Za stroko: zakaj je (to) e-glasovanje sprejemljivo

Kot strokovnjaki/strokovnjakinje (ali poznavalke/poznavalci) področja se najverjetneje sprašujete zakaj smo posamezniki, ki smo, tako kot vi, dolga leta nasprotovali vpeljavi e-glasovanja na državni ravni, naenkrat “obrnili ploščo” in ponudili e-glasovalni sistem.

V tem zapisu predstavljamo naše poglede na razliko med nacionalnim glasovanjem in glasovanjem v zasebnih organizacijah ter kako se to nanaša na varnost celotnega sistema.

Naj poudarimo, da v tem zapisu pod terminom “e-glasovanje” razumemo le, za naše orodje relevantno, spletno glasovanje, izključujemo pa glasovalne naprave.

Absolutna varnost ne obstaja

Absolutna varnost (še posebej v digitalnih sistemih) ne obstaja. Ne obstaja niti v fizičnih sistemih, čeprav se ji je tam lažje približati.

Varnost (digitalnega) sistema je vedno postavljena na tehtnico med oblikami, obsegom in sofisticiranostjo napadalcev na eni strani in razsežnostjo varovanja sistema na drugi. Vsak (digitalni) sistem lahko naredimo praktično nepremagljiv z izredno obsežnim varovanjem, vendar to naredi sistem kompleksnejši in težji za uporabo - nepraktičen. Posledično je toliko ožji tudi nabor ljudi, ki bodo lahko s sistemom učinkovito upravljali.

Vprašanje torej, “ali je (e-)glasovanje varno”, ni dovolj natančno. Pravo vprašanje je “ali je (e-)glasovanje dovolj varno pri potrebni stopnji uporabnosti”.

Prednosti in slabosti e-glasovanja

Pri vsakem sistemu je potrebno pretehtati prednosti in slabosti glede na naše potrebe. Nekatere izmed splošnih prednosti e-glasovanja so:

Prednosti

Geografska razpršenost ali časovna nedostopnost volivk in volivcev ne vplivata na izvedbo postopka (ob predpostavki, da je časovni okvir dovolj širok in ima sleherni glasovalec dostop do spleta).
Digitalna glasovnica katere tisk ni potreben, ustvarjanje in popravki so hitri in enostavni.
Takojšen izračun rezultata rezultate je mogoče objaviti v nekaj sekundah po koncu glasovalnega obdobja.
Hitrejša izvedba saj ni potrebno čakati na odhod in prihod pošte oz. zbiranje in štetje fizičnih glasovnic.
Višja stopnja integritete rezultatov saj volivke in volivci lahko sami preverijo celoten postopek.
Nizka cena saj odpade potreba po organizaciji dogodka oz. plačevanju stroškov pošiljanja pošte.

Slabosti

Potencijalnih slabosti je precej, vendar je njihov nabor močno odvisen od sistema, ki ga izberete in jih je mogoče minimalizirati z izbiro najbolj primernega sistema glede na okoliščine. Nekatere od teh slabosti so:

Varnostne težaveE-glasovalni sistemi so lahko tarča kibernetskih napadov, vključno s poskusi vdora, zlonamerne programske opreme ali celo DDoS napadi.
Pomanjkanje transparentnosti E-glasovalni sistemi lahko otežujejo preverjanje in nadzor volitev, saj so rezultati in obdelava glasov pogosto zaklenjeni za elektronskim sistemom.
Tehnične težave Težave s strojno opremo ali programsko opremo lahko povzročijo izgubo ali napako v glasovih, kar lahko vpliva na končni rezultat. Problematični so tudi izpadi storitve med samim glasovanjem.
Vprašljiva anonimnost Pogost je anonimnost v e-glasovalnih sistemih bolj psevdo-anonimne narave, saj so digitalni sistemi inherentno zasnovani za sledenje.
Dostopnost Čeprav lahko e-glasovanje izboljša dostopnost za nekatere skupine, lahko hkrati otežuje drugim.
Vprašljiva integriteta Obstaja možnost manipulacije z rezultati, katere zaznava zahteva visoko stopnjo tehničnega znanja pri opazovalcih. Posledično je vprašanje kako lahko takemu sistemu zaupajo tisti brez potrebnega znanja.
Vprašanja zanesljivosti E-glasovalne naprave ali sistemi se lahko pokvarijo ali napake v njihovem delovanju lahko vplivajo na rezultate volitev.
Težave s preverljivostjo Zahtevana je možnost preverjanja in potrjevanja rezultatov brez odvisnosti od zaupanja v proizvajalce opreme ali tiste, ki upravljajo sistem.

