Ogólnopolskie wyniki głosowania zliczane są przez system informatyczny WOW (Wsparcie Organów Wyborczych). A co, jeśli ktoś zaatakuje WOW i system poda błędne wyniki? Środków zaradczych nie ma, chociaż można by je łatwo wprowadzić. Obserwatorium Wyborcze po raz drugi pisze o tym do Państwowej Komisji wyborczej (pierwsze pismo było w roku 2023).
Oto pismo Obserwatorium Wyborczego do Krajowego Biura Wyborczego, wysłane pocztą elektroniczną 9.04.2025:
Szanowni Państwo,
Pragnę zwrócił Państwa uwagę na poważny problem dotyczący bezpieczeństwa informatycznego wyborów, a mianowicie na ryzyko, że wyniki głosowania w poszczególnych lokalach zostaną sfałszowane na skutek ingerencji w WOW.
Pisałem już o tym w dniu 7 lipca 2023 r. W odpowiedzi pan Bartosz Malangiewicz, dyrektor Zespołu Informatyki, napisał, że moje „spostrzeżenia i sugestie zostały poddane trwającym jeszcze gruntownym analizom” (e-mail z 21.07.2023, ZI.053.17.2023). Niestety jednak te analizy nie doprowadziły do rozwiązania problemu, dlatego też piszę w tej sprawie ponownie.
Poniższy opis problemu stanowi jdest podobny do tego, który był zawarty w mojej wiadomości z 7.07.2023. Problem opisuję w kontekście wyborów prezydenckich. Skupiam się na przypadku typowym, dotyczącym ogromnej wiekszości obwodowych komisji wyborczych, a mianowicie na przypadku, w którym komisja obwodowa ma dostęp do komputera, korzysta w pełni z WOW i z połączenia internetowego. W takim przypadku protokół komisji obwodowej tworzony jest komputerowo, w ramach WOW, w dwóch formach:
- protokół jest drukowany (następnie członkowie komisji podpisują wydruk)
- protokół jest przesyłany do systemu komputerowego KBW i stąd jest widziany przez komisje nadrzędne (komisję okręgową lub, w przypadku wyborów samorządowych, gminną, powiatową, wojewódzką), które na tej podstawie robią zestawienia, a w końcu ogłaszają wyniki głosowania, na podstawie których ogłaszane są wyniki wyborów.
Członkowie obwodowej komisji wyborczej mają obowiązek dokładnie przeczytać i sprawdzić wydrukowany protokół. Swoimi podpisami zaświadczają, że to zrobili. Natomiast członkowie komisji nie widzą tego, co jest wysyłane do systemu KBW, a następnie do komisji nadrzędnych – to jest ukryte w komputerze.
Według wytycznych dla komisji okręgowych, które PKW wydaje z okazji każdych kolejnych wyborów, komisja okręgowa, która otrzymuje i sprawdza protokół sporządzony przez komisję obwodową, ma obowiązek sprawdzić, czy symbol kontrolny znajdujący sie na protokole papierowym podpisanym przez członków komisji obwodowej jest taki sam, jak symbol kontrolny, który towarzyszy protokołowi w wersji komputerowej dostarczonej do KBW. Komisja nadrzędna nie ma natomiast obowiązku dokładnie porównywać protokołu papierowego z tym, który jest w komputerze. Komisja nie sprawdza, czy obie wersje protokołu zawierają te same liczby.
Dla ścisłości: w myśl uchwał, które PKW wydawała w zawiązku z wyborami z ostatnich lat, w szczególności w myśl uchwał nr 63/2023 i 111/2023, „wykorzystanie techniki elektronicznej […] nie zastępuje […] konieczności porównania przez okręgowe komisje wyborcze danych zawartych w systemie teleinformatycznym z dostarczonymi protokołami głosowania w obwodzie”. Jednak, jak wynika to z obserwacji Obserwatorium Wyborczego, w tym punkcie te uchwały nie są w praktyce wykonywane. Najprawdopodobniej wynika to z tego, że wytyczne dla okręgowych komisji wyborczych przeczą tym uchwałom.
Mamy więc taką sytuację: z jednej strony są papierowe wersje protokołów, które zostały sprawdzone i podpisane przez członków obwodowych komisji wyborczych, a z drugiej – protokoły w wersji elektronicznej, w systemie komputerowym, które służą do obliczenia wyników głosowanie. Nikt nie sprawdza, czy wersje elektroniczne i papierowe mają taką samą treść.
