Skip to content

Miksi kukaan vastustaisi sähköistä äänestystä

 

Miksi kukaan vastustaisi sähköistä äänestystä? Jotkut tekniikkakammoiset ehkä, mutta tuskin maamme parhaat asiantuntijat?

Jari Lindström on ilmoittanut, että hän puskee sähköisen äänestyksen käyttöönottoa tänä hallituskautena. Samalla monet, allekirjoittanut mukaanlukien, sanoo tätä huonoksi ideaksi.

Nyt varmasti moni ihmettelee miksi. Sähköinen äänestyshän olisi tehokasta, nopeata, helppoa ja jos sen voisi tehdä vielä kotoa netin kautta, ei tarvitsisi raahautua ulos kylmänä äänestyspäivänä. Miksi kukaan vastustaisi tätä? ICT-asiantuntijoidenhan pitäisi huutaa innosta ja kilpailla järjestelmän toimituksesta?

Miten nykyinen äänestäminen toimii?

Vaalitapamme on, kuten useimmissa sivistysmaissa, järjestetty ”esinein” ja ihmisin. Oleellisia esineitä ovat äänestyslaput, äänestyskopit, leimasimet ja uurnat. Ihmisiä äänestyspaikalla on kahdenlaisia; äänestäjiä, ja vaalitoimitsijoita. Vaalitoimitsijat valitaan eri puolueista yhdessä valvomaan vaalimenettelyn asianmukaisuutta yhdessä. Idea pohjautuu siihen, ettei kenenkään tarvitse luottaa kehenkään, jolloin vaalit saadaan hoidettua vaikka yhteiskunnassa olisi paljonkin vastakkainasettelua (kunhan vaalien turvallisuus turvataan).

Vaalitoimitsijat ja äänestäjät käyttävät näitä esineitä. Vaalitoimitsija tarkistaa äänestäjän henkilöllisyyden ja merkkaa hänet äänestyslapun saaneeksi rekisteriin, ja ojentaa hänelle äänestyslapun. Äänestäjä kävelee yksin äänestyskoppiin jotta kukaan ei voisi häntä painostaa, ja raapustaa lappuun parhaan kykynsä mukaan salaisen numeron. Sitten hän taittaa lapun, vie sen toiselle vaalitoimitsijalle leimattavaksi, ja tiputtaa sen toimitsijan valvomaan uurnaan. Niin kauan kuin kukaan ei sokeasti luota kehenkään ja valvonta on järjestetty oikein, kukaan ei esimerkiksi pysty ujuttamaan säkillistä omia ääniään uurnaan tai poistamaan sieltä annettuja ääniä. Laskenta tehdään yhdessä.

Äänestäjien ja vaalitoimitsijoiden yhteinen tehtävä on katsoa, että esineitä käytetään oikein ja että ne liikkuvat oikeasta paikasta oikeaan paikkaan. Monella olisi houkutus vähän kikkailla näiden kanssa. Se ei onnistu, jos asiat tehdään oikein.

Edellä kuvattu on siis nykyinen äänestysjärjestelmämme.

Sähköinen äänestys

Sähköistä äänestystä perustellaan helppoudella ja nopeudella. Nämä eivät kuitenkaan ole äänestysjärjestelmän ainoita arviointikriteereitä.

Se tähän asti esitetty toteutustapa sähköisestä äänestyksestä perustuu hyvin perinteiseen järjestelmäideaan; käyttäjät käyttävät käyttöliittymää äänestysautomaateilla tai verkossa, heidän syöttämänsä tiedot siirtyvät Internetin ylitse keskustietojärjestelmään ja tietoja säilytetään valtion tai jonkun yrityksen tietokoneen tietokannassa, joka nyt ei oleellisesti eroa kaikille tutusta Excel-taulukosta. Tällaisen järjestelmän osaa lähes kuka tahansa koodaustaitoinen tietonikkari toteuttaa. Samalla periaatteella toimivat monet esimerkiksi kaupoissa näkyvät palaute-automaatit, jossa saa painella hymiöitä. Taulukosta on helppo laskea äänet ja julistaa ne.

