Саят Уважанов: Процесс голосования на праймериз партии «Nur Otan» тщательно защищен
Глава компании, занимающейся разработкой IT-решений, подробно рассказал о предстоящем онлайн-голосовании и об обеспечении конфиденциальности в ходе него
Уже совсем скоро в Казахстане состоятся общереспубликанские внутрипартийные выборы. Праймериз партии «Nur Otan» пройдут с 17 августа по 3 октября, причём в режиме онлайн. В первом в истории Казахстана онлайн-голосовании примут участие члены партии. О том, каким образом будут защищены персональные данные участников праймериз и о тайне голосования, в интервью корреспонденту Azattyq Rýhy рассказал генеральный директор ТОО «iBEC Systems» Саят Уважанов.
– Расскажите, как будет происходить аутентификация пользователя?
– В первую очередь стоит отметить, что в голосовании могут участвовать только члены партии, поэтому используется база данных партии «Nur Otan». В ней собраны все данные о членах партии, и авторизация происходит с помощью этой базы данных.
Для аутентификации пользователю необходимо ввести свой индивидуальный идентификационный номер (ИИН). По номеру ИИН во внутренней базе данных определяются пользователь, номер мобильного телефона, закрепленный за этим пользователем, и, соответственно, на этот номер высылается SMS для верификации. После этого шага первичной проверки, где совпадают ИИН, номер телефона и защитный код, полученный по SMS, для пользователя создается личный аккаунт, где он задает свой пароль для последующего входа в систему.
При следующем вхождении, когда пользователь захочет войти через мобильное приложение, у него будет возможность подключить Face ID, Touch ID, короткий пин-код для того, чтобы авторизацию проходить быстрее.
– Сколько времени понадобится для прохождения аутентификации?
– Это двухминутная процедура. То есть для участия в праймериз вы обязательно должны быть членом партии, информация о вас обязательно должна быть в базе данных партии «Nur Otan». Если все эти данные совпадают, то процесс аутентификации занимает, в зависимости, конечно, от квалификации пользователя, до двух минут максимум.
– Каким образом будут защищены персональные данные участников голосования?
– Вся основная информация по членам партии хранится в центральной базе данных – во внутренней базе. В информационной системе применены все основные требования по защите информации: на серверах установлено специальное программное обеспечение по защите данных, сами данные также хранятся в зашифрованном виде. Плюс ко всему используются дополнительные программы журналирования и отслеживания всех действий для выявления подозрительной активности и проведения расследований.
– В продолжении вопроса о личных данных: не сможет ли кто-то принять участие в голосовании, воспользовавшись данными выборщика?
– Давайте тут поразмышляем. Какими Вашими данными я могу обладать? Например, я могу знать Ваш ИИН? Я введу Ваш ИИН. Но мы же специально используем SMS-верификацию, потому что на номер, который зарегистрирован в центральной базе данных, будет направлен SMS-код, который нужно ввести.
Конечно, если я возьму Вас в заложники, с Вашим удостоверением личности, с Вашим телефоном, тогда я смогу получить доступ. Но это уже, сами понимаете, уголовное дело.
– Как сохраняется тайна голосования? И сможет ли выборщик проверить, правильно ли был засчитан его голос?
– Тайна голосования и прозрачность – на реализацию именно этих важных вещей руководство партии акцентировало внимание. Тайну голосования обеспечивают специальные алгоритмы шифрования данных. У разработчиков и даже у руководства партии не будет открытого доступа к этим данным.
Сам процесс голосования также тщательно защищен. Даже после того как вы прошли авторизацию в системе, в момент голосования нужно будет ещё раз провести SMS-верификацию. Все так же, как в банковской системе: вы прошли регистрацию, ввели свой номер телефона, но во время перевода средств вам же всегда приходит SMS, которым вы подтверждаете свои действия! Здесь примерно такой же принцип. Во время голосования вам снова будет необходимо ввести SMS-пароль, чтобы подтвердить данные.
В момент голосования учитывается очень много параметров, которые контролируют процесс голосования, вплоть до IP-адресов и текущей геолокации пользователя. Вообще информация, кто и за кого голосовал, обязательно будет в системе. Но дело в том, что она будет зашифрована. На сервере она шифруется специальными алгоритмами.
Соответственно, если вы как пользователь войдете в систему, к сожалению, вы сразу не сможете увидеть свою историю голосования. Для чего это сделано? Бывают же случаи, когда руководители, пользуясь своими полномочиями, заставляют своих сотрудников голосовать определенным образом. К примеру, я как руководитель компании говорю: «Вы знаете, что делать, заходите, голосуйте за меня, делайте скриншоты и отправляйте скриншоты с результатами». А здесь так сделать не получится, потому что сам пользователь не сможет увидеть свою историю, она уже зашифрована.
