Пресс-центр > Статьи и публикации > Выборы и ИТ: прозрачность, надежность, инновационность
Статьи и публикации
Выборы и ИТ: прозрачность, надежность, инновационность

Выборы и ИТ: прозрачность, надежность, инновационность

Парламентские выборы в Украине традиционно являются значимым общественно-политическим событием, способным на годы вперед предопределить направления внешней и внутренней политики. К их результатам приковано внимание международного сообщества, украинского политикума и граждан страны в целом. Важнейшей задачей при этом является обеспечение достоверности и оперативности получения информации о ходе и результатах выборов, прозрачности подсчета голосов. Выполнение такой задачи, а также последующий анализ данных о результатах голосования является целью создания и функционирования информационно-аналитической системы (ИАС) «Выборы народных депутатов Украины».

 

 

 

Первая распределенная ИАС «Выборы народных депутатов Украины» была создана в 2006 году. Она была двухуровневой и объединяла узел обработки данных, находящийся в Центральной избирательной комиссии, и 225 узлов во всех окружных избирательных комиссиях, в которых формировались первичные данные, передававшиеся затем в центр посредством телефонной сети общего пользования. Тогда же в ИАС «Выборы народных депутатов Украины» впервые была создана комплексная система защиты информации (КСЗИ), не имевшая на тот момент аналогов в нашей стране. В целях предотвращения несанкционированного вмешательства в работу системы «Выборы» было предусмотрено пять ступеней аутентификации. Только после их прохождения пакет данных с протоколами участковых и территориальной комиссий, сформированный в избирательном округе, мог попасть в транспортную базу данных. Оттуда ему еще предстояло пройти долгий путь до момента появления обобщенных и обработанных данных на веб-сайте ЦИК. Важнейшей составляющей системы защиты была электронная цифровая подпись, которую накладывали администратор и председатель территориальной избирательной комиссии на передаваемые в центр данные. Несмотря на то, что данные о ходе и результатах голосования, обрабатывающиеся в ИАС «Выборы», являются предварительными и не имеют юридической силы (как известно, итоги выборов в Украине устанавливаются по результатам обработки бумажных протоколов с «мокрыми» печатями и подписями), эта мера была призвана значительно снизить возможность манипуляций за счет подтверждения авторства введенного в систему протокола.

 

Особенностью системы образца 2006 года являлась достаточно низкая пропускная способность телефонного канала, что привело к необходимости формировать в территориальных комиссиях собственные базы данных, из которых затем и осуществлялась репликация в центральную базу. Это, в свою очередь, усложняло структуру системы, требовало больших усилий по обновлению программных комплексов на уровне округов, их администрированию и поддержке. Значительной была и пиковая нагрузка на сервер доступа ЦИК в период активной передачи данных (как правило, это ночь и утро на следующий день после выборов).

 

Слаженность действий разработчика, специалистов ЦИК, а также сотрудников тогдашнего Департамента специальных телекоммуникационных систем и защиты информации СБУ, обеспечили надежную работу системы, несмотря на то, что в период функционирования на внешнюю ее часть (веб-сайт ЦИК) было отражено более 30000 атак.

 

В такой же, хоть и немного обновленной, конфигурации ИАС «Выборы народных депутатов Украины» отработала и на внеочередных выборах 2007 года. На парламентских выборах 2012 года, очевидно, старая система работать уже не могла. Тому была масса причин, одна из которых весьма банальна – не так и просто в наше время найти одновременно около  500 dial-up-модемов. К тому же, проникший практически повсюду широкополосный доступ позволял организовать достаточно широкие каналы передачи данных во всех комиссиях. При этом отпадала необходимость в поддержании локальных баз данных в округах, что предоставляло возможность, в свою очередь, создать централизованную систему на основе веб-технологий.

