Przejdź do treści

Pieśni o Bezpieczeństwie Sieci
blog Michała "ryśka" Woźniaka

Skoro ufamy e-bankowości, możemy zaufać e-wyborom?

Ten tekst został napisany na zlecenie OKO.press i tam oryginalnie opublikowany.

Poprawne uznanie autorstwa tego tekstu to: "Michał 'rysiek' Woźniak, Fundacja Ośrodek Kontroli Obywatelskiej „OKO”", powinno też zawierać odnośnik do oryginalnego tekstu w portalu OKO.press.

Wysuwanie wniosków na temat bezpieczeństwa (nie tylko cyfrowego) e-wyborów na podstawie naszego zaufania do e-bankowości prowadzi na manowce. Bezpieczeństwo elektronicznych transakcji finansowych opiera się na narzędziach i procesach, które w dużej mierze nie mają zastosowania w kontekście głosowania przez Internet. I mierzy się z innymi rodzajami zagrożeń.

W debacie publicznej na temat wyborów przez Internet regularnie pojawia się twierdzenie, że skoro ufamy bankowości internetowej w kontekście naszych pieniędzy, to możemy zaufać bezpieczeństwu e-wyborów.

Na przykład w wypowiedzi dla portalu Cyberdefense24, wiceminister cyfryzacji Michał Gramatyka ujął to tak:

Bezpieczeństwem bym się nie przejmował, bo jeśli możemy teraz bezpiecznie korzystać z systemów bankowych, a to dotyczy naszych pieniędzy, to myślę, że spokojnie też zaakceptujemy głosowanie przez internet.

Choć na pierwszy rzut oka brzmi to sensownie, zwłaszcza z ust wiceministra cyfryzacji, to niestety jest błędne. Zabezpieczenie wyborów powszechnych w formie elektronicznej to zasadniczo inny problem, niż bezpieczeństwo elektronicznych operacji finansowych. I znacznie trudniejszy do rozwiązania.

Nie tylko środki techniczne

“Bezpieczeństwo bankowości elektronicznej opiera się na bardzo wielu poziomach różnego rodzaju zabezpieczeń”, a środki techniczne są tylko niewielką ich częścią, mówi mi prof. Jacky Mallett, profesorka cyber-bezpieczeństwa na Uniwersytecie Reykjavíku. Prof. Mallett jest też ekspertką w zakresie bankowości, była członkinią rady nadzorczej islandzkiego banku centralnego, Seðlabanki Íslands.

Banki zarządzają ryzykiem transakcji, w tym tych zleconych przez nas przez Internet, nie tylko odpowiednio projektując swoją infrastrukturę, wdrażając szyfrowany protokół HTTPS czy wymagając logowania dwuskładnikowego, ale przede wszystkim za pomocą procedur, audytów, bieżącej analizy operacji i zagrożeń, czy wreszcie ubezpieczenia siebie i zgromadzonych środków od szkód związanych z incydentami bezpieczeństwa.

Wiele z tych narzędzi i procedur jest zwyczajnie niedostępnych lub nieskutecznych w kontekście e-wyborów i zagrożeń z nimi związanych. Spytana o to, jak duża część rozwiązań technicznych i nietechnicznych, stosowanych do zabezpieczenia e-bankowości, miała by zastosowanie w kontekście wyborów przez Internet, prof. Mallett odpowiada krótko: “jeśli mówimy o głosowaniu tajnym, w zasadzie nic”.

Analiza danych

W odróżnieniu od naszych głosów, transakcje bankowe nie są tajne. Ma to absolutnie zasadnicze znaczenie.

Instytucje finansowe zaangażowane w daną operację (np. przelew czy płatność kartą) wiedzą, kto ją zlecił, na jaką kwotę, na czyje konto. Nie oznacza to, że nasze transakcje są publiczne: instytucje finansowe mają obowiązek chronić nasze dane, w tym dane dotyczące naszych transakcji. Ale same mają do tych danych (w tym danych historycznych) dostęp, mogą je więc analizować. Na podstawie tej analizy mogą wychwytywać – i na bieżąco blokować – podejrzane transakcje.

