Базаров Д.А.

Національний університет «Одеська юридична академія»,

асистент кафедри інформаційних технологій

ІАС «Вибори народних депутатів України» модернізація та стан системи на 2014 рік

Парламентські вибори в Україні традиційно є значущим суспільно-політичною подією, здатним на роки вперед зумовити напрями зовнішньої і внутрішньої політики. До їх результатами прикута увага міжнародного співтовариства, українського політикуму і громадян країни в цілому. Найважливішим завданням при цьому є забезпечення достовірності та оперативності отримання інформації про хід та результати виборів, прозорості підрахунку голосів. Виконання такого завдання, а також подальший аналіз даних про результати голосування є метою створення та функціонування інформаційно-аналітичної системи (ІАС) «Вибори народних депутатів України».

Перша розподілена ІАС "Вибори народних депутатів України» була створена в 2006 році. Вона була дворівневою і об'єднувала вузол обробки даних, що знаходиться в Центральній виборчій комісії, і 225 вузлів у всіх окружних виборчих комісіях, в яких формувалися первинні дані, що передавалися потім в центр за допомогою телефонної мережі загального користування. Тоді ж в ІАС "Вибори народних депутатів України» вперше була створена комплексна система захисту інформації (КСЗІ), що не мала на той момент аналогів у нашій країні. З метою запобігання несанкціонованого втручання в роботу системи «Вибори» було передбачено п'ять ступенів аутентифікації. Тільки після їх проходження пакет даних з протоколами дільничних та територіальної комісій, сформований у виборчому окрузі, міг потрапити в транспортну базу даних. Звідти йому ще належало пройти довгий шлях до моменту появи узагальнених та оброблених даних на веб-сайті ЦВК. Найважливішою складовою системи захисту була електронний цифровий підпис, яку накладали адміністратор і голова територіальної виборчої комісії на передані в центр дані. Незважаючи на те, що дані про хід і результати голосування, які обробляються в ІАС «Вибори», є попередніми і не мають юридичної сили (як відомо, підсумки виборів в Україні встановлюються за результатами обробки паперових протоколів з ​​«мокрими» печатками та підписами), ця міра була покликана значно знизити можливість маніпуляцій за рахунок підтвердження авторства введеного в систему протоколу.

Особливістю системи зразка 2006 року була досить низька пропускна здатність телефонного каналу, що призвело до необхідності формувати в територіальних комісіях власні бази даних, з яких потім і здійснювалася реплікація в центральну базу. Це, в свою чергу, ускладнювало структуру системи, вимагало великих зусиль з оновлення програмних комплексів на рівні округів, їх адміністрування та підтримки. Значною була і пікове навантаження на сервер доступу ЦВК у період активної передачі даних (як правило, це ніч і ранок наступного дня після виборів).

Злагодженість дій розробника, фахівців ЦВК, а також співробітників тодішнього Департаменту спеціальних телекомунікаційних систем та захисту інформації СБУ, забезпечили надійну роботу системи, незважаючи на те, що в період функціонування на зовнішню її частину (веб-сайт ЦВК) було відображено більше 30000 атак.

У такий же, хоч і трохи оновленою, конфігурації ІАС "Вибори народних депутатів України» відпрацювала і на позачергових виборах 2007 року. На парламентських виборах 2012 року, очевидно, стара система працювати вже не могла. Тому була маса причин, одна з яких досить банальна - не так і просто в наш час знайти одночасно близько 500 dial-up-модемів. До того ж, проник практично всюди широкосмуговий доступ дозволяв організувати досить широкі канали передачі даних у всіх комісіях. При цьому відпадала необхідність у підтримці локальних баз даних в округах, що надавало можливість, у свою чергу, створити централізовану систему на основі веб-технологій.

