Eru stafrænar kosningar ógn við lýðræðið?

eftir Daníel Freyr Hjartarson

Ein af mörgum vangaveltunum sem koma upp þegar líða fer að kosningum, er hvers vegna í ósköpunum sé ekki kosið stafrænt [1]? Af hverju þurfa allir að staulast á kjörstað þegar einfaldast væri að ganga frá þessu á netinu? Þá værum við laus við langdregnar kosningavökur í sjónvarpinu því úrslitin lægju fyrir um leið og kosningu væri lokið. Við gætum verið með fleiri þjóðaratkvæðagreiðslur þar sem framkvæmdin væri orðin einfaldari. Stafrænar kosningar gætu leitt til aukinnar kosningaþátttöku ungs fólks og jafnvel til aukinnar þátttöku í kosningum. Hvað er þá að stöðva okkur í þessu?

Kíkjum aðeins nánar á hvers vegna þjóðir eru ekki í auknum mæli að færa sig yfir í stafræn kosningakerfi nú á tímum ljósvakans. Hvaða hindranir og ógnir eru fólgnar í því að kjósa stafrænt. Hvaða útfærslur hafa verið prófaðar, hvað fór úrskeiðis og hvaða lærdóm má draga af þeim?

Samkvæmt ráðleggingum Evrópuráðsins um framkvæmd stafrænna kosninga frá árinu 2004 [2] skal tryggja ákveðna hluti þegar kemur að framkvæmd kosninga. Þar á meðal má nefna atkvæðaleynd, gegnsæi, öryggi og jafnt aðgengi kjósenda, auk ýmissa annarra þátta.

Talsvert margar þjóðir hafa gert tilraunir með stafrænar kosningar en sumar þjóðir kjósa stafrænt í dag [3] Þar ber kannski einna helst að nefna Eistland [6] en Eistland er talið standa framarlega þegar kemur að því að rafvæða ferla í kringum stjórnsýsluna. En lestar þær þjóðir sem við tökum okkur til fyrirmyndar, svo sem Noregur, England, Finnland, Frakkland, Þýskaland, Írland og Holland, eru búnar að gefa út yfirlýsingu þess efnis að ekki sé stefnt að því að kjósa stafrænt, yfirleitt vegna öryggisógna.  

Eitt af stóru vandamálunum við stafrænar kosningar er að tryggja öryggi atkvæða. Að kjósa stafrænt á ekki að auka möguleika á því að eiga við úrslit kosninga en að mati margra sérfræðinga er það því miður raunin. Rót þessa vanda snýr að hugbúnaði. En hvernig getur kjósandi tryggt að hugbúnaðurinn, sem notast er við í kosningu, fari rétt með atkvæði hans. Sömuleiðis í rafrænum kosningum, hvernig getur kjósandi tryggt það að hugbúnaðurinn á kosningavélinni sé sá sem hann treystir, en ekki t.d. spilliforrit (e. Malware).

Skoðum dæmi um öryggisveilu aðeins nánar. Til þess að tryggja að hugbúnaður sem notast er við í kosningum sé öruggur og kjósendur geti treyst hugbúnaðinn, þarf hugbúnaðurinn helst að vera það sem kallast opinn (e. Open source). Þannig getur hver sem er skoðað og yfirfarið að hugbúnaðurinn fari rétt með atkvæði og ekki sé með neinum hætti verið að eiga við úrslit kosninga. Það í sjálfu sér er ekkert stórmál ef við gefum okkur að almenningur sé tilbúinn að yfirfara, samþykkja og treysta ákveðnum hugbúnaði. Þrátt fyrir þetta er engin leið fyrir kjósanda að tryggja þegar gengið er að kjörkassa, að raunverulega sé um þann hugbúnað að ræða sem hann hefur samþykkt að skuli nota.

