volitve

So internet volitve varne?

Razpis volitev v čas šolskih počitnic je zopet obudil debato o e-volitvah, bolj natančno: o volitvah preko interneta. O tem sem že pisal že dve leti nazaj in tam opisal različne pomisleke, ki jih imam ob vpeljavi internet volitev “na horuk”. Poskusimo tokrat v obliki pogostih trditev oz. vprašanj in odgovorov.

Baje tehnoloških in varnostnih vprašanj ni več?

To ne drži. Strokovnjaki s področja informacijske varnosti smo običajno zadržani pri vprašanju volitev preko interneta, saj vidimo pri realizaciji kar nekaj problemov. Večino razlogov za to zadržanost sem opisal v prispevku “Bodo volitve anonimne ali Anonymousove?”

Kaj ni to kot e-bančništvo, ki ga uporabljamo brez problemov?

Paralela med internet banko in internet volitvami ni ravno prava. Banke lahko vračunajo pričakovane izgube zaradi zlorab e-bančništva in zakon recimo določa pri nakupih preko interneta zgornjo mejo, za katero odgovarja kupec (150 EUR pri nas), ostalo mora pokriti banka (poenostavljam). To kaže, da zlorabe so in da je na njih treba računati. Kako jih bomo vračunali v volilni izid?

Ampak Estonci jih imajo že nekaj let!

Res je, vendar so trenutno izjema in ne pravilo. Protiargument je recimo, da večina informacijsko razvitih držav še nima internet volitev, nekatere pa so pilotske projekte uvajanja celo ukinile zaradi problemov (glej Wikipedia: Electronic voting examples, recimo primeri Nemčije in Nizozemske). Če torej kot argument vzamemo eno državo, potem velja tudi protiargument drugih držav, ali ne?

Programerji si estonsko kodo za njihov volilni strežnik lahko ogledate na GitHubu.

Kaj ne bi internet volitve rešile trenutnega problema poletnih volitev?

Udeležba bi bila sigurno višja, v to ne dvomim. In tudi veliko bolj praktično bi bilo! Vseeno pa ni tako enostavno – za začetek bi morali vsem državljanom razdeliti digitalna potrdila (certifikate). Estonci imajo te shranjene na čipu osebne izkaznice, pri nas smo imeli podobne ideje na prelomu tisočletja, pa so se ustavile (ve kdo, zakaj?).

Letos je itak prepozno tudi zato, ker bi morali spremeniti vsaj kakšen zakon.

Vi infosec ljudje ste malo čudni in povsod vidite probleme.

Mislim, da ne gre za to. Če je vprašanje, ali so problemi varnosti internet volitev rešeni, potem je strokovno utemeljen odgovor: ne. Če pa je vprašanje, ali si želimo internet volitev in bomo vzpostaviti učinkovite mehanizme za upravljanje tveganj, ki so s tem povezana, potem pa to ni samo vprašanje tehnologije in njene varnosti, ampak najprej stvar odločitve družbe oz. politike. Napačno pa je negirati strokovno argumentirano mnenje zaradi tega, ker moti izid, ki si ga želimo. Da ponazorim:

A: Poglej, ti si strokovnjak za to: ali zadevo uvedemo?
B: Ne, raje ne.
A: Hm. No, vseeno mislim, da bi jo uvedli.

Proti argumentu “to je vse čisto res, ampak jaz še vedno mislim drugače” se je nemogoče boriti, saj ni racionalen. Govori o tem, kaj si nekdo želi, da bi bilo res ne glede na dejansko stanje (in je pravzaprav zanikanje realnosti).

Ampak internet volitve so napredne in praktične!

