Naujienos
Ekspertai rekomenduoja Estijai grįžti prie popierinio balsavimo
Nepriklausomų ekspertų komanda iš JAV, Jungtinės Karalystės ir Suomijos tyrė Estijoje naudojamo internetinio balsavimo saugumą. Tai pirmas toks detalus ir nepriklausomas Estijos e-balsavimo sistemos tyrimas. Tyrimui pasirinkti 2013 m. spalio mėnesį vykę savivaldos rinkimai, kuriuose balsavo 600 tūkst. rinkėjų. Iš jų 130 tūkst. rinkėjų balsavo internetu. Tyrėjai stebėjo e-balsavimo sistemą rinkimų metu, analizavo oficialius dokumentus, vaizdo įrašus, tyrė Estijoje naudojamą programinę įrangą savo laboratorijoje.
Tyrėjai pateikė šias išvadas apie Estijoje naudojamą internetinio balsavimo sistemą:
Profesorius J. Alex Halderman iš Mičigano universiteto teigė,
kad „Estijos internetinio balsavimo sistema aklai pasitiki
rinkimų serveriais ir rinkėjų kompiuteriais. Bet kurie iš šių
yra patrauklus taikinys valstybių lygmens įsilaužėliams.
Paskutiniu metu naujienose skambėję pranešimai apie Kinijos
remiamus įsilaužimus į JAV kompanijas arba Nacionalinės saugumo
agentūros (NSA) įsilaužimai į Europos telekomus tai vaizdžiai
parodo.“ Tyrėjų komandą taip suneramino pasiektos išvados, kad jie
nusprendė skubiai paviešinti savo atradimus iki ateinančių
Europarlamento rinkimų, paaiškino Jason Kitcat iš „Open Rights
Group“ – „Aš buvau pritrenktas to ką mes radome. Niekad
negalvojome, kad rasime tiek daug problemų ir spragų. Jaučiame
pareigą informuoti visuomenę apie šias problemas.“
Ekspertų komanda rekomendavo nutraukti balsavimo internetu taikymą Estijos rinkimuose. Nuorodos:Užsienio spaudoje: |
Preliminarios iVote sistemos analizės pastabos
VšĮ “Konstitucinių teisių gynimo agentūra” (KoTeGA) projektas "iVote sistemos analizė". Organizuoja KoTeGA su savanoriais IT specialistais (programuotojais iš Vilniaus, Kauno, Londono), kurie neatlygintinai padeda vykdyti projektą. Tikslas — patvirtinti arba paneigti ar elektroninėmis priemonėmis galima užtikrinti balsavimo slaptumo principo laikymąsi iVote sistemos kontekste. Kodėl Demokratiniai rinkimai neįmanomi be viešumo, skaidrumo ir stebėjimo. Dar daugiau — autoritariniai režimai, bandantys apsimesti demokratijomis, be kitų dalykų išsiskiria rinkimų rinkimų rezultatų klastojimu ir trukdžiais rinkimų stebėtojams atlikti savo darbą. Prieš 20 m. Lietuva kartu su kitomis šalimis išsivadavo iš SSRS gniaužtų ir yra laisva, demokratiška valstybė. Bet ne visoms buvusioms SSRS respublikoms taip pasisekė. Kai kurios, laikinai pasidžiaugusios demokratinėmis reformomis degradavo į autoritarinius režimus. Reikia suprasti, kad ir Lietuvoje ši rizika nėra visiškai išnykusi. Lietuvoje siūlomi internetinio balsavimo projektai pasižymi tuo, kad juose visiškai pamirštamas visuomenės poreikis stebėti rinkimus ir tuo būdu įsitikinti, kad rezultatai buvo suskaičiuoti teisingai, o naujai išrinkta valdžia — teisėta. Todėl, šiuo metu vykstant internetinio balsavimo reklamos kampanijai ir atsiradus galimybei patyrinėti pirmą kartą visuomenei pristatytą