2 Stemmegivning og informasjons- og kommunikasjonsteknologi (IKT)
Rapport fra Einar Nødtvedt (Siv.ing&M.A.ESST), Senit AS, avlevert til Kommunal- og regionaldepartementet juni 2001.
2.1 Innledning
2.1.1 Bakgrunn
Valglovutvalget ble nedsatt i oktober 1997. Utvalget skulle gjennomgå valgloven og valgpraksis, med formål å komme med forslag til forbedringer i loven og i praktisk gjennomføring av politiske valg. Utvalget skulle også se på forholdet mellom valgordning og demokrati, og hadde i tillegg anledning til å ta opp andre problemstillinger rundt valgordningen (eks. stemmerettsalder). Utvalget leverte sin innstilling 30. januar 2001 1.
Innstillingen diskuterer på flere steder forhold rundt bruk av informasjons- og kommunikasjonsteknologi (IKT) i forbindelse med valg. I innstillingens kapittel 5: Det representative demokrati, diskuteres bruk av ny teknologi som en mulighet for å bedre tilgjengeligheten og derigjennom deltagelsen i valgprosessen 2. Kapittel 9.3: IKT og demokrati, diskuterer teknologien som mulig hjelpemiddel i en utvikling mot et mer direkte demokrati (trykk-knapp-demokratiet) der IKT-løsninger benyttes til å etablere en mer forbedret to-veis kommunikasjon mellom politikere og velgere 3. Utvalget går inn for at valgloven bør ha en generell forsøksbestemmelse som blant annet vil kunne gi rom for utprøvning av ny teknologi i stemmegivningen 4.
Det har vært en viss interesse rundt bruk av teknologi i stemmegivningen i Norge i mange år. Problemene under presidentvalget i USA høsten 2000 har skapt en ytterligere interesse og behov for å vurdere bruk av IKT i stemmegivningen. På denne bakgrunn ønsker Kommunal- og regionaldepartementet å supplere Valglovutvalgets innstilling med en tilleggsrapport som tar sikte på å analysere muligheter og begrensninger ved bruk av IKT i selve valghandlingen.
2.1.2 Leseanvisning
Rapporten er ment å være et supplement til Valglovutvalgets innstilling og bygger på det arbeidet som er gjort. Rapporten diskuterer i hovedsak rammer, muligheter og forutsetninger for utvidet bruk av moderne IKT i selve valghandlingen, dvs. den konsentrere seg om løsninger som gjør det mulig for velgeren selv å registrere sin stemme elektronisk. Notatet tar utgangspunkt i krav til funksjonalitet, sikkerhet og kostnader, og trekker i stor grad på tidligere utført arbeid både i Norge og internasjonalt. Notatet går ikke i detalj inn på de tekniske muligheter og utfordringer som ligger i IKT. Den som er interessert i dette vil finne store mengder litteratur om emnet, noe av denne er inkludert i referanselisten (se undervedlegg).
Notatet starter med en gjennomgang av historikk og status på bruk av teknologi i valghandlingen i Norge og i enkelte andre land. Deretter trekker kapittel 3 opp de grunnleggende elementer i en valgløsning. I kapittel 4 skisseres muligheter og begrensninger forbundet med innføring av elektronisk valg. Her presenteres også en del innspill fra den internasjonale debatten rundt internettvalg. Kapittel 5 beskriver de viktigste rammebetingelsene for en IKT-basert løsning, og i kapittel 6 diskuteres mulige løsningsalternativer i noe mer detalj. Kapittel 7 presenterer konklusjonen og legger fram forslag til videre arbeid.
2.1.3 Definisjoner og forkortelser
Elektronisk valg: Teknologi som gjør det mulig for velgeren å registrere sin stemme direkte i elektronisk form fra en valgterminal (telefon, PC eller dedisert utstyr).
Internettvalg: Elektronisk valg basert på bruk av internett-teknologi.
DRE: Direct Recording Electronic - teknologisk løsning som gjør det mulig for velgeren selv å registrere sin stemme til elektronisk medium ved hjelp av skreddersydd utstyr i valglokalet.
OMR: Optical Mark Reading - løsning basert på maskinell (optisk) lesing av stemmesedler for å finne markeringer, dvs. partikoder og/eller rettelser, i forhåndsdefinerte felt.
ACM: Association for Computing Machinery - USAs dataforening.
FEC: Federal Election Comission - føderalt kontor som overvåker valg I USA.
2.2 Historikk og status for IKT og valg
2.2.1 Norge
Informasjonsteknologi har vært benyttet til gjennomføring av valgoppgjør i mange år i Norge. KVALG - det gamle Kommunedatamiljøets systemløsning for valgoppgjør, har vært i drift på stormaskinplattform siden 1987. Kommunedata (Ephorma) utviklet også en systemløsning basert på elektronisk stemmegivning som ble benyttet under en folkeavstemning i 1989 i den daværende Moland kommune i Aust-Agder om sammenslåing med Arendal. Firmaet Scanvest var i en periode en betydelig leverandør av administrative systemer til kommunemarkedet, og tilbød også valgløsninger til sine kunder. Oslo kommune, og et fåtall andre, større kommuner, har benyttet optiske lesere og tilhørende beregningsmoduler ved valgoppgjør siden 1981.
Kommunal- og regionaldepartementet har siden 1995 gjennomført en godkjenningsprosess for valgoppgjørssystemer. Dette omfatter systemløsninger som benyttes til registrering av stemmegivning, sammenstilling, beregning og rapportering av valgresultat. Kravet til godkjenning ble tatt inn i valgloven for å sikre at IKT-systemene som ble brukt foretok sine beregninger på en standardisert måte. Det var også et viktig ønske å sikre at valgorganisasjonene kunne ha tillit til at systemene utførte sine oppgaver sikkert og nøyaktig. Valglovutvalget foreslår at ordningen skal avskaffes.
I 1988/89 gjennomførte Oslo kommune et prosjekt for å vurdere bruk av elektronisk stemmegivning. Det ble gjennomført en behovs- og funksjonsanalyse samt en kartlegging av markedet. I forbindelse med Oslo kommunes initiativ fremmet Kommunal- og arbeidsdepartementet et forslag om endring i valgloven for å tillate forsøksordninger med bruk av elektronisk stemmegivning. Endringsforslaget ble behandlet i Utenriks- og konstitusjonskomiteen som ikke fant å kunne gå inn for forslaget. Oslo kommune avbrøt etter dette sitt prosjekt. Gjennom sitt forprosjekt hadde Oslo kommune snakket med flere leverandører både i Norge og internasjonalt. En av leverandørene (daværende SDS) utviklet en prototype (CIVIS) og brukte denne i flere skolevalg og i demonstrasjonsøyemed.
Ved valget i 1993 søkte flere kommuner (deriblant Oslo) om tillatelse til å bruke elektroniske manntall i valglokalet på valgdagen. Oslos løsning var basert på direkte kommunikasjon fra valglokalene mot en sentral database. På grunn av en programmeringsfeil i kommunikasjonsutstyret brøt løsningen sammen relativt raskt etter at valglokalene åpnet. Dette skapte store problemer for gjennomføringen av valget i Oslo, og medførte at tilliten til tekniske løsninger til bruk ved valg fikk en betydelig knekk både i Stortinget og blant publikum generelt. Det er grunn til å merke seg at selv om Bergen kommune, som benyttet en annen (PC-basert) løsning, ikke hadde de samme problemene, så oppstod det også der køproblemer i forbindelse med manntallsavkryssingen.