Že mogoče in zna biti, da bomo nekoč vsi volili na daljavo. Obstajajo tudi bolj načelni zadržki, ki jih je zelo dobro opisal Žiga Dolhar v zapisu “Tajnost in svoboda volitev v dobi informatizacije” in te je prav upoštevati pri odločitvah. Napačno pa je, da se vedno skuša vpeljati internet volitve zaradi trenutnih političnih točk nekoga ali zaradi svojevrstne zapletene situacije, ki si jo skuhamo sami. Dolgoročen projekt e-participacije na različne načine bi sigurno osvetlil vrsto nerešenih vprašanj tudi pri volitvah v Državni zbor in morda celo našel kakšno rešitev.

 

Bodo internet volitve anonimne ali Anonymousove?

O volitvah preko interneta govorimo že nekaj let. Pri nas so se prve pobude pojavile leta 2003, potem je ideja prišla na plano spet kakšno leto pred državnozborskimi volitvami leta 2008. Volitve se običajno postavi ob bok e-bančništvu in drugim naprednim storitvam e-uprave, s prstom pa se pokaže na Estonijo, kot na vzor, kjer volitve preko interneta opravljajo že nekaj let.

V enem od prvih intervjujev je novoimenovani glasnik digitalne tehnologije Aleš Špetič povedal, da ne vidi razloga, da ne bi “katerih koli naslednjih volitev že opravili [v] e-obliki”. Zlorabe in poneverbe se mu zdijo tehnično težje izvedljive pri e-volitvah, kot pri klasičnih. Sam nisem tako prepričan.

Kadar govorimo o e-volitvah, imamo lahko v mislih eno od dveh možnosti: da opravimo volitve na voliščih s pomočjo elektronskih naprav, ali pa da volitve opravljamo na daljavo, kar iz domačega računalnika. Prve omogočajo strojno štetje glasov in so povzročile tudi nekaj kontroverznosti v ZDA od leta 2000 dalje (med drugim je Al Gore dobil -16.022 glasov, v občinskih volitvah leta 2003 v Boone County pa je bilo zabeleženo 140.000 glasov, čeprav tam živi vsega skupaj 50.000 ljudi). Elektronske naprave in programska oprema vsebuje različne napake (buge), to je izkusil že vsak od nas. Vendar pa bi rad pogledal bolj zanimive volitve: tiste preko interneta.

Eden od pogosto uporabljenih argumentov za internetne volitve je naslednji: če lahko preko interneta opravljamo finančne transakcije, lahko verjetno postavimo dovolj varen sistem tudi za volitve preko omrežja. Vendar pa je e-bančništvo že nekaj let stalna tarča organiziranega kriminala, ki najema hekerje za izdelavo vedno bolj naprednih virusov in trojancev. ZeuS in SpyEye se vmestita med banko in vaš brskalnik (ali kar vanj), ter prestrezata podatke o transakcijah, jih spreminjata “v letu” in preusmerjata denar, žrtvi pa v brskalniku kažeta, da je vse v redu. Takšnim napadom se ne izognemo s certifikatom, pametno kartico, digitalnim podpisom in šifriranjem komunikacije. Žal to ni dovolj, prav to jasno vidimo na primeru e-bančništva.

Čeprav imamo zrelo protivirusno industrijo, ki nudi tehnično zaščito pred okužbami z zlonamerno kodo, je več milijonov uporabnikov po svetu vseeno okuženih. Iz tega lahko izpeljemo sklep: če je nekaj tehnično možno, to še ne pomeni nujno tudi v praksi, da bo stanje najboljše od možnih.

Kot piše Bruce Schneier (verjetno najbolj znana osebnost s področja kriptografije in informacijske varnosti) je tudi pomembna razlika med finančnimi transakcijami in volitvami preko interneta. Tveganje pri prvih lahko “vračunamo” v sistem in ob zlorabah prekinemo ali storniramo transakcije. Proti škodi se lahko zavarujemo in oškodovancem se škoda lahko povrne preko različnih mehanizmov. Ko pride do zlorabe pri volitvah pa mogoče ne vemo več, kdo je kako volil. Volitve morajo volilcu omogočati anonimnost, zato moramo podatek o njem v nekem koraku zavreči. Od takrat naprej ne moremo več popraviti določenih zlorab. Izkušnje iz e-bančništva nam spet kažejo napredne napade, ki jih žrtev ne opazi, dokler ne ugotovi, da ni več denarja na računu (čeprav mu računalnik kaže, da še je). Pri volitvah pa te povratne informacije običajno ni. Ko oddamo glas za enega od kandidatov, ne dobimo potrdila o komu smo glasovali.

