LAUSUNTO SÄHKÖISEN ÄÄNESTYKSEN MUISTIOSTA

Oikeusministeriö on pyytänyt lausuntoa 30.9.2009 päivättyyn muistioon 'Sähköisen äänestyksen pi­lottihanke vuoden 2008 kunnallisvaaleissa: Kokemuksia ja opittuja asioita'.

Electronic Frontier Finland (Effi) ry kiittää lausuntopyynnöstä. Yleisesti ottaen muistio on kattava katsaus sähköisen äänestyksen järjestelyihin ja sen toteutukseen. Julkishallinnon hankkeiden koke­musten julkaiseminen vastaavissa muistioissa ja niihin liittyvät avoimet lausuntopyynnöt ovat erit­täin hyvä asia.

Sähköisen äänestyksen perusongelmat ja mahdollisuudet

Täysin sähköisen äänestyksen perusongelma on se, että järjestelmästä riippumatonta tarkistuslas­kentaa ei voida suorittaa. Jos luottamus järjestelmään on asetettu kyseenalaiseksi, ei järjestelmää voida käyttää sen itsensä tarkistamiseen tai valvomiseen. Muistiokin erehtyy tältä osin, koska sen mukaan äänestysjärjestelmän käyttöhenkilöstön toimintaa olisi voitu jälkeenpäin tarkastella järjes­telmän lokitiedostoista. Tämä ei pidä paikkaansa, sillä järjestelmähän oli käyttöhenkilöstön hallin­nassa.

Sähköisissä äänestysjärjestelmissä on myös se ongelma, että toisin kuin fyysisten, paperisten äänes­tyslippujen laskentaa, tietokoneen toimintaa ei voida ihmisaistein suoraan havainnoida. Tätä kutsu­taan usein "mustan laatikon" ongelmaksi.

Käytännön esimerkki "mustan laatikon" ongelmasta on muistion kohta 6.5, jossa "[a]vausryhmä muodosti tuolloin uurnan salausavaimen, [...] ja totesi uurnan olevan tyhjä". Todellisuudessahan avausryhmä vain totesi, että järjestelmä väitti heille uurnan olevan tyhjä. Avausryhmäläisillä ei ol­lut, eikä voinutkaan olla ilman yliluonnollisia kykyjä, mitään mahdollisuutta todella todeta, että sa­lausavain todella muodostui tai että uurna oli tyhjä. Tämä eroaa oleellisesti perinteisen äänestyksen uurnan tarkistamisesta, jonka kuka tahansa normaali ihminen voi tehdä.

Muistiossa ehdotetaan, että äänestysjärjestelmässä tulisi käyttää avointa lähdekoodia. Avoimen läh­dekoodin käytön lisääminen valtionhallinnossa on yleensä linjassa Effi ry:n tavoitteiden kanssa, mutta sähköisen äänestyksen tapauksessa se ei ratkaise "mustan laatikon" ongelmaa. Sen todentami­nen, että järjestelmä todella käyttää annettua lähdekoodia, jää joka tapauksessa vain harvojen asian­tuntijoiden juhlallisen vakuutuksen varaan.

Äänestysjärjestelmän vedenpitävä auditointi olisi todennäköisesti käytännössä mahdoton tehtävä. Kunnallisvaalien kokeilun aikana tehty auditointi oli erittäin suppea verrattuna esimerkiksi lähes 600-sivuiseen Yhdysvaltain sähköisten äänestysjärjestelmien huomioon otettavien seikkojen suosi­tusdokumenttiin [1]. Auditointiin ei myöskään riittäisi äänestysjärjestelmän lähdekoodin auditointi, vaan lähdekoodin muuttaminen ajettavaan muotoon, kaikki laitteistot, niiden ohjelmistot käyttöjär­jestelmä mukaan lukien, sekä laitteiston ja ohjelmistojen hallintaketju jokaiseen äänestyskoneeseen asti pitäisi kaikki auditoida yhtä aukottomasti.

Edellä mainitut perustavanlaatuiset ongelmat ovatkin olleet taustalla useiden maiden päätöksessä lopettaa tai keskeyttää sähköisten äänestysjärjestelmien käyttö, kuten muistion liitteessä 2 todetaan. Vakaissa demokratioissa täysin sähköistä äänestystä tulisikin välttää myös siksi, että näytämme epä­vakaille ja kehittyville demokratioille hyvää esimerkkiä ja säilytämme todelliset mahdollisuudet vaalitarkkailuun ulkomailla esimerkiksi ETYJin toimesta.

