Международное сотрудничество > События

Отчет о заседании и заключения семинара по вопросам сертификации систем электронного голосования
(Проект)

Страсбург, 18 января 2010 г.

Семинар по вопросам сертификации систем электронного голосования

26 -27 ноября 2009 г.

Совет Европы, Дворец Европы

Страсбург

подготовлен
Хорди Барратом Эстеве,
Университет Аликанте
Докладчик семинара

0 – МЕТОДОЛОГИЯ

Данный документ призван предоставить обзор презентаций и последующих дискуссий в рамках первого семинара по вопросам сертификации электронного голосования. Его структура будет такая же, как у документа о первоначальной дискуссии. Это сделано, чтобы нижеследующие заявления вписывались в более широкий сценарий, обозначенный в первом документе. Таким образом, оба документа следует анализировать вместе. В приложениях 1 и 2 изложены соответственно программа Семинара и перечень участников.

I – ЧТО ОЗНАЧАЕТ «СЕРТИФИКАЦИЯ»?

Процесс формирования общего определения сертификации вызвал всеобщее беспокойство среди участников заседания. Помимо замечаний на эту тему, изложенных в дискуссионном документе, необходимо учитывать другие моменты. Например, сертифицировать не значит проанализировать, осмотреть или одобрить. Эти три термина относятся к трем разным процедурам. По словам швейцарской делегации, анализ может проводиться любым органом, обладающим достаточным доступом к технической информации, в то время как сертификация может быть осуществлена только учреждением, предварительно получившим на то специальные полномочия.

Кроме того, органы одобрения и/или инспекции могут не быть теми же самыми органами, которые осуществляют сертификацию. Например, австрийский A-SIT принимал участие во внедрении механизмов электронного голосования, хотя он имел только статус одобряющего органа (в соответствии с европейским законодательством об электронных подписях) и инспектирующего органа (ISO 17020).

Более того, существуют другие термины со значениями, которые являются более или менее близкими к сертификации. К ним относятся аккредитация, подтверждение, наблюдение, оценка, аудит и санкционирование.

II – ПОЧЕМУ «СЕРТИФИКАЦИЯ» НАСТОЛЬКО ВАЖНА ДЛЯ УСТРОЙСТВ ЭЛЕКТРОННОГО ГОЛОСОВАНИЯ?

Эстонская делегация подчеркнула важность определения цели процесса сертификации. Действительно, точные методы должны обозначаться только на втором этапе, после согласования цели процесса. По мнению делегации, сертификация должна гарантировать безопасность и надежность устройств, обеспечивающую проведение честных выборов.

III – КТО ДОЛЖЕН ВЫПОЛНЯТЬ ЭТУ ЗАДАЧУ?

Председатель заседания предположил, что аккредитация сертификации, т.е. процедура, используемая для выбора аудитора, может быть не менее важна, чем сертификация. Национальное законодательство может непосредственно назначать орган для осуществления сертификации; такое наблюдается в Австрии. В противном случае решение о том, кому следует поручить сертификацию, должно приниматься самими поставщиками, как правило, среди ограниченного количества проверяющих органов, предварительно получивших на это полномочия, или органами проведения выборов. Последнее решение, использованное, к примеру, в Калифорнии, поможет избежать некоторых конфликтов интересов. Кроме того, обсуждение того, кто на самом деле оплачивает процесс сертификации, также стимулирует дискуссию.

Страны, которые приняли решение о разработке программного обеспечения с использованием государственных средств, возможно, будут использовать особые процедуры сертификации. Это необходимо, поскольку, несмотря на потребность граждан в доказательствах безопасности устройств для голосования, частные поставщики (иными словами, коммерческие организации) не будут вовлечены, и поэтому конфликт интересов может быть разрешен иначе.

На семинаре также было проанализировано участие НПО (например, в Эстонии) или других специальных органов, таких как Коллегия экспертов в Бельгии. Бельгийская делегация подчеркнула, что ее члены были назначены бельгийскими парламентскими ассамблеями, и что федеральные и субфедеральные коллегии имеют почти один и тот же состав. Бельгийская делегация считает, что эти организации, сформированные для повышения уровня доверия к системе электронного голосования, пока выполняют свою задачу вполне удовлетворительно.