Annað dæmi um mögulega öryggisveilu í stafrænum kosningakerfum væri til dæmis ef hægt væri að komast í gagnagrunninn með atkvæðunum í gegnum bakdyraleið . Það var raunin í netkosningum sem prófaðar voru í Hollandi árin 2004 og 2006 [4]. Eftir kosningarnar 2006 var ákveðið að gera öryggisúttekt á umræddu kosningakerfi. Í ljós komu talsvert margir alvarlegir gallar, til dæmis má nefna:

  • Með SQL injection var hægt að komast í töfluna í gagnagrunninum sem geymdi greidd atkvæði og skoða þannig greidd atkvæði.
  • Hægt var að komast inn á bak við kosningakerfið og fikta í skrám og möppum netþjónsins sem hýsti kosningakerfið.
  • Með DDoS (Distributed Denial Of Service) áras var hægt að loka tímabundið á kosningar.
  • Atkvæðamóttakan var ekki varin gegn XSS (Cross-Site Scripting) árásum, sem hefði verið hægt að nýta til þess að eiga við atkvæði kjósenda.

Ekki verður farið ítarlega í hvers eðlis þessir gallar eru eða hvernig mætti nýta þá, en áhugasömum er bent á að skoða [4][5] fyrir frekari útskýringar og umfjöllun. Vissulega eru þetta meðal algengustu öryggisveilur í netkerfum, en þó er hægt að fyrirbyggja slíkar veilur.

Auðvitað eru fleiri gallar við stafrænar kosningar, en að mati höfundar eru ofantöldu atriðin þau alvarlegustu. Stafrænar kosningar, gefa aukin tækifæri til þess að eiga við úrslit kosninga í heild og gefa kjósendum frekari ástæðu til tortryggni. Hvað áhrif stafrænna kosninga á kjörsókn varðar hafa tilraunir með stafrænar leitt í ljós að kjörsókn í sumum tilvikum eykst [3] en í öðrum tilvikum stendur kjörsókn í stað [4]. Af þessu mætti í fljótu bragði draga þá ályktun að hugsanlega gætu stafrænar kosningar aukið kjörsókn en rannsóknir benda þó til þess að heilt yfir aukist kjörsókn ekki [7]. Ef kostnaður við framkvæmdina er skoðaður kemur í ljós að kostnaðurinn við útfærslu á rafbúnaði og hugbúnaði hleypur á tugum milljóna evra [3].Þá hefur nefnd á vegum Hollenskra yfirvalda spáð því að kostnaður við stafrænar kosningar sé meiri en við hefðbundari kosningar [4].

Vegna þessa mælir höfundur gegn því, að svo stöddu, að notast sé við stafræn kosningakerfi. Það er ólíklegt að þau skili þeim tilgangi sem þeim er ætlað og gallarnir eru því miður, eins og staðan er í dag, fleiri og alvarlegri en kostirnir. Þó að kannski sé nú ekki alveg um neina, beinlínis, ógn við lýðræðinu að ræða hefur reynslan sýnt okkur að stafræn kosninakerfi sé verulegu varhugarverð. 

[1] Til skýringar skulum við fá á hreint að hér eftir verður fjallað um tvennskonar útfærslu á stafrænum kosningum. Annar möguleikinn er að vera með rafbúnað eða tölvu á kjörstað sem tekur við atkvæðinu, hér eftir verður talað um þessa útfærsla sem rafrænar kosningar. Hinn möguleikinn er að bjóða upp á að kjósa í gegnum internetið, hér verður talað um þá útfærslu sem netkosningu. Svo er auðvitað unnt að blanda þessum útfærslum saman, vera með rafrænar kosningar og vera með utankjörfundar atkvæðagreiðslu í netkosningu.

[2]https://www.coe.int/t/dgap/goodgovernance/Activities/Key-Texts/Recommendations/LinkEvotingRec_en.asp

[3] https://en.wikipedia.org/wiki/Electronic_voting_by_country

[4] https://arxiv.org/pdf/1602.02509.pdf

[5] https://link.springer.com/chapter/10.1007/978-3-642-04135-8_10 (bls. 157)

[6] https://arxiv.org/pdf/1606.08654.pdf

[7] https://www.eui.eu/Projects/EuDO-PublicOpinion/Documents/bochslere-voteeui2010.pdf

Daníel Freyr Hjartarson

Stjórn & vefstjóri

Daníel Freyr stundar nám í stýri- og reglunartækni við tækniháskólann í Delft, Hollandi. Hann útskrifaðist frá Háskóla Íslands með BSc gráðu í vélaverkfræði og tölvunarfræði. Samhliða námi tók Daníel þátt í að hanna og smíða rafknúinn kappakstursbíl með Team Spark. Daníel er áhugamaður um hjólreiðar, tölvur og tækni. Hann sér um öll tækni- og vefmál Róms.