Машинното гласуване в България често е представяно като „черна кутия“ – недостъпна, неразбираема и потенциално манипулируема. В публичните дебати обаче рядко се говори конкретно – обикновено те се водят на ниво внушения, а не на ниво технологии. Докато политиците спорят „може ли да се манипулират“ машините, реалният въпрос остава на заден план: как точно са проектирани и защитени машините, които използваме в изборния процес от 2021 г. насам.

Скрейншот Фейсбук

Factcheck.bg проследява пътя на системата за машинно гласуване в България – от първите законодателни решения и обществените поръчки през техническата и софтуерната архитектура, която стои зад тях, до проверките, които трябва да гарантират сигурността на вота.

Пътят на машинния вот в България

Машините, които се използват в българския изборен процес от 2021 г. насам, са от вида A4-517 или т. нар. електронни системи за директно записване на вота (DRE) с отпечатване на хартиена разписка, която служи за одит (VVPAT). Произведени са в завод в Тайван по дизайн на нидерландската фирма „Смартматик“, която е и разработчик на софтуера. 

Снимки БТА

През 2014 г. с измененията в Изборния кодекс, които въвеждат възможността за машинен вот, са записани изискванията за устройствата, които държавата трябва да осигури, за да бъде осъществено гласуването с машини. Същата година в страната се провежда експериментално гласуване с машини в 50 секции. През 2016 г. на президентския вот са използвани 500 машини. През септември 2018 г. Централната избирателна комисия възлага на агенция „Сова 5“ да изготви пазарно проучване за прогнозната цена за производство, покупка или наем на поне 12 500 машини за гласуване. 

Окончателният доклад е предаден на 31 януари 2019 г. В него е записано, че използваните във Венецуела устройства позволяват провеждането на процедура, която „почти напълно съвпада с процедурата за провеждане на експериментите за машинно гласуване в България“. В доклада се посочва още, че производителят на устройствата – „Смартматик“, е единствената компания, която е предоставила подробна оферта за своя продукт А4-517. Авторите на доклада подчертават, че основните критики към компанията идват от САЩ и допускат, че те са свързани с обстоятелството, че „Смартматик“ е най-сериозният конкурент на водещите американски компании в този бизнес.

През 2020 г. машинното гласуване е въведено в голям брой секции и започва да се използва масово. По предложение на ГЕРБ са направени промени в Изборния кодекс, в които се посочва, че машинно гласуване ще се провежда във всички секции с над 300 избиратели, като гласоподавателят ще може сам да избира как да гласува – с хартия или с машина. Промените са приети с гласовете на ГЕРБ, „Обединени патриоти“ и ВОЛЯ. 

Вследствие на приетите текстове, на 23 ноември 2020 г. ЦИК за първи път обявява обществена поръчка за „доставка на 9600 специализирани устройства за електронно машинно гласуване с инсталирани системен и приложен (реализиращ изборните процеси) софтуер“. По това време председател на комисията е Александър Андреев (ГЕРБ). В състезателната процедура участват 7 кандидати, като за победител е обявена българската компания „Сиела Норма“, партньор на „Смартматик“ за България. Стойността на договора, включващ покупката, логистиката и софтуерното обслужване, е 36 млн. лв.

За предсрочния вот на 11 юли 2021 г. ЦИК поръчва още 1637 устройства директно от „Смартматик“, а за вота на 14 ноември са поръчани допълнително 1600 устройства, заради едновременното провеждане на изборите за президент и парламент. Общо държавата купува и наема над 12 800 устройства чрез обществени поръчки и директни договори.

Техническите спецификации на устройствата за машинно гласуване

Машините на „Смартматик“ от типа А4-517 представляват електронни машини за гласуване с интерактивен екран и принтер, при които след гласуване се печата хартиена бюлетина/разписка за проверка от избирателя. Какви трябва да бъдат техническите спецификации на устройствата е описано в документацията към първата обществена поръчка за доставка на 9600 устройства от 23 ноември 2020 г.

Стандартният им хардуерен пакет включва:

  • Сензорен екран с големина 17’’ за избор на кандидат/партия;
  • Вграден принтер за отпечатване на хартиена бюлетина/разписка с термична глава за хартия с ширина до 82,5 см, сензор, който предупреждава, че хартиената ролка е на път да приключи и заключващ механизъм, който предотвратява премахването на хартиената ролка по време на изборния процес, като отделението за хартиени ролки се запечатва;
  • Вграден процесор (1 GHz Intel x86 64-bit), 32GB памет и 4GB RAM, които управляват софтуера за гласуване и съхраняване на гласове локално в криптиран вид;
  • Четец на смарткарти, който позволява сигурен достъп до устройството с 2-факторно удостоверяване (2FA), както и активиране на гласуването от избирателите;
  • Две независими флаш памети, свързани към защитени USB портове в запечатано отделение;
  • Два допълнителни USB порта с механизми за физическа защита против неоторизиран достъп;
  • Възможност за външно захранване, което позволява включване на външна батерия за осигуряване на електрическо захранване при извънредни ситуации;
  • Устройства като A4 са проектирани без активна мрежова връзка по време на гласуване, така че данните не се предават онлайн в изборния ден.