Ephorma har utviklet en internettløsning for stemmegivning som er blitt benyttet ved valg av tillitsvalgte i Telenor. I Moland kommune i Hordaland gjennomføres det for tiden et omfattende teknologisk eksperiment der all kommunens innbyggere blir gitt bredbåndsaksess. Det finnes flere initiativ som ønsker å utnytte denne teknologien, og internettvalg er en mulig utnyttelse.
2.2.2 USA
I USA har man vesentlig lengre og mer omfattende erfaring med bruk av IKT i forbindelse med valg enn i Norge. Følgende tabell gir en oversikt over metoder/teknologier som ble benyttet ved valgene i 1996 5 og 1988 6:
Tabell 2.1 Tekniske løsninger i USA
| Teknologi | 1996 | 1988 |
| Papir | 1,7 % | 11,3 % |
| Spakterminaler | 20,7 % | 33,9 % |
| Hullkort | 37,3 % | 44,6 % |
| Optisk lesning - OMR | 24,6 % | 7,5 % |
| Direkte elektronisk - DRE | 7,7 % | 2,7 % |
Tradisjonelle papirstemmesedler som håndtelles benyttes, som vist i tabellen, i stadig færre valgkretser. En annen teknologi som er på vei ut er såkalte spakterminaler (lever machines). Dette er mekaniske enheter der velgeren indikerer sine valg ved å løfte en spak som står ved siden av hver enkelt kandidat/sak. Stemmen registreres ved at velgeren drar i et håndtak (dette gjøres i mange tilfeller automatisk når velgeren forlater avlukket) som overfører velgerens markeringer til et sett med tellehjul.
Hullkortteknologien ble tatt i bruk på 60-tallet, og er i stor grad basert på forhåndsperforerte kort der velgeren markerer sine valg ved å presse ut en bit av stemmeseddelen ved hjelp av en spesiell pinne. Det var denne type løsning som ble brukt i de distriktene i Florida som hadde de største problemer ved fjorårets presidentvalg. Et av de store problemene med denne teknologien er at de forhåndsperforerte feltene i noen tilfeller ikke faller helt av, men blir hengende i en eller flere sider (hanging chad). Hvis velgeren ikke presser hardt nok, eller hvis maskinen ikke tømmes regelmessig, kan man også oppleve at velgeren bare oppnår å lage en bulk i den forhåndsperforerte biten uten at denne løsner (pregnant chad). Problemene med denne teknologien har vært kjent lenge 7. Dette har imidlertid ikke forhindret at teknologien fortsatt er den mest vanlig brukte i USA.
Den mest utbredte av de nyere teknologiene er optisk lesning - også kalt OMR (Optical mark reading). Dette er en teknologi som er lik den Oslo og noen andre norske kommuner (Drammen, Trondheim) har benyttet i de siste tiår. Velgeren markerer sine valg med (spesial) penn på en spesielt utformet stemmeseddel. Stemmeseddelen mates inn i en optisk leser som automatisk tolker markeringene og lagrer resultatet i elektronisk form. I USA finnes det to alternative løsninger for lesing av stemmesedler, stemmesedlene kan leses enten i det velgeren legger den i urnen, eller sentralt i valghovedkvarteret etter at valget er avsluttet (Oslos modell)
Direkteregistrert elektronisk stemmegivning (DRE) er den nyeste og mest avanserte løsningen som for øyeblikket er i bruk i USA. Med denne løsningen registrerer velgeren selv sin stemme i elektronisk form fra spesielle valgterminaler basert på IKT. I USA er denne typen systemer stort sett modellert etter de tradisjonelle spakterminalene. Hele stemmeseddelen er synlig på maskinens frontpanel, og velgeren markerer sine valg ved å trykke på «knapper» ved siden av sine kandidater/saker. Stemmene registreres direkte i elektronisk minne.
Det er i USA gjennomført enkelte prøveprosjekter der Internett har blitt brukt i politiske valg. Det finnes flere leverandører som tilbyr valgløsninger basert på internetteknologi. Disse systemløsningene har i hovedsak vært benyttet i valg til styrer i næringsliv og frivillige organisasjoner. Primærvalget til presidentkandidat for det demokratiske parti i Arizona våren 2000 var det første bindende, offentlige valg der Internett ble brukt i tillegg til tradisjonell stemmegivning. Erfaringene fra dette forsøket var i hovedsak positive, men det har i ettertid blitt reist flere innvendinger mot gjennomføringen.
USA har en egen føderal institusjon, Federal Election Commission 8, som bistår statlige og lokale myndigheter i forbindelse med de fleste aspekter rundt valg og valgoppgjør. FEC har blant annet utviklet en egen standard for test og godkjenning av valgsystemer. Denne standarden er kun rådgivende, og det er frivillig for leverandører og la seg teste. Det virker imidlertid som om standardene har en viss tyngde, og de fleste valgorganisasjoner ser ut til å foretrekke løsninger fra leverandører med godkjente systemer. Standarden er nå gjenstand for en revisjon og kommer til å få med krav til internettløsninger.
2.2.3 Sverige
Sverige gjennomførte en valglovsutredning tidlig på nittitallet. I en delrapport fra utvalget diskuteres bruk av teknologi i valghandlingen 9. På dette tidspunkt var ikke Internett noe reelt alternativ, og utredningen analyserte primært løsninger basert på DRE teknologi og optisk lesning. Konklusjonen var at det ikke ble ansett som økonomisk forsvarlig å satse på DRE utstyr i Sverige. Til det er det for få valg, utstyret for kostbart, og det svenske valgsystemet for forskjellig i forhold til de land der denne type teknologi er utbredt. Dette ble vurdert til å ville medføre omfattende tilpasninger som ville fordyre løsningene ytterligere.
Sverige har nylig avsluttet en ny utredning av tekniske og administrative forhold rundt valgavviklingen. Sluttrapporten diskuterer blant annet bruk av Internett i stemmegivningen. I en SOU (2000:125) presenteres utvalgets arbeid og konklusjoner 10. I løpet av utredningen har utvalget tatt kontakt med alle medlemsland i EU samt Norge, Island og Sveits for å kartlegge hvilke land som har gjennomført eller planlegger å gjennomføre internettvalg eller forsøk med samme. Kartleggingen viser at det ikke er noen europeiske land som har gjennomført politiske valg ved hjelp av Internett. Enkelte land er i ferd med å innføre elektroniske valg, men disse er foreløpig basert på dedisert utstyr (ref. DRE).
Utredningen definerer fem grunnleggende krav som må være oppfylt i forbindelse med internettvalg:
Bare personer med stemmerett skal kunne avgi stemme
Det skal bare være mulig å avgi en stemme pr. stemmeberettiget
Krav til hemmelig valg må være absolutt
Avgitt stemme må ikke kunne endres av noen annen
Systemet må kunne sammenstille valgresultatet på flere nivå.
