lørdag den 18. maj 2019

Skal vi have elektronisk afstemning ved valg i Danmark?

Hvis vi indfører elektronisk afstemning i Danmark, vil stemmemaskiner så kunne hackes? Denne stemmemaskine er fra primærvalget i USA i 2016.

Det lyder besnærende: I disse tider, hvor mange ting sker via Internettet, hvorfor kan man så ikke stemme til EU-parlamentsvalget og folketingsvalget med smartphonen, iPad eller pc’en?

Hver gang, der bliver udskrevet valg i Danmark, lyder spørgsmålet: Hvorfor stemmer vi ikke bare via nettet? Så skal vi ikke stå i kø ved valgstedet, vi sparer tid, og måske vil flere også stemme end nu. Desuden vil optællingen af stemmerne også foregå meget hurtigere.

Ifølge Carsten Schürmann, der forsker i valgsikkerhed på IT-Universitetet, og som bl.a. har studeret digitale valg i USA, Egypten og Estland, skal vi tænke os grundigt om, før vi indfører internetafstemninger. Dette skyldes, at der på nuværende tidspunkt ikke findes it-løsninger, som er sikre nok til at bevare tilliden til valgprocessen. I USA har vi nu set to gange set, hvad det kan føre til, hvis præsidentkandidaterne ved et præsidentvalg ikke accepterer valgresultatet. I USA stemmer man ikke via Internettet men via valgmaskiner på valgstedet. Og senest var det ikke valgmaskinerne, der var problemet, men derimod hvem man tillod at stemme – f.eks. illegale indvandrere, der angiveligt skulle stemme fortrinsvist på det demokratiske parti.

I Danmark er det andre ting, der ligger valgforskere på sinde.

”Vi skal være sikre på, at du kan stemme hemmeligt, at det virkelig er dig, der har stemt, og at der kun er én stemme fra dig – ikke to eller tre. Vi arbejder på teknologiske løsninger på dette område, men vi er ikke færdige,” siger Carsten Schürmann.

Papirspor giver tillid

Et vigtigt element, som ville forsvinde i en internetbaseret valgproces, er papirsporet, som giver mulighed for at dobbelttjekke resultatet. Og det kan gå ud over tilliden til valghandlingen.

”I papir-valghandlingen har vi tillid, fordi vi har et papirspor. Der er noget, vi kan tælle op - og det tælles faktisk op to gange i de danske valg - og i alle valgbøgerne skriver man på papir. Der er en elektronisk del, men der er også en papirdel, og det er papirdelen, der er den vigtige. Hvis man har et internetvalgsystem, har man ikke noget papir, så hvordan kan man tjekke, om der har været et hackerangreb?” siger han.

Derfor mener Carsten Schürmann ikke, at tiden er moden til at sende papir og blyant på pension.

”Danmark er faktisk verdensmester i valgintegritet, og det skal bevares. Derfor skal man arbejde meget forsigtigt med modernisering af valgsystemet. Det er tilliden, der er på spil,” siger han.

”Papir og blyant – og et kryds på papir – er lige nu den bedste måde at afgive sin stemme på i Danmark.”

Problemer ved afstemning via nettet

Et problem ved at stemme derhjemme foran pc’en, via smartphonen eller tabletten er bl.a., at det kan være svært at sikre den hemmelige afstemning – altså at du selv frit afgiver din stemme. I nogle familier er det den ene ægtefælle, der tager sig af begges sager over for kommune og stat, og som således er i besiddelse af begges nøglekort. Det må man ikke ifølge reglerne for NemID, som alle har accepteret, men det sker i praksis alligevel. En ægtefælle kan f.eks. sige, ”Jeg kan ikke finde ud økonomi, så du må tage dig af vores fælles pengesager,” eller ”Jeg har ikke tid til at betale regninger, tage kontakt til børnenes læge eller Forældreintra, så gør du det på vores begges vegne.” Således overlader den ene ægtefælle disse vigtige opgaver, der normalt varetages med NemID og nøglekort, til den anden part. 