Marsikaterega od naštetih problemov verjetno lahko delno rešimo z zapleteno tehnično rešitvijo (Estonija je uporabila nekaj pragmatičnih prijemov), a z večanjem kompleksnosti sistema e-volitev nujno večamo tudi možnost napak. Vendar pa to niti ni tisto, kar me najbolj skrbi.

Po podatkih, ko smo jih zbrali na SI-CERT je trenutno vsaj 5.000-6.000 računalnikov v Sloveniji okuženih z DNSchanger virusom. Vsaj v toliko primerih tehnična zaščita ni pomagala. Kaj bi na naših volitvah pomenilo do 6.000 spremenjenih glasov? Koliko verjetno je, da bi nekdo res skonstruiral virus, ki bi bil namenjen spreminjanju glasov pri internet glasovanju in ga z enako uspešnostjo razširil med slovenske uporabnike? Pojma nimam.

Schneier pa opozori še na nekaj: kaj če se po volitvah javi nekdo in oznani, da je z vdorom spremenil izid volitev v prid eni stranki ali kandidatu. Predstavljajmo si recimo, da to oznani Anonymous. Kako bomo lahko dokazali, da se to ni zgodilo?

Pravo streznitev pa lahko ponudi primer v ZDA leta 2010. Pilotni projekt v Washingtonu D.C. je bil namenjen glasovanju preko spleta. Pred vpeljavo so uprizorili igrane volitve in pozvali k testiranju varnosti sistema. Skupine iz Univerze v Michiganu je uspela:

“… v 48 urah pridobiti skoraj popolni nadzor nad volilnim strežnikom. Uspeli smo spremeniti vse oddane glasove in razkriti vse tajne glasovnice. Volilni odbor ni odkril vdora vsaj dva delovna dneva – in bi morda tako ostalo, če ne bi nalašč pustili za seboj jasnega namiga.”

V 48 urah. Prof. Halderman, ki je vodil to “operacijo”, še dandanes dvomi v smiselnost volitev preko interneta.

Seveda pa bo na koncu vse odvisno od tega, kako bomo ocenili tveganje zlorab naproti prednostim. To odločitev bo naredila politika. Nekaj držav se je s tem že ubadalo. Koliko se bomo pri tem ukvarjali z možnimi odstopanji, napakami in zlorabami, ter predvideli ustrezne reakcije nanje? So internetne volitve res tisti ključni moment, ki bo s svojo enostavnostjo prepričal tudi popolnoma nezainteresirani del volilnega telesa, da končno odda svoj glas? Ali bo pa rezultat le, da bo potem politično zainteresirani fotr prepričal popolnoma indiferentne otroke in ženo, da lahko končno glasuje kar še v njihovem imenu? Ali pa nam je za to vseeno?

Na koncu pa še bistveno: ali so elektronske/internetne volitve res tisto, kar je v tem trenutku ključnega pomena za našo državo in je nujno treba uvesti čimprej, čeprav bo drago? No, tudi ta odločitev je stvar politike.

Dodano 30. 5. 2012: Žiga Dolhar v svojem prispevku “Tajnost in svoboda volitev v dobi informatizacije” sijajno obdela internetne volitve s pravne plati. Osredotoči se na tajnost in svododo volitev. Po mojem mnenju obvezno čtivo, s katerim bi moral začeti vsak, ki se bo lotil implementacije volitev po internetu.

Dodano 24. 6. 2013: Internet volitve so spet na dnevnem redu, v vmesnem času pa sem svoje argumente tudi predstavil na konferenci e-demokracija 2012, na voljo je video posnetek.