Czasem powoduje to niedogodności: zablokowana może być zupełnie niewinna transakcja, która jest niespodziewana w kontekście historii danego konta. Na przykład wypłata z bankomatu z konta osoby, która pierwszy raz wybrała się na zagraniczną wycieczkę. Ale oznacza to też, że jeśli w jakiś sposób wyciekną on-line dane naszej karty, trudniej będzie z nich skorzystać cyberprzestępcom np. z Chin, Rosji czy Stanów Zjednoczonych.

Realnie zwiększa to więc bezpieczeństwo e-bankowości. A nie ma odpowiednika w przypadku pytania o bezpieczeństwo e-wyborów – głosy są tajne, nie ma żadnej “historii” głosowania, którą można by analizować w kontekście konkretnego aktu głosowania przez daną osobę. Co najwyżej można analizować bieżący ruch sieciowy czy zapytania do serwerów systemu wyborczego, ale w porównaniu z możliwością analizy historii transakcji konkretnej osoby na przestrzeni lat czy dekad to bardzo ograniczone narzędzie.

Sami nie zauważymy

Do historii naszych operacji finansowych mamy też oczywiście dostęp sami, w tym długo po ich przeprowadzeniu. To obserwacja może banalna, ale naprawdę ważna.

We własnym zakresie możemy wszak wyłapać transakcje bankowe, które wydają się nam podejrzane – na przykład nie pamiętamy ich zlecenia, nie zgadza się kwota lub odbiorca. W naszym interesie jest poinformowanie banku, a w interesie banku - zbadanie sprawy, i ewentualne zadbanie o to, by utracone środki zostały nam zwrócone.

W kontekście e-wyborów takiej możliwości nie mamy. Nasz głos musi być tajny, nie może być więc możliwości powiązania konkretnego głosu z konkretną osobą. Nie ma jak umożliwić nawet nam samym sprawdzenia, czy nasz głos został indywidualnie poprawnie zarejestrowany i policzony, bez porzucenia zasady tajności głosowania.

Naprawienie szkody

Gdy okaże się, że dana operacja finansowa faktycznie była efektem jakichś nieprawidłowości, istnieje możliwość naprawienia szkody, w postaci zwrotu części lub całości utraconych środków. Nawet, jeśli upłynęły od niej tygodnie czy miesiące. I to niezależnie od tego, czy chodzi o zupełnie “nie elektroniczne” oszustwo, błąd banku lub wykorzystywanych przezeń systemów, czy o złośliwe przełamanie zabezpieczeń technicznych lub użycie skradzionej karty kredytowej.

Banki i inne instytucje finansowe oczywiście ubezpieczają się od tego typu sytuacji. Ostatecznie, jeśli nasze środki zostały skradzione bez naszej winy, w wyniku przełamania jakichś technicznych zabezpieczeń, i nie ma możliwości ich odzyskania przez bank, nadal możemy oczekiwać, że środki zostaną nam zwrócone właśnie z ubezpieczenia. Oczywiście takie śledztwo może potrwać nawet kilka miesięcy, ale w końcu nasza szkoda może zostać zostać naprawiona.

Trudno tu wyobrazić sobie jakikolwiek odpowiednik w kontekście e-wyborów. Zliczanie głosów i ogłoszenie wyniku to kwestia godzin lub dni. Nie ma czasu na dogłębne śledztwo w przypadku podejrzenia przełamania zabezpieczeń.

A nawet gdyby, to jak miałoby wyglądać naprawienie szkody? Zwłaszcza, jeśli ustalenie, co się stało, zajmie tygodnie czy miesiące ze względu na bizantyjskie wręcz (w porównaniu do papierowego procesu wyborczego) skomplikowanie systemów obsługujących e-wybory. Parlament dawno zaprzysiężony, prezydent dawno już podpisał pierwsze akty prawne… Nowe wybory? Jak by to się przełożyło na zaufanie do procesu wyborczego?

