Elektronske volitve v Sloveniji?

Sistem elektronskih oz. internetnih volitev sicer prinaša določene prednosti, vendar ne prinaša tako velike “dodane vrednosti”, da bi ga bilo smiselno hitro uvajati. Sistem elektronskih oz. internetnih volitev namreč prinaša številne težave in možne nevarnosti, ki jih je sicer mogoče odpraviti ali vsaj omiliti, vendar to zahteva sredstva, čas in strokovne napore.

Gradiva

dr. Matej Kovačič, Jožko Škrablin: Internetne volitve v Sloveniji? (predstavitev na posvetu o elektronskih volitvah na Fakulteti za družbene vede);
dr. Matej Kovačič, Jožko Škrablin: Problem internetnih volitev (razmislek o uvajanju internetnih volitvev v Sloveniji);
dr. Jozsef Gyorkos: Ali je spodobno, da dvomim? (objavljeno septembra 2007 na spletni strani Zares);
Varnostni problemi elektronskih volilnih naprav (konkretni primeri odkritih varnostnih ranljivosti pri elektronskih volilnih napravah).

Slovenija uvaja internetne volitve in ne elektronskih volitev

Elektronske volitve (e-volitve): volilci lahko glasujejo s pomočjo elektronske naprave (npr. računalnika z zaslonom občutljivim na dotik) na klasičnem volišču (lahko kateremkoli).
Internetne volitve (i-volitve): volilci lahko glasujejo preko interneta. Volilci obiščejo posebno volilno spletno stran, kjer se elektronsko identificirajo in oddajo svoj glas.

Ob vsem tudi ne smemo pozabiti, da nekateri deli slovenske volilne populacije (npr. starejši) praktično nimajo dostopa do interneta in sicer tako zaradi nezainteresiranosti, pomanjkanja finančnih sredstev ter pomanjkanja znanja. Ker je stopnja znanja pri uporabi bankomatov bistveno višja kot stopnja znanja pri uporabi internetnih tehnologij, lahko upravičeno domnevamo, da bi večina slovenske populacije lažje uporabljala elektronske naprave na voliščeih (e-volitve), kot oddaljeno glasovanje preko interneta (i-volitve). Avtorji Študije o izvedljivosti e-volitev s predlogi implementacije so tako leta 2004 zapisali, da predlagajo najprej uvedbo e-volitev ter bili mnenja, da razpoložljive tehnologije niso na nivoju, ki bi omogočal izvedbo internetnih volitev.

Kljub temu, da uvedba internetnih volitev predstavlja precejšnje varnostno tveganje, pa je iz stališča zagotavljanja informacijske varnosti problematična tudi izvedba elektronskih volitev. Na podstrani “Varnostni problemi elektronskih volilnih naprav” si lahko ogledate konkretne primere odkritih varnostnih ranljivosti pri elektronskih volilnih napravah.

Internetne volitve verjetno ne vplivajo na povečanje volilne udeležbe

Raziskav o povečanju volilne udeležbe zaradi uvedbe i-volitev praktično ni. Poročilo ženevskega kantona o elektronskih volitvah iz julija 2007 na strani 2 navaja podatek, da je bil v Švici odstotek i-volilcev med leti od 2002 do 2006 na osmih volitvah redno okrog 20%, med temi dvajsetimi odstotki pa je bilo med 5 do 10% takšnih volilcev, ki prej niso volili. To v celotni populaciji pomeni zgolj 1 do 2% povečano volilno udeležbo, kar je razmeroma malo.

V Estoniji, kjer ima glede na poročilo Internet voting in practice pametne kartice z digitalnim certifikatom okrog 90% volilcev (v Sloveniji je glede na poročilo Internet in slovenska država leta 2006 imelo digitalne certifikate le dobrih 36% aktivnih mesečnih uporabnikov interneta v starosti med 12 in 65 let), je leta 2007 preko interneta volilo le 3,4% vseh, ki so se udeležili volitev, volilna udeležba pa je bila še vedno manjša kot leta 1995. Podatkov iz ostalih držav ali kakšne obsežnejše študije na to temo ni.