Софтуерна структура и контрол

За разлика от стандартен компютър, машините за гласуване не позволяват свободно стартиране на софтуер или достъп до операционната система, въпреки че се състоят от следните компоненти:

  • BIOS (Basic Input/Output System) – това е първият код, който активира устройството и проверява дали всички негови компоненти работят. Той определя кой софтуер може да се стартира. 
  • Операционна система – основният управляващ софтуер, който прави компютъра използваем, а не просто включен. Операционната система е посредникът между хардуера и останалите програми. Тя определя какви права има всеки процес, какво даден софтуер може и не може да прави, как се съхраняват чувствителните данни и как се управляват файловете. При машините за гласуване този интерфейс е силно ограничен.
  • Приложен софтуер – това е програмата, която управлява целия процес на машинното гласуване и обработката на данните. Той работи директно на устройството в изборната секция и отговаря за показването на бюлетината на екрана, въвеждането на избора от избирателя, записването на подадения вот във вътрешната памет или на външен носител, както и за отпечатването на хартиената разписка, която избирателят може да прегледа. 

В България държавата притежава изходния код на софтуера за машинно гласуване чрез Централна избирателна комисия, но авторските права върху софтуера принадлежат на „Смартматик”. Контролът върху софтуера се осъществява чрез удостоверяване на съответствието на устройствата за гласуване като проверката се извършва от Министерството на електронното управление (МЕУ), Българския институт по стандартизация (БИС) и Българския институт по метеорология (БИМ).

Как се изгражда софтуерът

В машините А4-517 на „Смартматик“, използвани в изборния процес в България, стандартното разделение между BIOS, операционна система и приложен софтуер е неуместно, посочва IT експертът Петър Кирков, участник в процеса по удостоверяването на устройствата от Министерството на електронното управление, Българския институт по стандартизация и Българския институт по метеорология.

Пред Factcheck.bg той обяснява какво представлява процесът по инсталирането на машините и подготовката им за изборите:

„Изграждането на официалния софтуер, който се инсталира на устройствата, става по време на церемония в Министерството на електронното управление и се изпълнява от служителите на ЦИК. Генерира се софтуер, който има уникални ключове – още в процеса на изграждането му трима различни членове на ЦИК пишат паролите си и по този начин само комбинацията от трите пароли може да бъде използвана за „отключване“ на устройствата“, посочва Кирков.

По думите му в края на този процес се генерира инсталационният файл, който включва операционната система и приложния софтуер, и се визуализира конкретният хеш код – той е уникален за всяко изграждане на софтуера. Това означава, че дори и процедурата по изграждането да се повтори по същия начин със същите елементи, хеш кодът ще е различен. Дори и един бит да бъде променен в софтуера, хеш кодът ще се промени драстично, подчертава Кирков. 

Снимка БТА

Затова хеш кодът е една от гаранциите, че няма опит за вмешателство в системата. В деня на изборите ЦИК публикува на страницата си хеш кода, който е генериран по време на процедурата по доверено изграждане на софтуера. Той трябва да бъде еднакъв за всички машини в цялата страна. Той се отпечатва както на служебната бележка, която се изважда при стартирането на машината преди началото на изборния ден, така и на всяка хартиена разписка, отпечатана от машината.

По думите на Кирков хеш кодът служи като доказателство, че в машините не е внедрен злонамерен софтуер, който да може да бъде активиран чрез тайна команда от член на СИК. Той подчертава, че изходният код бива изрично проверяван за „задни врати“, а всички процедури по изграждането на официалния софтуер са публични и се заснемат. 

Какви допълнителни защити имат машините

Като допълнителна защита в изградения софтуер има криптографски ключове, които при инсталацията на софтуера „заключват“ устройството и то може да стартира само тази операционна система, която е подписана с конкретния ключ, посочва още Кирков. Чрез тях по математически доказуем начин се удостоверява идентичността на конкретен софтуер или компонент. Единственият възможен вариант за компрометиране на подобна криптография е да се проверят всички възможни ключове, което би отнело милиарди години, подчертава експертът.

В допълнение към това Кирков обяснява, че от операционната система са премахнати всички ненужни пакети и функционалности, така че при зареждането на операционната система да се зареди само и единствено специализираното приложение за изборите. Дори и този процес да бъде прекъснат, не е възможен достъп до операционна система и манипулация на файлове. Премахнати са драйвери за всички ненужни устройства, като по този начин дори и да има физически достъп до някой от портове на машината, устройствата няма да сработят – независимо дали е флашка, клавиатура или нещо друго. Системата е изградена така, че на практика не позволява стартиране на друг софтуер на устройство, на което вече е инсталиран софтуера за провеждането на изборите.

Снимка БТА

Кирков допълва, че информацията за защитата на BIOS-a е класифицирана. По думите му обаче в процеса на удостоверяване на устройствата множество специалисти са се запознали в детайли с тези механизми, проверявали са ги многократно и до момента не е установена слабост в защитата.

След довереното изграждане на софтуера ЦИК предоставя достъпа до изходния код и документацията на системата за машинно гласуване, както и всички други софтуерни инструменти на партиите и коалициите, участващи в изборите, а 24 часа преди провеждането на избори организира извадкова проверка на хеш кода и на базата данни в присъствието на регистрирани наблюдатели и представители на партиите и коалициите. Това е записано в Изборния кодекс в член 213б.

В деня на изборите устройствата също не могат да бъдат задействани произволно. Машината за гласуване има двуфакторно удостоверяване – за стартирането ѝ са необходими едновременно смарт карта и уникален ПИН, с които разполага член на секционната избирателна комисия. ПИН-ът и смарт картата се намират в затворен плик в куфара на машината за гласуване. При три последователни грешни опита за въвеждане на ПИН код системата извежда предупреждение, а съответната смарт карта се блокира.

Защитите, публичните проверки и последващите одити на устройствата за машинно гласуване правят несъстоятелни твърденията, че технологията, която се прилага в България, е несигурна и може да се манипулира.

Такива рискове действително са възниквали, но в случаи, когато държави са прилагали различни технологии, различно ниво на контрол и принципно различни възможности за проверка на вота.