Czas

Instytucje finansowe nieprzerwanie doświadczają ataków i nieprzerwanie na nie reagują. Oznacza to mnóstwo okazji do obserwacji i analizy zachowania atakujących, po czym spokojnego wyciągania wniosków, stopniowego dostosowywania infrastruktury, procedur, i innych zabezpieczeń do zmieniających się zagrożeń, strategii ataku i warunków.

“Infrastruktura usług finansowych zmienia się relatywnie powoli. Jest nieustannie chroniona i poddawana ewaluacji przez zespoły zajmujące się jej utrzymaniem przez długie okresy czasu.” – wyjaśnia James Eaton-Lee, ekspert w zakresie bezpieczeństwa cyfrowego mający doświadczenie w sektorze finansowym – “Wiele okrzepłych banków wciąż korzysta z systemów wdrożonych pierwotnie w latach 70. ubiegłego wieku, które dziś są dogłębnie zrozumiane [przez odpowiedzialne za nie zespoły techniczne – przyp.red.], i które przez dekady były testowane, audytowane, i certyfikowane dziesiątki lub setki razy.”

To oznacza, że ryzyko nieznanych błędów bezpieczeństwa czających się w tych systemach jest bardzo niskie.

W przypadku e-wyborów, potencjalny atakujący ma miesiące na przygotowanie ewentualnego ataku. Dokładnie zna też datę, kiedy atak musi nastąpić. Instytucje odpowiedzialne za przeprowadzenie wyborów nie mają jednak możliwości długoterminowego zbierania danych dotyczących zachowania systemów, za które odpowiadają, w sytuacji ich pełnego obciążenia.

Innymi słowy, trudno te systemy wystarczająco dobrze przetestować zawczasu (o czym przekonaliśmy się już podczas wyborów samorządowych w 2014r.).

“Infrastruktura wyborcza jest tymczasowa.” – kontynuuje mój rozmówca – “Jest tworzona od zera w świecie pełnym zagrożeń, a margines błędu jest bardzo mały: wyniki wyborów podawane są w ciągu kilku dni, nie tygodni czy miesięcy. Nie ma możliwości długotrwałego monitoringu i re-ewaluacji skuteczności zabezpieczeń.”

Inny rodzaj ryzyka

Zdecydowana większość cyfrowych ataków, z którymi mierzą się instytucje finansowe, to próby kradzieży dość niewielkich (w porównaniu do wszystkich środków zarządzanych przez daną instytucję) sum z kont klientów. Czasem zdarza się większy, dobrze przygotowany atak mający na celu wyprowadzenie znacznych środków.

Ale naprawdę trudno dziś o atak na e-bankowość, który mógłby zachwiać całym systemem bankowym. “Przez ostatnie 15 lat różne firmy świadczące usługi finansowe doświadczyły potężnych problemów, ale nie przełożyło się to na długotrwałe zachwianie zaufaniem do tego sektora” – zauważa Eaton-Lee.

Tymczasem udany atak na proces wyborczy to nie zmiana kilku głosów, a zmiana ich wyniku – lub przynajmniej skuteczne podważenie zaufania w ten wynik. Dotyka więc wszystkie osoby głosujące na danym obszarze.

Jeśli instytucja finansowa wykryje naprawdę niebezpieczny, szeroko zakrojony atak, może sobie pozwolić nawet na wyłączenie atakowanych systemów. Ale trudno sobie wyobrazić decyzję o nagłym wyłączeniu systemu e-głosowania w czasie trwających wyborów, ze względu na trwający atak.

Wymogi co do zabezpieczeń

To wszystko nie oznacza to, że instytucje finansowe nie stosują zabezpieczeń technicznych, jak szyfrowany protokół HTTPS, czy wymóg logowania wieloskładnikowego (i szereg innych, bardziej zaawansowanych narzędzi wewnątrz własnej infrastruktury). Wręcz przeciwnie – nie tylko je stosują, ale wręcz wymagają niektórych z nich od swoich klientów.

Banki mają dość dużą swobodę w tworzeniu zasad dotyczących na przykład tego, z jakich urządzeń musimy korzystać, by móc zainstalować ich aplikacje mobilne lub korzystać z niektórych e-usług. Muszą oczywiście wyważyć kwestie bezpieczeństwa i ryzyka z jednej strony, oraz wygody użycia i tego, jak wiele osób dany wymóg wykluczy, z drugiej.

