Įdomu, ar patys politikai geba užtikrinti savo asmeninių kompiuterių ir išmaniųjų įrenginių saugumą? Atsižvelgiant į dominuojančią itin žemą Lietuvoje informacinių technologijų saugumo kultūrą, galima būtų spėti, kad dažnas Seimo narys, kaip ir eilinis interneto vartotojas arba vidutinio dydžio privati įmonė vis dar nėra linkę investuoti į patikimas elektronines saugumo priemones. Kol nėra aiškaus suvokimo visuomenėje, kad informacinis saugumas kainuoja, sunku tikėtis, kad net ir tobuliausias įstatymas galėtų užtikrinti skaidrų, slaptą ir sąžiningą balsavimą.
Kalbant apie elektroninio balsavimo saugumo užtikrinimą dažnai pamirštama, kad absoliutus saugumas yra neįmanomas. Net ir moderniausia elektroninė infrastruktūra gali turėti saugumo spragų. O jei jos saugumui skiriamas nepakankamas dėmesys, tik laiko klausimas, kada ji taps programišių taikiniu.
Neseniai žurnalas „Forbes“ paskelbė apie milžiniško masto duomenų vagystę, kurios metu buvo pavogta per 13 milijonų vartotojų nešifruotų slaptažodžių, įskaitant vardus, pavardes ir elektroninio pašto adresus. Duomenys buvo pavogti iš Lietuvoje veikiančios interneto svetainių prieglaudos paslaugas teikiančios bendrovės „Hostinger“. Pastaroji kompanija siūlė nemokamas tinklalapių talpinimo paslaugas svetainėje hosting24.com – ši paslauga jau buvo priviliojusi nemažai vartotojų iš įvairų šalių. Svetainėje kaupiama asmeninė informacija nebuvo šifruojama, o svetainės saugumui užtikrinti naudota pasenusi programavimo PHP versija. Tokių pranešimų apie pažeistas saugumo sistemas ir perimtus konfidencialius duomenis galima užtikti kasdien.
Tačiau labiausiai „Forbes“ žurnalistus nustebino neatsakingas bendrovės atstovų elgesys, nes jie paprasčiausiai buvo linkę ignoruoti duomenų vagystę, o jai išaiškėjus nesugebėjo paaiškinti, kas ir kodėl taip nutiko. Matyt, apie sistemos pažeidžiamumo analizę ir laiku diegiamus atnaujinimus šį kartą nespėta pagalvoti. Šis pavyzdys su lietuviška internetinių paslaugų bendrove atspindi bendrą Lietuvos informacinių paslaugų tiekėjų požiūrį į savo veiklą.
Vakaruose jau seniai yra įprasta į tokias krizes reaguoti žaibiškai – paprastai yra net oficialiai reglamentuotas privalomas įpareigojimas pranešti visiems savo paslaugų vartotojams apie galimus elektroninio saugumo pažeidimus ir tiksliai nurodyti, kokia informacija galėjo būti prieinama įsilaužėliams bei kokių priemonių turėtų imtis pats vartotojas. Lietuvoje, deja, net dideli interneto paslaugų tiekėjai dar neturi elementarios socialinės atsakomybės, o mūsų įstatymų leidėjai taip pat „pamiršo“, kad dar prieš techninių saugumo reikalavimų reglamentavimą turėtų sekti aiškūs įpareigojimai nebėgti nuo paprasčiausios atsakomybės.
Žmogiškasis veiksnys visada išliks pačia didžiausia rizika elektroninio saugumo srityje. Tačiau atsitiktiniai techniniai gedimai taip pat yra tikėtini. Sistemų sutrikimus gali sukelti nebūtinai išorinės grėsmės, pavyzdžiui, kibernetiniai išpuoliai. Atsitiktiniai techninės įrangos arba ryšio linijų gedimai, atnaujinimų vėlavimas – tai sunkiai prognozuojamos rizikos, galinčios turėti lemiamos įtakos balsavimo sistemų veikimui.