I utredningen presenteres et forslag til teknisk løsning for stemmegivning over Internett som etter utvalgets mening dekker de grunnleggende krav. Utvalget er i hovedsak positive til internettvalg, men på grunn av sikkerhetsmessige forhold, og frykt for at velgerne ikke skal ha tillit til Internett som sikkert medium, tror de ikke tiden er moden for en omfattende bruk av internettvalg. Utvalget anbefaler en trinnvis implementering der man først har som mål å kunne tilby en løsning som baserer seg på bruk av stemmeterminaler i kontrollerte omgivelser (valglokalet). Som et første steg på veien til dette målet anbefaler man at det startes forsøk under skolevalgene i forbindelse med valget i 2002.
2.2.4 Øvrige land
Det arbeides med videreutvikling av valg og valgsystemer i mange land. Enqueten som ble gjennomført av det svenske valglovutvalget (se punkt 2.3) viser at selv om det er stor interesse for internettvalg hos valgansvarlige over hele Europa så er usikkerheten stor. Det er mange land som ønsker å komme i gang med forsøksvirkomhet, men det later ikke til at det er noen som vurderer Internett som et fullverdig alternativ på kort sikt.
Belgia og Nederland er de land som er kommet lengst i innføringen av elektroniske valgløsninger. I Nederland er 80 prosent av alle stemmer elektroniske 11, man ønsker å gjennomføre forsøk med bruk av Internett i stemmegivningen ved valgene i 2003. I Belgia kunne alle som ønsket det avgi stemme elektronisk ved siste valg. I Irland har regjeringen i prinsippet besluttet å innføre elektroniske valg. Der har man konkludert med at man ikke skal benytte Internett i første omgang. I Storbritannia arbeides det aktivt med å forbedre dagens valgsystem, men det finnes ingen planer om å ta i bruk Internett i selve valghandlingen.
2.3 Valgsystem
2.3.1 Dagens løsning
Valghandlingen har tradisjonelt (dvs. de siste 150 år) vært gjennomført i kontrollerte valglokaler som administreres av en «profesjonell» valgorganisasjon, og overvåkes av politiske utnevnte kontrollører. Prinsippet om hemmelig valg, dvs. at velgeren skal kunne avgi sin stemme i enerom uten innsyn og mulighet for påvirkning fra andre, er en sentrale bærebjelke i valghandlingen.
I dagens valgsystem er hovedprinsippet at velgeren forutsettes å komme til sitt valglokale (dvs. der han eller hun er manntallsført) for å avgi stemme. I Norge er det også mulig å avgi stemme i andre valglokaler på selve valgdagen (fremmedstemme). I tillegg gir den norske (og de fleste andre lands) valglov velgeren mulighet for å stemme før valgdagen (forhåndsstemme). Forhåndsstemmegivningen var i Norge opprinnelig ment som et alternativ for de som hadde «gyldig» grunn til å være borte på selve valgdagen. Senere endringer i valgloven har svekket kravet til dokumentasjon av gyldig fravær, og Valglovutvalget anbefaler at forhåndsstemmegivning skal være tilgjengelig uten begrensninger eller kontroll for alle som ønsker det.
Ved fremmøte kontrollerer valgfunksjonæren at velgeren er stemmeberettiget ved å kontrollere velgerens navn (og eventuelt tilleggsopplysninger) mot manntallet. Etter godkjenning settes det kryss i manntallet, og samtidig får velgeren en stemmeseddelkonvolutt. Velgeren går deretter til valgavlukket der han/hun skjermet fra innsyn velger en partiliste. Om ønskelig kan velgeren foreta rettelser på partilisten. Velgeren legger så stemmeseddelen i konvolutten og legger deretter konvolutten i valgurnen.
I mange kommuner er det vanlig å gjennomføre den foreløpige opptellingen av stemmesedlene i valglokalet og finne antall stemmer som er avgitt pr. parti i kretsen. Stemmesedlene overføres deretter til den sentrale valgadministrasjonen for videre behandling, det vil si endelig opptelling og oppgjør, herunder mandatfordeling og kandidatkåring, av alle kretsene samlet. I andre kommuner utføres både den foreløpige og den endelige opptellingen sentralt hos valgstyret.
2.3.2 Overordnet prosessbeskrivelse
Valghandlingen slik den er beskrevet over (stemmegivningen og valgoppgjøret) kan deles inn i følgende sentrale aktiviteter:
Identifisering av velgeren/den stemmeberettigede
Stemmegivning
Lagring av avgitte stemmer
Transport/overføring av avgitte stemmer og ev. foreløpig resultat
Telling, sammenstilling og beregning.
Identifisering
Identifiseringen har to hovedformål: sikre at bare de som er stemmeberettigede får avgi stemme, og sperre for at velgeren kan stemme flere ganger. I Norge er det manntallet som angir hvem som er stemmeberettiget i en krets/kommune. I dagens valgløsning blir det offisielle manntallet utlagt i det enkelte valglokalet. Valgfunksjonæren kontrollerer at velgeren er registrert, at han ikke allerede har stemt, og krysser av i manntallet.
Forhåndsstemmen er etter gjeldende lov å betrakte som endelig, dvs. at velger som har avgitt forhåndsstemme ikke kan stemme på nytt på valgdagen. For å sikre seg mot at en som har stemt på forhånd også stemmer på valgdagen, blir manntallet oppdatert slik at alle som har avgitt forhåndsstemme er krysset av i en egen kolonne. Muligheten for at en forhåndsstemme kan være avgitt i annen kommune like før valget (opptil dagen før) gjør at det kan oppstå situasjoner der en forhåndsstemme ikke har kommet fram til hjemkommunen før valgtinget åpner. Hvis en velger i slike tilfeller avgir stemme på valgdagen, innebærer dette at forhåndsstemmen må underkjennes.
Den norske valgloven inneholder en bestemmelse som tillater velgeren å avgi stemme i andre lokaler enn der han/hun er manntallsført (fremmedstemme). Fremmedstemmene behandles spesielt og lagres i omslagskonvolutt som identifiserer velgeren. Hvis velgeren prøver å avgi stemme på flere steder/måter, er det valgtingsstemmen fra hjemmekretsen som skal telle. I kommuner med mer enn ett valglokale må det derfor etableres et kontrollapparat som sikrer mot at velgeren får avgitt dobbeltstemme.
Stemmegivning
Etter at velgeren er identifisert gis han/hun mulighet for å avgi en (og bare en) stemme pr. valg (kommune, fylke, storting). Den norske valgordningen gir mulighet for et kombinert parti/personvalg. I kommunevalget er velgerens mulighet for å påvirke hvem som blir valgt meget stor gjennom muligheten for rettinger, dvs. kumuleringer, strykninger og slengere, og valgsystemets følsomhet for slike rettinger. Ved stortingsvalg er rettemulighetene mer begrenset, og påvirkningseffekten er svært teoretisk, i og med at mer enn 50 prosent må ha gjort samme endring for at det skal kunne påvirke kandidatkåringen.
Dagens valgsystem, der velgeren stemmer i enerom i et kontrollert miljø, er en av de beste garantier mot salg av stemmer eller utilbørlig påvirkning av velgeren. For alle valgløsninger som baserer seg på stemmegivning utenfor kontrollerte lokaler er beskyttelse mot denne type mislighold eller påvirkning svært vanskelig.