В Женеве также имеется специальный комитет для анализа реализуемых избирательных процессов, в данном случае состоящий как из политиков, так и экспертов. Он имеет доступ к определенным документам при участии независимого эксперта. В Австрии также принимают участия разные игроки (напр., INSO / TU Vienna, Федеральный вычислительный центр), однако не само общество. Кроме того, они имеют лишь частичный доступ к некоторым документам, таким как исходный код и отчет о сертификации.

Очевидно, что наилучшее решение заключалось бы в назначении этих задач всем тем, кто заинтересован в данном вопросе. Тем не менее, как выделила норвежская делегация, немного людей обладает навыками и знаниями, необходимыми для проведения сертификации. Такой подход не заменяет реальную сертификацию, но он способен посодействовать в достижении цели, заключающейся в обеспечении достаточного доверия граждан к электронному голосованию. Тем не менее, самым легким способом вовлечения большого количества людей может стать использование решений с открытым кодом. Хотя поставщики обычно выступают против таких мер, норвежский опыт показывает, что, по крайней мере, некоторые из них могут рассматривать эти требования как существенное препятствие.

Принимая во внимание всеевпропейский характер миссии Совета Европы (СЕ), данное учреждение, по словам г-на Больца, принять новую функцию, которая может не ограничиваться одобрением руководств. Например, в Соединенных штатах Америки имеется федеральная схема добровольной сертификации, имеющая своей целью усовершенствование внедрения систем электронного голосования. Она управляется Комиссией содействия выборам (КСВ). Здесь необходимо выделить три момента: это федеральная инициатива; участие КСВ на уровне графств необязательно; это реальный сертификационный процесс. Иными словами, КСВ, помимо одобрения рабочих руководств, также самостоятельно осуществляет сертификацию. Таким образом, она не является только теоретическим игроком. Такая стратегия могла бы быть полезна в Европе, так как общая всеевропейская схема сертификации способна обеспечить выполнение задач поставщиков. Ее добровольная основа также может несколько снизить градус критики.

Такая позиция была учтена, однако некоторые делегации выразили мнение, что любую такую меру необходимо рассматривать только на более поздней стадии, то есть после возможного получения мандата Комитета министров на подготовку руководств по устройствам для электронного голосования и его последующего одобрения таких руководств.

По словам делегации БДИПЧ ОБСЕ, сертификация должна зависеть только от избирательной культуры каждой конкретной страны. Несмотря на существование различных избирательных правил (как подчеркнула бельгийская делегация), каждая страна должна удовлетворять минимальным избирательным стандартам. Эти стандарты могут быть определены в комплекте руководств по сертификации электронного голосования Советом Европы. Другие делегации призвали к созданию электронных платформ, которые обеспечат быстрый и непрерывный обмен позитивным опытом.

В этом контексте делегация Российской Федерации предложила создать Специальный комитет, который может обеспечить необходимую площадку для анализа таких предложений.

IV – КАКИЕ АСПЕКТЫ СЛЕДУЕТ АНАЛИЗИРОВАТЬ?

Хотя на первый взгляд наилучшим вариантом для гарантии правильного анализа сертификации может быть подробный список требований, узкая правовая база может возыметь парадоксальный эффект. В то время как аудиторы могут быть подвергнуты более тщательному надзору, поставщики могут модифицировать свою продукцию таким образом, чтобы ее единственное назначение состояло лишь в соответствии требованиям данного органа проведения выборов. Поставщики не будут стремиться к реальному усовершенствованию своей продукции, а администрация будет вынуждена принимать ее, поскольку она будет связана своими законными обязанностями.