Jeżeli WOW działa prawidłowo, to papierowe i elektroniczne wersje protokołów mają taką samą treść, są identyczne. A więc to, czego nie sprawdza człowiek, w automatyczny sposób prawidłowo robione jest przez komputery.
Istnieje jednak wiele sposobów na zaatakowanie WOW tak, aby umyślnie spowodować błędy i aby to, co w komputerze, róźniło się od tego, co na papierze.
Złoczyńcy mogą oczywiście atakować tę część WOW, która działa na serwerach KBW. Rozumiem, że KBW zabezpiecza swoje serwery, jednak bezpieczeństwo absolutne nie istnieje w informatyce, atak na system (w tym taki atak, który będzie zmieniał treść protokołów) zawsze będzie możliwy. Dobre zabezpieczenie systemu może go utrudnić, ale nie może go uniemożliwić.
Ale system WOW zawiera również komputery, które znajdują się w komisjach obwodowych. Te komputery nie są zarządzane przez KBW, one na codzień służą szkołom lub innym jednostkom budżetowym. Tu wysoki poziom bezpieczeństwa w ogóle nie jest możliwy do uzyskania (nie ma sposobu, żeby zabezpieczyć takie komputery przed wykonywaniem oprogramowania, które będzie wyglądać jak WOW, ale będzie pochodziło od złoczyńców i będzie działać nieco inaczej, a mianowicie drukować protokoły różniące się od tego, co wysyłane jest elektronicznie do KBW).
Ważnym elementem całego systemu są również drukarki komisji obwodowych. Nawet jeżeli WOW działa prawidłowo zarówno na serwerach KBW, jak i na komputerze komisji obwodowej, to wystarczy zhakowac drukarkę, żeby drukowała inną treść protokołu niż ta, która znajduje się w WOW i jest wysyłana do KBW. Taki atak na drukarkę byłby trudny do wykonania, ale możliwy do wykonania dla dobrej ekipy informatyków, na przykład działającej na zlecenie państwa wrogiego Polsce.
Trzeba podkreślić, że oszuści zdolni do atakowania WOW, to mogą być bardzo różne osoby, działające w róźnych celach. To mogą być pracownicy KBW (w tym informatycy) lub osoby z zewnątrz (wzmiankując pracowników KBW, bynajmniej nie chcę rzucać cienia na wiarygodność tej instytucji; jednak powszechnie znana jest praiwdłowość, zgodnie z którą ataki na bezpieczeństwo inrformatyczne rozmaitych instytucji i firm często są pochodenia wewnętrznego, chociażby dlatego, że osoby pracujące w danej instytucji mają wiedzę o systemach i dostęp do nich, skutkiem czego przeprowadzenie ataku jest dla takich osób stosunkowo łatwe).
Osoby, które mogłyby zaatakować bezpieczeństwo WOW, to mogą być Polacy lub cudzoziemcy, np. świetni specjaliści działający za granicą (poza zasięgiem polskich organów ścigania) na zamówienie państwa wrogiego Polsce. Celem ataku niekoniecznie musi być sfałszowanie wyborów (poprawienie wyników konkretnego kandydata). Może tu chodzić, szczególnie ze strony obcego państwa, o dyskredytację demokracji w Polsce przez wprowadzenie takich błędów i takiego bałaganu, że ludzie zaczną masowo wątpić w wyniki wyborów. Przypomnijmy, że wybory samorządowe w roku 2014 poskutkowały taką właśnie dyskredytacją: wyniki zostały co prawda ogłoszone prawidłowo i uczciwie, ale ich ogłoszeniu towarzyszyły opóźnienia, błędy i zamieszanie, wskutek których niemało osób do dziś tym wynikom nie ufa.
Proponuję trzy następujące ulepszenia systemu, które zmniejszą ryzyko wynikające z ewentualnych ataków na WOW i przyspieszą korygowanie błędów (a gdyby doszło do sytuacji ekstremalnej – przyspieszą decyzję o przejściu na całkowicie ręczne obliczanie wyników; gdyby do tego doszło, to im szybciej, tym lepiej).
