Pre održavanja lokalnih izbora u Severnoj Makedoniji, eksperti za kompjutersku bezbednost nametnuli su mnoga pitanja o tome da li će glasanje biti tehnički korektno, s obzirom na to da će prvi put na ovim izborima biti korišćeni takozvani fingerprint aparati, odnosno uredi za čitanje otisaka prsta.
Da li će ostati bezbedni podaci glasača koji će se naći u tim aparatima, da li je sistem prošao adekvatan bezbednosni test, kako će se puniti aparati na biračkim mestima gde nema struje...
Ukoliko se na aparatu za čitanje otisaka pojavi zeleno svetlo, možete glasati. Ako je svetlo žuto, ima neki problem sa vašim otiskom, a crveni signal se javlja ako ste prethodno već glasali.
Nekoliko dana pre izbora, Državna izborna komisija (DIK) je prezentirala medijima kako će se koristiti terminali za otiske prsta na dan izbora, koji su nabavljeni od nemačke kompanije Dermalog.
Ovo su prvi izbori u Severnoj Makedoniji na kojima će se koristiti ovakvi aparati, čije uvođenje je bilo na zahtev opozicije radi vraćanja poverenja u birački proces.
Ali, ostalo je neodgovoreno ključno pitanje: Da li je sistem prošao bezbednosni test kako ne bi bilo manipulacije sa izbornim ishodom?
Radio Slobodna Evropa (RSE) je poslao pitanja Državnoj izbornoj komisiji o tome da li su napravljeni ovakvi testovi sa celim sistemom, ali pošto nismo dobili odgovor, obratili smo se etičkim hakerima i ekspertima za kompjutersku bezbednost.
Prema tenderskoj dokumentaciji, aparati koji se skraćeno nazivaju UBIG i centralni server koštaju 11,7 miliona evra. Oni imaju veliku memoriju, odnosno kapacitet za skupljanje ličnih podataka građana.
Za ranijeg predsednika DIK Aleksandra Novakovskog ovo je skupa investicija i ukazuje na ozbiljni problem sa nepoverenjem prema izbornom procesu u zemlji.
“Postoji nepoverenje u biračke odbore, u način glasanja, u birački spisak. Slično je i sa finger printom. Moralo je najpre biti pilot opština, pa da se posle sprovede u celoj državi, jer to košta ozbiljnu sumu novca. Nadam se da će funkcionirati, ali niko ništa ne može garantovati”, kaže Novakovski.
Portparolka DIK Ljupka Guguchevska prilikom prezentacije je istakla da ovi aparati pamte sve podatke sa biračkog mesta.
“Ko je rukovao sa uredom, ko je bio najavljen sa korisničkim imenom i lozinkom, u koliko sati se najavio i odjavio, koliko je bilo pokušaja o identifikaciji prsta jednog glasača. Ovaj ured će sadržavati sve što se događalo na jednom biračkom mestu i ako ima potrebe to se kasnije može proveriti”, rekla je Guguchevska.
Da li je moguća manipulacija sa podacima u aparatima?
Prema tenderskoj dokumentaciji, aparati trebaju zapisivati podatke glasača u memoriji ureda, ali i na SD ili USB memorijskoj kartici. To otvara pitanje da li će se nakon glasanja broj glasača izvaditi iz ureda ili iz USB kartice, koja može biti zamenjena drugom karticom, ili da utiče na tačnost podataka.
“Ako nema višefaktorne provere podataka, unikatnog potpisa građanina koji će glasati, ako nema mogućnosti plombiranja, odnosno zaključavanja aparata nakon unosa ličnih podataka građana, otvara se prostor za sumnju da će se moći manipulisati sa podacima”, kažu IT eksperti za RSE.
Za vreme izbora fingerprint aparati neće biti povezani sa centralnim serverom koji će se nalaziti u sedištu DIK, već će pre izbora biti lokalno napunjeni podacima. Za vreme izbornog procesa, kako je najavio predsednik DIK Aleksandar Dashtevski, aparati će biti oflajn. Prema njemu, tako ce lični podaci građana biti zaštićeni od hakerskih napada.
Otvara se i sumnja u ljude koji će rukovati aparatima
Prema etičkim hakerima koje smo konsultirali, to što će ovi aparati biti oflajn uliva poverenje samo u delu komunikacije, odnosno da će uneseni podaci biti zaštićeni od spoljnih uticaja u delu nemogućnosti daljinskog pristupa podacima.
Tu se nameće pitanje da li će podaci koji će biti učitani u aparatima pre izbora, biti isti i posle glasanja, kada će biti vraćeni u server, odnosno da li će neko napraviti izmenu u njima.
Predsednik DIK Dashtevski kaže da su svi lični podaci građana zaštićeni, odnosno kriptirani i da ih niko ne može dekriptirati.
“Oni će biti dekriptirani na dan punjenja. Napuniće se u terminalima i biti zaštićeni tamo. Biće dodatno kriptirani i tu uslugu kupujemo od kompanije i to je najskuplja usluga, jer kriptiranje košta najviše. Zato se svuda događaju hakerski napadi ukoliko nema dovoljno novca za kupovanje takve zaštite, kriptiranja, tada će to hakeri probiti”, rekao je Dashtevski u intervjuu za RSE.
