Premierul Marcel Ciolacu a declarat miercuri seară, la dezbaterea Antena 3, că în România nu există vreun serviciu secret care să aibă acces la sistemul informatic folosit în alegeri. Acum 8 ani, securitatea cibernetică a acestui sistem era vraiște.
El a răspuns la întrebarea unui alegător, care a făcut referire explicit la Sistemul de Telecomunicații Speciale (STS).
Conform prevederilor legale, Serviciul de Telecomunicații Speciale asigură suport-ul tehnic de comunicații și tehnologia informației pentru birourile electorale și secțiile de votare și asigură măsuri de reziliență și securitate cibernetică.
„Singura instituție care are acces este Autoritatea Electorală Permanentă. Și, desigur, partidele au numărătoarea paralelă. Este exclus ca cineva să fure alegerile în România în anul 2024”, a spus, plin de încredere, premierul Ciolacu.
Vulnerabilități
În 2016, lucrurile nu stăteau tocmai așa. Nici astăzi nu putem fi siguri dacă nu cumva sistemul informatic de vot nu este vulnerabil la intervenții din exterior, ilegale și ilegitime.
Acum opt ani, însă, aceste vulnerabilități au fost scrise în documente secrete ale statului român, care au intrat în posesia „Independent news”.
Între 9 și 13 mai 2016, mai multe instituții de specialitate au analizat securitatea cibernetică a sistemului informatic utilizat pentru centralizarea rezultatelor votului în alegerile locale din anul 2016.
Acest sistem informatic, „SIAL_2016″, gestiona sistemul de proceduri și instrumente software de prelucrare a datelor și editarea de rapoarte necesare centralizării rezultatelor votării.
De o parte a mesei au stat specialiști în securitate cibernetică ai următoarelor instituții de specialitate: Centrul Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO (actualmente Directoratul Național de Securitate Cibernetică – DNSC), Centrul Național Cyberint (divizia de securitate cibernetică a SRI), DIPI – serviciul secret al MAI, Inspectoratul General al Poliției Române (IGPR) și Ministerul Comunicațiilor și pentru Societatea Informațională.
De cealaltă parte a mesei au stat reprezentanți ai instituțiilor implicate în procesul electoral: Autoritatea Electorală Permanentă (AEP), Biroul Electoral Central, Institutul Național de Statistică (INS) și Serviciul de Telecomunicații Speciale (STS), un serviciu secret.
În urma acestor discuții, purtate între specialiștii de nivel tehnic pe tema securității cibernetice a sistemului destinat centralizării voturilor, au rezultat o serie de observații și recomandări.
Ministrul comunicațiilor de atunci, Marius Bostan, a inclus aceste observații și recomandări într-o adresă către președintele AEP, Ana Maria Pătru, și l-a adăugat în corespondența instituțională pe Ioan Dragoș Tudorache, șeful Cancelariei Prim-ministrului Dacian Cioloș.
Adresa a fost emisă de către cabinetul ministrului Comunicațiilor cu numărul 1702/13.05.2016.
O chestiune sensibilă
Escaladarea problemei, prin includerea Cancelariei Prim-ministrului în corespondența instituțională dintre MCSI și AEP, denotă severitatea vulnerabilităților de securitate cibernetică ale sistemului informatic folosit în alegeri, vulnerabilități ce impuneau (în opinia specialiștilor) implementarea măsurilor de securitate cibernetică recomandate.
Dintre aceste vulnerabilități, cea mai gravă este aceea că „sistemul iLO (care permite inclusiv accesul la terminalul virtual al serverelor) va rămâne funcțional pe perioada alegerilor pentru a facilita o eventuală depanare de la distanță a serverelor”.
„iLO este o tehnologie de management ce permite controlul complet de la distanță al dispozitivelor, serverelor și infrastructurii, fie că acestea sunt pornite sau oprite, indiferent dacă un sistem de operare este instalat sau nu pe acestea”, ne-a explicat un specialist civil în securitate cibernetică.
Pe baza opiniilor și recomandărilor specialiștilor, ministrul Comunicațiilor a recomandat Autorității Electorale Permanente „deconectarea portului iLO din rețea și reconectarea doar în caz de necesitate”.
Altfel spus, specialiștii în securitate cibernetică au propus ca STS să nu poată avea acces permanent la servere pe timpul desfășurării procesului electoral, ci numai în caz de necesitate, dacă apare vreo avarie.
Răspunsul AEP
Prin adresa AEP cu numărul 10095/17.05.2016, președintele instituției, Ana Maria Pătru, i-a răspuns ministrului Comunicațiilor Marius Bostan că o echipă tehnică inter-instituțională, formată din reprezentanți ai AEP, ai STS și ai INS, s-a întrunit și a analizat punct cu punct recomandările privind securitatea cibernetică a sistemului informatic.
În legătură cu recomandarea de a „deconecta portul iLO din rețea și reconectarea doar în caz de necesitate”, aceasta a fost respinsă, fără argumente convingătoare.
„Recomandarea de a deconecta portul iLO nu se poate aplica întrucât sistemul are nevoie de asigurarea unui SLA de 99,99%, solicitat în caietul de sarcini.
