Alex Halderman, zdroj: CyberSec & AI

Alex Halderman: Elektronické volby jsou nyní příliš velké riziko

Stát chytřerozhovor 7 a více min čtení

Jsme si stoprocentně jisti, že v roce 2016 opravdu vyhrál volby Donald Trump? Jak se vyrábí virus pro přístroj, který sčítá volební hlasy? A je Estonsko se svým technooptimismem příkladná moderní země, nebo je jeho přístup naivní a potenciálně nebezpečný? Americký profesor Alex Halderman často kráčí proti současným proudům, ale takové hlasy jsou občas také zapotřebí.

Líbí se vám článek? Sdílejte ho:

Jsme si stoprocentně jisti, že v roce 2016 opravdu vyhrál volby Donald Trump? Jak se vyrábí virus pro přístroj, který sčítá volební hlasy? A je Estonsko se svým technooptimismem příkladná moderní země, nebo je jeho přístup naivní a potenciálně nebezpečný? Americký profesor Alex Halderman často kráčí proti současným proudům, ale takové hlasy jsou občas také zapotřebí.

Související článek

E-volby: věčná hudba budoucnosti?

Dnes se v Poslanecké sněmovně opoziční strany pokusí vyslovit nedůvěru vládě Andreje Babiše. Kdyby se jim to povedlo, měly by v krátké době následovat nové parlamentní volby, což ovšem v našem rozkolísaném politickém systému vůbec není jisté. Zato jiná věc jistá je: i kdyby se volby uskutečnily, opět proběhnou podle pravidel z minulého století, v nichž hrají hlavní roli papírové lístky. V roce 2019 dost smutná situace.

Elektronické volby. Fenomén, který podle mnohých politiků i vizionářů nedílně patří k moderní demokracii – zvyšuje volební účast, usnadňuje volbu lidem žijícím v cizině či zdravotně postiženým, umožňuje rychlé a spolehlivé zpracování výsledků. Prostě jednoznačně pozitivní věc, kterou by moderní stát měl všemožně podporovat a co nejrychleji zavést.

Nebo je to jinak? Není náhodou lepší zárukou spolehlivosti spíše tradiční technika, tedy papírové lístky a volební urna? Alex Halderman z University of Michigan o tom ví hodně – problematice e-voleb z bezpečnostního hlediska se věnuje už od studií a patří v tomto oboru k největším světovým kapacitám. Nedávno v Praze vystoupil na konferenci o kybernetické bezpečnosti a umělé inteligenci, kterou pořádala firma Avast, a jeho hlas zapůsobil na mnohé technologické nadšence jako studená sprcha poté, co prohlásil, že elektronické volby jsou v současných podmínkách velký problém.

„Pořád neumíme vytvořit kvalitní elektronický hlasovací systém, který by dokázal bezpečně odolat sofistikovaným útočníkům. Nemluvím o běžných zločincích, těm se asi ubránit dokážeme, ale o opravdu velkých esech – třeba o ruské vládě a jejích pokusech ovlivnit výsledky voleb v USA. Naše současné technické možnosti prostě nejsou zárukou spolehlivé ochrany,“ říká Alex Halderman.

Pro většinu politických sil v moderních státech ale e-volby představují budoucnost. Leckde se na nich shodnou i strany, které si jdou jinak po krku…

To je pravda, a právě to mě tolik znepokojuje. Protože reálné údaje svědčí o tom, že to rozhodně není dobrý nápad. Ne že bych se elektronice vyloženě bránil, bez ní už to v současném světě nejde, ale podle mě je nutné ji kombinovat s fyzickými bezpečnostními systémy. Ve Spojených státech to pomalu začínají chápat a tímhle směrem se vydávají. Víc fyzické techniky, méně spoléhání na počítačové systémy.

Znamená to, že politici podporují elektronické volby z nadšenectví, aniž by se předem ujistili, že je to bezpečné?

V zásadě ano. Na jednu stranu tomu docela rozumím – digitalizace je obecně hodně sexy, elektronické hlasování je pro lidi i pro úřady velmi pohodlné, působí to moderně, mně by se to taky líbilo, kdyby to fungovalo bezpečně. Jenže americké prezidentské volby v roce 2016 přinesly jednu důležitou informaci: samotné principy demokratického zřízení jsou v ohrožení, především vinou lehkomyslnosti v bezpečnostní oblasti. To je hrozba, kterou musíme brát velice vážně. A žádné pohodlí to nevyváží.

