 10 и 30) проходил эксперимент по дистанционному электронному голосованию. Поспешность разработки системы вызывает серьезные опасения в части соблюдения тайны голосования, надежности технических решений и возможностей для наблюдения. Эксперты «Голоса» вошли в состав технической рабочей группы и электронного штаба по наблюдению для проведения контроля за разработкой и тестированием.