Заглядывая за пределы уже известных принципов внедрения сертификации, например, соответствующая Конституция, Кодекс наилучшей избирательной практики Венецианской комиссии и Рекомендации СЕ по электронному голосованию, также важно решить, какие протоколы следует использовать. В ходе семинара было упомянуто, по меньшей мере, шесть разных примеров: ISO 9001, ISO 9000-3, IT Grundschutz (касающийся защиты рабочей среды и включающий ISO 27001), значение k-устойчивости к инсайдерским угрозам, CMS и Общие критерии (ISO 15408).

ISO 9001 был включен в первые теоретические доклады, зачитанные в Женеве; однако в итоге было решено использовать ISO 27001, так как он более сосредоточен на вопросах безопасности, чем качества. ISO 27001 также использовался в Норвегии, где от поставщиков требуют соответствовать данному стандарту. В то же время Норвегия признает, что содержание данного протокола слишком узкое, так как он касается только процессуальных и организационных вопросов, а не основной системы, то есть программного обеспечения и аналогичных компонентов. По этой причине Норвегия требует, чтобы ее поставщики не только соответствовали ISO 27001, но также, чтобы их программное обеспечение соответствовало методологиям Общих критериев. Таким образом, каждый протокол имеет свое собственное назначение.

Общие критерии (ОК) упоминались в ходе семинара как подходящая методология для устройств электронного голосования, поскольку они обеспечивают аналитическую базу для программного обеспечения, играющего важную роль в обеспечении безопасности. Правила ОК даже используются неформально, когда, например, A-SIT проводит на базе ОК анализ рисков Рекомендаций Совета Европы по электронному голосованию.

Методология ОК основана на диалоге между пользователями и поставщиками, при этом последние предъявляют подробные требования, адаптированные к данным устройствам, например, к устройствам для электронного голосования. В этом случае, как напомнила швейцарская делегация, необходимо принять во внимание важность правовых избирательных принципов и выбрать наилучший способ перевести это законодательство на технический язык, требуемый ОК. Подход KORA (Konkretisierung rechtlicher Anforderungen или «конкретизация законных требований»), упомянутый г-жой Фолькамер, призван улучшить и облегчить такую связь между правовыми и техническими точками зрения.

Тем не менее, некоторые правовые понятия чрезвычайно сложно перевести в технические спецификации. Норвежская делегация спросила: должны ли мы считать нарушением тайны голосования случай, когда голос обнародуется на период в 10 миллисекунд? Кроме того, в соответствии с эстонским законодательством, такой перевод должен осуществляться в обоих направлениях, поскольку в некоторых технических аспектах (например, способы противодействия массированным атакам) могут потребоваться особые правовые меры.

Любой приемлемый метод также должен гарантировать всеобъемлющий и активный анализ, однако во многих подходах рассматривались только частичные аспекты. Например, подход ОК, представленный на семинаре, сосредоточивался на голосовании через Интернет и вопросах безопасности, но при этом не включал в себя платформы электронного голосования и другие угрозы. Поэтому необходимы дополнительные протоколы (напр., IT Grundschutz) для рабочей среды и значения k-устойчивости к инсайдерским угрозам. Также распространены попытки найти так называемые процедуры сертификации, в рамках которых рассматриваются только процедурные вопросы. Они проверяют, правильно ли следуют протоколу соответствующие заинтересованные стороны, однако они не анализируют качество такого протокола самого по себе.

В отношении программного обеспечения возникает аналогичная ситуация, поскольку много так называемых сертификаций призваны лишь проверить, выполняет ли приложение задачи, обозначенные поставщиком. Поэтому это является лишь пассивной инспекцией. Для проведения эффективной сертификации необходим строгий надзор, при котором аудиторы, помимо указаний поставщиков, должны сами решать, какие аспекты следует анализировать. Например, в Калифорнии в рамках активного анализа «сверху-вниз» (TTBR) было выявлено несколько нарушений в устройствах, которые были предварительно сертифицированы, что привело к немедленному отзыву их сертификатов.

