LAUSUNTO SÄHKÖISEN
ÄÄNESTYKSEN MUISTIOSTA
Oikeusministeriö on
pyytänyt lausuntoa 30.9.2009 päivättyyn muistioon
‘Sähköisen äänestyksen pilottihanke vuoden
2008 kunnallisvaaleissa: Kokemuksia ja opittuja asioita’.
Electronic Frontier
Finland (Effi) ry kiittää lausuntopyynnöstä.
Yleisesti ottaen muistio on kattava katsaus sähköisen
äänestyksen järjestelyihin ja sen toteutukseen.
Julkishallinnon hankkeiden kokemusten julkaiseminen vastaavissa
muistioissa ja niihin liittyvät avoimet lausuntopyynnöt
ovat erittäin hyvä asia.
Sähköisen äänestyksen
perusongelmat ja mahdollisuudet
Täysin sähköisen äänestyksen
perusongelma on se, että järjestelmästä
riippumatonta tarkistuslaskentaa ei voida suorittaa. Jos
luottamus järjestelmään on asetettu kyseenalaiseksi,
ei järjestelmää voida käyttää sen
itsensä tarkistamiseen tai valvomiseen. Muistiokin erehtyy tältä
osin, koska sen mukaan äänestysjärjestelmän
käyttöhenkilöstön toimintaa olisi voitu
jälkeenpäin tarkastella järjestelmän
lokitiedostoista. Tämä ei pidä paikkaansa, sillä
järjestelmähän oli käyttöhenkilöstön
hallinnassa.
Sähköisissä äänestysjärjestelmissä
on myös se ongelma, että toisin kuin fyysisten, paperisten
äänestyslippujen laskentaa, tietokoneen toimintaa ei
voida ihmisaistein suoraan havainnoida. Tätä kutsutaan
usein "mustan laatikon" ongelmaksi.
Käytännön esimerkki "mustan
laatikon" ongelmasta on muistion kohta 6.5, jossa "[a]vausryhmä
muodosti tuolloin uurnan salausavaimen, […] ja totesi uurnan olevan
tyhjä". Todellisuudessahan avausryhmä vain totesi,
että järjestelmä väitti heille uurnan olevan
tyhjä. Avausryhmäläisillä ei ollut, eikä
voinutkaan olla ilman yliluonnollisia kykyjä, mitään
mahdollisuutta todella todeta, että salausavain todella
muodostui tai että uurna oli tyhjä. Tämä eroaa
oleellisesti perinteisen äänestyksen uurnan
tarkistamisesta, jonka kuka tahansa normaali ihminen voi tehdä.
Muistiossa ehdotetaan, että
äänestysjärjestelmässä tulisi käyttää
avointa lähdekoodia. Avoimen lähdekoodin käytön
lisääminen valtionhallinnossa on yleensä linjassa Effi
ry:n tavoitteiden kanssa, mutta sähköisen äänestyksen
tapauksessa se ei ratkaise "mustan laatikon" ongelmaa. Sen
todentaminen, että järjestelmä todella käyttää
annettua lähdekoodia, jää joka tapauksessa vain
harvojen asiantuntijoiden juhlallisen vakuutuksen varaan.
Äänestysjärjestelmän vedenpitävä
auditointi olisi todennäköisesti käytännössä
mahdoton tehtävä. Kunnallisvaalien kokeilun aikana tehty
auditointi oli erittäin suppea verrattuna esimerkiksi lähes
600-sivuiseen Yhdysvaltain sähköisten äänestysjärjestelmien
huomioon otettavien seikkojen suositusdokumenttiin [1].
Auditointiin ei myöskään riittäisi
äänestysjärjestelmän lähdekoodin auditointi,
vaan lähdekoodin muuttaminen ajettavaan muotoon, kaikki
laitteistot, niiden ohjelmistot käyttöjärjestelmä
mukaan lukien, sekä laitteiston ja ohjelmistojen hallintaketju
jokaiseen äänestyskoneeseen asti pitäisi kaikki
auditoida yhtä aukottomasti.
Edellä mainitut perustavanlaatuiset ongelmat
ovatkin olleet taustalla useiden maiden päätöksessä
lopettaa tai keskeyttää sähköisten
äänestysjärjestelmien käyttö, kuten muistion
liitteessä 2 todetaan. Vakaissa demokratioissa täysin
sähköistä äänestystä tulisikin välttää
myös siksi, että näytämme epävakaille
ja kehittyville demokratioille hyvää esimerkkiä ja
säilytämme todelliset mahdollisuudet vaalitarkkailuun
ulkomailla esimerkiksi ETYJin toimesta.
