Valet bakom valet

Är det inte förvånande att vi år 2010 får ett brev hem som måste medföras till en fysisk lokal där vi blir förkryssade i en fysisk bok för att få göra vår medborgerliga plikt och rösta. Allt detta för att svara på ett fåtal flervalsfrågor. Till råga på allt räknas därefter dessa röster manuellt.

Rent spontant borde här finnas en stor maskinell förbättringspotential såväl ur ett ekonomiskt som demokratiskt (via ökat valdeltagande) perspektiv. I oktober 2009 lades motion (2009/10:K209) fram om att införa elektronisk röstning med huvudskälen att det tar upp till flera veckor att handräkna röster och att systemet medger underkända röster (alltså felaktigt ifyllda röstkort). Motionen avslogs, huvudsakligen baserat på en rädsla för säkerhetsproblem. Utskottet konstaterade dock även att ett flertal andra länder framgångsrikt infört elektronisk röstning och att man bör övervaka den internationella utvecklingen.

Är det kanske så att användarna till systemet, alltså medborgarna, hellre vill ha en gemytlig och högtidlig septemberaktivitet än en smidig men anonym elektronisk process? Röstning över Internet borde vara lika enkelt som att lämna in en självdeklaration. Det vill säga logga in med e-legitimation, rösta och logga ut, eller?

Faktum är att vid närmare betraktelse finns det ett antal subtila skillnader varav de viktigaste är:

- Oövervakad röstning öppnar för möjligheten att sälja sin röst eller hotas att rösta på ett visst sätt.

- Varje röstberättigad medborgare ska endast kunna rösta en gång men denna röst ska inte kunna kopplas till medborgaren (bevarande av rösthemlighet).

- Förtroende för en elektronisk valprocess skapas enklast genom att den röstande kan skriva ut en verifiering av sitt val. Detta öppnar återigen för försäljning eller hot.

- Det finns inget enkelt sätt att verifiera att ett val gått korrekt till i efterhand. Om en deklaration blivit modifierad av en angripare kan medborgaren lätt upptäcka och korrigera detta manuellt. Detta förtroendeproblem accentueras även av de kontinuerliga säkerhetsproblem som upptäcks i datorsystem; varför skulle ett system för röstning vara mer säkert än någon annan datorapplikation?

- Hotbilden mot ett val ser annorlunda ut än mot inlämning av personliga självdeklarationer. Den potentiella samhällspåverkan är helt enkelt väldigt mycket större vilket öppnar för attacker från exempelvis utländska underrättelsetjänster. Denna hotbild kräver i sin tur mycket dyra och komplexa säkerhetsrevisioner.

- Valprocessen ska vara så transparent som möjligt för att undvika att ett fåtal individer kan kontrollera utfallet på egen hand.

Därutöver sker val endast vart fjärde år och det kan därför vara svårt att motivera utveckling av en komplex teknisk lösning som förmodligen behöver bytas ut redan till nästa val. I deklarationsfallet finns dessutom en tydlig kostnadsvinst för Skatteverket som slipper granska pappersdeklarationer. I fallet med röstning så sköts hanteringen till stor del av frivilliga valarbetare och det är svårt att garantera att elektronisk röstning kommer att öka valdeltagandet.

Vilka lärdomar och paralleller till andra IT-system finns det då att dra ifrån ovanstående punkter? Det viktigaste konstaterandet är kanske att system bör betraktas i sin helhet och utifrån respektive tillämpningsområde. Även om processerna att lämna in sin självdeklaration och rösta liknar varandra i hög grad finns som noterats viktiga skillnader i tillämpningen. En annan lärdom är att när välkända koncept som valprocess och för all del underskrifter ska skötas på elektronisk väg så är det lätt att sikta lite väl högt när det gäller säkerhetskraven. Signaturlagen ställer exempelvis mycket högre, reella krav på elektroniska signaturer än på fysiska. På samma sätt är ingen som beklagar sig över att processen för förtidsröstning i Sverige idag ger möjlighet att köpa eller hota sig till röster.

Utan att sparka in öppna dörrar kan jag konstatera att ett system inte är starkare än dess svagaste länk och att stark kryptografi inte löser alla säkerhetsproblem. Om logiken bakom hur systemet används inte är genomtänkt hjälper det inte att legitimeringen sker på allra högsta säkerhetsnivå. Elektronisk röstning över nätet handlar med andra ord inte så mycket om att hitta tekniska lösningar utan snarast att skapa ett grundmurat förtroende för ett IT-system. En utmaning som krasst innebär att jag åter igen, traditionsenligt, tar min promenad till vallokalen den 19 september för att rösta, för vem vågar egentligen förtidsrösta?

IT-Säkerhetslunch 2013-06-25

Certezza prövar ett nytt koncept där vi med jämna mellanrum kommer att prata om senaste tidens nyheter på IT-säkerhetsfronten. Det kan handla om fördjupningar i nyfunna säkerhetshål, hackade system och organisationer, nya typer av skydd och koncept, nya råd kring säkring av applikationer och nät, eller något annat informationsäkerhetsrelaterat som vi tycker är intressant.
Pågår 25 juni, 00:00 till och med 25 juni, 13:00

Läs mer här »

Fler aktiviteter hittar du här »

Notiser

Krönika

Säkerhetsbrevet

IT-Säkerhetslunch 2013-06-25