В отношении содержания сертификации эстонская делегация напомнила, что она должна охватывать все составляющие, то есть программное обеспечение, аппаратное обеспечение, а также людей. Принимая во внимание, что клиентское программное обеспечение, используемое при голосовании через Интернет, часто остается за пределами содержания сертификации, эстонская делегация предположила, что единственными разумными мерами представляются повышение осведомленности избирателей и последующее участие общественности. A-SIT также согласился с тем, что эти остаточные риски могут остаться без непосредственного внимания, однако его выступающий сослался на австрийский закон 2008 года, требующий сертификации или хотя бы одобрения клиентского программного обеспечения или ПО сервера для голосования за 60 дней до выборов.

Другие участники (например, представитель столицы Бельгии Брюсселя) подчеркнули, что некоторые страны пользуются разными электронными средствами для голосования, подведения итогов и распределения мест в парламенте. Таким образом, схема сертификации должна включать в себя все эти этапы.

Пост-сертификационная фаза тоже важна в контексте приемлемого процесса повторной сертификации. Например, в США постоянный надзор за внедрением сертифицированных устройств осуществляется в рамках программы мониторинга качества.

Наконец, общественно-политическая сертификация представляется важным дополнением к нынешнему значению сертификации. На собрании пришли к согласию, что помимо компьютерного анализа необходимо проводить оценку других параметров. Например, приемлемость правовой базы для применения электронного голосования должна проверяться в рамках сертификационной процедуры, и аналогичный подход должен применяться в социально-политических вопросах. Тем не менее, как напомнила бельгийская делегация, в странах, где голосование обязательно, выявить существенные изменения будет изначально невозможно.

Когда имеется надежная техническая система с адекватной правовой базой, общественно-политические факторы должны обеспечить доверие граждан и стать основной трудностью. Поэтому необходимо полное и выверенное знание ожиданий общества и политических деятелей. Например, рассматривая в качестве примера электронные выборы Австрийского студенческого союза, A-SIT отметил, что австрийские дебаты больше касались фундаментальных принципов, чем технических вопросов. Некоторые исследования, которые призваны стандартизировать социально-политические процедуры сертификации (напр., индексы готовности электронного голосования и опросы) уже проводятся.

Тем не менее, по мнению экспертов из Женевы, важно понять, что, несмотря на использованные ими методы, можно достичь только разумной степени уверенности в надежности системы. Мы можем быть способны обеспечить много доказательств, однако не существует возможности создать полностью «пуленепробиваемую» систему. По словам бельгийской делегации, выборы с использованием бумажных бюллетеней также не могут обеспечить 100-процентную безопасность.

V – КАК СЛЕДУЕТ ОБРАЩАТЬСЯ С ДАННЫМИ?

Данный раздел, главным образом, посвящен анализу обработки окончательного результата. Тем не менее, также полезно изучить предыдущую стадию, то есть то, как технические данные предоставляются аудиторам. Именно этот параметр позволит нам определить реальную надежность вышеупомянутых мер. Польская делегация напомнила, что некоторые процедуры сертификации предусматривают минимальный период или позволяют наблюдателям электронных выборов только читать исходный код. Поэтому адекватная сертификация должна гарантировать предоставление некоторых подробностей относительно количества данных, предоставленных аудиторам, и того, как обращаться с этими деликатными материалами. Хорошим способом проверки этих вопросов может быть соглашение о неразглашении (СНР), подписанное заинтересованными сторонами.

Правила, связанные с оглашением окончательного отчета, становятся принципиально важными, чтобы общая процедура была в состоянии достигать двух своих целей: не только технической (гарантировать безопасность и надежность устройств), но еще и демократической, связанной с доверием граждан. Хотя всегда можно предусмотреть полную прозрачность, также очевидно, что электронному голосованию придется столкнуться с разными сценариями, в результате подходящий ответ может существенно различаться. Например, в Бельгии многие люди считают, что наиболее скептически настроенными (относительно граждан) заинтересованными сторонами являются политики. Поэтому при разработке стратегии повышения уровня доверия среди данной группы должны учитываться разные нюансы, и эта стратегия может зависеть не только от степени открытости.