Vom lua însă în considerare recomandarea și vom emite o procedură de lucru specifică prin care se vor schimba parolele de acces la terminalul virtual al serverelor după fiecare utilizare.
Parolele se vor schimba de către responsabilul coordonator al securității cibernetice și se vor păstra în plicuri sigilate. Orice acces la aceste parole se va face cu consemnarea acțiunii într-un proces verbal constatator.”
O soluție ridicolă
„Mecanismul propus de AEP și STS pentru gestionarea riscului de acces neautorizat la sistem și implicit a riscului de fraudare a rezultatelor alegerilor este ridicol, ilar și nu oferă în realitate nicio garanție cu privire la eliminarea sau diminuarea acestor riscuri.
În realitate, gestionarea corespunzătoarea a riscurilor de acces neautorizat la sisteme atât de importante, trebuie făcută prin mecanisme complexe ce implică colaborarea mai multor utilizatori autorizați, multipli factori de autentificare din categorii difierite, monitorizarea accesului la acești factori etc.
Totodată, nu este clar de ce nu se putea garanta disponibilitatea serviciilor de 99,99% prin asigurarea în locație a unei echipe interinsituționale de intervenție în caz de avarie. Oare asigurarea unor alegeri democratice libere nu merită un astfel de efort?”, a explicat specialistul în cyber- security contactat de „Independent news”.
Publicația noastră i-a contactat pe cei implicați în discuțiile de acum opt ani, dar nu am primit, până la publicarea acestui articol, răspunsurile solicitate. Le vom publica în măsura în care ne vor parveni.
Întrebări legitime
Dacă în anul 2016, aceasta a fost abordarea de „ultimă oră” a STS în securizarea rezultatelor alegerilor și asigurarea corectitudinii votului, nu putem să nu ne întrebăm cum arătau sistemele și securitatea acestora în anul 2009, atunci când, cu ocazia alegerilor prezidențiale, s-a discutat intens în spațiul public despre posibila fraudare a alegerilor prin manipularea sistemelor IT. Sau în 2014, când a fost organizat, de asemenea, un scrutin prezidențial.
Citește și:
O altă întrebare esențială este: cum arată astăzi aceste sisteme și măsurile de securitate cibernetică implementate în cadrul acestora, sau cine are acces la aceste sisteme și în ce condiții?
STS ne transmite să fim liniștiți anul acesta
„Reprezentanții STS susțin că, pentru alegerile de anul acesta, a fost întărită securitatea cibernetică, dar nu sunt evaluări interne privind atacuri posibile sau riscuri mai mari în acest an electoal și nici nu au primit informări în acest sens de la alte instituții. Sistemul este bine pus la punct iar acest lucru poate fi demonstrat orcând”, a scris Newsweek, în mai a.c.
„Aproximativ 14 milioane de incidente de securitate cibernetică au fost semnalate anul trecut. Cu toate acestea, STS nu consideră că sistemul folosit în aceste alegeri ar putea fi atacat.
Investiții totale ale STS în soluțiile care trebuie să protejeze alegerile din 2024 de eventualele fraude ajung la peste 120 de milioane de lei. Această sumă nu include salariile celor 1.500 de angajați ai STS angrenați în procesul din 9 iunie, conform generalului Ionel-Sorin Bălan, directorul STS.
În acest proces electoral STS are 28.000 de tablete distribuite în țară, peste 6.000 în secțiile din străinătate și sunt peste 4.300 de routere instalate care vor asigura semnalul astfel încât să fie asigurat semnalul pentru acestea.
Peste 50.000 de oameni din secții și autorități electorale vor primi instruire prin sistem de videoconferință de la STS.
Specialiștii din Serviciul de Telecomunicații Speciale spun că softul asigură, din punct de vedere tehnic, alegeri ”sigure și corecte” și reprezintă o modalitate de verificare în cazul eventualelor contestații.
Însă trebuie spus că nu vorbim despre vot electronic, iar STS nu da rezultatul voturilor, AEP fiind autoritatea care se ocupă de acest lucru.
Serviciul de Telecomunicații Speciale pune la dispoziție sistemul de verificare pe tabletă al celor care vin să voteze. Astfel arată prezența la vot și, de asemeena, centralizează procesele verbale. De fapt aceste date sunt doar oglindiri digitale ale documentelor din secțiile de votare.
Procesele verbale se completează de mână în secțiile de votare iar acestea sunt singurele documente oficiale ale alegerilor.
Conform lui Remi Manda, coordonator management operațional STS, aceste date sunt postate imediat pe site-ul AEP, după întocmirea și validarea de reprezentanții partidelor și de către președintele secției. Iar ăn acest mod pot fi verificate, în orice moment, de către orice cetățean.
Iar în cazul în care vor fi contestații, STS transmite că este pregătit să dea explicații cetățenilor. Șefii serviciului au subliniat că sistemul este sigur și garantează, din punct de vedere tehnic, alegeri corecte, acesta fiind validat de mai multe rânduri de alegeri și recunoscut internațional ca fiind performant, conform coordonatorului tehnic al programului, generalul Manuela Sărățeanu.”