Tehtanje prednosti in slabosti: primer državnih volitev

E-glasovanje ima veliko prednosti, vendar jih je večina za volitve na državni ravni povsem nepomembnih.

Geografska razpršenost in s tem povezana cena in zahtevnost izvedbe niso omejujoči dejavniki - volitve predstavljajo zanemarljiv delež proračuna organizacije, znotraj katere poteka glasovanje (države). Glavni strošek glasovanja je plačilo oseb, ki delajo na volilnih komisijah - te so praviloma upokojene, socialno ogrožene oz. mladi - lahko bi rekli, da s tem denarjem pridobimo več kot le izvedbo glasovanja.

Hitrost priprave glasovanja zaradi obsega postopka (volilna opravila se prično mesece pred dnevom glasovanja) ni tako pomembna, saj je časa dovolj. Poenostavitev izvedbe glasovanja tudi ne bo povečala njegove pogostosti, saj je ta že sedaj odvisna od drugih ustavnih, zakonskih in politološko-družbenih omejitev.

Hitrost rezultata je zaradi digitalizacije poročanja že zdaj zadovoljiva in jo je možno še izboljšati znotraj trenutnih okvirjev.

Integritete rezultata, ki ga lahko doseže klasično fizičen način, digitalni sistem ne more nikoli (niti teoretično) doseči, že zaradi dejstva, da digitalno glasujemo od doma - to pomeni, da lahko nekdo s fizično prisotnostjo (gledanje čez ramo) nadzoruje ali celo vpliva na to, kakšen glas smo oddali. To je ključna pomanjkljivost, ki si je nacionalne volitve ne moremo privoščiti.

Ob tem se kot prednost spletnih volitev pogosto izpostavlja večjo udeležbo mladih napram klasičnim volitvam. Ta argument se zdi precej pokroviteljski do mladih državljanov, saj predpostavlja, da je glavna prepreka do udeležbe na volitvah fizični napor, ki ga udeleženec mora vložiti, da prispe na volilno mesto (torej je za neudeležbo odgovorna lenoba in ne kak drug razlog, npr. politična apatija). V državah, kjer so tak sistem preizkusili (npr. Estonija) ugotavljajo, da do določene mere do večje udeležbe prihaja, vendar je razlika zanemarljivo majhna.

Digitalni volilni sistem tako državnim volitvam ne prinaša nobenih pomembnejših prednosti, istočasno pa prinaša cel kup novih varnostnih problemov, kar ga naredi povsem nekonkurenčnega, ko ga postavimo ob bok klasičnemu sistemu, ki ga za ta namen izboljšujemo že stoletja.

Upoštevati moramo, da je nagrada za uspešno zlorabo volilnega sistema državni proračun, katerega velikost se meri v miljardah evrov, dodatno pa napadalec z morebitno spremembo političnega razmerja moči lahko vpliva na življenja milijonov ljudi. Verjetnost, da se bo našel napadalec z nekaj deset ali sto milijoni evrov sredstev na razpolago, je skoraj sigurnost.

Po našem mnenju je uvedba e-volitev za državnozborske, evropske ali lokalne volitve s strokovnega vidika povsem neprimerna.

Tehtanje prednosti in slabosti: zasebne, demokratične organizacije

Na nivoju organizacij je računica precej drugačna. Po eni strani so morebitne izgube veliko manjše - proračuni društev se gibljejo v rangu nekaj deset tisoč evrov na leto. Tudi pri poslovanju največjih organizacij govorimo o milijonih na leto.