 

Задачи защиты информации также значительно претерпели изменения, поскольку новый закон о выборах предусматривал обработку в системе массы различных персональных данных. В соответствии с требованиями Закона Украины «О защите персональных данных» необходимо было обеспечить конфиденциальность этой информации в процессе ее передачи по каналам связи. Обычно эта задача решается путем организации VPN-туннелей, однако в рамках комплексной системы защиты информации требовалось использование прошедших государственную экспертизу средств криптографической защиты, базирующихся на стандарте шифрования ДСТУ ГОСТ 28147:2009. Такое решение было найдено на базе VPN-клиента компании Cisco Systems, что позволило сделать подсистему криптографической защиты гибкой, масштабируемой, недорогой, а также простой в развертывании и управлении. Это первая новинка, поскольку подобное решение с отечественной криптографией до сих пор в Украине не внедрялось. Для поддержания такой сетевой инфраструктуры с классической топологией «звезда» в центре требовалось установить высокопроизводительный и отказоустойчивый VPN-шлюз. В качестве такового снова впервые выступила унифицированная вычислительная платформа Cisco UCS, опять-таки с прошедшим экспертизу программным обеспечением криптографической защиты информации.

 

Итак, обеспечив конфиденциальность и целостность передаваемой по каналам связи информации, необходимо было также предусмотреть защиту от целого ряда угроз в ЦИК и окружных избирательных комиссиях. Для начала требовалось персонифицировать операторов системы (ввиду использования VPN-туннелей внедрение электронной цифровой подписи было признано нецелесообразным). С этой целью аутентификацию в домене Active Directory, который был развернут в системе, было решено осуществлять посредством сертификатов. Такие сертификаты были записаны на защищенные носители (токены) и розданы администраторам окружных комиссий во время централизованного обучения. Таким образом, вернувшись из Киева и развернув операционные системы и прикладное программное обеспечение со специально подготовленных унифицированных образов, администраторы и операторы ИАС «Выборы народных депутатов Украины» имели возможность работать в системе только с персональным ключом. Дальнейшую аутентификацию они проходили уже в веб-браузере на основной странице системы. В рамках прикладной веб-системы, наряду с операционной системой, было реализовано и разграничение полномочий. Использование Active Directory позволило также внедрить единые политики безопасности на всех рабочих станциях системы (более 700 рабочих станций по всей Украине).

 

Серьезное внимание также было уделено построению многоуровневой системы антивирусной защиты. На рабочих станциях в окружных избирательных комиссиях было развернуто прошедшее государственную экспертизу решение Dr.Web Desktop Security Suite 6.0. При этом было обеспечено централизованное управление, установка обновлений, внедрение единых политик защиты от вредоносного кода, контроль приложений и портов ввода-вывода. Защита внутреннего почтового сервера также обеспечивалась с помощью продукта компании Dr.Web. В Центральной избирательной комиссии в качестве компонентов защиты рабочих станций, серверов, почтового и веб-шлюзов отлично зарекомендовали себя продукты Лаборатории Касперского. Впрочем, наиболее критичным с точки зрения функционирования системы «Выборы» ресурсом являются специализированные сервера приложений и баз данных, поэтому стандартного антивирусного решения для их защиты было недостаточно – требовалось обеспечить контроль соединений, защиту от вторжений и атак типа «отказ в обслуживании». С этой целью на основные сервера системы было установлено решение Symantec Critical System Protection. Как оказалось, описанные меры были вполне оправданы: с момента введения ИАС в эксплуатацию до ее завершения после оглашения официальных результатов выборов было зафиксировано более 12000 случаев обнаружения вредоносного кода, при этом более 100 образцов вирусов были уникальными.

 

Защита центральной подсистемы от сетевых атак была реализована с помощью межсетевых экранов и системы предотвращения вторжений от компании Cisco Systems. Для функционирования серверной фермы был создан выделенный сетевой сегмент, входящие и исходящие потоки данных в котором контролировались соответствующими средствами сетевой защиты.