Pročitajte i ovo: Severna Makedonija za 19 godina izgubila 190.000 ljudiOn je dodao da čak ni čovek koji upravlja tim aparatom neće moći otvoriti podatke.
Ali, prema tenderskoj dokumentaciji, u minimalnim funkcionalnim zahtevima o centralnom sistemu, navedeno je da se svi podaci moraju rukovati u enkriptiranoj formi, osim u radnoj memoriji centralnih servera za vreme obrade i radne memorije UBIG-a.
Taj deo “osim u radnoj memoriji”, prema ekspertu za kompjutersku bezbednost, znači da neće biti kontinuiranog postavljanja zaštite podataka u svakom pogledu, kao što bi trebalo biti prema izjavi Dashtevskog, nego je sada dogovorom dozvoljeno da podaci budu u dekriptiranoj formi u radnoj memoriji.
Baš zato treba se uraditi takozvani penetracijski test u kompletnom obliku, odnosno da se testira od mogućih pretnji nepoznatog oblika.
U dogovoru stoji da na nekoliko dana pre izbora treba biti urađen test prihvatanja, bez navođenja drugih detalja. Prema najavama DIK, aparati trebaju biti lokalno napunjeni do 13 oktobra, a do 15 oktobra će biti odneseni do opštinskih izbornih jedinica da bi se podelili na biračka mesta.
Novakovski, kao raniji predsednik DIK, upozorava na nedostatak IT personala u Komisiji. Dashtevski, pak, tvrdi da će u pomoć DIK-u doći inženjeri iz MUP-a, Ministarstva za informatičko društvo i iz drugih institucija.
Šta ako neki aparat ne radi?
Nabavljeno je 4 .000 fingerprint aparata, koji će biti podeljeni na 3500 glasačkih mesta, što znači da će oko 500 biti u rezervi i ako neki aparat ne proradi kako treba, biće zamenjen drugim. Ali, nejasno je šta će se desiti sa podacima u međuvremenu.
Sa jedne strane, pre nego bude promenjen, aparat će sadržavati podatke glasača do tog trenutka, a sa druge strane postavlja se pitanje da li će biti adekvatna zamena novim aparatom, koji će sadržavati potrebne informacije o tom glasačkom mestu.
“Šta ako bude lažnih aparata, na nekom mestu moći će jedan aparat da bude zamenjen drugim, sa drugačijim podacima. Da li postoji zaštita od toga? Kada se razmišlja o mogućim bezbednosnim propustima, treba misliti i kakva je ta pretnja koja se može desiti na tom sistemu”, kaze ekspert za kompjutersku bezbednost.
Ovim aparatima na dan izbora rukovaće predsednici i zamenici-predsednika biračkih odbora u glasačkim mestima. To znači da oko 7.000 ljudi do izbora trebaju biti obučeni za korištenje fingerprint aparata.
Biračka mesta bez struje, gde će se puniti fingerprint aparati?
Uredi rade na baterije i trebaju se puniti u toku dana, kaze portparol DIK Ljupka Guguchevska.
“Na 34 biračka mesta ima problema sa strujom i u toku su pregovori sa kompanijom EVN da otklone sve defekte da bi se omogućilo nesmetano odvijanje izbornog procesa 17 oktobra”, dodala je ona.
Pročitajte i ovo: Izborna bitka za Skoplje i velike makedonske gradoveAleksandar Novakovski kaže da korištenje ovih aparata može biti dosta složeno, jer u mnogim biračkim mestima nema uslova za rad.
“Zamislite koliko biračkih mesta nemaju osnovne uslove za funkcionisanje, ne govorimo o gradovima, mi imamo biračka mesta koja su nedostupna da bi se uopšte stiglo do njih. Nadam se da će sve proći u najboljem redu, ali mora se razmišljati i o takvim eventualnim propustima na nekim mestima. Političke partije moraju biti svesne toga, zato što su zajedno doneli izmene zakona i trebaju biti korektne sa reakcijama”, dodaje Novakovski.
Dashtevski je najavio da će ljudi iz Dermalog-a i osobe angazirane od ove firme, biti mobilni na dan izbora i da ce pomagati tamo gde se javi problem.
Prvi put na ovim lokalnim izborima makedonski glasači će moći birati tek kad dokažu svoj identitet na specijalnim aparatima na kojima će biti čitan otisak njihovog prsta. To je postupak koji su svi punoletni građani koji imaju ličnu kartu već napravili u policijskoj stanici od koje su dobili dokument za ličnu identifikaciju.
Za 11,7 miliona evra, koliko košta javna nabavka aparata za čitanje otisaka prsta, pristiglo je 4.000 aparata za biometrijsku identifikaciju glasača, pametne kartice za logiranje u aparatima, softveri i centralni skener.
Na glasanju građani će izabrati gradonačelnike i članove Saveta u 80 opština i u Gradu Skoplju kao posebnoj administrativnoj jedinici.
Drugi krug izbora će se održati 31 oktobra.