Бельгийская делегация также отметила роль общественных институтов. Учитывая, что полное оглашение отчета о сертификации может поставить под угрозу некоторые законные интересы (напр., программное обеспечение, использованное аудиторской компанией), вмешательство органов проведения выборов может быть достаточным (по крайней мере, в некоторых странах) для развития позитивного сценария. В рамках подлинно демократической системы не будет оправдания для устойчивого скептицизма соответствующих институтов, которые действительно работают на поддержание общей демократической системы.

В отношении данного аспекта Докладчик напомнил, что такие рассуждения не выполняют одну из главных задач конституционализма, заключающуюся в построении политической схемы, основанной на перманентном и здоровом недоверии к политической власти. Более того, эстонский опыт подтверждает эту точку зрения, поскольку инициатива электронного голосования в данной стране реализовывалась не Министерством внутренних дел, которому не доверяет население, а Центральной избирательной комиссией. Г-н Больц напомнил, что отсутствие в США собственного опыта в сфере информационных технологий являлось серьезной проблемой в графствах страны, что негативно отразилось на попытках повысить уровень доверия граждан.

В любой публикации по вопросам сертификации электронного голосования необходимо учитывать существенное различие ситуаций. Например, в Бельгии любой гражданин может после выборов загрузить исходный код. В Эстонии, хотя аудиторские отчеты теоретически доступны, они разглашаются только по особой просьбе. В Калифорнии публикуются имена и краткие биографии аудиторов, поэтому они прилагают все усилия, чтобы сохранить свою академическую репутацию.

VI - ЗАКЛЮЧЕНИЯ

1. В рамках семинара были рассмотрены определения сертификации, и было заключено, что существуют другие термины со значениями, которые являются более или менее близкими к сертификации. К ним относятся аккредитация, подтверждение, наблюдение, оценка, аудит и санкционирование. Связь между этими понятиями необходимо прояснить.

2. При рассмотрении вопроса сертификации электронного голосования первый этап должен заключаться в выяснении цели процесса сертификации, в том числе обеспечении того, что программные продукты и процедуры, используемые в электронных выборах (как удаленно, так и не удаленно) являлись безопасными и надежными. Необходимо охватывать весь избирательный процесс.

3. В идеале вся система электронного голосования должна быть построена с изначальным учетом перспективы сертификации. Цель должна состоять в полной открытости для изучения третьими сторонами или как минимум в наличии соглашений о неразглашении (СНР), с которыми могут согласиться заинтересованные стороны. Кроме того, государство должно принять на себя полную ответственность за функционирование систем электронных выборов, то есть быть главным регулирующим органом.

4. Помимо технической сертификации необходимо рассмотреть важность социально-политической сертификации, которая позволит учитывать ожидания граждан и воздействие новых каналов голосования на поведение избирателей.

5. Чрезвычайно важно, чтобы правовые и демократические принципы выборов (в том числе описанные в Rec (2004) 11 об электронном голосовании и других международно признанных текстах) и должное внимание к различиям между странами трансформировались в технические требования, используемые ОК, и аналогичные процедуры. Более того, необходимо разработать способы анализа выполнения таких требований.

6. Делегация Российской Федерации предложила попросить Комитет министров создать Специальный комитет по вопросам электронного голосования. В краткосрочной перспективе другие делегации призвали создать электронную платформу Совета Европы, которая обеспечит быстрый и непрерывный обмен позитивным опытом.

7. Работа по сертификации систем электронного голосования должна осуществляться в соответствии с Утрехтской декларацией (MCL-16(2009)12 Final), в которой закреплено право граждан на участие в работе местных органов власти.

8. В ходе семинара было заключено, что очень полезно будет изучить имеющиеся подходы к сертификации систем электронного голосования и на их основе подготовить комплект руководств по данному вопросу.

9. Был достигнут широкий консенсус в том, что на основании отчета о данном заседании должна сформироваться база для обсуждения дальнейших действий, которое, возможно, состоится на следующем семинаре, запланированном на 2010 год.

Приложение 1: Программа Семинара по сертификации систем электронного голосования

Четверг, 26 ноября

Пятница, 27 ноября