 

Очевидно, что совокупность разнообразных систем и продуктов обеспечения безопасности информации должна быть управляемой, при этом предоставляя возможность получать оперативную и объективную картину состояния защищенности ИАС «Выборы народных депутатов Украины». Информация о событиях безопасности должна быть наглядной, что позволяло бы правильно оценить обстановку в случае инцидента и принять своевременные меры. Для выполнения этих задач было создано рабочее место администратора безопасности, основой которого являлась консоль системы управления событиями информационной безопасности QRadar – также одно из первых промышленных внедрений в Украине. Данный продукт позволял централизованно агрегировать события от различных компонентов комплексной системы защиты информации: программного обеспечения антивирусной защиты, межсетевых экранов, систем предотвращения вторжений, шлюзов безопасности, операционных систем и т.д. Мощные механизмы корреляции событий позволяли выделить наиболее значимые, распознать атаку на ранней стадии и своевременно ее предотвратить. При том, что за время работы системы было зафиксировано около 25 млн. событий безопасности общим объемом более 2 Тб, корреляционный функционал являлся просто необходимым.

 

Таким образом, была сформирована подсистема безопасности внутреннего сегмента ИАС. Впрочем, одной из основных задач функционирования ИАС является отображение данных о явке и результатах голосования в зале заседаний ЦИК и на официальном веб-сайте. Последний представляет собой отличную мишень для разного рода злоумышленников, ведь выведение из строя веб-сайта ЦИК в момент выборов может служить почвой для целого ряда инсинуаций и провокаций. В день голосования и последующий до оглашения предварительных результатов промежуток времени сайт является весьма популярным ресурсом (5,5 млн. посещений с 27 октября по 12 ноября 2012 года), что само по себе может отразиться на его работоспособности. Поэтому на период подсчета голосов главный веб-сервер ЦИК скрывается от внешнего мира, а данные выводятся на так называемые «зеркала» - копии основного веб-сайта, размещенные в защищенных дата-центрах различных Интернет-провайдеров. Помимо использования их возможностей для отражения DDoS-атак, сами операционные системы и веб-сервера «зеркал» были сконфигурированы таким образом, чтобы исключить любую возможность перехвата управления серверами и искажения контента. В стационарном же режиме для защиты веб-сайта ЦИК от подобного рода атак была внедрена очередная новинка для Украины – сервис от Лаборатории Касперского Kaspersky DDoS Prevention.  

 

Как было ранее отмечено, развертывание описанных систем безопасности осуществлялось в рамках создания комплексной системы защиты информации, прохождение государственной экспертизы которой и получение аттестата соответствия являлось необходимым условием для введения ИАС «Выборы народных депутатов Украины» в промышленную эксплуатацию. Эта деятельность предусматривала разработку и согласование в Госспецсвязи технического задания на КСЗИ, технического проекта и эксплуатационной документации, набора инструкций операторов и администраторов в части обеспечения защиты информации. После проведения предварительных испытаний КСЗИ была передана на государственную экспертизу, в процессе которой эксперты проверили соответствие системы техническому заданию, работоспособность механизмов защиты информации. Защищенность программно-аппаратных комплексов ИАС уровня окружных избирательных комиссий была проверена силами инспекторов Госспецсвязи, которые побывали с этой целью во всех 225 округах. Только после их подтверждения ЦИК принимала решение о включении тех или иных узлов в состав ИАС и их работе  в день выборов и при последующем подсчете голосов. Специалисты Госспецсвязи также осуществляли наблюдение за работой систем и предотвращение атак на «зеркала» веб-сайта ЦИК (только на протяжении дня голосования их было зафиксировано более 2300).

 

В целом, на создание ИАС и КСЗИ предусматривалось чуть более двух месяцев – ничтожно малый срок для разработки программного обеспечения и развертывания такого масштабного программно-аппаратного комплекса. Однако опыт и профессионализм специалистов управления информатизации ЦИК, разработчика системы – компании «Медирент», организатора экспертизы и Госспецсвязи стали тем фактором, который позволил уложиться в срок и построить систему, превосходно показавшую себя в период проведения выборов народных депутатов.

  

Виктор Жора, эксперт в сфере информационной безопасности