Ako sa rieši a ako by sa mohla (mala) riešiť bezpečnosť IS

systém pre voľby cez Internet. Proces vzniku takého systému spravidla začne rozhodnutím politikov o tom, že voľby cez Internet je to, čo potrebujeme. Pochopiteľne, o technických detailoch politici nerozhodujú – a ani to od nich nikto neočakáva. Ale už v tomto momente je možné prijať zásadné rozhodnutie, ktoré o.i. v značnej miere ovplyvní riešenie bezpečnosti „volebného systému“. Je to odpoveď na otázku, či má ísť o kompletné nahradenie klasického (papierového) volebného systému, alebo len o doplnok ku klasickému systému? Pred prijatím rozhodnutia je samozrejmé dobré poznať a zvážiť dôsledky jednej či druhej odpovede.

Prvá možnosť (kompletná náhrada „papierového“ volebného systému) je atraktívna tým, že sľubuje ušetriť finančné prostriedky, nakoľko odpadnú starosti so zabezpečením podmienok pre činnosť množstva volebných komisii, tlačou volebných lístkov, zabezpečením množstva volebných miestností, zvážania zápisníc z celej republiky, a tak podobne. Druhá možnosť je podstatne menej atraktívna, nakoľko je zrejmé že ak ostane klasický papierový systém a voľba cez Internet bude len ako doplnok, politici presadzujúci voľby cez Internet si budú musieť odpustiť ľúbivé heslá o šetrení verejných finančných prostriedkov. Čo je horšie, vzrastie pravdepodobnosť provokačných otázok typu „čo sa vlastne získa za tie zvýšené náklady“, na ktoré dosť ťažko postačí odpoveď „vyššia účasť voličov vo voľbách“, keď nikto nevie povedať o koľko sa tá účasť zvýši.

Tak a teraz do rozhodovania priberme aj dôsledky pre bezpečnosť, teda to, či z hľadiska možných hrozieb a možností, ako im čeliť, sú nejaké rozdiely medzi jednou či druhou alternatívou. Seriózny volebný systém, nezávisle od toho ako je technicky realizovaný, by sa mal vyznačovať viacerými charakteristikami, z ktorých tu spomeniem iba jednu z najdôležitejších. Volebný systém by mal byť dôveryhodný – mal by poskytnúť rozumné uistenie, že volili iba oprávnení voliči, že platné hlasy boli správne spočítané, že platný hlas voliča bol zarátaný iba raz, že do výsledkov neboli zarátané hlasy voličov, ktorí sa volieb nezúčastnili, že volič mal možnosť vyjadriť svoju slobodnú vôľu, že v prípade pochybností je možné overiť správnosť výsledkov (prepočítať odovzdané hlasy), a tak podobne. Tak si stručne načrtnime, čo to znamená pre voľby cez Internet.

Začnime tým, že na rozdiel od klasického systému v prípade volieb cez Internet voličovi chýba možnosť priamo sledovať dodržiavanie opatrení na zaistenie dôveryhodnosti – kto vie, čo všetko sa v tom-ktorom okamihu deje v počítači? Napríklad, v klasickom systéme má volič istotu za koho hlasoval – v prípade použitia počítača môže len veriť, lebo nemá šancu sledovať, čo sa deje vo vnútri počítača. Presnejšie, nedá sa vylúčiť, že počítač, z ktorého hlasuje, je „nakazený“ (cielene upravený), čo znamená že to, čo počítač urobí, nemusí zodpovedať vôli voliča. Nie je to ani zďaleka jediný problém pre dosiahnutie presvedčivého uistenia, ale pekne ilustruje, že na podporu dôveryhodnosti systému volieb cez Internet bude potrebné použiť odlišné postupy ako v prípade klasického systému.

Situáciu ďalej komplikuje skutočnosť, že v prípade volieb cez Internet nesmieme zabudnúť na hrozby, ktoré sú v prípade klasického systému v podstate zanedbateľné. V klasickom systéme je málo pravdepodobná úspešná manipulácia volieb tým, že by sa zriadili falošné volebné miestnosti, zatiaľ čo náročnosť zriadenia vierohodne pôsobiaceho elektronického ekvivalentu (a presmerovania časti voličov naň) je podstatne nižšia. Prah náročnosti zmarenia volieb tým, že sa časti voličov zabráni odovzdať hlas, je v prípade volieb cez Internet podstatne nižší ako v prípade klasického systému (nie je ani potrebný DoS útok na centrálny server, úplne postačí odstavenie niektorého poskytovateľa pripojenia na Internet). V prípade volieb cez Internet je tiež netriviálnou úlohou zabezpečiť možnosť hlasovania pre každého oprávneného voliča – nejde len o dostupnosť pripojenia na Internet, ale aj použitie ťažko predvídateľného spektra použitých počítačov a programového vybavenia ... kto dokáže zabezpečiť (zaručiť) potrebnú kompatibilitu a nespochybniteľnú korektnosť hlasovania na hocijakom existúcom hardvérovom či softvérovom vybavení (obvyklý prístup – hodiť to na krk jednotlivým voličom, by mal za následok skôr zníženie ako zvýšenie volebnej účasti)?

Nesmieme zabúdať ani na to, že v klasickom systéme miestna volebná komisia a spôsob jej utvárania plní aj funkciu istej kontroly nad „aktom odovzdania hlasu“, v prípade volieb cez Internet na odovzdanie hlasu nedohliada nik. V dôsledku toho voľby cez Internet podstatne uľahčujú niektoré spôsoby ovplyvňovania volieb . Napríklad, nie je potrebné zvážať voličov a komplikovaným spôsobom zaistiť, aby „správne“ volili – v princípe stačí si na krátku dobu „prenajať“ ID karty (či iné prvky, ktorými volič preukazuje svoje oprávnenie voliť) dostatočného počtu voličov a v ich mene odvoliť. A tak ďalej.