Muistio esittelee myös perinteisen äänestyksen mahdollisia ongelmia. Nähdäksemme useita näistä ongelmista, erityisesti äänestäjän toiminnasta johtuvia riskitekijöitä, voitaisiin vähentää sähköisellä äänestystapahtumalla ilman, että äänestystä tarvitsisi kokonaan sähköistää. Esimerkiksi äänestysli­pun täyttäminen voisi olla sähköisesti avustettua, mutta tämän jälkeen varsinainen äänestyslippu tu­lostettaisiin paperille. Ääntenlaskentakin voitaisiin tehdä optisella äänestyslippujen luvulla, mutta tarkistuslaskenta edelleen käsin. Käytettävyysnäkökohdat tosin olisivat tämänkaltaisessa järjestel­mässä ensiarvoisen oleellisia, kuten esimerkiksi taannoisista Yhdysvaltain presidentinvaaleista opimme.

Ennakkoäänestykseen liittyviä vaalivarmuuden riskitekijöitä voitaisiin tehokkaimmin ehkäistä ja ennakkoäänestystä nopeuttaa vähentämällä äänestyslippujen postitusta eri paikkakunnille. Tähänkin voitaisiin soveltaa sähköisesti avustettua äänestystä ja optista laskentaa, jolloin järjestelmän tulosta­maan äänestyslippuun voitaisiin esimerkiksi tulostaa myös vaalipiirin tunnus. Ennakkoäänestystä­kään ei tarvitsisi tällöin kokonaisuudessaan sähköistää, vaan tarkistuslaskenta olisi edelleen mah­dollinen täysin järjestelmästä erillisenä toimenpiteenä.

Vaalisalaisuuden heikkous käytetyssä järjestelmässä

Muistio tuo esille uuden mielenkiintoisen tiedon: sähköinen uurna jätettiin ääntenlaskennan jälkeen TietoEnatorin palvelimelle. Nähdäksemme Oikeusministeriö luopui tässä kohden lopullisesti mah­dollisuudestaan suojella vaalisalaisuutta näiden vaalien osalta. Turun yliopiston auditointiraportin kohdan 3.3 mukaan yksittäisen äänestäjän äänen voi selvittää, jos saa haltuunsa kopion sähköisestä vaaliuurnasta ja avausryhmän hallussa olevat avaimet. Ymmärtääksemme kahden avausryhmän jä­senen avaimet olisivat riittäneet, joten vaalisalaisuus oli teoriassa varsin pienen piirin murrettavissa.

Johtuen aiemmin mainitusta "mustan laatikon" ongelmasta, vaalisalaisuuden murtamiseen oli toki muitakin teoreettisia mahdollisuuksia, erityisesti kun muistionkin mukaan uurnan avauksessa "[k]äytännössä tuli kuitenkin olla tietotekniikan asiantuntija, jotta olisi täysin voinut seurata tapah­tumia".

Yhteenveto

Effi ry esittää, että äänestysjärjestelmän tulee tulevaisuudessakin olla sellainen, jossa tarkistuslas­kenta voidaan suorittaa käsin ja normaalin kansalaisen ymmärtämällä tavalla, täysin riippumatta mistään sähköisestä järjestelmästä ja ilman erityistaitoja. Parhaiten tämä onnistuu käyttämällä pape­risia äänestyslippuja, esimerkiksi sähköisen äänestyskopin tulostetta, jonka äänestäjä itse tarkistaa.

Effi ry esittää myös, että kaikkien vaalijärjestelmään tehtävien muutosten yhteydessä varmistetaan, ettei vaalisalaisuus teoriassakaan ainakaan heikkene nykyisestä.

Jyväskylässä 29.10.2009

Tapani Tarvainen

puheenjohtaja

Electronic Frontier Finland ry

[1] Voluntary Voting System Guidelines Recommendations to the Election Assistance Commission. Elokuu 2007. Osoitteessa http://www.eac.gov/files/vvsg/Final-TGDC-VVSG-08312007.pdf.

Electronic Frontier Finland ry on perustettu puolustamaan kansalaisten sähköisiä oikeuksia. Tällai­sia ovat esim. oikeus sensuroimattomaan viestintään, kohtuullisiin käyttöehtoihin digitaalista sisäl­töä ostettaessa sekä vapaus kehittää ja julkaista avoimia tietokoneohjelmia. Yhdistys herättää kes­kustelua ja pyrkii vaikuttamaan muun muassa lainsäädäntöhankkeisiin sananvapaudesta ja tekijän­oikeudesta Suomessa ja Euroopassa. Yhdistyksellä oli syksyllä 2009 yli 1600 henkilöjäsentä.

Yh­distyksen verkkosivut ovat osoitteessa http://www.effi.org/.