Marinó G. Njálsson

Í Morgunblaðinu í dag er frétt um kosningar í Eistlandi þar sem kjósendum gefst kostur á að nota Internetið til að kjósa.  Fyrirkomulagið er einfalt og er því lýst á eftirfarandi hátt í fréttinni:

Umræðan um notkun tölvusamskipta við kosningar til Alþingis og sveitarstjórn hefur oftar en einu sinni komið upp hér á landi.  Efasemdarmenn hafa hafnað þessari aðferð sem ómögulegri, þar sem þeir treysta ekki tækninni.  Síðast liðið haust kom það til tals hjá Samfylkingarfélaginu í Reykjavík að gefa kjósendum í prófkjöri flokksins fyrir Alþingiskosningar kost á að kjós yfir Internetið.  Að sjálfsögðu komu upp efasemdir um öryggi þessarar aðferðar og var ég því beðinn, sem sérfræðingur í stjórnun upplýsingaöryggis, að skoða kosningakerfið sem átti að nota og gefa skoðun mína á aðferðinni.  Án þess að ég rjúfi neinn trúnað við Samfylkinguna, þá var það mitt álit að áhættan af því að kjósa yfir Internetið um öruggar samskiptaleiðir (þ.e. kóðaðar) væri að flestu leiti sambærileg við hefðbundnar aðferðir.  Stærsti áhættuþátturinn væri mannlegi þátturinn, ekki sá tæknilegi.

Skoðum nánar hvaða atriði þarf að hafa í huga í rafrænum kosninum: 

1. Tryggja eins og kostur er að sá sem skráir sig inn sem kjósandi sé í reynd sá sem hann segist vera.
2. Tryggja að kjósandi geti valið hvern þann lista/frambjóðanda sem er í framboði.
3. Tryggja að kosningakerfið skrái að réttur kjósandi hafi kosið og komi þannig í veg fyrir að hann geti kosið aftur eða að merkt sé ranglega að annar kjósandi hafi kosið.
4. Tryggja að atkvæði komist til skila, skráist í kosningagagnagrunn eins og það var greitt og breytist ekki eftir það.
5. Tryggja að ekki sé hægt að rekja hver greiddi tiltekið atkvæði, en skrái þó að kjósandi hafi kosið.
6. Tryggja að kosningakerfið geti tekið við þeim fjölda kjósenda sem vilja kjósa hverju sinni án óeðlilegra tafa.
7. Tryggja að kosningakerfið haldist gangandi meðan kjörfundur er opinn og þar til að úrslit hafa verið birt.
8. Tryggja að ekki hafi aðrir aðgang að gagnagrunni með kosningagögnum en þeir sem til þess hafa heimild og ekki sé hægt að breyta niðurstöðum sem þar eru vistaðar án þess að það sjáist.
9. Tryggja að ekki sé hægt að fylgjast með breytingu á atkvæðamagni bakvið hvern frambjóðanda meðan kjörfundur er opinn.

 Berum þetta nú saman við hefðbundnar kosningar.  Þar þarf að:

1. Tryggja eins og kostur er að sá sem fær kjörseðil sé í reynd sá sem hann segist vera.
2. Tryggja að kjósandi geti valið hvern þann lista/frambjóðanda sem er í framboði.
3. Tryggja að merkt sé við að réttur kjósandi hafi kosið og komi þannig í veg fyrir að hann geti kosið aftur eða að merkt sé ranglega að annar kjósandi hafi kosið.
4. Tryggja að atkvæði komist til skila í kjörkassa, sé talið eins og það var greitt og breytist ekki eftir það.
5. Tryggja að ekki sé hægt að rekja hver greiddi tiltekið atkvæði.
6. Tryggja að kosningafyrirkomulagið geti tekið við þeim fjölda kjósenda sem vilja kjósa hverju sinni án óeðlilegra tafa.
7. Tryggja að kjörstaður sé aðgengilegur kjósendum meðan kjörfundur er opinn.
8. Tryggja að ekki hafi aðrir aðgang að kjörgögnum en þeir sem til þess hafa heimild og ekki sé hægt að breyta niðurstöðum án þess að það sjáist.
9. Tryggja að ekki sé hægt að fylgjast með breytingu á atkvæðamagni bakvið hvern frambjóðanda meðan kjörfundur er opinn.

Vissulega eru einhver önnur atriði sem koma til greina, en þetta eru þau sem ég skoðaði.  Og niðurstaða mín var að veikasti hlekkurinn í þessu öllu er atriði 1.  Þ.e. að í rafrænum kosningum er auðkenning kjósandans stærsta vandamálið.  Það skiptir ekki máli hvað við látum kjósandann fá í hendur til að auðkenna sig, við getum aldrei verið viss um að kjósandinn sé í reynd sá sem hann segist vera.  Málið er að þetta á líka við um kosningu á hefðbundnum kjörstað.  Í hverjum einustu kosningum koma upp vandamál, þar sem merkt hefur verið við rangan aðila eða jafnvel að einstaklingur hefur kosið í nafni annars.  Ástæðurnar geta verið margar, en bara sem dæmi þá týnir fólk skilríkjum sínum og lítill vandi er fyrir finnandann að misnota sér slíkt.  Í reynd er heldur ekkert sem kemur í veg fyrir að fólk biðji aðila af sama kyni að fara fyrir sig á kjörstað og kjósi fyrir sig.  Myndir í skilríkjum eru oft óskýrar, einstaklingar svipaðir í útliti og síðan hefur fólk breyst frá því að mynd var tekin.  Svo má ekki útiloka fölsun skilríkja.  Vandamálið er nefnilega að fyrir utan vegabréf, þá innihalda skilríki ekki nægar upplýsingar til að hægt sé að taka af öll tvímæli um að handhafi skilríkisins sé sá sem skilríkið vísar til.  Nú þó svo að skilríkin innihéldu slíkar upplýsingar, þá er útilokað að hægt sé að búa alla kjörstaði réttum tækjabúnaði til að lesa upplýsingarnar eða þjálfa starfsmenn á kjörstað í notkun búnaðarins.

Hvað sem þessu öllu líður, þá var það niðurstaða mín að vissulega væru nokkur áhyggjuefni sem vert væri að hafa í huga.  Það var líka mín niðurstaða að kosningakerfið girti fyrir þessi atriði á viðunandi hátt miðað við þá áhættuþætti sem fylgdu notkun þess við prófkjörið.  Nú eins og margir vita, þá var kerfið notað og veit ég ekki til þess að neitt hafi komið upp á sem skyggt hafi á áreiðanleika þess.

Ég spái því að boðið verði upp á rafræn kosningakerfi við sveitarstjórnarkosningarnar árið 2010.  Til þess að það verði hægt þarf að taka ákvörðun um það fljótlega.