internetinio balsavimo sistemą "iVote", KoTeGA ėmėsi šios misijos — išsiaiškinti ir visuomenei pateikti išvadas — kiek tokia ar panaši sistema tiktų rinkimams vykdyti Lietuvoje. Pastabos Norime pastebėti, kad nors "iVote" sistema yra vadinama žaidimu, jai keliamas tikslas pademonstruoti internetinio balsavimo saugumą. Taip pat joje naudojamos kriptografinės priemonės verčia abejoti ar tai vien žaidimas ir galima įtarti, kad ši sistema būtų toliau vystoma bei jos pagrindu kuriamos internetinio balsavimo sistemos rinkimams Lietuvoje. Taip pat iš vienos pusės, viešoje erdvėje teko girdėti teiginių, kad pateiktą sistemą gali "laužyti" ir bandyti kas tik nori. Iš tiesų situacija yra kitokia — kompiuterinių programų ar paslaugų "laužymą" draudžia LR įstatymai, o sistemos sąvininkai nepateikė jokio viešo leidimo praktiškai tikrinti iVote.lt saugumą. Dar daugiau — tyrėjams, norintiems išnagrinėti sistemos veikimą yra sudaromos kliūtys viešinti informaciją apie iVote bėdas ir yra grąsinama 100 tūkst. litų bauda. Žr.: http://www.ivote.lt/taisykles Tolesni planai Šiuo metu KoTeGA projekto darbo grupė jau pradėjo rinkti ir analizuoti informaciją apie iVote sistemos veikimą ir tinkamumą rinkimams. Savo išvadas projekto darbo grupė paskelbs po žaidimo pabaigos. Planuojame tam surengti spaudos konferenciją (tikriausiai spalio 8-10 d.). Pastebėtos saugumo klaidos Projekto dalyviai jau pastebėjo [ir informavo iVote kūrėjus] apie šias technologines problemas:
Kiti bendri pastebėjimai Balsavimo biuleteniui pildyti yra naudojama Java platformoje veikianti programa. W3resource.com duomenimis Java programas palaiko ~85% pasaulio kompiuterių vartotojų. Tikslių Lietuvos duomenų neturime, nors kai kurių lietuviškų tinklalapių lankytojų statistika leidžia pastebėti panašius skaičius. Taigi galima spėti, kad ~15% Lietuvos interneto vartotojų toks balsavimas būtų neprieinamas. Nesame tikri, kad viešoje iVote.lt sistemoje naudojamas tas pats kodas, kuris ir platinamas. Niekur neradome pateiktos informacijos, kad koks nepriklausomas asmuo ar įmonė būtų tą patvirtinę. Reklaminiame filmuke teigiama, kad sistema audituojama, bet šio audito vykdytojai ar išvados nepateikiami. Tokiu atveju belieka aklai ir besąlygiškai pasitikėti sistemos savininkais, kas tikruose rinkimuose yra visiškai nepriimtina, nes taip galima neteisingai skaičiuoti rezultatus arba sužinoti kas už ką balsavo. Rinkėjo tapatybei nustatyti naudojamos komercinės sistemos (e-bankininkystė, m-parašas). Tokiu būdu atsiranda grėsmė, kad suinteresuota privati įmonė ar joje dirbantys asmenys gali apsimesti eile rinkėjų ir balsuoti už juos. Net neaišku ar būtų patikrinta — ar rinkėjas, kurio tapatybė patvirtinama, yra sudaręs sutartį su banku/kita įmone, ar ne. Balsavimo biuletenis pildomas rinkėjo kompiuteryje ir išsaugomas jame kompiuterinės bylos pavidalu. Tokiu būdu atsiranda galimybė pašaliniams asmenims bei virusams net be rinkėjo žinios pakeisti jo valią — pakeičiant ar sugadinant biuletenį.