Verjetnost, da se bo za napad na te volitve našel napadalec z proračuni, potreben za zlorabo naše različice e-glasovanja), je izredno majhna.

Po drugi strani so prednosti e-glasovanja velike - tako nižji strošek in enostavnejša izvedba, kot rešitev problema časovne in geografske dostopnosti volivcem, kar je ključnega pomena za izvedbo volitev.

Najpomembnejši izziv, s katerim se pri uporabi e-glasovalnega sistema lahko soočijo (predvsem manjše) organizacije, je zahteva po določeni meri tehnične kompetentnosti ekipe, ki je zadolžena za izvedbo volitev. V ta namen smo pripravili trinivojski sistem, ki v zameno za osnovno varnost (ki je zadostna pri volitvah z manjšo težo, ponavadi v manjših organizacijah) ponuja nižjo tehnično zahtevnost. Z višjimi nivoji medtem zagotavljamo ustrezno varnostno rešitev tudi za velike, zasebne organizacije (oz. za volitve z večjo težo), ob nekoliko višji tehnični zahtevnosti, ki pa je še vedno relativno enostavna in takim organizacijam dosegljiva.

Implementacija

Temelj sistema predstavlja unikatna, naključno generirana glasovalna šifra. Te se naključno(!) razpošljejo volivkam in volivcev preko digitalnega kanala (trenutno preko spletne pošte, v prihodnosti se to lahko nadgradi s čim varnejšim).

Volivke in volivci dostopajo do glasovnice preko povezave, ki že vključuje glasovalno šifro, in oddajo svoj glas, ta se pa zabeleži na njihovo glasovalno šifro.

Po koncu glasovanja volivke in volivci poleg izračunanih rezultatov prejmejo CSV dokument, ki vsebuje vse oddane glasove. Tako lahko sleherni volivec preveri, da je:

Prejel enak dokument, kot vsi ostali
Glas upoštevan in pravilno zabeležen
Rezultat pravilno izračunan

Arhitektura

Sistem je sestavljen iz sledečih komponent:

Glasovalni sistem Vodi volitve, prikazuje glasovnice, shranjuje glasove in izračuna rezultate. Generira tudi potrebno število glasovalnih šifer.
Sistem za razpošiljanje glasovnic Vodi adreme, omogoča njihovo preverjanje (s pošiljanjem e-maila z gumbom za potrditev) in s strani glasovalnega sistema prejet seznam šifer razpošlje na izbrano adremo).

Sistema sta gostovana na ločenih strežnikih in ločeno vzdrževana. Oba sistema sta odprtokodna in na voljo za uporabo komurkoli. Vključujeta tudi REST API in CLI vmesnik preko katerega je možno izvesti celoten postopek.

Za Nivo 2 in Nivo 3 smo razvili še:

CLI sistem za razpošiljanje glasovnic Enostavna skripta, ki jo volilna komisija naloži na računalnik (katerega varnost se lahko zagotovi postopkovno), jo pregleda, z glasovalnega sistema prenese seznam šifer in jih s pomočjo skripte razpošlje na email naslove.
Proxy za glasovnice Zaradi hipotetične možnosti razkritja identitete volivca določene glasovnice z uporabo metapodatkov na HTTPS zahtevku, za Nivo 3 ponujamo možnost, da volilna komisija (kadrovsko ločena od tiste, ki je zadolžena za razpošiljanje) glasovnice zbira preko proxy strežnika, s čimer se odstranijo vsi relevantni metapodatki. Tako sistem eGlasovanje še vedno lahko opravi večino dela (zbiranje in obdelava glasov ter prikaz glasovnice), brez direktnega kontakta z volivci.

GUI vmesnik platforme eglasovanja.si za enkrat še ni na voljo pod odprtokodno licenco.

Poslovni model

O poslovnem modelu si lahko preberete v ločenem članku.