Tällainen järjestelmä on ongelmallinen siksi, että siitä katoaa kokonaan edellä kuvattu äänestäjien ja vaalitoimitsijoiden mahdollisuus valvoa äänestämisen oikeellisuutta, joka antaa julistetulle äänestystulokselle ns. demokraattisen mandaatin ja siksi voidaan julistaa sitovaksi. Siihen voi luottaa siksi, että kaikki osalliset tahot ovat päässeet sitä valvomaan.

Äänestysautomaatista ja sen tietokannasta tulee tässä mielessä äänestyspaikan vaalitoimitsijoille ja äänestäjille mystinen musta laatikko. Sen sisäisistä tapahtumista eivät läsnäolijat tiedä oikein mitään; viliseviä bittejä ei voi katsella ja kuunnella. Vaalitoimitsijat eivät silloin voi muuta tehdä, kuin tarkistaa henkilöllisyystodistuksia ja katsoa, ettei automaatille mene useampi kerrallaan – hieman kuin markettien kassatyöntekijät valvovat RAY:n pelikoneita alaikäisten käytöltä. Se, missä annettu ääni liikkuu, kuinka paljon ääniä on uurnassa ja muuttuvatko äänet matkalla tai käykö joku salaa uurnalla, jäävät täysin tietojärjestelmän toimittajan ja/tai ylläpitäjän vastuulle, koska ne ovat bittejä jonkun tietokannassa, olivat ne salattuja tai ei. Tämänlainen äänestäminen siis edellyttää, että luotamme sokeasti tietojärjestelmää hallitsevaan tahoon, joka Suomessa hyvinkin olla joku suuri IT-yritys.

Näiden järjestelmien laadustakaan ei ole mitään takeita. Ne saattavat jättää ääniä vahingossa laskematta ja niin edelleen. Lisäksi näiden tietoturva saattaa jäädä hyvinkin heikoksi, jolloin esimerkiksi yhtiön sisäinen valvonta saattaa pettää, ja antaa valtaa kolmansille osapuolille.

Tämä ei kuitenkaan ole se ainoa tai välttämättä suurin riski. Se suurin riski on siinä, että kun rakennamme äänestysjärjestelmän, joka fyysisesti sijaitsee jossain ja/tai on yhteydessä verkkoon tavalla tai toisella, siitä tulee äärimmäisen houkutteleva tietomurron kohde. Sen tietokannalla voisi harjoittaa käsittämätöntä valtaa. Yleensä kun näitä automaatteja on maailmalla ollut, esimerkiksi Yhdysvalloissa, useat ihmiset yrittävät hakkeroida niitä, ja jotkut onnistuvat. Internetissä on lukemattomia kuvauksia siitä, miten koneiden sorkkiminen onnistuu nopeasti ja hiljaa. Jotkut käyttävät samantapaisia laitehuijauksia kuin pankkiautomaateissa käytetään korttitietojen varastamiseen.

Ei ole mitenkään kaukaa haettua, että jopa vieras valtio suorittaisi pienen mutta taktisen äänimäärän hivutuksen sille suotuisalle puolueelle. Näin on saattanut jopa käydä jossain päin maailmaa.

Ongelma siis syntyy siitä, että kaavaillun tapaista sähköistä äänestysjärjestelmää ei vaalitoimitsijat tai äänestäjät voisi valvoa kuten nykyistä äänestystä. Järjestelmä ei jättäisi mitään uskottavasti aidoiksi todennettavia jälkiä äänten liikkeistä minnekään, ellei äänestysautomaatti lisäksi tulosta paperista äänestyslappua, joka viedään vaalitoimitsijoiden nähden leimattavaksi ja uurnaan. Tällöin tehokkuus ja helppous katoavat, ja ainoa hyöty saadaan siinä, että tarkistamaton äänestystulos voi julistaa muutama tunti nykyistä aiemmin. Melko kallis hilavitkutin se olisi silloin. Paljon puhutun verkkoäänestyksen ongelma olisi se, että vaalisalaisuus katoaisi saman tien monestakin syystä, ja esimerkiksi puolisot voisivat melko helposti äänestää toistensa puolesta tai painostaa toisia äänestämään heidän mielensä mukaan. Siksi tarvitaan valvottu paikka, jossa äänestäminen tapahtuu.

Voiko sähköistä äänestystä koskaan siis olla?