|
E-balsavimo demonstracijoje -- saugumo spragos
Balsavimą internetu Lietuvos viešojoje erdvėje vis dažniau iškeliant kaip kone pagrindinę priemonę demokratijos plėtrai, atsiranda būtinybė kritiniu žvilgsniu įvertinti šio metodo privalumus ir trūkumus. VšĮ „Konstitucinių teisių gynimo agentūra“ (KoTeGA) praeitą savaitę pradėjo projektą „iVote sistemos analizė“ – tikrinama, ar kol kas žaidimu vadinamoje iVote sistemoje įmanoma garantuoti internetinio balsavimo saugumą. „Plačioje visuomenės dalyje įsivyravęs optimizmas dėl internetinio balsavimo yra gerokai perdėtas“, – įsitikinęs projekto vadovas Emilis Dambauskas. Šio profesionalaus programuotojo suvienyti lietuviai kompiuterininkai iš Vilniaus, Kauno ir Didžiosios Britanijos jau rado bent keletą iVote sistemos silpnųjų vietų ir apie jas pranešė sistemos savininkams. Prie kokybiškos analizės atlikimo prisideda ir VU Matematikos ir informatikos fakultetas, talkina Lietuvos kompiuterininkų sąjunga. Abi šios institucijos yra ilgalaikiai visuomenės partneriai stebint balsavimo internetu siūlymus Lietuvoje. Anot balsavimo internetu kritikų, grėsmės neapsiriboja tik technologiniais aspektais, tačiau liečia ir pamatines demokratijos teises – piliečių galimybę stebėti rinkimų procesą ir įsitikinti jų sąžiningumu. Lietuvoje siūlomose ir bandomose sistemose iš esmės neįmanoma perskaičiuoti balsų, taigi tokiu būdu išrinkta valdžia susidurtų su teisėtumo problemomis. Konstitucinių teisių gynimo agentūros direktorius teisininkas Liudvikas Ragauskis pažymi, jog balsavimas internetu yra vargiai suderinamas su Lietuvos Konstitucijoje įtvirtintu slapto balsavimo principu: „Niekas negali užtikrinti, kad šalia internetu balsuojančio asmens nestovės kitas žmogus, darantis įtaką pasirinkimui. Galima nesunkiai prognozuoti, kad, įteisinus balsavimą internetu, piliečių balsų pirkimas pasiektų iki šiol neregėtą mastą.“ Šią savaitę programuotojai ir teisininkai toliau nagrinės iVote sistemos silpnybes. Ateinančios savaitės viduryje bus surengta spaudos konferencija, kurioje „iVote sistemos analizės“ vykdytojai pristatys savo tyrimo išvadas. Visa informacija taip pat bus skelbiama adresu www.balsavimas.lt. E. Dambausko teigimu, viešą iVote sistemos saugumo vertinimą apsunkina jos savininkų pastatytos užkardos: „Nors viešojoje erdvėje sakoma, jog „laužti“ sistemą gali kas tik nori, už tokį veiksmą tektų atsakyti pagal Lietuvos Respublikos įstatymus – iVote savininkai oficialaus leidimo tikrinti savo sistemos saugumą nesuteikė. O vien už informacijos apie iVote bėdas paskelbimą yra grasinama 100 tūkst. litų bauda.“ Šiuo metu tik Estija ir keli Šveicarijos kantonai rinkimuose bei referendumuose nuosekliai naudoja balsavimą internetu; Daugumoje kitų Vakarų valstybių internetinis balsavimas tik bandytas, jo atsisakyta arba jis taikomas ribotai. Lietuvoje balsavimui internetu po apsvarstymo LR Seimo komitetuose irgi buvo nepritarta. Kontaktams Pagrindinis atsakingas asmuo: Emilis Dambauskas (projekto vadovas), 8-686-07732, emilis.d@gmail.com. Taip pat į žurnalistų klausimus atsako: Liudvikas Ragauskis (VšĮ „Konstitucinių teisių gynimo agentūra“ vadovas), 8-698-10005, liudvikas@ragauskis.lt. |
VRK samdosi konsultantus, kurie per brangūs JAV valstijoms?
šiandien Seime vyks rinkimų modernizavimo konsultantų "Everyone Counts" (EC) spaudos konferencija, kurią organizuoja VRK (spaudos pranešimas).