Dermed kan en ægtefælle også stemme på begges vegne, hvis der i internetvalgsystemet benyttes NemID til at sikre, at man er berettiget til at stemme. Eller en anden situation kan være, at en ægtefælle vil sikre sig, at begge ægtefæller stemmer det samme. Så vedkommende kigger med over den andens skulder, mens denne stemmer via Internettet. Ægtefæller kan have forskellige synspunkter for, hvad der er vigtigt både på det nære plan og i samfundet, og kan derfor også stemme forskelligt ved et valg. Ifølge grundloven skal dette respekteres. Den nuværende metode, hvor man møder op på et valgsted og træder alene indenfor forhænget, sætter sit kryds og derefter går ud på den anden side af stemmeboksen for at lægge stemmesedlen i valgurnen, er stadig den bedste måde at sikre afstemningshemmeligheden.

Der er også problemet med elektronisk afstemning, at de afgivne stemmer skal lagres elektronisk, så de er anonyme og ikke kan ændres. Der er blevet foreslået, at blockchain-teknologi, som virker tillidsskabende ved elektroniske valutaer som Bitcoin, kan anvendes til at sikre dette. Men kun it-eksperter forstår rigtigt ting som blockchain-teknologi.

I Danmark gør vi ikke som i Sverige: Her beder den svenske vælger på valgstedet i fuld offentlighed om en bestemt farvet stemmeseddel for et bestemt parti, hvor han eller hun så kan sætte sit kryds ud for en kandidat. Det svenske system er blevet kritiseret for ikke at respektere afstemningshemmeligheden fuldt ud. Det kan endda benyttes til udskamning og få nogle til at stemme på et andet parti, end det ønskede; for vælgeren kan føle sig påvirket af de valgtilforordnede eller naboer og bekendtes misbilligelse på valgstedet.

I Danmark har vi via papirafstemning faktisk opnået en meget transparent afstemnings- og optællingsproces, der gør det svært at svindle med stemmerne. Og som sagt tælles stemmerne op hele to gange – første gang af de valgtilforordnede, siden af kommunalt ansatte, før det endelige resultat sendes til Indenrigsministeriet.

Det manuelle, papirbaserede valgsystem i Danmark er så enkelt at forklare, at selv et barn på 10 år kan forstå det. Når vi benytter internetafstemning eller valgmaskiner, kan kun specialister virkeligt forstå, hvordan det foregår i detaljer. Kan befolkningen ikke forstå valghandlingens detaljer, har vi et demokratisk problem.

Problemer med afstemning med valgmaskiner

I USA anvender man valgmaskiner på afstemningsstedet. Der er to slags: de maskiner, der identificerer, at du har meldt dig til afstemningen, og de maskiner der registrerer selve valghandlingen – altså hvordan man stemte. I USA skal man ved hvert valg selv melde sig til – myndighederne sender ikke som i Danmark valgkort ud til at alle, der er registreret i folkeregistret, er mindst 18 år og stemmeberettiget.

Der er en grund til, at amerikanerne anvender valgmaskiner. I Danmark stemmer vi kun til kommunal-, folketings-, regions-, EU-parlamentsvalg og ved folkeafstemninger. I USA derimod kan der være helt op til 40 forskellige ting, der skal stemmes om på én gang: valg af den lokale sherif, guvernør, statsanklager, folkeafstemninger om nye love, osv. At få udleveret 40 stemmesedler, gå til stemmeboksen og udfylde dem alle, og til sidst aflevere dem i 40 forskellige valgurner er for stor en byrde at pålægge vælgerne. Det er noget enklere med stemmemaskiner, der præsenterer de enkelte valg og kandidater på en skærm for vælgeren, så han eller hun kan trykke på dem.


EViD - Electronic Voter ID. En amerikansk maskine
 til at tjekke om vælgeren er registreret til valget.
IT-professionelle dataloger og -sikkerhedsfolk ved rigtigt meget om, hvordan computere kan hackes. I USA er valgmaskinerne koblet til et lokalnet med en mindre risiko for angreb udefra. Men programkoden (softwaren) til maskinerne skal ved hvert valg lægges ind på maskinerne. Det kan ske via en USB-nøgle. I USA har man ikke offentliggjort afstemningssoftwaren, så alle interesserede kan undersøge den for sikkerhedsbrister og svindel. Det skyldes bl.a., at der er flere firmaer, der leverer sådanne programmer, men også at man er bange for at give hackere og fremmede magter indsigt i afstemningsproceduren og dermed mulighed for at finde angrebspunkter.