Skrátka, voľby cez Internet so sebou nesú množstvo nových problémov. Veľká časť z nich je technicky riešiteľná – ale za akú cenu? Naviac, niektoré (napr. zaistenie bezpečnosti všetkých počítačov, ktoré by mohli byť použité pre odovzdanie hlasu) sa v podstate ani dostatočne spoľahlivo vyriešiť nedajú. Čo je však (aj pre rozhodovanie o vyššie uvedenej otázke) dôležité, ak budú voľby cez Internet len doplnkom ku klasickému systému volieb, je možné upustiť od riešenia viacerých ťažkých bezpečnostných problémov práve vďaka tomu, že vždy bude k dispozícii „záloha“ - možnosť voliť klasickým spôsobom . Presne tieto dôvody prispeli k rozhodnutiu Estóncov voľby cez Internet poňať ako doplnok ku klasickému systému – voliť tak, že najprv je časový úsek určený na voľby cez Internet, potom sa táto možnosť zablokuje a otvoria sa voľby klasickým spôsobom.

Uvedený príklad snáď dostatočne zrozumiteľne ilustroval, že rozhodnutie, prijaté už v úvodnej etape procesu budovania IS, môže významným spôsobom ovplyvniť možnosti a celkovú náročnosť riešenia bezpečnosti výsledného systému. Pochopiteľne, aj v nasledovných etapách riešenia bude potrebné prijímať rôzne rozhodnutia – a ani v takých prípadoch neuškodí dôkladne zvažovať bezpečnostné dôsledky možných výstupov rozhodnutia. Na ilustráciu uvažujme nápad , podľa ktorého by e-voľby boli len jednou súčasťou celého komplexu „štátnych služieb“, poskytovaných cez Internet. Myšlienka využiť infraštruktúru, ktorá aj tak má byť vybudovaná v rámci informatizácie verejnej správy, vyzerá atraktívne, nakoľko sľubuje možnosť ušetriť na nákladoch pre volebný systém.

Problém s takýmto uvažovaním je, že mlčky (a chybne) predpokladá, že bezpečnostné požiadavky na jeden špecializovaný systém (v tomto prípade pre voľby cez Internet) sa príliš neodlišujú od bezpečnostných požiadaviek na ostatné systémy, ktoré majú byť prevádzkované na spomenutej spoločnej infraštruktúre. Alebo že potrebnú požadovanú vyššiu bezpečnosť možno zabezpečiť dodatočným „dolepením“ nejakých bezpečnostných produktov. V princípe to možné je, ale najprv by to chcelo solídnu analýzu, či také riešenie bude aj ekonomicky efektívne.

Ako ilustratívny príklad, že to nemusí byť tak jednoduché, spomeňme nápad, ktorý mal svojho času prezident SR R. Schuster. Pri svojich víkendových cestách z Bratislavy do Košíc a späť chcel šetriť tým, že použije existujúcu dopravnú infraštruktúru – vlak IC. Ten by šiel aj tak, takže to vyzeralo že náklady budú naozaj minimálne – cestovné lístky do vozňa 1. triedy pre prezidentský pár a dvoch bodyguardov. V skutočnosti sa nedosiahli žiadne úspory, skôr naopak. Bezpečnostné požiadavky na dopravu prezidenta sú totiž radikálne odlišné od požiadaviek na bezpečnosť bežných pasažierov vlaku. Keďže tie nikto nezmenil, bolo nutné pred prejazdom IC vlaku s prezidentským párom urobiť to, čo sa ani pri IC vlakoch bežne nerobí - skontrolovať bezpečnosť potenciálne kritických miest trate (tunely, mosty), plus súbežne s vlakom sa po cestách aj tak pohybovala prezidentská limuzína pre prípad neočakávaného zastavenia vlaku. Skrátka, snaha o využitie existujúcej infraštruktúry viedla vďaka nutným dodatočným bezpečnostným opatreniam k vyšším nákladom, ako keby sa použilo špecializované riešenie . Niečo iné by bolo, keby sa zmenili (oslabili) požiadavky na bezpečnosť prepravy prezidenta, také rozhodnutie si však nikto nevzal na zodpovednosť (kto si trúfne oslabiť požiadavky na zaistenie dôveryhodnosti volebného systému s cieľom ušetriť na bezpečnostných opatreniach?).

Suma sumárum – výsledky rozhodnutí, prijímaných v rôznych etapách procesu budovania IS môžu mať vážne dôsledky na možnosti riešenia bezpečnosti, resp. na náklady na dosiahnutie požadovanej úrovne zabezpečenia. Nakoľko v rámci informatizácie spoločnosti sa už rozbehlo budovanie viacerých systémov, nie malých a nie bezvýznamných (a množstvo ďalších ešte pribudne), malo by nás zaujímať, ako sa zohľadňuje bezpečnosť pri ich návrhu a budovaní. Kým sa bezpečnosť nebude vnímať ako spôsob uvažovania pri prijímaní rozhodnutí, ale len ako súbor opatrení, čo sa dodatočne „prilepí“ k systému, ťažko možno hovoriť o serióznom a kvalifikovanom prístupe k riešeniu ich bezpečnosti. O to smutnejšie je, že kľúčové dokumenty informatizácie spoločnosti, vrátane špecializovanej Národnej stratégie pre informačnú bezpečnosť v SR síce slovne deklarujú dôležitosť bezpečnosti, ale v skutočnosti prezentujú filozofiu budovania IS, ktorá s nejakým zohľadňovaním bezpečnostných dôsledkov pri prijímania rozhodnutí v procese návrhu a implementácie systému vôbec neráta.