Kadangi daug domimės elektroniniu balsavimu norime pasiūlyti jums kelis faktus ir klausimus apie šių konsultantų veiklą:
2009 m. Valstybės kontrolė nustatė, kad VRK kartu su IVPK prie Vyriausybės įgyvendindami balsavimo internetu projektą nenustatė kainos ir naudos santykio: http://www.vrk.lt/dynamic/files/1364/vrk_is_kontrole.pdf |
Lietuvos IT rizikų specialisto pamąstymai apie internetinį balsavimą
Žemiau pateiktas tekstas yra paimtas iš Tomo Beinaravičiaus įrašo Facebook'e. Tomas jau seniai dirba IT rizikų specialistu viename iš didžiųjų Lietuvos bankų, yra gerbiamas kolegų ir pažįstamų. Publikuojame su autoriaus sutikimu. Visų pirma trumpas atsakomybės apribojimas: priklausymas šiai grupei (Internetiniam balsavimui - NE) -- nereiškia, kad aš remiu vieną ar kitą pusę. Kalbant apie balsavimą internetu pasitelkiama pakankamai daug demagogijos iš vienos ir kitos pusės ir pasakant A, pamirštama pasakyti B. Šiuo atveju aš norėčiau pasisakyti tik dėl vieno mažo aspekto. Kai kalbama apie balsavimą internetu, jis puolamas lyginti su elektronine komercija, tačiau tas palyginimas, mano manymu yra ne visai korektiškas.Pabandysiu paaiškinti kodėl. Saugumas, deja, turi tokią fundamentalią savybę -- jo neįmanoma įrodyti, t.y. visada bus ginčų, diskutuojančių apie tai, saugi sistema ar nesaugi, ir jei saugi, tai ar pakankamai. Jei pažiūrėti į EAL sertifikatus (sistema, žyminti kaip pilnai įsitikinta sistemos saugumu, http://en.wikipedia.org/wiki/Evaluation_Assurance_Level) turinčią įrangą, tai aukščiausią sertifikavimo lygį -- EAL7 (Formally Verified Design and Tested) turi vienas produktas, ir tas pats nelabai sudėtingas. Priežasčių tam yra kelios, svarbiausios -- brangiai kainuojantis įrangos kūrimas ir sertifikavimas, kurie komerciškai neatsiperka. Taigi turim daugiau ar mažiau neapibrėžtą situaciją, kur žalos tikimybė ir žalos dydis yra atvirkščiai proporcingi. Pats santykis čia nėra svarbus -- svarbu tai, kad didesnė žala gali atsitikti rečiau -- mažos vagystės pasitaiko dažniau, o didelės -- kokį kartą per 100 metų. Ką tuo klausimu sako rizikos valdymo teorija? Pirmiausia galbūt reikia pažiūrėti kaip organizacijos bando suvaldyti veiklos riziką e-komercijos atveju. Atskiras e-komercijos vartotojas, sakykim toks, kuris naudojasi kredito kortele batams pirkti, yra apribotas tam tikra pinigų suma, kurią jis gali prarasti, jei jo kortelės duomenimis pasinaudos piktavalis. Vieniems ta suma yra didesnė, kitiems -- mažesnė, bet ji iš principo yra ribota. Naudojantis kredito kortele kliento nuostolis nėra didesnis nei 150 EUR (žr. ES direktyvą Nr...) -- finansinė institucija prisiima bet jau dalį kliento nuostolių. Turint pakankamai daug klientų tas nuostolis gali išaugti iki pakankamai didelės sumos. Tam, kad to neatsitiktų, finansinės įstaigos įveda transakcijų sumos limitus (pvz. 4000 Lt per dieną) -- pastebėjus sukčiavimą ir laiku ėmusis priemonių, nuostolis būtų riboto dydžio. Tačiau ir tada gali būti nenumatytų aplinkybių, dėl kurių įstaiga patirtų žalą. Tokiems nenumatytiems ir nekontroliuojamiems atsitikimams kontroliuoti, pvz. kelių šimtų milijonų žala, rizikos valdymo teorija siūlo rizikos perkėlimo metodą -- rizika perkeliama kitam subjektui. Klasikiniu atveju tai -- savo rizikos užkrovimas draudikui. Taigi, finansinė institucija stengiasi apriboti savo nuostolius laike, o jei jie viršija tam tikrą sumą -- kreipiasi į draudimo kompaniją kompensacijos. Kur link aš suku? Kalbant apie internetinį balsavimą, geriausiu atveju mes turime situaciją "mes žinome, ko mes nežinome", prastesniu -- "mes