Toimiva ja luotettava sähköinen äänestysjärjestelmä on teknisesti mahdollinen. Se edellyttää yksinkertaisesti vain sitä, että annetut äänet jättävät jälkeensä erittäin vaikeasti väärennettäviä jälkiä, joita voidaan yhdessä valvoa. Näin tiedettäisiin virtuaalisten äänilappujen liikkeet.

Esimerkiksi hajautettu, kaikkien puolueiden valvoma ja vahvistama ns. blockchain-tietokantamahdollistaisi tämän. Äänestyskäytössä blockchain-tietokanta toimisi Excel-taulukon sijaan enemmänkin kuin vanhan ajan piirturi tai matriisitulostin, joka tallentaisi pitkälle paperirullalle tapahtumia koskaan palaamatta aiemmalle paperinpalalle. Tietokannan tieto koostuisi kaikista näistä tapahtumista, eikä sieltä voisi poistaa aiempia. Se estäisi järjestelmän tietojen ronkkimisen ilman, että siitä jäisi uusi jälki tietokantaan.

Jos äänestäjä haluaisi tarkistaa, että hänen äänensä todellakin on laskettu, riittäisi, että hän äänestyksen yhteydessä ottaisi talteen eräänlaisen salasanan, jolla asian voisi myöhemmin tarkistaa vaikkapa verkon kautta. Vastaavasti vaalivilppi olisi huomattavan vaikea teknisesti toteuttaa ja sellainen paljastuisi helposti, koska salasanat eivät vastaisi väärennetyn tietokannan tietoja.

Valitettavasti mitään tällaista ei ole Suomessa vielä hallituksen toimesta esitetty.

Valtionhallinnossa ei vielä ole sellaisia asiantuntijoita, että valtio voisi lähteä kuvaamani kaltaista luotettavaa järjestelmää rakentamaan. Sen sijaan Jari Lindström yrittää ilmeisesti väkisin tyrkyttää suomalaisille vanhanaikaista ja epäluotettavaa järjestelmää, joka paitsi voisi vaarantaa kansalaisten luottamuksen äänestysjärjestelmään myös altistaa meidät sisäisille ja ulkoisille turvallisuusuhkille. Lindströmin järjestelmä ei myöskään olisi ilmainen, vaan siitä maksettaisiin jollekin tietoyritysjätille satoja miljoonia euroja samalla kuin se olisi valmiiksi vanhentunut.

Tehdään niillä rahoilla siiis jotain järkevämpää – vaikka sitten blockchain-äänestysjärjestelmä tai vaikka sitten asuntoja ja terveyspalveluita.

Published inpolitiikka

15 Comments

  1. Lainatakseni ulkomuistista jotakuta (en tähän hätään muista ketä):

    Paperilappuäänestys takaa kolme asiaa:

    1) Kuka tahansa voi olla varma, että hänen äänensä lasketaan, kaikkien muiden äänet lasketaan ja uurnissa ei voi olla ylimääräisiä ääniä. (Ja ennen kaikkea vaikka jossain yksittäisessä äänestyspisteessä jotain vilunkia olisikin tai yksittäinen ääni menisi hukkaan, se ei voi millään olla niin laajamittaista, että se kampeaisi vaalien voimasuhteet johonkin suuntaan.

    2) Tästä huolimatta kenenkään henkilön äänestyspäätöstä ei taltioida mihinkään.

    3) Mekanismi on niin yksinkertainen, että lähes kenelle tahansa voi selittää sen ja ihminen ymmärtää ns. maalaisjärjellä, miten homma toimii.

    Väittäisin, että esim. blockhain saattaa täyttää kohdat 1 ja 2, mutta entä 3?

    • Raimo Raimo

      Lohkoketju ei helpota elektronista aanestamista. Ne eivat ratkaise jarjestelmien kiristys/lahjonta ongelmia. Nyrkkisaanto yleensakin on etta blockchainrummuttajilla ei ole mitaan hajua mista puhuvat.

      • P.A. P.A.

        Onko paperinen äänestyslippu este äänen ostolle tai kiristykselle? EI ole!
        Perusteena nettiäänestyksen rajoituksille se siksi on lähinnä vitsi.
        Käytännössä paperilappujen vaihtaminen/lisääminen on klassisin vaalituloksen manipulointi tapa joka ei blockchaineissa oikein onnistu.