Но если вдруг все же возникает острая потребность в получении истории голосования, то у пользователя всегда есть возможность запросить её. Для этого ему необходимо обратиться в территориальный филиал партии «Nur Otan» по месту своей регистрации, заполнить соответствующее заявление, указав свои данные, и попросить выдать ему его историю голосования. После обработки заявления данные будут направлены на почтовый адрес пользователя. Тут стоит отметить, что у пользователя всегда есть возможность подать в анонимном формате жалобу, если он подвергся какому-то прессингу. Для этого в системе разработан специальный раздел.
А прозрачность голосования обеспечивают результаты, которые будут доступны всем пользователям системы в режиме реального времени. То есть вы всегда сможете зайти в свой регион, район и посмотреть, что происходит, сколько у кого голосов, какой процент явки избирателей в каждом из регионов.
– Невозможно ли подделать голос, провести вброс?
– Все данные шифруются, поэтому это невозможно. Если вы имеете в виду подделку «левых» голосов, то это также невозможно, так как по каждому пользователю собирается очень много данных.
– Как платформа будет защищена от DDoS-атак?
– DDoS-атака – это когда с помощью каких-то специальных скриптов, серверов на ресурс оправляются очень много запросов для того, чтобы система не успевала их обрабатывать, в результате система виснет от этой нагрузки и не может обработать реальные запросы пользователей. Тут с точки зрения защиты используется несколько алгоритмов.
Во-первых, имеется защита на сетевом уровне, что будет обеспечено коллегами из «Казахтелекома». Если вдаваться в технические подробности, то если мы обнаружим какую-то подозрительную активность, то, естественно, тут же принимаются соответствующие меры, блокируются данные IP-адреса и так далее, все это проходит в автоматическом режиме.
На сервере тоже есть специальные программы, которые будут это контролировать. На уровне приложений информационной системы есть также специализированные алгоритмы, которые будут защищать от подобных атак. То есть если вы попытаетесь около пяти и больше раз совершить подбор ИИН и пароля, система вас временно заблокирует на час. И через час вы сможете продолжить свои попытки. Но все эти попытки будут проанализированы на программном обеспечении для выявления фактов подозрительных действий. Если мы понимаем, что пользователь реально два-три раза неправильно ввел ИИН, ошибся в одной цифре, то, хорошо, мы его пропускаем. А если мы видим, что один и тот же пользователь с одним и тем же IP-адресом сидит и вводит каждый раз разные пароли, разные ИИН, то его IP блокируется.
– Проводились ли какие-то учения, профилактика? Пытались ли в ходе них взломать систему?
– Проводились внутренние тестирования. Имеются специальные инструменты, которые имитируют подобные нагрузки. Тестовые нагрузки система прошла. Мы для себя поняли, что система выдерживает заявленные требования.
– Несложно ли выборщику будет разобраться в системе электронного голосования?
– При разработке мы учли зарубежный опыт, изучали казахстанские приложения, которые даже не относятся к системе голосования. Мы взяли на вооружение различные приложения, к которым наши соотечественники уже привыкли. С учетом изученного опыта были разработаны соответствующие интерфейсы, которые максимально упрощают процесс голосования.
Нужно также отметить, что система позволяет в онлайн-режиме подать заявку, чтобы участвовать в качестве кандидата. Здесь мы максимально, как смогли, упростили, но ввиду правил проведения праймериз необходимо заполнить большое количество полей.
На самом деле пользовательский путь достаточно простой. В системе вы получаете всю актуальную по праймериз информацию: новости, этапы, информацию по кандидатам и дебатам. Вы можете пройти в раздел кандидатов и ознакомится с биографией каждого из них, с их агитационными материалами. Есть также и расписание дебатов. Дебаты будут проходить в привычном уже для нас формате, на официальных страницах филиалов партии в Facebook, то есть можно будет по клику перейти в Facebook.
В момент голосования нужно пройти в соответствующий раздел и система автоматически выдаст вам список кандидатов, которые относятся именно к вашему региону. Вам нужно будет галочками отметить кандидатов, за которых вы голосуете, их может быть неограниченное число, нажимаете кнопку голосовать и вам приходит SMS-код. На этом подтверждение заканчивается и процесс голосования завершен.
– Использовалась ли в нашей стране ранее система подобного голосования?
– В целом можно сказать, что проведение праймериз в таком онлайн-формате – это первый опыт.
– Правильно ли я понимаю, что эта система голосования отлично себя зарекомендовала в ведущих странах мира?
– Если речь идёт в целом об онлайн-голосовании, то в других странах это уже давно практикуется и хорошо себя зарекомендовало. В Эстонии в 2005 году была опробована общенациональная система голосования через Интернет. Есть пример Швейцарии, США.
Мы не изобретаем велосипед, мы смотрим на опыт других стран. В разработке любой информационной системы лучше всего изучать другие рынки и проекты, ознакомиться с их опытом, понять, насколько он применим к нашим реалиям, что, собственно, мы и сделали.
– Благодарю Вас за содержательное интервью.