nežinome, ko nežinome" (9/11 buvo klasikinis to pavyzdys). E-komercijos atveju kiekviena protinga organizacija stengtųsi perkelti dalį rizikos trečiosioms šalims, tačiau man nevisai aišku, kaip reiktų elgtis internetinio balsavimo atveju. Galbūt geriau pagalvojus ir galima būtų sukurti kokį veiksmų planą, pavyzdžiui paskelbti rinkimus negaliojančiais, tačiau apie tai turėtų būti kalbama. Dėl šios konkrečios priemonės aš irgi turėčiau abejonių, nes akivaizdu kokį spaudimą patirtų VRK norėdama panaikinti rinkimų rezultatus. Manau apskritai reikia pakreipti diskusiją kitu kampu -- ką darytume, jeigu visdėlto nutiktų kažkas blogo -- t.y. planas B. Be jo, t.y. pasakyti "mes žinome kaip tai padaryti ir viskas bus gerai", mes tiesiog prisiimame riziką, kurios dydžio mes nežinome, o iš čia manau ir kyla daugiausia nesusipratimų. |
Seimas ir vėl atmetė e-balsavimo įstatymų projektus bei grąžino juos tobulinti
Plačiau skaitykite šiuose straipsniuose: http://www.alfa.lt/straipsnis/10411752/?Seimas.vel.pasipriesino.elektroninio.balsavimo.iteisinimui=2010-09-28_19-44 http://bernardinai.lt/straipsnis/2010-09-28-seime-vel-pasipriesino-elektroninio-balsavimo-iteisinimui/50898 Įdomu pastebėti ir tai, kad nors naujiena išplatinta per BNS, nei "Delfyje", nei "Balse" jos neradau. |
Indijos policija suėmė mokslininką atskleidusį "skyles" e-balsavimo kompiuteriuose
Šeštadienį paryčiais Indijos policija suėmė mokslininką Hari Prasad reikalaudama iš jo atskleisti anonimą, kuris paskolino e-balsavimo kompiuterius saugumo tyrimui. Haris žada nepasiduoti spaudimui ir neatskleisti šaltinio, kuris pageidavo likti nežinomas. Mokslininko teigimu policininkai jam prisipažino, jog yra spaudžiami "iš viršaus". Prieš keturis mėnesius Hari Prasad kartu su kolegomis iš JAV (J. Alex Halderman) ir Olandijos (Rop Gonggrijp) paskelbė apie tyrimą kurio metu nustatyta nemažai esminių spragų Indijos e-balsavimo kompiuteriuose. Indijos rinkimų komisijos pareigūnai visą laiką neigė tai, kad e-balsavimo kompiuteriai turi saugumo spragų ir vadino juos "tobulais". Tuo pačiu pareigūnai kvietė tyrėjus pagrįsti savo teiginius apie spragas, bet atsisakė pateikti kopmpiuterius tyrimui. Detaliau apie įvykį: Electronic Voting Researcher Arrested Over Anonymous Source. Hari Prasad skambutis telefonu po suėmimo: |
Naujausi el. balsavimo įstatymų projektai
Projektus parengė Susisiekimo ministerija. Įregistruoti 2010-06-04.
|
Vyriausybė vėl siūlys Seimui įteisinti internetinį balsavimą?
Labai panašu, kad vyriausybė vėl ruošiasi siūlyti internetinį balsavimą įteisinančius įstatymų pakeitimus. Įstatymų projektai buvo svarstomi balandžio 6 d. ministerijų atstovų pasitarime: http://kaveikiavaldzia.lt/docs/12731/ Taip pat bus svarstomi balandžio 14 d. 13:00 vyriausybės posėdyje: http://kaveikiavaldzia.lt/docs/12954/ Internete nepavyksta surasti įstatymų projektų tekstų, bet jų pavadinimai beveik nesiskiria nuo tų įstatymų, kurie Seime atmesti gruodžio mėn.. Pvz.: http://www3.lrs.lt/pls/inter3/dokpaieska.showdoc_l?p_id=354089 |
Seimas grąžino tobulinti internetinio balsavimo įstatymo projektus
Balsavimų rezultatai:dėl projektų Seimo, Prezidento, ES parlamento, referendumams:http://www3.lrs.lt/pls/inter/w5_sale.bals?p_bals_id=-7109 dėl projekto savivaldybių rinkimams: http://www3.lrs.lt/pls/inter/w5_sale.bals?p_bals_id=-7111 dėl tobulinimo: http://www3.lrs.lt/pls/inter/w5_sale.bals?p_bals_id=-7110 Posėdžio garso įrašas:http://www3.lrs.lt/audio01/2/2p091203.index.asfInternetinio balsavimo svarstymas prasideda: 01:23:47 Posėdžio vaizdo įrašai:Straipsniai internete:
|