  2. Erilaisissa sähköisen äänestyksen validointimekanismeissa on se ongelma, että niiden avulla autoritäärinen vanhempi, työpaikan pomo tai ääniä rahalla ostanut paikallispoliitikko voi jälkikäteen tarkistaa, äänestivätkö ihmiset varmasti oikein. Perinteisessä äänestyksessä tätä mahdollisuutta ei ole, ainakaan, jos lippujen valokuvaus estetään.

  3. Ei Kukaan Ei Kukaan

    Luonnostelemasi blockchain-äänestys nähdäkseni luo uusia painostus- ja äänten osto -ongelmia, vaatii äänestäjältä sokeaa luottamusta teknisten asiantuntijoiden rehellisyyteen, eikä toisaalta tarjoa mitään merkittävää etua verrattuna nykyiseen lappuäänestyssysteemiin.

  4. Otto Martikainen Otto Martikainen

    Paperilippuäänestyksessä nimenomaan ei voi olla varma äänien aitoudesta, kuitenkin verrattain pieni määrä ihmisiä laskee ja tarkastaa äänet, eikä äänestäjä voi todella tietää poistiko vilpillinen tarkastaja hänen äänensä.

    Blockchainissa jossa äänestäjä saa äänestään tarkisteen kukin äänestäjä voi olla varma että hänen ääni on mukana. Mikäli vaalisalaisuus säilytetään, eli ääneen ei kirjata äänestäjän henkilötietoja, ei kuitenkaan voida olla varmoja etteikö mukana olisi ylimääräisiä ääniä. Toisaalta vaikka kirjattaisiinkin voisi jokin taho väärentää ääniä niiden äänestäjien osalta jotka eivät kuitenkaan äänestäisi, sillä uhalla että vääryys huomattaisiin kun tälläinen ihminen koittaisikin äänestää.

  5. Chrisu Chrisu

    Se että pystyt tarkistamaan äänesi ei takaa että äänet lasketaan oikein….

  6. Beastial Kavu Beastial Kavu

    Vaalitoimitsijoina on kaikkien intressiryhmien edustajia, tai ainakin niin kauan on, kuin vapaaehtoisia ei tarvitse raapia kasaan kissojen ja koirien kanssa ties mistä laarin pohjalta. Systeemit yritetään järjestää niin, että yksittäinen henkilö tai yksittäinen ryhmittymä ei vastaa mistään laskennan osasta kokonaan. Tästä seuraa keskinäiseen epäluottamukseen perustuva varsin onnistunut valvonta.

    Lisäksi: yhdessä keskustelussa heitettiin ilmoille semmoinen aika jännä ajatusmalli, että jospa tosiaan koko yksittäinen vaalilautakunta päättäisi kokonaisuudessaan toteuttaa vaalivilpin. Koska siinä täytyy silloin olla yhteisellä sopimuksella mukana laajasti kaikki edustetut ryhmittymät, niin duodapa, hoksasi yksi keskusteluun osallistuva. Eikös tämmöiseen konsensukseen perustuva sopuvaali kierolla ja perverssillä tavalla sitten kuitenkin jo vastaa vaalin tarkoitusta sen vaalialueen tai -toimipisteen osalta?

    Mikäänhän ei nimittäin estä sitä, että ryhmittymät päätyisivät tällaiseen konsensukseen ennen vaalia – vaaleja ei yleisen periaatteen mukaan toimiteta, jos ei ole mitään, mistä äänestää – tai vaalien jälkeen tuloksesta riippumatta. Esimerkit ovat toki käytännössä haihattelua, mutta pistävät kuitenkin ajattelemaan, onko tuo keskinäisen epäluottamuksen järjestelmään perustuvan valvonnan ainoa – ainakin miun nähdäkseni ainoa – isompi ongelma ongelma ensinkään.

    Todellisia ongelmia ovat nimen omaan ne, jotka antavat satunnaisesti valtaa vain yksittäisille tahoille tai muuten siirtävät valtaa pois kaikkien valvonnasta.

  7. pizze pizze

    A) Kenenkään ei pidä pystyä selvittämään ketä äänestäjä äänesti ja B) äänestäjän ei pidä pystyä todistamaan ulkopuoliselle ketä hän on äänestänyt, mikä estää äänien myymisen.