Lagring
Etter at velgeren har avgitt sin stemme må stemmeseddelen oppbevares på en forsvarlig måte til valget er ferdig og opptellingen kan begynne. I den norske valgloven er det stilt spesielle krav til oppbevaring av forhåndsstemmer. Stemmer avgitt i valglokalet oppbevares i dag i urnen fram til valglokalet stenger og stemmene enten undergis foreløpig opptelling i stemmelokalet eller fraktes til sentralt opptellingssted.
Overføring
Velgeren avgir sin stemme i et valglokale som normalt ligger et annet sted en opptellingslokalet. Dette innebærer at velgerens stemme må overføres. I dagens papirbaserte løsning innebærer dette transport av valgurner eller esker med stemmesedler. Dette er en type transport som kan beskyttes ved hjelp av fysisk sikring.
Oppgjør
Valgoppgjøret foretas etter at alle stemmer er samlet inn og eventuelle «dobbelstemmer» (ref. forhånd/fremmed) er eliminert. Tellingen utføres i to steg: Først en foreløpig telling som kan gi en første idé om valgresultatet, og deretter en endelig telling der det tas stilling til eventuelle forkastelser og der alle rettelser også tas med. Etter at alle stemmer og rettelser er talt opp, gjennomføres valgoppgjøret som beregner mandatfordelingen og kandidatkåringen. De fleste norske kommuner benytter allerede i dag en eller annen form for IKT-basert oppgjørssystem. Selve oppgjørsprosessen vil derfor i liten grad påvirkes av innføring av nye elektroniske løsninger for stemmegivning.
2.3.3 Krav til valgløsninger
Grunnleggende krav
Retten til å avgi stemme er en fundamental rettighet, og valghandlingen er en av bærebjelkene i det demokratiske system. Valgapplikasjonen er spesiell ved at den bare benyttes i en begrenset periode hvert annet år. Når systemet er i bruk er imidlertid oppmerksomheten rundt bruken stor, og kravet til pålitelighet høyt. Det må derfor stilles spesielle krav til IKT-applikasjoner som skal støtte valghandlingen. Saltman (1988) 12 definerer tre hovedkrav til valgsystemer:
nøyaktighet
integritet
sikkerhet
Nøyaktighet innebærer at systemløsningen så langt det er praktisk mulig registrerer og behandler stemmene korrekt, uten å introdusere feil og mangler. Det er i denne sammenheng verdt å nevne at det er betydelige feilkilder i manuell håndtering av stemmesedler (dobbeltstemmer, stemmesedler som mistes, sedler som telles mer enn en gang, manglende telling, feiltelling etc.). Kravene til IKT løsninger bør være at de gir en høyere nøyaktighet enn manuelle systemer, ikke at de skal være fullstendig feilfrie.
Med systemets integritet menes at løsningen gjør alt det den er ment å gjøre, og ikke noe som den ikke skal gjøre. I et IKT-system innebærer det at det må være garantier mot at såkalt skjult kode legger til eller fjerner stemmer eller på annen måte påvirker resultatet på en utilbørlig måte. For å sikre seg mot at systemet inneholder «uønsket funksjonalitet» som kan påvirke valgresultatet må det gjennomføres omfattende tester for å kontrollere systemet.
Sikkerhet mot misbruk, feil og sabotasje er et nøkkelkrav. Valgsystemet må være sikret mot misbruk, det vil si forsøk på manipulering av valgresultatet, både fra den enkelte velger, fra valgfunksjonær og fra eksterne aktører. Systemet må videre være sikret mot feil på utstyr og programvare, og det må inneholde funksjonalitet som gjør det vanskelig for både velger og valgfunksjonær å gjøre feil. En annen sikkerhetsrisiko er sabotasje fra velger, funksjonær og tredje part.
I den moderne, demokratiske tradisjon er i tillegg prinsippet om hemmelig valg viktig. Velgeren skal avgi sin stemme i enerom, uten mulighet for innsyn eller utilbørlig påvirkning fra andre. Utfra dette prinsipp blir personvernet og sikkerhet for at valghandlingen er hemmelig et viktig krav. Ved valg av systemløsninger bør også hensynet til beskyttelse mot salg av stemmer ivaretas.
Saltman og flere andre valgeksperter legger stor vekt på at valgløsninger må være åpne for innsyn og kontroll. Det må være mulig for valgorganisasjoner og valgkontrollører uten spesiell IKT-kompetanse å forsikre seg at prosessen har gått som ønsket. Bruk av logger (audit trails) og kontrollrapporter vil være et viktig verktøy for valgorganisasjonene til å dokumentere at valget har blitt gjennomført på en nøyaktig og sikker måte, og at velgernes og systemets integritet er i behold. Det er også mange som mener at det er svært viktig at det er mulig å gjennomføre en manuell kontrolltelling 13.
I den siste svenske valgutredningen og i enkelte amerikanske kilder legges det også vekt på at velgeren selv må ha muligheten til å kontrollere sin egen stemme etter at den er avgitt. Den svenske valglovutredningen har spesifisert en løsning som vil åpne for innsyn i stemmegivninger fra velgeren og velgeren alene.
Brukeraksept
IKT generelt og Internett spesielt åpner for mange nye muligheter i forbindelse med gjennomføring av politiske valg. Internett ble imidlertid ikke utviklet primært for sikre transaksjoner, og løsninger som benytter Internett er sårbare for misbruk og sabotasje. Det har forekommet mange sikkerhetsproblemer, og disse er blitt utførlig beskrevet gjennom massemedia. Ved en eventuell bruk av internett-teknologi i valghandlingen blir det derfor en stor utfordring å kunne presentere en løsning som inngir tillit hos tilnærmet alle velgere.
Innføring av IKT-baserte valgløsninger vil stille store krav til brukervennlighet. Et godt system for valg bør være enkelt å bruke samtidig som det sikrer at velgeren ikke kan gjøre feil. Det er imidlertid et problem at krav til sikkerhet og personvernhensyn ofte virker i motsatt retning av brukervennlighet og fleksibilitet. Det er en stor utfordring å legge forholdene til rette slik at valghandlingen ikke blir komplisert og vanskelig å gjennomføre som følge av kontroll og sikkerhetsmessige aspekter.
Tilgjengelighet
Ved valg av systemløsning for stemmegivning er det viktig at løsningen ikke virker diskriminerende. Selv om store deler av befolkningen har tilgang på Internett så er det fortsatt en betydelig gruppe som ikke kan eller vil bruke denne type teknologi. I overskuelig framtid vil det derfor være behov for å tilby denne gruppen en mulighet for å avgi stemme i tradisjonelle valglokaler ved hjelp av stemmesedler i papir.