Ostatecznie sprowadza się to jednak do kalkulacji biznesowej: czy większe będą koszty związane ze skutecznymi atakami, koniecznością naprawiania szkód finansowych klientów i wyższymi kosztami ubezpieczenia – czy też zysk utracony z powodu przejścia klientów do mniej restrykcyjnej konkurencji?

To kolejna ważna różnica względem e-wyborów: relacja klienta do jego banku jest zasadniczo czym innym, niż relacja obywatelki do instytucji państwowych. W przypadku e-bankowości, korzystamy z komercyjnej usługi i co do zasady możemy zmienić usługodawcę. W przypadku e-wyborów, realizujemy nasze podstawowe prawo jako obywateli i obywatelek. I nie mamy wyboru jeśli chodzi o “dostawcę” tej “usługi”.

Wykluczenie pewnej grupy klientów i klientek przez bank ze względu na (powiedzmy) system operacyjny, z którego korzystają, ma więc zupełnie inny ciężar gatunkowy, niż wykluczenie z tego samego powodu grupy osób głosujących przez instytucje państwowe. Kolejne narzędzie ograniczania ryzyka jest więc niedostępne lub przynajmniej znacznie trudniejsze do zastosowania w przypadku e-wyborów.

Wybory koniecznie tajne

Nietrudno zauważyć, że wymóg tego, by wybory były tajne, mocno komplikuje jakiekolwiek próby zabezpieczenia wyborów w formie elektronicznej. Nie możemy jednak zrezygnować z tego wymogu – otworzyło by to znacznie więcej możliwości nieuprawnionego wpływania na wynik wyborów.

Jeżeli mielibyśmy możliwość sprawdzenia, na przykład za pomocą aplikacji do głosowania na naszym urządzeniu, czy nasz e-głos został poprawnie zarejestrowany i policzony – również w sensie tego, na którą partię lub kandydatkę nasz głos oddaliśmy – otwierałoby to drogę m.in. do wymuszania lub kupowania głosów.

Przemocowy partner, mający zdecydowane zdanie, na kogo powinniśmy zagłosować, mógłby zażądać okazania mu przez nas takiego dowodu głosowania. A nieco zbyt ambitny burmistrz mógłby obiecać wypłatę za oddanie nań głosu, również pod warunkiem wylegitymowania się takim dowodem.

To oczywiście możliwe również w przypadku wyborów papierowych. Jest to jednak znacznie mniej niezawodne, z punktu widzenia osoby wymuszającej bądź kupującej głos, niż możliwość sprawdzenia oddanego głosu w hipotetycznej oficjalnej aplikacji do głosowania.

Zaufanie jest kluczowe

“Zabezpieczenie przed fałszerstwami wyborczymi jest w pewnym sensie wbudowane w papierowy system wyborczy w tym sensie, że wybory są wspólnym projektem społecznym, ręcznie wdrażanym na poziomie lokalnym, z ręcznie zliczanymi głosami, itd.” – podkreśla prof. Mallett – “Możliwość zaangażowania się w ten proces, w tym w roli członków lokalnych komisji wyborczych, jest kluczowym elementem budowania szacunku i zrozumienia praktyk demokratycznych.”

W przypadku e-wyborów, trudno sobie wyobrazić rolę lokalnych komisji wyborczych czy mężów zaufania. Trudniej więc o niezależną, rozproszoną, społeczną kontrolę procesu wyborczego. A taka kontrola jest niezbędna, to jedno z niewielu skutecznych narzędzi pomagających zadbać o bezpieczeństwo i rzetelność wyborów.

“Osobiście uważam, że e-wybory są wielkim błędem. Po pierwsze dlatego, że ważne jest, by w proces wyborczy byli zaangażowani i by go doświadczyli przynajmniej niektórzy członkowie i członkinie danej społeczności. Po drugie, ponieważ osobiście nigdy bym nie zaufała elektronicznemu systemowi głosowania.” – podsumowuje.

Z usług bankowości elektronicznej prof. Mallett korzysta bez obaw.