Руководитель IT-проектов «Единой России» Вячеслав Сатеев рассказал, что сайт предварительного голосования подвергся DDoS-атаке. По его словам, количество запросов с различных IP-адресов превышало 15 тысяч в секунду. Накануне аналогичная атака была совершена на сайт партии ER.RU. При этом на сайте предварительного голосования PG.ER.RU фиксировались многочисленные попытки найти уязвимость класса SQL-injection. Системы защиты сайта оперативно сработали, оповестив администраторов департамента IT, и позволили обеспечить блокировку адресов атакующих, рассказал Вячеслав Сатеев.
Как правило, это сложные комбинированные атаки, в ходе которых киберпреступники используют сразу несколько различных инструментов, сообщил ER.RU вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов. «Все такие атаки мы видим и блокируем. Данным пользователей и результатам голосования ничего не угрожает», — подчеркнул он.
По словам специалистов, DDoS-атаки — это только прикрытие. Злоумышленники нарушают работу сайта в надежде, что отвлекут системных администраторов на восстановление работоспособности системы, а сами смогут реализовать другие вредоносные алгоритмы. Но эти надежды беспочвенны, уверены сотрудники IT-отдела ЦИК «Единой России» и независимые эксперты.
В системе сайта PG.ER.RU нет мест, где можно допустить ошибки, которые позволяли бы условному хакеру близко к ней «подойти», она успешно прошла проверку, пояснил IT-эксперт, руководитель проектов в сфере безопасности компании «Цифровые решения» Егор Богомолов на круглом столе с участием членов федерального организационного комитета предварительного голосования, экспертов и представителей IT-отрасли.
«Проверка прошла по двум моделям атак злоумышленников: внутренней и внешней. Это по сути имитация хакерских атак, в ходе которых проверялись в том числе возможности голосования от чужого имени и добавления кому-то голосов», — рассказал Егор Богомолов.
Первая модель — это так называемый «black box» — когда человек снаружи пытается проникнуть, например, через сайт партии или информационную систему учета членов партии, партийное мобильное приложение или сервис «Избиратель-депутат». Вторая — когда сделать это пытается кто-то непосредственно внутри партии. Например, сотрудник, который имеет ограниченный доступ через свою учетную запись и пытается повысить привилегии до прав администратора, чтобы повлиять на работу системы. По словам Егора Богомолова, в ходе тестирования была найдена уязвимость низкого уровня опасности — при этом, ее нельзя использовать массово.
«Ее закрыли, как и остальные — мы «на ходу» отдавали все выявленные «баги» в IT-подразделение партии на отладку», — рассказал эксперт.
Заместитель секретаря Генсовета «Единой России» Сергей Перминов сообщил, что к проверке готовности системы были подключены все 85 региональных отделений партии.
«Эксперимент шел двумя потоками: открывались счетные участки и коллеги использовали на специальном зеркале сайта свою возможность по голосованию, проверяли корректность работы с бюллетенями. Мы поставили систему под федеральную нагрузку, увидели и устранили все «баги», которые могли «вылезти», — рассказал Сергей Перминов.
Высокую оценку системе безопасности сайта дал и президент Фонда информационной демократии, директор Центра компетенций по импортозамещению в сфере ИКТ России Илья Массух.
«Те технологии, которые использует партия, абсолютно «в тренде». Это и блокчейн, и схема его распространения, так называемый «мультичейн», а также подход технического блока к предотвращению атак хакеров и постоянное тестирование системы — все это говорит о том, что система готова к проведению процедуры», — отметил эксперт.
Основой системы электронного предварительного голосования является блокчейн — распространенная база данных, записи из которой нельзя удалить или изменить. Это позволяет обеспечить анонимность и легитимность голосования. Использование мультичейна, когда несколько блокчейнов объединяются в один, повышает устойчивость электронного голосования, отметил начальник Управления по совершенствованию территориального управления и развитию смарт-проектов Правительства Москвы Артем Костырко.
«В систему добавили новую функцию — разделение голосующих на группы и дальнейшее распределение их по условным «электронным участкам». Это серьезный шаг для повышения безопасности. Для каждой группы голосующих — свой блокчейн, причем эти группы формируются не по территориальному признаку, как это принято при бумажном голосовании, а рандомно. Если вспомнить опыт на голосовании по поправкам в Конституцию, то там все голосующие были объединены в один блокчейн. С технической точки зрения, внедрение технологии мультичейн — это принципиальный шаг вперед», — сказал Артем Костырко.
Для проверки результатов базу после окончания процедуры выложат в открытый доступ на сайт PG.ER.RU, пояснил руководитель IT-проектов «Единой России» Вячеслав Сатеев.
«30 мая после 21:00 по Москве, когда закончится голосование, будет опубликован открытый ключ, которым шифруется весь блокчейн. Можно будет посмотреть, как все бюллетени, так и проверить свой. Со своим персональным ключом, к которому организаторы голосования не имеют доступа, человек может проверить, что бюллетень сохранен с теми же «галочками», которые он проставил», — рассказал он.
Дополнительную легитимность голосованию придает аутентификация через «Госуслуги». Это позволяет с уверенностью говорить о том, что в процедуре участвуют только люди, которые предоставили свои документы в государственную систему, не связанную с «Единой Россией». Это, в свою очередь, повышает доверие к результатам и помогает избежать накрутки голосов.
«[В процессе] используется внешний счетчик избирателей, данные которого очень сложно сфальсифицировать. Это повышает открытость самого процесса», — сказал Илья Массух.
Напомним, «Единая Россия» — единственная партия в стране, которая формирует списки кандидатов на выборы различного уровня на основании мнения избирателей, проводя всенародное предварительное голосование. Оно пройдет с 24 по 30 мая онлайн во всех регионах РФ. Накануне процедуры, 23 мая, состоится разделение электронных «ключей» шифрования блокчейна. Части «ключа» будут переданы на ответственное хранение нескольким членам федерального оргкомитета, который наполовину состоит из представителей общественности. В момент завершения процедуры они будут соединены, после чего начнется подсчет голосов.
Кроме того, примерно в половине регионов, в том числе в Сахалинской области, процедура пройдет и в очном формате — на один день, 30 мая, откроются счетные участки, куда люди смогут прийти и сделать свой выбор. На сайте pg.er.ru работает информационный сервис «Найди свой участок», где можно в несколько кликов определить, где голосует выборщик. Окончательно итоги предварительного голосования будут подведены в начале июня. Списки кандидатов, которые будут представлять «Единую Россию» на выборах в Госдуму, а также кампаниях регионального и муниципального уровней в сентябре, утвердят на Съезде партии. Он пройдет 19 июня.