2.4 Forutsetninger og rammer for bruk av IKT i valg
2.4.1 Gevinstmuligheter
Utvidet bruk av IKT i selve valghandlingen gir mange gevinstmuligheter. De viktigste blant disse anses å være:
tilgjengelighet
enkelhet
sikkerhet (mot menneskelige feil)
hurtighet
Motivasjonen bak å ta i bruk ny teknologi ved stemmegivning er i stor grad ønske om å bedre valgdeltagelsen. Vestlige demokratier har i de siste tiår opplevd at valgdeltagelsen faller. Lav valgdeltagelse kan ses som en trussel mot demokratiet, og de fleste land og politikere jakter på tiltak som kan snu den fallende trenden. Bruk av moderne teknologi, og da særlig bruk av Internett, oppfattes av mange som en måte å forenkle valghandlingen og derved å øke valgdeltagelsen. Internett-teknologi gir også forbedret mulighet for å avgi stemme for velgere med forskjellige typer handikap. Særlig vil velgere med syns- og bevegelsesvansker lettere kunne avgi sin stemme.
For å avgi stemme må man i dag begi seg til et stemmelokale. I en travel hverdag kan dette være et problem for mange. Endringene i valgloven når det gjelder forhåndsstemmegivning har i noen grad hatt som mål å gjøre det enklere å stemme. En åpning for å avgi stemme hjemmefra vil kunne være et annet tiltak for å oppnå det samme. Håpet er at ved å gjøre det enklere å avgi stemme så vil deltagelsen øke. Det argumenteres også for at internettteknologien er de unges medium, og ved å åpne for stemmegivning over Internett håper man å kunne trekke de unge med i valget.
Dagens stemmebehandling er basert på et stort antall manuelle aktiviteter, noe som innebærer at det er et stort rom for feil i håndtering av avgitte stemmer. Et godt, elektronisk valgsystem vil kunne bidra til å redusere velgerens mulighet til å gjøre feil som kan føre til at stemmen forkastes. IKT-løsninger vil også forenkle og delvis eliminere den manuelle behandlingen av stemmesedler, dvs. mottak, sortering, transport, og telling. Forkjemperne for elektroniske valg argumenterer for at man ved direkte registrering reduserer antall steg i prosessen fra velgerens intensjon til ferdig opptalt stemme, og at når stemmen finnes i elektronisk form og telles av en maskin kan det ikke oppstå feil i denne delen av prosessen.
Presset fra publikum, og kanskje særlig media, på valgorganisasjonen om raskest mulig presentasjon av resultater er stort. Innføring av ny teknologi vil kunne bidra til at dette kravet kan imøtekommes. For rask offentliggjøring av resultater tidlig har ført til flere overtramp (eksempelvis ble Florida gitt først til Gore, deretter til Bush og tilslutt ført opp som - «too close to call» i løpet av valgnatten).
2.4.2 Ulemper/Risikofaktorer
Samtidig som det utvilsomt finnes store potensielle gevinster ved innføring av IKT så finnes det også ulemper og risikofaktorer. Blant de viktigste av denne type elementer er:
feil fra velger, valgfunksjonær
misbruk, dvs. forsøk på å påvirke valgresultatet på en ulovlig måte
sabotasje, dvs. forsøk på å forhindre andre fra å stemme
personvern, hemmelig valg, stemmesalg
tilgjengelighet
valghandlingen som høytid.
Innføring av teknologi i en prosess vil alltid introdusere elementer av risiko. Store deler av kostnadene forbundet med utvikling og drift av IKT-systemer er nettopp rettet mot å beskytte systemet mot sabotasje, feil og misbruk.
Et godt IKT-system til bruk i valg må ha innebygget beskyttelse mot feil. Velgerne må hjelpes slik at de trygt kan registrere sin egen stemme uten at den blir rotet bort eller ødelagt. Valgfunksjonærene må forhindres fra ved en feil å slette eller ødelegge data. Løsningen må sikres mot feil i programvare og på alle utstyrskomponenter (inkludert strømforsyning og kommunikasjonsnettverk). Denne type teknisk sikring etableres gjerne ved hjelp av duplisering i komponenter, og gjennom omfattende tester av funksjonalitet.
I et valgsystem må det bygges inn sikkerhet som hindrer både velger, valgfunksjonær og eksterne i å påvirke resultatet på en utilbørlig måte. Denne type sikkerhet fordrer gode rutiner for identifisering og overføring. Data må lagres på en sikker måte og forsøk på inntrenging må kunne identifiseres og stoppes.
Internettløsninger har vist seg særlig sårbare for sabotasje, og dette, kombinert med den oppmerksomhet som ligger i et valg, gjør at det er spesielt viktig å beskytte seg mot angrep hvis en åpen internettløsning blir valgt. Amerikanske kilder (f.eks. Avi Rubin 14) fokuserer på tre primære trusler ved bruk av åpen internettløsning:
Sperreangrep (Denial-of-service)
Stemmetyveri
Villedning (misdirection)
Sperreangrep oppstår når en eller flere eksterne aktører prøver å stoppe et nettsted ved å drukne det i trafikk slik at vanlige brukere ikke kommer gjennom. Store kommersielle nettsteder som eBay og Amazon har flere ganger opplevd slike angrep.
Stemmetyveri innebærer at velgerens stemme fanges opp og/eller endres på veien mellom valgterminalen og serveren. Dette kan skje enten på velgerens terminal (virusprogram) eller i overføringen fra valgterminal til server. Et slikt stemmetyveri kan gjennomføres ved hjelp av et såkalt «trojansk hest» virus. Dette er programkode som lastes inn på en PC fra Internett uten at brukeren merker dette. Programmet vil startes av forhåndsdefinerte parametre (for eksempel dato - valgdagen) og vil da kunne gripe inn i valghandlingen uten at velgeren merker dette. Det er mulig å beskytte seg mot stemmetyveri ved hjelp av kryptering og viruskontroll.
En siste viktig trussel er villedning. Her lures velgeren til å tro at han har kommet til det autoriserte valgstedet mens han/hun i virkeligheten er havnet på hjemmesiden til en svindler.
Prinsippet om hemmelig valg står sentralt i det norske (og vestlige) demokrati. Innføring av IKT-løsninger innebærer at det må legges vekt på å sikre personvernet, spesielt velgerens egen oppfatning av hemmelighold. Tillit vil være av avgjørende betydning for å ta i bruk løsningen. Utsending av velgeridentifikasjon i form av valgkort, PIN-koder etc. vil representere en betydelig risiko, og vil også medføre store kostnader. Valgsendingen kan stjeles, og ved mulig overgang til desentralisert stemmegivning forsvinner dagens visuelle kontroll av kjønn og alder. Ved å flytte stemmegivningen ut av kontrollerte lokaler åpner man også for utilbørlig press fra omgivelsene og for mulig salg av stemmer.
Det er ikke gitt at alle velgere uten videre vil akseptere (ha tillit) til en elektronisk løsning. De fleste har hørt skrekkhistorier om feil og sammenbrudd i tekniske løsninger. Noen vil på grunn av økonomi, alder, teknologiforståelse eller andre forhold kunne føle seg presset til å la være å stemme. Det er derfor antatt at man i overskuelig fremtid vil måtte opprettholde den tradisjonelle løsninger for stemmegivning parallelt med nye, elektroniske. En slik duplisering av stemmesystemer vil fjerne de fleste av de potensielle gevinster ved elektronisk stemmegivning over Internett. Innføring av ny teknologi vil medføre en vesentlig kostnadsøkning, uten at man oppnår store forbedringer.