Men dermed kan man heller ikke være sikker på, at der ikke alligevel er pillet ved den software, der lægges på maskinerne. Den ene person, der gør det, kan lægge noget andet på dem. Det betyder, at det for den almindelige borger eller de valgtilforordnede er umuligt at bedømme om valghandlingen er forløbet korrekt. Som vi har set det i USA med valget af George Bush Jr. og Donald Trump, er tilliden til valgprocessen også af yderste vigtighed for legitimiteten af valget. Hvis en af kandidaterne bestrider resultatet, kan der opstå kaos. 

Der er andre it-systemer, der formidler de endelige valgresultater fra valgstederne til det amerikanske Indenrigsministerium, hvorfra tv-stationer kan få valgresultater til visning på valgaftenen. Der er heller ingen gennemskuelighed for sammentællingen og videreformidlingen af disse tal. Det er der for så vidt heller ikke i Danmark. 

Under det seneste præsidentvalg i 2016 blev der registreret forsøg på fra en fremmed magts side (Rusland) at pille ved i hvert fald de maskiner, der identificerer vælgerne, når de møder op på valgstedet. I princippet kan disse maskiner meddele, at en fremmødt vælger ikke er registreret og dermed ikke kan stemme. En fremmed magt eller organisation kan i princippet omhyggeligt udvælge sig valgkredse i USA, hvor det lokale valgresultat kan tippe landsresultatet til den ene eller den anden side, og inficere deres valgmaskiner på forhånd. Der har været to præsidentvalg, hvor det kun var få tusinde stemmer, der afgjorde resultatet.

Når det handler om stemmecomputere, kan hackere i princippet ikke kun ændre enkelte stemmer men millioner uden større besvær. Svindel med den manuelle papirstemmeafgivelse skalerer ikke særligt godt, og blot én persons tvivl om resultatet kan medføre omtælling.

Hør mere om elektronisk afstemning

Se denne engelsksprogede video, som en datalog, Tom Scott, har lavet til YouTube-kanalen Computerphile. Den redegør for de mange faldgruber, der er ved både internetafstemning og valgmaskiner. Han kommer endda ind på, at man ved valg i Storbritannien er så paranoide, at hver vælger får sin egen kuglepen til at sætte sit kryds med for at undgå, at en anden vælger kan udskifte den med én, hvis blæk bliver usynligt efter kort tid, hvorved efterfølgende stemmesedler kan blive erklæret som blanke eller ugyldige. Så langt er vi dog ikke gået i Danmark.

Videoen herunder, der er 8 minutter lang, har titlen, Why Electronic Voting is a BAD Idea – Hvorfor elektronisk stemmeafgivning er en DÅRLIG idé. Den er god at blive klog af.


Hvis du vil vide mere

I bogen ”Bliv sikker på nettet” er beskrevet, hvordan valgmaskiner i USA op til præsidentvalget i 2016 blev forsøgt hacket. Et NSA-dokument om dette blev lækket til et tidsskrift, der offentliggjorde uddrag af det. I bogen fortælles også om andre metoder til påvirkning af valghandlinger via Internettet, som listet herunder:
  • Side 255-257: Falske nyheder i den amerikanske præsidentvalgkamp i 2016
  • Side 263-264: Russisk indblanding i den amerikanske valgkamp
  • Side 264-265: Astroturfing – Falske græsrødder
  • Side 269-270: At lægge ord i munden på kendte personer: DeepFakes
  • Side 366-370: Folketingspolitikere og efterretningstjenesterne i lækagesag
  • Side 392-394: Verdens bedste cyberhær tilhører ikke Rusland
  • Side 396-402: Hemmelig NSA-rapport redegør for russisk hackerangreb dage før 2016-valg
Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet”.



Ingen kommentarer:

Tilføj en kommentar