    Blockchainissa seuraavat ongelmat:
    1. Mikäli vaikkapa kymmenen äänestäjää äänestää samalla sekunnilla samaa ehdokasta, voisi järjestelmä kirjata vain yhden äänen tälle ehdokkaalle ja näyttää näille kaikille kymmenelle äänestäjälle samaa varmennetta. Kymmenen erillisen äänen sijaan järjestelmään siis kirjautuisi vain yksi ja kaikki saman varmenteen saaneet luulisivat ääntä omakseen.
    2. Kohtaa 1. voitaisiin torjua sillä, että järjestelmä kirjaisi blockchäiniin mukaan yksittäisen äänestäjän tunnistavan tunnisteen, mutta tällöin vaalisalaisuutta ei olisi, koska ääni ja äänestäjä olisivat jo sisäänrakennettuna liitettyinä toisiinsa itse äänestysjärjestelmässä.
    3. Kohtaa 1. voitaisiin torjua myös niin, että äänestäjä itse lisäisi jonkinlaisen yksilöllisen varmenteen, mistä hän voisi varmasti todeta, että kyseessä on hänen äänensä. Tällöin kuitenkin varmenne olisi tiedossa äänestäjällä etukäteen ja tämä mahdollistaisi sen, että hän pystyisi todistamaan ketä on äänestänyt ja näin ollen myymään äänensä. Hän voisi etukäteen ilmoittaa tämän yksilöllisen varmenteen äänistä maksavalle taholle ja tämä taho voisi julkisesta blockchainista varmistaa, että ääni on kirjautunut oikealle taholle.
    4. Miten blockchäinissä varmennettaisiin se, että äänestämättä jättäneille ei voitaisi lisätä ääniä ja että äänestäneet ovat äänestäneet vain kerran; ja kaikki tämä niin, että ääntä ei voitaisi yhdistää yksittäiseen äänestäjään?
    5. Tällaista äänestysjärjestelmää voitaisiin aina vakoilla, vaikka ääniä ei pyrittäisikään muuttamaan, ja vakoilijat voisivat pitää kirjaa siitä ketä kukakin äänestää. Vakoilijat voisivat olla järjestelmän sisäisiä tai ulkopuolisia tahoja. Vieraan valtiovallan hakkereita, rikollisia taikka itse järjetelmän ylläpitäjiä.
    6. Järjestelmään pystyisi aina kohdistamaan palvelunestohyökkäyksiä.

  8. Antti Virtanen Antti Virtanen

    Blockchain mahdollistaa anonyymin äänestämisen siten että ääni annetaan vain kerran. Mutta kiristämistä ja vaalisalaisuuden lisäksi iso ongelma on se että kansalaisten koneet eivät ole tietoturvallisia. Se on ihan hauska ajaa pari skriptiä ja korkata itselleen 2000 huonosti ylläpidettyä konetta ja sitten äänestää vähän isommin. Ei auta yhtään vaikka varsinaisen äänestysjärjestelmän koodi olisi superhyperturvallista blockhain-koodia, jos sitä ajetaan koneessa joka on hakkerin etähallinnassa.

    Koko juttu vähän lässähtää jos ”sähköinen” äänestäminen onnistuu vain vaalipaikalta, mutta yritäpä saada ihmisten kotikoneet tietoturvallisiksi.. ei onnistu.

    • P.A. P.A.

      Tietoturva on jo parempi peruste kuin kiristäminen tai ääneten osto. Se ei vain muuta sitä seikkaa että jokainen voi määritellä itse sen tason. Kopissa olevaa piilokameraa et voi löytää koska äänestys kopista sitä sinun ei anneta sitä etsiä, sinun on vain luotettava muihin. Et voi myöskään mitenkään varmistaa että äänesi on laskettavien joukossa.
      Nykyjärjestelmässä on elettävä uskossa.
      Blockchain tiedät että äänesi on laskettavien joukossa!

  9. Ari Rotonen Ari Rotonen

    Fyysisten esineiden tärkeys tietyissä asioissa käy ilmi pienellä ajatuskokeella. Kuvitelkaa tilanne, jossa lottopalloja arpova lottokone korvattaisiin satunnaislukugeneraattorilla, eli mustalla laatikolla.