Elektronske storitve in internetno glasovanje sta dva različna problema

Internetne volitve niso zgolj še ena e-storitev, pač pa gre pri i-volitvah za povsem drugačen varnostni problem, kot pri elektronskem poslovanju. Pri elektronskem poslovanju se varnost transakcij zagotavlja z zagotavljanjem istovetnosti in preverjanjem identitete. Pri internetnih volitvah to ni mogoče, saj morajo biti volitve tajne.

Znani ameriški strokovnjak za informacijsko varnost Bruce Schneier je v eseju Internet Voting vs. Large-Value e-Commerce zapisal: “Finančnim transakcijam so priložena imena: kdo dobi denar, kdo ga izgubi. Glasovnice nosijo le informacijo o prejemniku: celoten smisel tajne glasovnice je v tem, da se odstrani ime volilca. Zaradi tega je sistem veliko težje zaščititi pred zlorabo, veliko težje je ugotoviti zlorabo, če do nje pride in veliko težje je identificirati napadalca in ga zapreti”.

Pri uporabi informacijsko komunikacijske tehnologije za namene i-volitev gre za netipično uporabo te tehnologije, saj je ta tehnologija že v osnovi zasnovana tako, da beleži identifikacijske podatke. Poleg tega je Evropska unija leta 2006 sprejela Direktivo o obvezni hrambi prometnih podatkov, Slovenija pa je njene določbe že implementirala v Zakon o elektronskih komunikacijah (členi 107 do 107. e). Določbe o hrambi prometnih podatkov zmanjšujejo oz. onemogočajo anonimnost uporabnikov na internetu, kar pomeni, da je anonimnost volilcev preko interneta težje zagotoviti.

Varnost internetnega glasovanje je težje zagotoviti kot npr. varnost finančnih storitev

Problem pri zagotavljanju varnosti je tudi v različni pogostosti uporabe tehnologije za izvajanje finančnih transakcij ter elektronskih volitev. Schneier je leta 2004 v eseju Getting Out the Vote: Why is it so hard to run an honest election? zapisal: “Volilni sistemi so v uporabi redko, največ nekajkrat na leto. Sistemi, ki so v uporabi vsak dan se izboljšujejo, ker ljudje nanje postanejo navajeni, odkrijejo napake in se spomnijo izboljšav.”.

Sistem internetnega glasovanja predstavlja “eno točko zloma” (ang. “single point of failure”)

Sistem klasičnih volitev je “razpršen”, kar pomeni, da zaradi napak pri glasovanju ali namernega ponarejanja volilnih rezultatov v večjem obsegu pride težje, saj bi bilo potrebno ponarejati rezultate na velikem številu volišč, kar bi tudi vključevalo veliko ljudi.

Sistem internetnih volitev pa bi bil “centraliziran”, kar pomeni, da centralni del sistema (volilni strežniki) predstavlja eno samo možno “točko zloma”, na kateri lahko pade celoten sistem internetnih volitev (tim. “single point of failure”). Če bi torej kdo želel ponarejati volilne rezultate, bi to lahko storil na eni sami točki (in ne na množici volišč po vsej državi).

Sistem i-volitev ni transparenten

Za razumevanje “delovanja” klasične volilne skrinjice ni potrebno praktično nikakršno predznanje. Preverjanje ali volilna skrinjica ustreza varnostnim kriterijem je enostavno in razumljivo tudi za otroka.

Po drugi strani pa povprečen volilec, član volilnega odbora ali zaupnik na volišču nima ustreznega znanja za podrobno razumevanje delovanja sodobnih komunikacijsko informacijskih sistemov. Povprečen posameznik ni sposoben ugotoviti ali programska koda ter strojna oprema delujeta pravilno in pošteno, ali pa morda vsebujeta kakšne napake ali prikrite goljufive mehanizme. Ti sistemi so kompleksni, kar jim zmanjšuje transparentnost pa tudi samo varnost. Elektronski volilni sistem - tako zbiranje, kot tudi preštevanje glasovnic - je za povprečnega posameznika “črna škatla”.

