Bezpieczeństwo systemów do głosowania online - na co zwrócić uwagę

Bezpieczeństwo głosowania online to fundament zaufania do Budżetu Obywatelskiego. Jeden incydent może podważyć lata budowania partycypacji. Na co zwrócić uwagę wybierając i wdrażając system do BO?

Trzy filary bezpieczeństwa BO

1. Poufność

Dane głosujących są chronione przed nieuprawnionym dostępem.

2. Integralność

Głosy nie mogą być zmienione ani usunięte po oddaniu.

3. Dostępność

System działa stabilnie przez cały okres głosowania.

Weryfikacja tożsamości

Metody weryfikacji

Metoda	Bezpieczeństwo	Wygoda	Rekomendacja
PESEL + kod SMS	Wysokie	Wysoka	✅ Standard
Profil Zaufany	Bardzo wysokie	Średnia	✅ Dla zaawansowanych
mObywatel	Bardzo wysokie	Wysoka	✅ Przyszłość
Tylko email	Niskie	Bardzo wysoka	❌ Nie rekomendowane

Dwuetapowa weryfikacja (2FA)

Minimum dla bezpiecznego systemu:

1. Coś, co wiesz (PESEL, login)
2. Coś, co masz (telefon - kod SMS)

Ochrona przed nadużyciami

Wielokrotne głosowanie

• Blokada na poziomie PESEL
• Jeden głos = jeden mieszkaniec
• Logi wszystkich prób głosowania

Ataki automatyczne

• CAPTCHA przy podejrzanej aktywności
• Rate limiting (limit prób na IP)
• Wykrywanie botów

Manipulacja danymi

• Szyfrowanie end-to-end
• Podpisy cyfrowe na głosach
• Niemodyfikowalny audit log

Infrastruktura techniczna

Hosting

• Serwery w Polsce (wymóg RODO)
• Redundancja (minimum 2 lokalizacje)
• Backup w czasie rzeczywistym

Szyfrowanie

• HTTPS (TLS 1.3)
• Szyfrowanie danych w spoczynku (AES-256)
• Bezpieczne przechowywanie kluczy

Monitoring

• Wykrywanie anomalii 24/7
• Alerty o podejrzanej aktywności
• Automatyczne blokowanie ataków

Certyfikaty i audyty

Certyfikaty do wymagania:

• ISO 27001 - zarządzanie bezpieczeństwem informacji
• SOC 2 - kontrole bezpieczeństwa usług chmurowych
• Zgodność z RODO - ochrona danych osobowych

Audyty:

• Testy penetracyjne przed każdą edycją BO
• Audyt kodu źródłowego
• Przegląd polityk bezpieczeństwa

Checklist bezpieczeństwa

Przed wyborem dostawcy:

• Certyfikaty bezpieczeństwa
• Historia incydentów
• Lokalizacja serwerów
• Polityka backup
• SLA (dostępność)

Przed startem głosowania:

• Testy obciążeniowe
• Testy penetracyjne
• Procedury awaryjne
• Szkolenie zespołu
• Komunikacja kryzysowa

W trakcie głosowania:

• Monitoring 24/7
• Dyżury techniczne
• Szybka ścieżka eskalacji
• Backup komunikacji (SMS)

Procedury awaryjne

Scenariusz: Atak DDoS

1. Automatyczne skalowanie infrastruktury
2. Aktywacja ochrony DDoS (Cloudflare)
3. Komunikat dla mieszkańców
4. Przedłużenie głosowania jeśli potrzeba

Scenariusz: Wyciek danych

1. Natychmiastowe zabezpieczenie systemu
2. Analiza zakresu incydentu
3. Powiadomienie UODO (72h)
4. Komunikacja z poszkodowanymi
5. Raport poincydentowy

Podsumowanie

Bezpieczny system BO to:

• Silna weryfikacja tożsamości (PESEL + SMS)
• Szyfrowanie wszystkich danych
• Certyfikaty i regularne audyty
• Procedury awaryjne

Poznaj zabezpieczenia ARDVote →

Powiązane artykuły

• RODO a Budżet Obywatelski - jak przetwarzać dane głosujących zgodnie z prawem

• Przeciążenie serwerów w dniu głosowania - jak się zabezpieczyć

• Integracja Budżetu Obywatelskiego z ePUAP i profilem zaufanym