Muistio esittelee myös perinteisen äänestyksen
mahdollisia ongelmia. Nähdäksemme useita näistä
ongelmista, erityisesti äänestäjän toiminnasta
johtuvia riskitekijöitä, voitaisiin vähentää
sähköisellä äänestystapahtumalla ilman, että
äänestystä tarvitsisi kokonaan sähköistää.
Esimerkiksi äänestyslipun täyttäminen voisi
olla sähköisesti avustettua, mutta tämän jälkeen
varsinainen äänestyslippu tulostettaisiin paperille.
Ääntenlaskentakin voitaisiin tehdä optisella
äänestyslippujen luvulla, mutta tarkistuslaskenta edelleen
käsin. Käytettävyysnäkökohdat tosin olisivat
tämänkaltaisessa järjestelmässä
ensiarvoisen oleellisia, kuten esimerkiksi taannoisista Yhdysvaltain
presidentinvaaleista opimme.
Ennakkoäänestykseen liittyviä
vaalivarmuuden riskitekijöitä voitaisiin tehokkaimmin
ehkäistä ja ennakkoäänestystä nopeuttaa
vähentämällä äänestyslippujen
postitusta eri paikkakunnille. Tähänkin voitaisiin soveltaa
sähköisesti avustettua äänestystä ja optista
laskentaa, jolloin järjestelmän tulostamaan
äänestyslippuun voitaisiin esimerkiksi tulostaa myös
vaalipiirin tunnus. Ennakkoäänestystäkään
ei tarvitsisi tällöin kokonaisuudessaan sähköistää,
vaan tarkistuslaskenta olisi edelleen mahdollinen täysin
järjestelmästä erillisenä toimenpiteenä.
Vaalisalaisuuden heikkous
käytetyssä järjestelmässä
Muistio tuo esille uuden mielenkiintoisen tiedon:
sähköinen uurna jätettiin ääntenlaskennan
jälkeen TietoEnatorin palvelimelle. Nähdäksemme
Oikeusministeriö luopui tässä kohden lopullisesti
mahdollisuudestaan suojella vaalisalaisuutta näiden vaalien
osalta. Turun yliopiston auditointiraportin kohdan 3.3 mukaan
yksittäisen äänestäjän äänen voi
selvittää, jos saa haltuunsa kopion sähköisestä
vaaliuurnasta ja avausryhmän hallussa olevat avaimet.
Ymmärtääksemme kahden avausryhmän jäsenen
avaimet olisivat riittäneet, joten vaalisalaisuus oli teoriassa
varsin pienen piirin murrettavissa.
Johtuen aiemmin mainitusta "mustan laatikon"
ongelmasta, vaalisalaisuuden murtamiseen oli toki muitakin
teoreettisia mahdollisuuksia, erityisesti kun muistionkin mukaan
uurnan avauksessa "[k]äytännössä tuli
kuitenkin olla tietotekniikan asiantuntija, jotta olisi täysin
voinut seurata tapahtumia".
Yhteenveto
Effi ry esittää, että
äänestysjärjestelmän tulee tulevaisuudessakin
olla sellainen, jossa tarkistuslaskenta voidaan suorittaa käsin
ja normaalin kansalaisen ymmärtämällä tavalla,
täysin riippumatta mistään sähköisestä
järjestelmästä ja ilman erityistaitoja. Parhaiten tämä
onnistuu käyttämällä paperisia
äänestyslippuja, esimerkiksi sähköisen
äänestyskopin tulostetta, jonka äänestäjä
itse tarkistaa.
Effi ry esittää myös, että
kaikkien vaalijärjestelmään tehtävien muutosten
yhteydessä varmistetaan, ettei vaalisalaisuus teoriassakaan
ainakaan heikkene nykyisestä.
Jyväskylässä 29.10.2009
Tapani Tarvainen
puheenjohtaja
Electronic Frontier Finland ry
[1] Voluntary Voting System Guidelines
Recommendations to the Election Assistance Commission. Elokuu 2007.
Osoitteessa
http://www.eac.gov/files/vvsg/Final-TGDC-VVSG-08312007.pdf.
Electronic Frontier Finland ry on perustettu
puolustamaan kansalaisten sähköisiä oikeuksia.
Tällaisia ovat esim. oikeus sensuroimattomaan viestintään,
kohtuullisiin käyttöehtoihin digitaalista sisältöä
ostettaessa sekä vapaus kehittää ja julkaista avoimia
tietokoneohjelmia. Yhdistys herättää keskustelua
ja pyrkii vaikuttamaan muun muassa lainsäädäntöhankkeisiin
sananvapaudesta ja tekijänoikeudesta Suomessa ja
Euroopassa. Yhdistyksellä oli syksyllä 2009 yli 1600
henkilöjäsentä.
Yhdistyksen verkkosivut ovat osoitteessa
http://www2.effi.org/.