О результатах тестирования системы рассказал глава центра.
Ведущие специалисты страны оценили защищенность системы «Праймериз» – платформы, которую разработали специально для проведения внутрипартийных выборов «Nur Otan». Партия, напомним, инициировала отбор с целью выявления новых лидеров, тех, кто хочет менять страну к лучшему для включения их в свои партийные списки в Мажилис и маслихаты всех уровней.
Из-за ниспадающей пандемии голосование пройдет в онлайн-режиме. У общественности, понятное дело, сразу же возникли вопросы относительно защищенности процесса, его честности и справедливости.
Ранее первый заместитель председателя партии «Nur Otan» Бауыржан Байбек подчеркнул, что разработанная по поручению Елбасы электронная система «Праймериз» появилась после проведения серьезного анализа международного опыта, были изучены все риски. Она полностью безопасна, обеспечивает конфиденциальность для голосующих и исключает возможности технической корректировки голосования.
Итак, сумела ли отразить «учебную» хакерскую атаку данная система? Об итогах всестороннего аудита системы корреспонденту Azattyq Rýhy рассказал президент Центра анализа и расследования кибератак (ЦАРКА) Олжас Сатиев.
– Разработчики системы «Праймериз» привлекли нас, как независимых аудиторов по информационной безопасности. Наша первая задача – провести аудит всей системы. Проверить для того, чтобы не было возможности как-то повлиять на систему или накрутить голоса. И второй момент – во время самого праймериз, чтобы мы в режиме реального времени мониторили, что не вносится какой-то деструктив или не вносятся изменения в базу данных. С нашей стороны, могу сказать, что после проведения аудита безопасности, мы нашли некоторые уязвимости, которые были оперативно устранены разработчиками и сейчас мы их консультируем по тому, как улучшить защиту системы. То есть могу сказать, что сейчас система максимально защищена.
– Насколько защищены данные выборщиков? Многие ведь ставили под сомнение вопрос анонимности при голосовании. Не смогут ли руководители тех же самых первичек проверить, за кого был отдан голос?
– Система устроена так, что могут проголосовать только те, кто является членом партии «Nur Otan». Если человек не является членом партии, то проголосовать он не сможет. Это не предусмотрено в системе.
Когда человек проголосует, его голос зашифровывается и не отображается. Это специально сделано так, чтобы не заставляли проголосовать за определенного кандидата и потом просили предоставить доказательства. То есть выборщик проголосовал, он знает за кого, он отдал свой голос, и у него в системе не отображаются данные, за кого он проголосовал. Это сделано специально для того, чтобы, например, ваш руководитель, ваш начальник не заставил вас проголосовать за себя и предоставить доказательства.
Если он хочет проверить свой голос, то есть узнать, что он именно проголосовал за этого человека, чтобы удостовериться, тогда он пишет заявление. Тогда специальная комиссия собирается. И только у комиссии будет возможность посмотреть, за кого он проголосовал и предоставить выборщику доказательства.
– Расскажите подробнее об этой процедуре. Если выборщик не уверен, правильно ли был засчитан голос, как это можно проверить?
– Для этого нужно обратиться в территориальный филиал партии «Nur Otan» по месту своей регистрации, заполнить соответствующее заявление, и попросить выдать историю голосования. Потом собирается специальная комиссия. У этой комиссии будет возможность получить данные, которые они смогут сообщить выборщику. В комиссии должно быть пять человек. Только они смогут получить доступ к зашифрованному ключу.
– Защищена ли система от DDoS-атак? Проводились ли какие-то учения, профилактика? Пытались ли в ходе них взломать систему?
– Это называется нагрузочное тестирование. Мы проводили нагрузочное тестирование и периодически проводим его. В момент самого праймериз за анти-DDoS будет отвечать соответствующая техническая служба в Центральном аппарате партии «Nur Otan». С нашей стороны мы уже совместно с разработчиками будет сидеть несколько дней и мониторить нагрузку на серверы, смотреть за хакерской активностью, если она будет. И помогать им также отбиваться от атак.
Взломать систему пробовали и мы сами. Мы имитировали хакерскую атаку, имитировали DDoS — атаку. Пробовали изменить голоса, получить доступ к данным. И если мы находили какие-то замечания, то специалисты их оперативно исправляли. Также коммуникация и сотрудничество у нас выстроена таким образом, что есть «Nur Otan» с самими разработчиками и есть ЦАРКА, как самостоятельная негосударственная организация. И получается, что у нас будет доступ к системе логирования. Если кто-то будет вносить какие-то изменения в систему или что-то делать, то мы это все увидим.
Процесс выстроен так, чтобы даже у разработчиков не было возможности изменить и повлиять на голосование. Мы это сразу увидим.
– Не обрушит ли сайт массовый вход в информационную систему в день голосования?
– Такие риски всегда бывают, поэтому мы и проводим так называемые нагрузочные тестирования, как будто на сайт заходят около ста тысяч человек в течение часа. Система сейчас выдерживает нагрузку. Плюс система поставлена так, что есть горизонтальное масштабирование. То есть, если не будет хватать мощностей, то оперативно будут подключаться новые серверы для разгрузки.
Это первое онлайн-голосование в стране. На самом деле оно очень важное, потому что на основе этого опыта у государства будет дальнейшее понимание возможности проведения других электронных голосований. Например, в Эстонии выборы президента происходят электронно, через ЭЦП. И мне кажется, что сейчас мы сможем получить еще и понимание, как это все работает, и возможно в будущем мы двинемся дальше. Чтобы онлайн-голосование проходило не только в праймериз «Nur Otan», но и на выборах сельских акимов, о чем говорил глава государства. Возможно, что все это будет тоже электронным.
Это конечно интересный опыт, но в первую очередь и большая ответственность. Специалисты ЦАРКА во время праймериз будут работать 24/7 и мониторить все атаки.
– Благодарю Вас за беседу!
Для справки: ЦАРКА – анализ и предотвращение кибератак, компьютерных преступлений, экстренное реагирование на инциденты информационной безопасности, и развитие института цифровой гигиены и защищенности граждан и организаций Казахстана внутри информационного социума. Тесно сотрудничает с государственными органами и частными организациями в сфере защиты информации, оказывает услуги аудита информационной безопасности. Особая стратегия Центра – тесное сотрудничество с ВУЗами в сфере подготовки квалифицированных специалистов в области ИБ и развитие научно-исследовательской и опытно-конструкторской работы в данной сфере.
Сейтказин Ардак
Источник rus.azattyq-ruhy.kz