    Tuskin loton suosio ja luotettavuus siitä ainakaan kasvaisi.

  10. Erik Erik

    Ottamatta kantaa sähköisen järjestelmän etuihin tai haittoihin, niin todettakoon, ettei suomen ylistetty paperisysteemikään ole millään lailla aukoton, kaukana siitä. Jos tätä ei usko, kannattaa ensin katsoa tämä:

    http://yle.fi/aihe/artikkeli/2011/03/04/haamuaanet-kummittelevat-vaalituloksessa

    Toiseksi kannattaa tutustua Oikeusministeriön vaaliohjeisiin, jotka ovat täysin julkisia. Ohjeet leimasimien, äänestyslippujen yms. säilytyksestä ovat yllättävän ympäripyöreitä. Yo-tutkintolautakunnan ohjeet kokeiden säilyttämisestäkin ovat tiukempia.

  11. P.A. P.A.

    Niin miksipä kukaan vastustais, paitsi politikot;)

    Kaikkia pitäisi kuunnella. Sehän se edustuksellisen demokratian ongelma on, eivät äänestämiseen liitettävät uhkakuvat.

    Kun vaalisalaisuutta verrataan oikeaan äänestystulokseen (riskien hallinnan näkökulmasta perinteisessä äänestykseessä), molemmat ovat uskonnasioita joita yksittäinen äänestäjä ei voi varmentaa. Niillä nettiänestämisen kyseenalaistaminen on edesvastuutonta, koska nykyinen ei ole yhyään parempi

    Riskien hallinnan näkökulmasta jatkaminen nykyisellä järjestelmä voi sekin olla riski,… demokratialle.
    Kuten joku tuossa totesi kaikkea ei pidä tehdä verkossa. Munien kerääminen samaan koriin on riski.

    Silti haluaisin itse päättää minkä riskin otan, mitä verkossa teen. Minusta äänestämisessä verkossa voi olla pienempi riski kuin maksaminen. Laskut kuitenkin on hankala hoitaa käteisellä.
    Sen sijaan jonkun ”tampion” valinta neljän vuoden välein kertomaan minun mielipiteeni onnistuu vain ja ainoastaan fyysesti paikalle raahautumalla. Tässäkin se suurin riski on ettei kaveri ole edes samaa mieltä kanssani kun äänestys tulee eduskunnassa eteen. Meitä on muitakin näin ajattelevia, veikkaisin että valtaosa äänestämättä jättäneistä.

    Minusta asia vaatii korjaus, mutta rikkinäinen järjestelmä ei kykene korjaamaan itseään.
    Meidän itse on korjattava prosessia. Onko se mahdollista?

    On. Perustetaan ns. ”Puolue” jossa ehdokkaat painavat nappia vasta kun me kerromme mitä nappia painaa. Tuon ohjeistuksen keräämiseen tarvitaan tietysti nettiäänestys.
    Jokainen voi itse olla luottamatta eli käyttämässä sitä. Mutta meille, jotka haluamme siihen luottaa voimme valita toisin. Hienointa tässä on että voimme rakentaa äänestyskoneen itse niin kuin bitticoin on rakennettu.
    Riskien minimoimiseksi järjestelmä toimii nykyjärjestelmän rinnalla ja jyrää sen vain jos ihmiset siihen uskovat.
    Ensimmäiset neljä vuotta näyttävät suunnan. Järjestelmän rakentamisella ei kuitenkaan ole kiire. Vaikka edustajamme paikat olisivat 3 vuotta tyhjillään edustajien tulo äänestyksiin ennen vaaleja huomataan. Eduskunnan käyttö testipenkkinä on mahdollisuuden suurin hienous.
    Kun äänestäjäkunta koostuu pääosin on nukkuvista, sopivan ehdokkaan puutteesta kärsivistä, puolue ei muuta edes eduskunnan valtatasapainoa.

    Kaiken tämän tekemiseen tarvitaan vain tahtoa tehdä asiat toisin.

    Ystävät hyvät ei äänestäminen ole niin pyhää puuhaa etteikö sinäkin voisi käyttää hieman enemmän mielikuvitusta.

  12. P.A. P.A.

    sites.google.com/view/torkkujat/ niille jotka haluavat joskus päästä ihan oikeasti äänestämään netissä!

Vastaa