Lausunto sähköisen äänestyksen muistiosta

LAUSUNTO SÄHKÖISEN
ÄÄNESTYKSEN MUISTIOSTA

Oikeusministeriö on
pyytänyt lausuntoa 30.9.2009 päivättyyn muistioon
‘Sähköisen äänestyksen pi­lottihanke vuoden
2008 kunnallisvaaleissa: Kokemuksia ja opittuja asioita’.

Electronic Frontier
Finland (Effi) ry kiittää lausuntopyynnöstä.
Yleisesti ottaen muistio on kattava katsaus sähköisen
äänestyksen järjestelyihin ja sen toteutukseen.
Julkishallinnon hankkeiden koke­musten julkaiseminen vastaavissa
muistioissa ja niihin liittyvät avoimet lausuntopyynnöt
ovat erit­täin hyvä asia.


Sähköisen äänestyksen
perusongelmat ja mahdollisuudet


Täysin sähköisen äänestyksen
perusongelma on se, että järjestelmästä
riippumatonta tarkistuslas­kentaa ei voida suorittaa. Jos
luottamus järjestelmään on asetettu kyseenalaiseksi,
ei järjestelmää voida käyttää sen
itsensä tarkistamiseen tai valvomiseen. Muistiokin erehtyy tältä
osin, koska sen mukaan äänestysjärjestelmän
käyttöhenkilöstön toimintaa olisi voitu
jälkeenpäin tarkastella järjes­telmän
lokitiedostoista. Tämä ei pidä paikkaansa, sillä
järjestelmähän oli käyttöhenkilöstön
hallin­nassa.

Sähköisissä äänestysjärjestelmissä
on myös se ongelma, että toisin kuin fyysisten, paperisten
äänes­tyslippujen laskentaa, tietokoneen toimintaa ei
voida ihmisaistein suoraan havainnoida. Tätä kutsu­taan
usein "mustan laatikon" ongelmaksi.

Käytännön esimerkki "mustan
laatikon" ongelmasta on muistion kohta 6.5, jossa "[a]vausryhmä
muodosti tuolloin uurnan salausavaimen, […] ja totesi uurnan olevan
tyhjä". Todellisuudessahan avausryhmä vain totesi,
että järjestelmä väitti heille uurnan olevan
tyhjä. Avausryhmäläisillä ei ol­lut, eikä
voinutkaan olla ilman yliluonnollisia kykyjä, mitään
mahdollisuutta todella todeta, että sa­lausavain todella
muodostui tai että uurna oli tyhjä. Tämä eroaa
oleellisesti perinteisen äänestyksen uurnan
tarkistamisesta, jonka kuka tahansa normaali ihminen voi tehdä.

Muistiossa ehdotetaan, että
äänestysjärjestelmässä tulisi käyttää
avointa lähdekoodia. Avoimen läh­dekoodin käytön
lisääminen valtionhallinnossa on yleensä linjassa Effi
ry:n tavoitteiden kanssa, mutta sähköisen äänestyksen
tapauksessa se ei ratkaise "mustan laatikon" ongelmaa. Sen
todentami­nen, että järjestelmä todella käyttää
annettua lähdekoodia, jää joka tapauksessa vain
harvojen asian­tuntijoiden juhlallisen vakuutuksen varaan.

Äänestysjärjestelmän vedenpitävä
auditointi olisi todennäköisesti käytännössä
mahdoton tehtävä. Kunnallisvaalien kokeilun aikana tehty
auditointi oli erittäin suppea verrattuna esimerkiksi lähes
600-sivuiseen Yhdysvaltain sähköisten äänestysjärjestelmien
huomioon otettavien seikkojen suosi­tusdokumenttiin [1].
Auditointiin ei myöskään riittäisi
äänestysjärjestelmän lähdekoodin auditointi,
vaan lähdekoodin muuttaminen ajettavaan muotoon, kaikki
laitteistot, niiden ohjelmistot käyttöjär­jestelmä
mukaan lukien, sekä laitteiston ja ohjelmistojen hallintaketju
jokaiseen äänestyskoneeseen asti pitäisi kaikki
auditoida yhtä aukottomasti.

Edellä mainitut perustavanlaatuiset ongelmat
ovatkin olleet taustalla useiden maiden päätöksessä
lopettaa tai keskeyttää sähköisten
äänestysjärjestelmien käyttö, kuten muistion
liitteessä 2 todetaan. Vakaissa demokratioissa täysin
sähköistä äänestystä tulisikin välttää
myös siksi, että näytämme epä­vakaille
ja kehittyville demokratioille hyvää esimerkkiä ja
säilytämme todelliset mahdollisuudet vaalitarkkailuun
ulkomailla esimerkiksi ETYJin toimesta.