Elektroninio balsavimo šalininkai dažnai nurodo sėkmingą kaimyninės Estijos pavyzdį, kuri būdama viena pažangiausių skaitmeninių valstybių pasaulyje, faktiškai pirmoji ir kol kas vienintelė nuo 2005 metų yra įdiegusi internetinį balsavimą nacionaliniu mastu visuose rinkimuose.
Tačiau Estijos elektroninė rinkimų sistema ne kartą buvo pripažinta ekspertų kaip turinti nemažai saugumo spragų ir tik sėkme galima pavadinti tai, kad iki šiol Estijoje neįvyko didelių skandalų, susijusių su elektroniniu balsavimu. Estija taip pat susidūrė su nenumatytomis kliūtimis, kai prieš kelis mėnesius „Google“ atnaujino naršyklės „Chrome“ saugumo reikalavimus. Šie atnaujinimai tapo rimtu iššūkiu daugiau nei 30 tūkst. Estijos elektroninės tapatybės sistemos naudotojų, kurie naudodami senesnę naršyklės versiją nebegalėjo prisijungti prie elektroninės tapatybių sistemos. Savarankiškas programinės įrangos atnaujinimas taip pat nebuvo įmanomas dėl sistemos saugumo reikalavimų. Tad Estija tapo savo elektroninės pažangos įkaite, o jos pavyzdys rodo, kad net maksimalus dėmesys informacinių technologijų saugumui negarantuoja nepertraukiamo jų veikimo.
Siekis įteisinti balsavimą internetu renkant Lietuvos Seimą, Prezidentą, savivaldybių tarybas, Europos Parlamentą arba sprendžiant valstybei svarbius klausimus referendumuose, nėra savaime ydingas ir nevertas pastangų. Tačiau tam, kad elektroninis balsavimas netaptų brangiu ir nesėkmingu eksperimentu, jo įgyvendinimas negali vykti skubos tvarka.
Todėl galima tik pasidžiaugti, kad pagal naują Vyriausybės nagrinėjamą elektroninio balsavimo įstatymo projektą ketinama pradėti nuo bandomųjų sistemų diegimo keliose savivaldybėse ir jų naudojimo visuomeninėms apklausoms. Tai leistų praktiškai įvertinti elektroninio balsavimo patikimumo lygį ir galimas rizikas.
Tačiau svarbiausios yra ne technologijos. Būtina adekvačiai įvertinti savo visuomenės elektroninį išprusimą, internetinių paslaugų tiekėjų atsakomybės kultūrą ir gebėjimus reaguoti į krizes bei galiausiai – visos saugumo aplinkos rizikas. Apie tai jau kalba valstybės politikai, ketindami atnaujinti nacionalinę saugumo strategiją ir tinkamai įvertinti naujas hibridines ir kibernetines grėsmes. Šių grėsmių rizikos lygis pastaraisiais metais tik augo. Mes galime įsigyti moderniausias šarvuotas pėstininkų mašinas ar naujausią programinę įrangą, tačiau su jais turi ateiti ir deramas suvokimas, kaip tuo naudotis.
O kol kas mūsų psichologinis pasirengimas reaguoti į įvairias grėsmes gerokai vėluoja. Smagu, kai paskelbiama, jog Lietuje yra sparčiausias WiFi ryšys viešosiose erdvėse, tačiau pamirštame, jog tai reiškia ir didžiausią pažeidžiamumą šioje srityje. Elektroninis balsavimas taip pat nėra tik dar vienas patogesnis instrumentas, tai – ir papildomas masalas piktavaliams.
Elektroninio balsavimo įdiegimą neišvengiamai privalo lydėti ir aukštesnė visuomenės bei specialistų elektroninė kultūra. Priešingu atveju gali nutikti taip, lyg turėdami tik B kategorijos vairavimo pažymėjimą sėsime prie lenktyninio bolido ir trenksimės į artimiausią medį.
----------
Agnija Tumkevič yra Vilniaus universiteto Tarptautinių santykių ir politikos mokslų instituto doktorantė, rengianti disertaciją apie kibernetinį saugumą.
BNS ir TSPMI inf.