Strokovnjakov, ki bi bili sposobni podrobno analizirati in razumeti delovanje tako strojne, kot tudi programske opreme za internetne volitve (vključno z operacijskim sistemom in aplikacijskim nivojem) je malo celo v svetovnem merilu.

Sistem internetnih volitev sam po sebi ne zagotavlja anonimnosti

Obstoj elektronskega volilnega imenika pomeni, da je mogoče sorazmerno lahko ugotoviti kdo izmed volilcev se je udeležil volitev in kdo ne. Nujno je torej potrebno izpostaviti vprašanje varstva osebnih podatkov v elektronskem volilnem imeniku.

Tajnost glasovanja naj bi v Sloveniji po estonskem zgledu zagotovili s sistemom tim. dvojnih “elektronskih ovojnic”. Glasovnico bi volilec najprej shranil v prvo, šifrirano “elektronsko ovojnico”, ta pa bi se “vstavila” v drugo, ki bi bila digitalno podpisana in bi vsebovala ime volilca in ustrezen časovni žig (s čimer je omogočeno, da se upošteva zadnji glas volilca, ki elektronsko voli večkrat).

Za samo ugotavljanje volilnega rezultata bi nato imeli dva strežnika. Na prvem bi preverili digitalne podpise volilcev, ki so oddali glasovnico (in preverili ali imajo volilno pravico ter izločili morebitne prejšnje glasovnice istega volilca), nato pa bi šifrirane glasovnice prenesli na ločen strežnik, kjer bi jih dešifrirali in ugotovili volilni rezultat. S tem bi se zabrisala informacija o tem kako je posamezen volilec volil, s čimer bi se zagotovila tajnost glasovanja.

Vendar pa sistem “dvojnih elektronskih ovojnic” sam po sebi ne zagotavlja anonimnosti. Tajnost glasovanja dosežemo z anonimizacijo glasovnic. To pomeni, da tajnost glasovanja ne zagotavlja več sistem kot tak, temveč jo zagotavlja zaupanje v posestnika šifrirnega ključa oziroma upravitelja informacijsko komunikacijskega sistema. S tem problem ni več tehničen, pač pa družben - gre za vprašanje zaupanja. Uporaba nove tehnologije odpira nove probleme, ki pa jih ne rešujemo s tehnologijo, pač pa z dodatnimi pravnimi in organizacijskimi pravili.

Pri internetnih volitvah volilcu ni zagotovljeno varno volilno okolje

Če volišče “preselimo” v dnevno sobo, odgovornost za zagotovitev varnega volilnega okolja država preloži na volilca.

Prvi vidik zadeva problem varnosti terminalne opreme uporabnika. Država bo sicer lahko zagotovila varnsot volilnih strežnikov in z uporabo digitalnih certifikatov poskrbela za šifriranje podatkov pri prenosu preko javnega telekomunikacijskega omrežja, za varnost osebnih računalnikov uporabnikov pa ni poskrbljeno. Zagotovitev varnosti bi bilo mogoče z ustrezno zunanjo naprava (npr. čitalcem pametnih kartic), vendar je opremljenost slovenskih uporabnikov interneta s takimi čitalci majhna.

Drugi problem predstavlja dejstvo, da domače (ali službeno) okolje predstavlja nenadzorovan prostor, kjer so mogoči različni pritiski na volilca. Za razliko od volišča, kjer za zagotovitev tajnosti, anonimnosti in neposrednosti glasovanja skrbijo tako volilni odbor, kot volilni zaupniki, teh pogojev pri glasovanju od doma ni mogoče zagotoviti.

Nevarnost predstavljajo tako možnosti za različne pritiske na volilce, odpirajo se možnosti za preprodajo glasov (volilec lahko dokaže kako je volil), lahko pa pride tudi do kršitev tajnosti glasovanja, ko nekdo s tajnim opazovanjem preprosto ugotovi kako je kdo volil. Konec koncev lahko pride tudi do zlorabe (kraje) digitalnega cetifikata, kar napadalcu omogoči, da voli v imenu nekoga drugega. Poleg tega naj bi se internetno glasovanje odvijalo v času predčasnega glasovanja, ko ne velja volilni molk, kar še povečuje možnosti pritiskov na volilce.