Muistio esittelee myös perinteisen äänestyksen
mahdollisia ongelmia. Nähdäksemme useita näistä
ongelmista, erityisesti äänestäjän toiminnasta
johtuvia riskitekijöitä, voitaisiin vähentää
sähköisellä äänestystapahtumalla ilman, että
äänestystä tarvitsisi kokonaan sähköistää.
Esimerkiksi äänestysli­pun täyttäminen voisi
olla sähköisesti avustettua, mutta tämän jälkeen
varsinainen äänestyslippu tu­lostettaisiin paperille.
Ääntenlaskentakin voitaisiin tehdä optisella
äänestyslippujen luvulla, mutta tarkistuslaskenta edelleen
käsin. Käytettävyysnäkökohdat tosin olisivat
tämänkaltaisessa järjestel­mässä
ensiarvoisen oleellisia, kuten esimerkiksi taannoisista Yhdysvaltain
presidentinvaaleista opimme.

Ennakkoäänestykseen liittyviä
vaalivarmuuden riskitekijöitä voitaisiin tehokkaimmin
ehkäistä ja ennakkoäänestystä nopeuttaa
vähentämällä äänestyslippujen
postitusta eri paikkakunnille. Tähänkin voitaisiin soveltaa
sähköisesti avustettua äänestystä ja optista
laskentaa, jolloin järjestelmän tulosta­maan
äänestyslippuun voitaisiin esimerkiksi tulostaa myös
vaalipiirin tunnus. Ennakkoäänestystä­kään
ei tarvitsisi tällöin kokonaisuudessaan sähköistää,
vaan tarkistuslaskenta olisi edelleen mah­dollinen täysin
järjestelmästä erillisenä toimenpiteenä.

Vaalisalaisuuden heikkous
käytetyssä järjestelmässä

Muistio tuo esille uuden mielenkiintoisen tiedon:
sähköinen uurna jätettiin ääntenlaskennan
jälkeen TietoEnatorin palvelimelle. Nähdäksemme
Oikeusministeriö luopui tässä kohden lopullisesti
mah­dollisuudestaan suojella vaalisalaisuutta näiden vaalien
osalta. Turun yliopiston auditointiraportin kohdan 3.3 mukaan
yksittäisen äänestäjän äänen voi
selvittää, jos saa haltuunsa kopion sähköisestä
vaaliuurnasta ja avausryhmän hallussa olevat avaimet.
Ymmärtääksemme kahden avausryhmän jä­senen
avaimet olisivat riittäneet, joten vaalisalaisuus oli teoriassa
varsin pienen piirin murrettavissa.

Johtuen aiemmin mainitusta "mustan laatikon"
ongelmasta, vaalisalaisuuden murtamiseen oli toki muitakin
teoreettisia mahdollisuuksia, erityisesti kun muistionkin mukaan
uurnan avauksessa "[k]äytännössä tuli
kuitenkin olla tietotekniikan asiantuntija, jotta olisi täysin
voinut seurata tapah­tumia".

Yhteenveto

Effi ry esittää, että
äänestysjärjestelmän tulee tulevaisuudessakin
olla sellainen, jossa tarkistuslas­kenta voidaan suorittaa käsin
ja normaalin kansalaisen ymmärtämällä tavalla,
täysin riippumatta mistään sähköisestä
järjestelmästä ja ilman erityistaitoja. Parhaiten tämä
onnistuu käyttämällä pape­risia
äänestyslippuja, esimerkiksi sähköisen
äänestyskopin tulostetta, jonka äänestäjä
itse tarkistaa.

Effi ry esittää myös, että
kaikkien vaalijärjestelmään tehtävien muutosten
yhteydessä varmistetaan, ettei vaalisalaisuus teoriassakaan
ainakaan heikkene nykyisestä.




Jyväskylässä 29.10.2009




Tapani Tarvainen


puheenjohtaja


Electronic Frontier Finland ry





[1] Voluntary Voting System Guidelines
Recommendations to the Election Assistance Commission. Elokuu 2007.
Osoitteessa
http://www.eac.gov/files/vvsg/Final-TGDC-VVSG-08312007.pdf.




Electronic Frontier Finland ry on perustettu
puolustamaan kansalaisten sähköisiä oikeuksia.
Tällai­sia ovat esim. oikeus sensuroimattomaan viestintään,
kohtuullisiin käyttöehtoihin digitaalista sisäl­töä
ostettaessa sekä vapaus kehittää ja julkaista avoimia
tietokoneohjelmia. Yhdistys herättää kes­kustelua
ja pyrkii vaikuttamaan muun muassa lainsäädäntöhankkeisiin
sananvapaudesta ja tekijän­oikeudesta Suomessa ja
Euroopassa. Yhdistyksellä oli syksyllä 2009 yli 1600
henkilöjäsentä.


Yh­distyksen verkkosivut ovat osoitteessa
http://www2.effi.org/.


Lausunto pdf-muodossa.