Tilgang til Internett er ikke likt fordelt i befolkningen. Mange frykter derfor for at innføring av denne type løsninger vil favorisere velstående og velutdannede velgere. Dette anses å være et spesielt stort problem av amerikanske kommentatorer. Det legges derfor av alle vekt på at det skal etableres ekstra valgterminaler i offentlige lokaler (bibliotek, kommunehus etc.). Det er verdt å understreke at intet valgsystem vil være helt nøytralt når det gjelder tilgjengelighet. Dagens løsning kan sies å favorisere folk med god tid.
Et siste argument mot internettvalg som ofte fremføres er vurderingen av valghandlingen som en høytidelig handling. Det er mange observatører som understreker viktigheten av denne typen ritualer. Velgeren må i dag (stort sett) begi seg til et valglokale der han identifiserer seg og mottar en stemmeseddelkonvolutt før valghandlingen utføres skjermet fra innsyn i et eget avlukke. Stemmeseddelen plasseres i valgurnen under kontroll av valgfunksjonær. Hele prosessen er spesiell og preget av en viss høytidelighet. Det er imidlertid viktig å være oppmerksom på at man ved den utvidede mulighet for forhåndsstemmegivningen, og da særlig stemmegivning på Posten, allerede har åpnet for stemmegivning i «vanlige» omgivelser uten særlig preg av høytid.
2.4.3 Kostnader
Gjennomføring av valg medfører en betydelig kostnad for de lokale valgorganisasjonene og sentrale myndigheter. Kostnadene kan deles inn i følgende hovedkategorier:
Materiell (informasjonsmateriell, stemmesedler, konvolutter)
Utstyr (valglokalet, valgavlukker, datamaskiner)
Personell (valgadministrasjon, stemmemottak, opptelling)
Tall fra Valglovutvalgets innstilling antyder at de direkte kostnader på kommunalt nivå for å motta en stemme ligger på 20-30 kroner 15. I tillegg kommer kostnader som dekkes på sentralt nivå. Tall fra den svenske valglovinnstillingen fra 1992 indikerer en totalkostnad pr. stemme på nærmere 80 kroner 16. Innføring av ny teknologi vil kunne bidra til å redusere kostnader på mange områder. Ved å fjerne (ev. redusere behovet for) stemmeseddelen spares trykkekostnader. Norge har en meget liberal politikk når det gjelder trykking og distribusjon av stemmesedler. Særlig for kommuner som benytter optisk lesing (som krever spesiell kvalitet og nøyaktighet i trykket) utgjør stemmesedler en vesentlig kostnad.
Innføring av ny teknologi vil normalt medføre reduksjon i bemanningen. Løsninger som gir velgeren adgang til selv å registrere sin stemme på elektronisk medium vil redusere behovet for manuell behandling av stemmesedler. Desentralisert stemmegivning via åpne internettløsninger vil også redusere behovet for bemanning i valglokalene. Elektronisk valg vil medføre at stemmene er tilgjengelig elektronisk noe som vil bidra til å redusere behovet for tellekorps. Det er i denne sammenheng viktig å være oppmerksom på at valgorganisasjonen delvis er bemannet med frivillige som mottar en relativt beskjeden godtgjørelse for sin innsats.
Utvidet bruk av IKT vil imidlertid medføre en økning i utstyrskostnader både til anskaffelse og ved drift. Ved bruk av dedisert utstyr (dvs. utstyr som utelukkende kan/skal benyttes til valg) er det er viktig å være oppmerksom på at for en systemløsning til valgformål, som bare skal være i bruk i en meget begrenset periode vært annet (fjerde?) år, må det stilles spesielt stor krav til gevinst. Det er videre et viktig punkt at bruk av dedisert utstyr normalt vil gi en vesentlig høyere anskaffelseskostnad enn bruk av standard utstyr. Ved bruk av generelt utstyr (dvs. PC) må man være oppmerksom på at den raske teknologiske utviklingen vil kunne føre til behov for hyppig oppgradering eller utskifting av utstyr. Klargjøring av utstyr for bruk i valg vil også være en kostnad så lenge det er valgorganisasjonen som står som ansvarlig for valgterminalene.
2.4.4 Internettvalg - diskusjoner internasjonalt
Internettvalg har for tiden en relativt stor oppmerksomhet. I dette kapittelet oppsummeres enkelte diskusjoner rundt temaet fra internasjonale (primært amerikanske) kilder.
California Internet Voting Task Force
I USA finnes det et stort antall grupperinger som er engasjert i diskusjoner rundt bruk IKT, og da særlig Internett, ved stemmegivning. Staten California har nedsatt en komité (California Internet Voting Task Force) som leverte en rapport i januar 2000 17. I et vedlegg til utvalgets rapport blir de tekniske aspekter rundt internettvalg diskutert relativt detaljert. Arbeidsgruppen er i utgangspunktet positive til bruk av Internett i valghandlingen, men påpeker at det er lite rom for feil i gjennomføringen av valg. Gruppen understreker at de sikkerhetsmessige utfordringene forbundet med åpent internettvalg er formidable, og de konkluderer med at det for tiden ikke finnes noen fullgode løsninger for gjennomføring av internettvalg.
Arbeidsgruppen konkluderer med at på kort sikt må innføring av internettvalg være et supplement til og ikke en erstatning for dagens valgsystemer. Gruppen anbefaler videre en evolusjonær snarere enn en revolusjonær strategi der man innfører internettstemmegivning i følgende fire steg:
valglokale med manuell velgerkontroll (manntallsavkryssing)
offentlig lokale med manuell velgerkontroll
offentlig lokale med automatisk velgerkontroll
vilkårlig (privat) lokale med automatisk velgerkontroll
En slik stegvis innføring vil gjøre det mulig for valgorganisasjoner og myndigheter å lære hvordan prosessene kan utvikles, og vil samtidig muliggjøre en nødvendig utvikling av sikkerhetsteknologien. Ved å gjennomføre innføringen stegvis oppnår man også å redusere risikoen for alvorlige feil.
ACM (Association for Computing Machinery - USAs dataforening)
ACM har engasjert seg i diskusjonene rundt bruk av IKT og internettvalg gjennom sin publikasjon: The Risk Digest. I desember 2000 utgaven advarer diskusjonsforumets administrator, Peter Neumann 18, mot at man skal bruke problemene som oppstod under presidentvalget i år 2000 som et påskudd til ukritisk å ta i bruk Internett i valghandlingen. Neumann mener at internettvalg ikke er noe reelt alternativ før man har funnet forsvarlige løsninger på problemene rundt sikkerhet og personvern.
Det er i USA gjennomført enkelte prøveprosjekter der Internett har blitt brukt i politiske valg. Primærvalget til presidentkandidat for det demokratiske parti i Arizona våren 2000 er det første bindende, offentlige valg der Internett ble brukt i tillegg til tradisjonell stemmegivning. Ved gjennomføringen av dette valget kunne man stemme både over Internett og på tradisjonell måte i valglokalet. Stemmegivning via Internett var ikke tilgjengelig på selve valgdagen. Erfaringene fra dette forsøket var i hovedsak positive, blant annet gikk valgdeltagelsen betydelig opp. I ettertid har det blitt reist flere innvendinger mot gjennomføringen. Blant de viktigste innvendingene har vært påstanden om at det ikke var lik tilgang for alle velgere til å avgi sin stemme. I tillegg har det vært rettet kritikk mot sikkerheten, særlig i håndtering av velgeridentifikasjon.