Uvedba nove tehnologije je tako odprla nove možnosti zlorab, te nove probleme pa zopet ne rešujemo s tehnologijo, pač pa s pravnimi in organizacijskimi pravili. Hkrati predlagani sistem, ki opredeljuje možnost večkratnega elektronskega in v končni fazi na željo volilca še klasičnega glasovanja, že v osnovi skuša reševati zgolj problem odkritih pritiskov na volilca, ne pa tudi problema prikrite kršitve volilne tajnosti.

Na problem tim. varnega volilnega okolja so že leta 2004 opozorili avtorji Študije o izvedljivosti e-volitev s predlogi implementacije, ki so tudi zapisali da razpoložljive tehnologije niso na nivoju, ki bi omogočal izvedbo internetnih volitev.

Internetne volitve se bistveno razlikujejo od glasovanja po pošti

Kljub temu, da je sistem dvojnih “elektronskih ovojnic” pri internetnih volitvah podoben kot pri volitvah po pošti, se sistema bistveno razlikujeta. Slovenska zakonodaja določa, da po pošti lahko glasujejo:

osebe, ki so na zdravljenju v bolnišnicah;
oskrbovanci domov za starejše, ki nimajo stalnega prebivališča v domu;
volilci, ki so na dan glasovanja v tujini.

Gre torej za omejen krog ljudi in za izjemo, ki glasovanje omogoča posebnim, na nek način deprivilegiranim skupinam volilcev. Pri i-volitvah princip glasovanja in nekontroliranega volilnega okolja potencialno prenašamo na celotno populacijo volilcev.

Ocena učinkovitosti i-volitev

Pri razmisleku ali je uvedba internetnih volitev smiselna si lahko pomagamo z analizo i-volitev po prilagojeni Schneierjevi metodologiji za analizo varnostnih ukrepov, ki jo je Bruce Schneier opisal v knjigi Beyond Fear (2003).

1. Kaj skušamo doseči oz. izboljšati z uvedbo i-volitev?
Z uvedbo i-volitev skušamo izboljšati sistem glasovanja, povečati volilno udeležbo in posledično izboljšati demokracijo. Skušamo se tudi predstaviti kot moderna država.

2. Katere so težave z obstoječim načinom glasovanja?
Zagovorniki uvedbe i-volitev navajajo dva sklopa težav: padanje volilne udeležbe in zanimanja za demokracijo ter dejstvo, da so klasične volitve staromodne (da je potrebno volilni proces modernizirati, itd.).

3. Kako dobro uvedba i-volitev lajša te težave?
Uvedba i-volitev po eni strani omogoča, da volilec glasuje od doma in se mu ni treba sprehoditi do volišča, kar v teoriji lahko dvigne volilno udeležbo.
Projekt i-volitev pomeni tudi dobro promocijo tako za državo, kot za njeno politiko.

4. Katere težave povzroča uporaba i-volitev?
Anonimnost ni več vgrajena v sistem, pač pa jo je potrebno zagotoviti z anonimizacijo. Država volilcu ne zagotavlja več varnega volilnega okolja. Manjša je transparentnost celotnega sistema, itd.

5. Kakšne dileme in kakšno tehtanje (ang. trade-off) predpostavlja uvedba i-volitev?
Po eni strani z uvedbo i-volitev pridobimo možnost večje udobnosti pri glasovanju, (malenkostno) se poveča volilna udeležba, projekt pa je dobra promocija za državo in njeno politiko.
Po drugi strani pridobimo več potencialnih varnostnih ranljivosti in sistem, ki v osnovi ne zagotavlja tajnosti glasovanja, pač pa so za le-to potrebna dodatna pravna in organizacijska pravila.

V luči te analize in prikazanih dilem se zastavlja vprašanje ali je uvedba internetnih volitev res smiselna, predvsem pa zakaj hitenje pri uvedbi sistema, ki bo lahko bistveno spremenil koncept glasovanja, kar bo lahko imelo za volitve dolgoročne in resne posledice?