Завдання захисту інформації також значно зазнали змін, оскільки новий закон про вибори передбачав обробку в системі маси різних персональних даних. Відповідно до вимог Закону України «Про захист персональних даних» необхідно було забезпечити конфіденційність цієї інформації в процесі її передачі по каналах зв'язку. Зазвичай це завдання вирішується шляхом організації VPN-тунелів, проте в рамках комплексної системи захисту інформації потрібно використання пройшли державну експертизу засобів криптографічного захисту, що базуються на стандарті шифрування ДСТУ ГОСТ 28147: 2009. Таке рішення було знайдено на базі VPN-клієнта компанії Cisco Systems, що дозволило зробити підсистему криптографічного захисту гнучку,, недорогий, а також простий у розгортанні та управлінні. Це перша новинка, оскільки подібне рішення з вітчизняною криптографією досі в Україні не впроваджувалося. Для підтримки такої мережевої інфраструктури з класичною топологією «зірка» в центрі потрібно було встановити високопродуктивний і відмовостійкий VPN-шлюз. В якості такого знову вперше виступила уніфікована обчислювальна платформа Cisco UCS, знову-таки з минулим експертизу програмним забезпеченням криптографічного захисту інформації.

Отже, забезпечивши конфіденційність і цілісність переданої по каналах зв'язку інформації, необхідно було також передбачити захист від цілого ряду загроз в ЦВК і окружних виборчих комісіях. Для початку потрібно персоніфікувати операторів системи (через використання VPN-тунелів впровадження електронного цифрового підпису було визнано недоцільним). З цією метою аутентифікацію в домені Active Directory, який був розгорнутий в системі, було вирішено здійснювати за допомогою сертифікатів. Такі сертифікати були записані на захищені носії (токени) і роздані адміністраторам окружних комісій під час централізованого навчання. Таким чином, повернувшись з Києва і розгорнувши операційні системи та прикладне програмне забезпечення зі спеціально підготовлених уніфікованих образів, адміністратори та оператори ІАС "Вибори народних депутатів України» мали можливість працювати в системі тільки з персональним ключем. Подальшу аутентифікацію вони проходили вже в веб-браузері на основній сторінці системи. В рамках прикладної веб-системи, поряд з операційною системою, було реалізовано і розмежування повноважень. Використання Active Directory дозволило також запровадити єдині політики безпеки на всіх робочих станціях системи (більше 700 робочих станцій по всій Україні).

Серйозну увагу також було приділено побудові багаторівневої системи антивірусного захисту. На робочих станціях в окружних виборчих комісіях було розгорнуто минуле державну експертизу рішення Dr.Web Desktop Security Suite 6.0. При цьому було забезпечено централізоване управління, установка оновлень, впровадження єдиних політик захисту від шкідливого коду, контроль додатків і портів введення-виведення. Захист внутрішнього поштового сервера також забезпечувалася за допомогою продукту компанії Dr.Web. У Центральній виборчій комісії як компонентів захисту робочих станцій, серверів, поштового та веб-шлюзів відмінно зарекомендували себе продукти Лабораторії Касперського. Втім, найбільш критичним з точки зору функціонування системи «Вибори» ресурсом є спеціалізовані сервера додатків і баз даних, тому стандартного антивірусного рішення для їх захисту було недостатньо - потрібно було забезпечити контроль з'єднань, захист від вторгнень і атак типу «відмова в обслуговуванні». З цією метою на основні сервера системи було встановлено рішення Symantec Critical System Protection. Як виявилося, описані заходи були цілком виправдані: з моменту введення ІАС в експлуатацію до її завершення після оголошення офіційних результатів виборів було зафіксовано більше 12 тисяч випадків виявлення шкідливого коду, при цьому більше 100 зразків вірусів були унікальними.

Захист центральної підсистеми від мережевих атак була реалізована за допомогою міжмережевих екранів і системи запобігання вторгнень від компанії Cisco Systems. Для функціонування серверної ферми був створений виділений мережевий сегмент, вхідні і вихідні потоки даних в якому контролювалися відповідними засобами мережевого захисту.