- Proponuję, aby protokoły z poszczególnych komisji obwodowych były publikowane jak najszybciej w internecie, jednocześnie w dwóch formach: w formie łatwo czytelnej dla niespecjalistów i w ustalonych formacie do obróbki informatycznej. Gdy dany protokół komisji obwodowej zostanie zatwierdzony przez komisję okręgową, ten fakt powinien zostać opublikowany, ale sam protokół powinien być opublikowany jeszcze przed zatwierdzeniem.
[Obecna praktyka: protokoły komisji obwodowych są publikowane dopiero po ich zatwierdzeniu przez komisję okręgową.]
- Proponuję, aby nic, co opublikowano (protokoły oraz fakty ich dotyczące, w szczególności zatwierdzenie przez komisję okręgową), nie było usuwane. Na przykład: jeśli dojdzie do publikacji błędnego protokołu, to potem można dodać informację, że protokół jest błędny, (komisja obwodowa zorientowała się, że jest błędny, lub komisja okręgowa go odrzuciła), ale nie można usunąć publikacji tego protokołu. Jeśli dana komisja obwodowa musi, z powodu błędów, wprowadzić kilka kolejnych wersji protokołu, to wszystkie te wersje są opublikowane (wraz z informacją, które zostały uznane za błędne) i nie znikają.
- Proponuję, aby porównywanie tego, co jest publikowane drogą informatyczną przez KBW, z protokołem papierowym, stało się obowiązkiem każdego członka danej komisji obwodowej.
Te propozycje przyspieszą i ułatwią wszystkim obywatelom porównywanie protokołów w systemie WOW z protokołami papierowymi (które są w rękach członków komisji, mężów zaufania i obserwatorów, które są też wywieszone). Będzie można porównać to, co w systemie, z protokołem papierowym natychmiast po zakończeniu pracy komisji obwodowej (dziś takie porównanie jest możliwe dopiero po zatwierdzeniu protokołu przez komisję okręgową – a więc z kilkugodzinnym opóźnieniem).
Zasada nieusuwania opublikowanych danych ułatwi wszystkim zainteresowanym sprawdzanie, czy nie są wprowadzane nieuprawnione zmiany w danych już znajdujących się na serwerach KBW (odpowiednio sprytny atak na serwery KBW mógłby polegać na wprowadzaniu takich zmian z opóźnieniem, kiedy zgodność danych w systemie z protokołami papierowymi została już ręcznie sprawdzona). Dziś, skoro nie ma absolutnej zasady nieusuwania tego, co już opublikowane, osoba obserwująca strony KBW nie może w łatwy sposób ocenić, czy zmiana opublikowanych informacji jest efektem ataku na system czy też zgodnego z prawem działąnia organów wyborczych, które poprawiają błędy.
Dziś członek komisji ma jedynie obowiązek dokładnie sprawdzić protokół papierowy (a więc tę wersję protokołu, która nie jest potem do niczego używana) i nie sprawdza wersji elektronicznej na serwerach KBW – a więc tej, która jest faktycznie używana. Tę ostatnią czynność wykonują dziś za darmo wolontariusze, którzy nie mają nic wspólnego z administrcją wyborczą. Robią to jednak w sposób niekompletny (wolontariuszy jest bardzo mało) i nikt dokładnie nie wie, które protokoły w wersji komputerowej zostały przez kogoś sprawdzone, a które opierają swoją wiarygodność wyłącznie na założeniu, że WOW (w tym komuptery, a nawet drukarki znajdujące się w wiejskich szkołach) działa perfekcyjnie.
Członkowie komisji powinni być zobowiązani do wykonania tej pracy, tak aby wiarygodność danych w posiadaniu KBW nie opierała się jedynie na ślepiej wierze w doskonałość WOW. Ewentualna praca wolontariuszy powinna być istotnym dodatkowym zabezpieczeniem systemu przed nieuprawnionymi ingerencjami.
Odsyłam do sprawozdania z przedterminowych wyborów prezydenta Rudy Śląskiej, które było podstawą niniejszej wiadomości i w którym opisałem dodatkowe aspekty problemów wyjaśnionych powyżej: https://ow.org.pl/wp-content/uploads/2022/09/sprawozdanie-ruda-slaska-bezpieczenstwo.pdf
Z wyrazami szacunku,
Marcin Skubiszewski