Januarutgaven av «Communications of the ACM» inneholder en diskusjon for og mot internettvalg basert på erfaringene fra primærvalget i Arizona. Argumentasjonen mot bruk av internettvalg er ført i pennen av VIPs Deborah Phillips og Hans a. von Spokovsky 19 og følger stort sett argumentasjonen fra VIPs hjemmeside (jf. avsnittet om frivillige organisasjoner). Argumentasjonen for kommer fra representanter for leverandøren av systemet som ble brukt i Arizona, election.com 20. I følge leverandøren er alle kritiske problemer løst. Det er interessant å legge merke til at man ved dette primærvalget avsluttet internettvalget dagen før selve valgdagen. Det er grunn til å tro at dette i hovedsak var på grunn av usikkerhet i tilgjengelighet og sårbarhet for sperreangrep.
Rebecca Mercuri
Valgteknologieksperten Rebecca Mercuri har i lengre tid drevet et personlig korstog mot elektroniske valg generelt og internettvalg spesielt. Hun har en eget hjemmeside 21 der hun har samlet egne og andres artikler om temaet. Mercuri har publisert flere artikler i samarbeid med Neumann/ACM (se over). Mercuris hovedtese 22 er at elektroniske valgløsninger ikke er verifiserbare, dvs. det er ikke mulig for velgeren å være sikker på at hans stemme blir opptalt som avgitt. Hun mener også at det bør stilles krav til at det skal være mulig å gjennomføre manuelle kontrolltellinger. Mercuri mener at sikkerheten både for internettvalg og for de eksisterende DRE- og OMR-løsninger er for dårlig og fraråder generelt å basere valgsystemer på bruk av eksisterende IKT.
Frivillige organisasjoner
Det er etablert flere frivillig organisasjon som vurderer muligheter og begrensninger i det amerikanske valgsystem. En av disse, VIP (Voting Integrity Project), har gjennomført et eget prosjekt for å se på internettvalg 23. Gruppen fremstår i utgangspunktet som positiv til internettvalg, men påpeker at det er mange utfordringer som må overvinnes. VIP fokuserer på at man må løse sentrale problemer innen sikkerhet, tilgjengelighet og tillit. VIP konkluderer derfor at det ikke bør åpnes for internettvalg på det nåværende tidspunkt, men anbefaler at det gjennomføres omfattende kontrollerte tester for å prøve ut alternative løsninger.
En annen organisasjon, Election Center, arbeider på uavhengig basis for å styrke demokratiet og har som medlemmer valgfunksjonærer og offentlige ansatte. De har satt som sitt mandat blant annet å evaluere ny teknologi og har i den sammenheng listet opp en del sentrale krav 24. Election Center er ifølge deres hjemmeside hverken for eller mot internettvalg, men legger vekt på de mange krav som må være oppfylt før man fullt ut kan stole på en internettløsning. De støtter forsøk med bruk av Internett i forbindelse med valg.
Leverandører
Firmaet SafeVote har etablert en hjemmeside og et nyhetsbrev (The Bell) som argumenterer for å ta i bruk internett-teknologi i valghandlingen 25. SafeVote anbefaler at man skal basere seg på valgterminaler som står i kontrollerte omgivelser. Dette for å sikre terminalen mot «hacking» og velgeren mot uønsket påvirkning. SafeVote har lagt fram en omfattende argumentasjon både mot eksisterende valgteknologi og mot en åpen internettstemmegivning fra valgterminaler (dvs. PCer) som står utenfor det offentlige rom. Hjemmesiden til SafeVote har en omfattende samling med lenker til andre aktører og interessenter.
Et såkalt «White paper 26» ført i pennen av representanter for en annen leverandør, SecurPoll.com, er også i hovedsak svært positivt innstilt til internettvalg.
IT-kommisjonen i Sverige
I Sverige har IT-kommisjonen 27, utarbeidet en egen statusrapport om internettvalg 28. Rapporten tar opp problemstillingene som er diskutert over, i hovedsak basert på de samme kilder, og innhenter i tillegg synspunkter fra ledende svenske statsvitere og valgforskere. Rapporten konkluderer med at det fortsatt er mange hindringer som må passeres før internettvalg er et realistisk alternativ. Rapporten konkluderer også med at internettvalg bør være en del av en større diskusjon om modernisering av den demokratiske prosessen.
2.5 Teknisk løsning for valg (stemmegivning og opptelling)
2.5.1 Komponenter i elektroniske valgløsninger
Innføring av teknologi som åpner for at velgeren selv registrerer sin stemme på et elektronisk medium vil innebære å ta i bruk en teknisk løsning som grovt sett består av tre hovedkomponenter:
valgterminal
Dette er det utstyret som velgeren benytter for å registrerer sine valg. Dette notatet diskuterer løsninger basert på telefon, PC eller dedisert valgterminal. Valgterminalen må sikres mot feil, innsyn og sabotasje. En programmerbar, privat terminal utenfor valgorganisasjonens kontroll (dvs. PC) er mer sårbar for angrep og feil enn en terminal som står i kontrollerte omgivelser, og som er satt opp av valgfunksjonærer.
overføringsnett
Dette omfatter teknologien som benyttes for overføring av stemmegivning fra valgterminal til server, eventuelt fra lokal server til sentral server. I de tilfeller hvor terminal og server står i samme lokale representerer dette en beskjeden risiko. Der hvor overføringen benytter seg av offentlige nett finnes det en risiko for innsyn og manipulering. Overføring som baserer seg på moderne krypteringsteknologi med personlige, digitale signaturer eller Smartkort anses av enkelte å kunne sikre en forsvarlig sikkerhet i overføringen.
valgserver
Valgserveren mottar og behandler stemmer fra valgterminalene. Det kan tenkes løsninger med flere nivåer av servere, ett nivå som står desentralt mens et annet nivå (hovedserver) står sentralt. I en slik modell vil data overføres i større grupper til den sentrale valgserver der oppgjøret skal finne sted. Dette kan skje over telekommunikasjonsnettet eller ved at den lokale serverens lagringsenhet transporteres til sentralt sted. En åpen internettløsning vil måtte basere seg på en (muligens flere) sentral server. Dette gjør at en slik løsning er sårbar for «hacking» og andre typer for sabotasje.
2.5.2 Spesielle krav til løsning ved bruk av IKT
Identifisering
Dagens løsning for manntallskontroll basert på papirkopier av manntallet utlagt i valglokalet vil kunne brukes også i framtida hvis utstyr og valghandling foregår i kontrollerte lokaler. Løsninger som baserer seg på at velgeren skal avgi sin stemme utenfor valglokalet må baseres på en langt mer omfattende verifisering av velgeridentitet. På kort sikt vil dette måtte baseres på utsendelse av unike PIN-koder til alle velgere. På noe lengre sikt vil digitale signaturer og eventuelt smartkort være det beste alternativet. Uansett må det etableres et omfattende apparat for distribusjon av velgeridentifikasjon. Åpen distribusjon av velgeridentifikasjon gjennom posten vil være meget sårbar for misbruk i form av tyveri.