Jak třeba zjistíte, že váš hlas někdo vymazal z výsledků a nahradil ho jiným?

Jak je možné, že nedokážeme systémy zabezpečit? Vždyť se digitalizují mnohá jiná důležitá odvětví od bankovnictví přes dopravní systémy po státní infrastrukturu. Tam na útoky s fatálními následky nedochází, ačkoli se pro potenciální útočníky jistě jedná o lákavé cíle…

To je sice pravda, ale to souvisí s povahou těch systémů. Jak už jsem říkal, běžným hackerům nepochybně odolají, k jejich prolomení je zapotřebí opravdu mohutná síla – například vláda nepřátelské země. A vtip je v tom, že útok na banky, na rozvodnou soustavu nebo na něco podobného bychom okamžitě odhalili a pocítili, a obecně bychom ho považovali za regulérní válečný akt, který nám dává právo na odvetu jakéhokoli typu. To patrně nikdo nechce riskovat. Jenže útok na volby je naopak skrytý, nejspíš bychom o něm vůbec nevěděli. Volba je tajný akt desítek nebo stovek milionů lidí. Jak třeba zjistíte, že váš hlas někdo vymazal z výsledků a nahradil ho jiným? Na rozdíl od situace, kdy vám někdo vykrade bankovní konto, to prakticky není jak prokázat, ale to podezření zůstává. To v důsledku znamená, že se podrývá důvěra v celý volební systém jako takový. Dokonce i když k žádnému útoku nedojde.

Co se vlastně stalo v USA při volbách v roce 2016, když podle vás byly takovým zlomem?

Po technické stránce se tehdy poprvé masově hlasovalo elektronicky. Je pravda, že to nebylo možné z domova, lidé museli dorazit do volebních místností, ale tam mnohdy neházeli hlasovací lístky do uren, ale hlasovali stisknutím dotykového displeje v počítačovém kiosku. A pokud lidé hlasovali pomocí normálních papírových lístků, přepočítával je počítačový skener. Těmito dvěma způsoby se zpracovávala velká většina hlasů – nějakých 95 procent. A teď si vezměte ta podezření, že se s hlasy manipulovalo, která se od té doby objevují. A potom si odpovězte na otázku – máme opravdu jistotu, že Američané tehdy zvolili Donalda Trumpa prezidentem?

Související článek

eObčanka se šíří. Budeme s ní příštího prezidenta volit elektronicky?

„A to je začátek digitalizace v Česku.“ Tento slogan hlásí samotná informační kampaň k Portálu veřejné správy. Po zhruba třech měsících od spuštění možnosti „komunikovat on-line se státem“ v Česku se služby sice mírně hýbou, ale spíš na teoretické úrovni.

Na tuhle otázku už dnes těžko hledat odpověď. Asi je důležitější říct, jak téhle nejistotě předcházet…

V případě USA je to podle mě úplně jasné: každý hlas musí být na papíře a volič ho musí fyzicky, vlastnoručně vhodit do urny. Pak je samozřejmě možné sčítat hlasy elektronicky, to se děje všude na světě. Musí ovšem existovat možnost náhodné kontroly v namátkou vybraných volebních místnostech, kde se fyzicky na vlastní oči ověří, že počítač sčítá hlasy správně. Když bude takový vzorek statisticky významný, znamená to, že se s hlasy velmi pravděpodobně nemanipuluje. Je to vlastně jednoduché, nic sofistikovaného, a je to časem prověřená metoda. Ovšem bez takového fyzického ověření výsledků zákonitě přichází nedůvěra.

Vy se ve své práci pokoušíte demonstrovat, jak se dají elektronické volební systémy napadnout – mimo jiné jste předváděl „první virus pro hlasovací přístroje“. O co šlo?

Byl to projekt, do kterého jsem se pustil už během doktorandského studia. Podívali jsme se na zoubek jednomu přístroji, který se v USA používal ke sčítání hlasů, a napsali malwarový program měnící celkový součet. A ten se jako správný virus šířil z jednoho přístroje na druhý, a prokázal tak, že by se mohl rozšířit po celé zemi.

Pokud má být elektronické hlasování bezpečné, potřebujeme skutečnou revoluci v bezpečnostních technologiích.

Bylo by ho opravdu možné rozšířit v praxi, nebo šlo čistě o akademické cvičení?