Очевидно, що сукупність різноманітних систем і продуктів забезпечення безпеки інформації повинна бути керованою, при цьому надаючи можливість отримувати оперативну та об'єктивну картину стану захищеності ІАС "Вибори народних депутатів України». Інформація про події безпеки повинна бути наочною, що дозволяло б правильно оцінити обстановку в разі інциденту і вжити своєчасних заходів. Для виконання цих завдань було створено робоче місце адміністратора безпеки, основою якого була консоль системи управління подіями інформаційної безпеки QRadar - також одне з перших промислових впроваджень в Україні.Даний продукт дозволяв централізовано агрегувати події від різних компонентів комплексної системи захисту інформації: програмного забезпечення антивірусного захисту, міжмережевих екранів, систем запобігання вторгнень, шлюзів безпеки, операційних систем і т.д. Потужні механізми кореляції подій дозволяли виділити найбільш значущі, розпізнати атаку на ранній стадії і своєчасно їй запобігти. При тому, що за час роботи системи було зафіксовано близько 25 млн. Подій безпеки загальним обсягом більше 2 Тб, кореляційний функціонал був просто необхідним.

Таким чином, була сформована підсистема безпеки внутрішнього сегмента ІАС. Втім, одним з основних завдань функціонування ІАС є відображення даних про явку та результати голосування в залі засідань ЦВК і на офіційному веб-сайті.Останній являє собою відмінну мішень для різного роду зловмисників, адже виведення з ладу веб-сайту ЦВК в момент виборів може служити грунтом для цілого ряду інсинуацій і провокацій. У день голосування і наступний до оголошення попередніх результатів проміжок часу сайт є досить популярним ресурсом (5,5 млн. Відвідувань з 27 жовтня по 12 листопада 2012 року), що само по собі може відбитися на його працездатності. Тому на період підрахунку голосів головний веб-сервер ЦВК ховається від зовнішнього світу, а дані виводяться на так звані «дзеркала» - копії основного веб-сайту, розміщення в захищених дата-центрах різних Інтернет-провайдерів. Крім використання їх можливостей для відображення DDoS-атак, самі операційні системи та веб-сервера «дзеркал» були сконфігуровані таким чином, щоб виключити будь-яку можливість перехоплення управління серверами і спотворення контенту. У стаціонарному ж режимі для захисту веб-сайту ЦВК від подібного роду атак була впроваджена чергова новинка для України - сервіс від Лабораторії Касперського Kaspersky DDoS Prevention.

Як було зазначено раніше, розгортання описаних систем безпеки здійснювалося в рамках створення комплексної системи захисту інформації, проходження державної експертизи якій і отримання атестата відповідності було необхідною умовою для введення ІАС "Вибори народних депутатів України» в промислову експлуатацію. Ця діяльність передбачала розробку і узгодження в Держспецзв'язку технічного завдання на КСЗІ, технічного проекту та експлуатаційної документації, набору інструкцій операторів та адміністраторів в частині забезпечення захисту інформації. Після проведення попередніх випробувань КСЗІ була передана на державну експертизу, в процесі якої експерти перевірили відповідність системи технічним завданням, працездатність механізмів захисту інформації. Захищеність програмно-апаратних комплексів ІАС рівня окружних виборчих комісій була перевірена силами інспекторів Держспецзв'язку, які побували з цією метою у всіх 225 округах. Тільки після їх підтвердження ЦВК приймала рішення про включення тих чи інших вузлів до складу ІАС і їх роботі в день виборів і при подальшому підрахунку голосів. Фахівці Держспецзв'язку також здійснювали спостереження за роботою систем і запобігання атак на «дзеркала» веб-сайту ЦВК (тільки протягом дня голосування їх було зафіксовано більше 2300).

У такий же, хоч і трохи оновленою, конфігурації ІАС "Вибори народних депутатів України» відпрацювала і на позачергових виборах 2014 року. Завдяки невеликій кількості змін у системі та навчанні, яке пройшли системні адміністратори ОВК, система відпрацювала в цілому добре.

 

Список використаної літератури

1.      Про затвердження Вимог до програмно-технічного комплексу інформаційно-аналітичної системи "Вибори народних депутатів України" окружної виборчої комісії з виборів народних депутатів України: Постанова ЦВК від 03.09.2014 р. // Центрвиборчком. – 2014. – № 835.

 

Вы здесь: Home Доклады конференции Список докладов III конференции (2015 г.) Базаров Д.А. ІАС «Вибори народних депутатів України» модернізація та стан системи на 2014 рік