Samozřejmě že to bylo akademické cvičení, ale v praxi by fungoval úplně stejně dobře – dokud by si ho někdo nevšiml, což by asi časem nastalo. Ale i tak by nadělal dost škody. Jenže to bylo už před patnácti lety. Z dnešního pohledu je na tom zajímavá hlavně jedna věc: tehdy se lidé báli trochu jiného typu počítačové kriminality než dnes. Obávali jsme se hlavně hackerů, kteří pracují pro peníze. Od roku 2016 víme, že největší nebezpečí představují vlády zemí, které nám nejsou nakloněné. Nejde přitom o žádnou sci-fi, protože k útokům skutečně dochází. V roce 2016 se to stalo v USA, v roce 2014 na Ukrajině a mohou tomu čelit každé důležité volby kdekoli na světě. Nám nezbývá než se na to připravit.

Nepomůže ani blockchain či podobné technologie? V jiných oblastech přece dokážou digitální identitu velmi spolehlivě zabezpečit…

Blockchain je velmi užitečná technologie, pokud jde o její hlavní funkci, tedy zjednodušeně ověření identity a validity určité transakce. Ale na elektronické hlasování je navázaná spousta dalších procesů, kde ani blockchain nepomůže. Nijak například nedokáže proti útoku ochránit počítače nebo telefony jednotlivých voličů. Představte si paralelu s kryptoměnami – díky blockchainu máte jistotu, že bitcoiny, které nakoupíte, jsou v okamžiku nákupu skutečně vaše. Ale když se vám někdo nabourá do počítače, ukrást vám je může. Pokud má být elektronické hlasování bezpečné, potřebujeme skutečnou revoluci v bezpečnostních technologiích.

Související článek

Co se nám líbí? Dvanáct digitálních radostí Česka podle redaktorů Světa chytře

Co se nám v redakci Světa chytře líbí chytře digitálního? Co často používáme a pokaždé z toho máme radost? Žádné složité rozbory, čistě subjektivní dojem každého z nás. A tady máte výsledek.

Jak by taková revoluce měla vypadat?

Spíš řeknu, jak by měl vypadat její výsledek: mělo by jít o stav, kdy i skeptičtí odborníci jako já řeknou se vší vážností, že Vladimir Putin nebo Národní bezpečnostní úřad USA nebo jakákoli jiná síla nedokáže změnit volby ve vaší zemi, ani kdyby se stavěli na hlavu. To v zásadě nastane, až se volič bude moci přesvědčit, že právě jeho hlas byl započítán správně. Vyžádá si to úplně jinou úroveň kryptografické ochrany počítačových systémů, než jaké známe dnes.

Na něčem podobném už se pracuje, nebo jde stále ještě o teoretický koncept?

Pracuje, nejdál jsou momentálně asi ve Švýcarsku. Ani tam se ale zatím nedostali do fáze, která by umožnila nasazení nových kryptografických nástrojů v praxi. Projevilo se to letos na jaře – na novém elektronickém hlasovacím systému tam pracovala státní pošta a připravovala se na jeho uvedení do provozu, ale pak na veřejnost unikl zdrojový kód, několik akademických kryptografů se na něj podívalo pod drobnohledem a zjistili, že je v něm spousta zcela zásadních bezpečnostních děr. To celý systém v zásadě odrovnalo. Ukazuje se, že jde o extrémně těžký úkol a bude trvat aspoň deset nebo spíš dvacet let, než se podaří najít řešení – pokud vůbec.

Podle mě je Estonsko snadný terč, lahůdka, kterou jednou někdo slupne jako malinu.

Tohle ovšem moc neodpovídá trendům současného světa, zejména jeho progresivnější části. V uplynulých měsících jsem mluvil s několika vrcholnými politiky z Estonska, uznávaného globálního lídra v digitalizaci, a ti se vesměs tvářili, že je elektronizace státní správy a voleb zvlášť jejich prioritou, ačkoli byli z různých stran…

Ano, o tom samozřejmě vím. A zrovna s estonskými politiky v tomhle zásadně nesouhlasím. V Estonsku jsem pobýval, mluvil jsem se spoustou lidí, kteří jsou za tamější situaci zodpovědní, dělal jsem bezpečnostní audit jejich systémů, včetně volebního, publikoval jsem jeho odbornou recenzi. Podle mě je Estonsko snadný terč, lahůdka, kterou jednou někdo slupne jako malinu.

To je dost silné prohlášení…

Ale podle mého zcela výstižné. Nejhorší je, že za ty léta pro-elektronické politiky a rétoriky polarizovali náladu v zemi do té míry, že tam prakticky nelze vést seriózní debatu o bezpečnostních otázkách. Tamější politici o tom prostě nechtějí nic slyšet. Současná vláda, ale nejen ona, z elektronických voleb udělala posvátnou krávu, na kterou se nesahá. Navíc v některých situacích působili neuvěřitelně amatérsky.

Související článek

„Umělá inteligence vyčistí trh, zruší neefektivní práci,“ říká Michal Pěchouček, špička české kybernetiky

Možná si to nepřipouštíme, ale umělá inteligence námi manipuluje prakticky denně. Doporučuje nám, co si koupit, jaké číst zprávy, jak si vytvořit názor, doporučuje nám, koho volit. „Může vámi dobře manipulovat, když toho o vás hodně ví. Když toho moc neví, může s vámi manipulovat asi tak jako billboard u dálnice,“ říká Michal Pěchouček, kybernetik a patrně jeden z nejrespektovanějších odborníků na umělou inteligenci v Česku.

Vzpomínám si na kampaň, kde představovali hlasovací aplikaci, kterou si občané měli stáhnout. Vládní agentura k tomu vydala oficiální videoklip, kde její představitelé tuhle aplikaci digitálně podepisují – a dělají to na notebooku nějakého chlapíka, který má na ploše software pro gambling a pirátsky staženou hudbu. To vážně není prostředí, které by budilo důvěru. Prostě dělají chybu za chybou. Jejich snahy jsou mi přitom jinak sympatické, věnují tomu spoustu energie, myslí to moc dobře, ale tohle je zkrátka příliš vážný problém na to, aby se řešil takhle nadšenecky. Tady se chyby neodpouštějí.

Nic se přece nestalo, a to je důkaz, že je systém bezpečný. Pro mě rozhodně ne.

Říkal jste, že jste publikoval odbornou recenzi estonského volebního systému. Jak na něj představitelé země reagovali?

Že to přeháním. Proč by někdo útočil na jejich volební systém – mnohem jednodušší by bylo přece vyloupit nějakou banku, bankovní systém už je tam také plně digitalizovaný. Bývalý prezident Ilves se o mě dokonce otřel v televizi, že prý pracuji pro opozici, nebo jsem dokonce komunista. Nic se přece nestalo, a to je důkaz, že je systém bezpečný. Pro mě rozhodně ne. Podle mě Rusko jen čeká s útokem na nejvhodnější chvíli, až nadělá největší škody. Pokud tomu chce Estonsko zabránit, mělo by se okamžitě přestat tolik spoléhat na elektronické systémy a udělat totéž co Amerika, která už ten útok zažila – alespoň částečně se vrátit k papíru a k volebním urnám.

Související článek

František Vrábel: Prezident Zeman je hlásnou troubou dezinformační scény

Dezinformace, fake news, hybridní válka. Pro mnohé námět nekonečných debat na sociálních sítích, pro Františka Vrábela každodenní práce. Jeden z nejúspěšnějších datových analytiků na světě si nebere žádné servítky, co se týče hodnocení zdejší mediální gramotnosti, stavu médií nebo třeba úlohy Facebooku a dalších sociálních sítí…

Co říkáte na další z velmi častých argumentů zastánců elektronických voleb – že podporují vyšší účast? V našem postkomunistickém prostředí má velkou váhu, dostat lidi k volbám je kolikrát vcelku problém…

Je pravda, že tohle v Americe moc neřešíme, u nás lidé chodí volit standardně. A popravdě, ani tenhle argument na mě moc nezabírá. Za prvé proto, že neexistují data, která by potvrdila, že elektronizace skutečně znamená radikální zvýšení volební účasti, ačkoliv trochu to možné je, ale jen trochu. A za druhé tu máme zase jiná rizika. Představte si třeba firmu s despotickým šéfem, který zaměstnancům „doporučí“ volbu některého z kandidátů s tím, že ve firemní síti může vše monitorovat, a kdo se „doporučením“ nebude řídit, odskáče to na prémiích. Nebo podobně despotického otce rodiny. Volba je zkrátka intimní, hluboce osobní záležitost a není nic špatného na tom, když se odehrává postaru.

Témata:
Líbí se vám článek? Sdílejte ho:
link odkaz
Reklama