I den grad man tar i bruk Internett til valghandlingen vil det også være naturlig å koble manntallet og identifiseringen opp mot en felles, sentralisert manntallsdatabase. Dette vil gjøre det mulig å avvise velgere som forsøker å stemme for andre gang uansett om de har stemt fra privat terminal, eller har avgitt stemme fra annet valglokale.
Stemmegivning
Dagens papirbaserte teknologi er velkjent og lett å bruke. Innføring av ny teknologi vil stille krav til brukervennlighet og opplæring. Systemer som skal støtte valghandlingen må inneholde funksjoner som gjør det mulig å velge parti og foreta rettelser i henhold til gjeldende valglov.
Det må legges vekt på å utvikle en løsning som hindrer velgeren å gjøre feil. Spesielt viktig i denne sammenheng er å sikre at velgeren fullfører valghandlingen, dvs. at det ikke skal være mulig å forlate valgterminalen med skjermbildet «åpent» og uten at stemmen er lagret.
Selve valghandlingen vil variere i kompleksitet og tidsforbruk avhengig av valgtype og velgerens ønske om å rette. Det er en utfordring å designe og utvikle en løsning som er like brukervennlig og effektiv som dagens papirbaserte løsning.
Behovet for overvåking og kontroll av valget gjør at det er behov for en mest mulig komplett logg av alle avgitte stemmer. Loggen bør skrives ut til papir. Igjen er det en utfordring å sikre at det ikke skal være mulig å koble velger og stemme.
Lagring
Hvis det åpnes for internettvalg samtidig som man kan stemme på tradisjonell måte i valglokalet må den elektroniske stemmen holdes separat (sammen med velger id) inntil valglokalet er stengt slik at det kan sjekkes om velgeren også har avgitt stemme i valglokalet. Denne siste stemmen vil ligge i urnen og kan ikke gjenfinnes, det er derfor internettstemmen som må underkjennes. Velgeridentifikasjonen og avgitt stemme må lagres på en slik måte at verken valgfunksjonær eller andre kan få tilgang til begge informasjonsmengdene samtidig.
Overføring
I en ny løsning basert på IKT vil digital overføring av stemmesedler via kommunikasjonsnett være et alternativ. Dette stiller andre krav til sikkerhet i overføringen og vil måtte baseres på kryptering og streng kontroll for å sikre overføringen mot innsyn, tap av informasjon og manipulering.
Oppgjør
Oppgjørsdelen er som vist den del av stemmeprosessen der bruk av IKT har kommet lengst i Norge. Innføring av ny teknologi for å registrere stemmegivninger vil i utgangspunktet ikke forandre oppgjørsdelen. Direkte registrering av stemmer til elektronisk medium vil redusere antall manuelle behandlinger av stemmesedlene i forbindelse med oppgjøret.
2.5.3 Løsningsdimensjoner
Det finnes mange forskjellige muligheter for å ta i bruk IKT i stemmegivningen. Valget av løsning kan kategoriseres/dimensjoneres ut fra flere akser. Dette notatet benytter stemmested og teknologi som nøkkeldimensjoner.
Stemmested
Det er naturlig å vurdere stemmestedet som en viktig parameter for valg av teknologi og diskusjon rundt gevinster og konsekvenser. Det skilles i denne rapporten mellom tre forskjellige typer stemmesteder:
Sentralisert
Dette innebærer at valghandlingen (forhånd eller valgting) foregår i lokaler som administreres og overvåkes av valgorganisasjonen. Dette er det tradisjonelle valglokale slik vi kjenner det fra Norge.
Desentralisert - offentlig
Dette er en situasjon der valghandlingen foregår offentlig, men i lokaler som ligger utenfor valgorganisasjonen. Stemmegivning på Posten er et typisk eksempel på dette, men ved innføring av Internett kan man også tenke seg at velgeren kan avgi stemme fra terminaler eller info-kiosker som er plassert på offentlige kontorer, dvs. plasser som kommunebygg, bibliotek etc.
Desentralisert - privat
Under dette alternativet går man enda et skritt mot «privatisering» av valghandlingen ved å åpne for at velgeren kan avgi stemme fra en terminal som ligger utenfor det offentlige rom, og derigjennom også utenfor valgorganisasjonens kontroll. En åpning for poststemmer hjemmefra vil være et eksempel på denne type stemmegivning. Telefonstemming og internettstemming fra PC plassert privat eller hos arbeidsgiver er andre eksempler.
Teknologi
Den andre nøkkeldimensjonen i en diskusjon om IKT og valg blir naturligvis teknologi. Det finnes et stort antall muligheter, men i dette notatet er det forsøkt å avgrense diskusjonen til de mest realistiske/relevante.
Papir - manuell telling
Dette er den løsning som benyttes i de fleste norske kommuner. IKT inngår normalt i siste fase av valgoppgjøret (beregning og rapportering). Dette alternativet vil ikke bli diskutert videre. Løsningen påvirkes i liten grad av stemmestedet, selv om poststemmer (dvs. stemmegivning hjemme) er en mulig videreutvikling.
Papir - optisk lesing
Denne løsningen brukes i Norge i dag av Oslo og et begrenset antall andre storkommuner. IKT spiller en noe større rolle enn ved tradisjonelle valg gjennom bruk av optiske lesere som leser partikoder og velgerens rettelser direkte fra stemmeseddelen og overfører dette til elektronisk medium. Alternativet gir et raskere oppgjør og bidrar til å redusere tellekorpset. Dette alternativet vil ikke bli diskutert videre
Telefon - Call center
Moderne, digital telefonteknologi åpner for dialogstyring og dataregistrering, og denne muligheten vil også kunne benyttes ved valg. Løsningen er kun relevant for desentralisert bruk, fra velgerstyrte terminaler (egen telefon).
Telefon - SMS
Nyere, digitale mobiltelefontjenester inneholder mulighet for å sende og motta korte tekst meldinger (SMS). Løsningen er meget populær blant unge, og det dukker stadig opp nye tjenester som bygger på denne teknologien. Det er under etablering løsninger som vil kunne betjene valg inkludert funksjoner for pålogging, valg og sikker overføring.
Elektronisk (dedisert utstyr)
Dediserte terminaler for direkte registrering av stemmegivning er den mest utbredte av de avanserte teknologiske løsningene både i USA og Europa. Løsningen vil kunne bygge på eksisterende teknologi fra norske og internasjonale leverandører. Denne type utstyr anses på grunn av kostnader kun å være interessant i forbindelse med sentraliserte løsninger.
Elektronisk - Internett kontrollert
Mulighetene og begrensningene ved å ta i bruk Internett er som vist store. Mange (bl. a. Sverige, California) ser en stegvis innføring av Internett som mest realistisk, og foreslår derfor å begynne med sentraliserte internettløsninger der valgterminalen er under valgorganisasjonens kontroll.
Elektronisk - Internett privat
For mange er det først når man kan ta i bruk internettløsninger fra «egen» terminal at man har nådd målet. Dette er det mest ytterliggående og risikofylte alternativet, men vurderes samtidig å være den løsningen som kan bli mest brukervennlig (bekvem) og gir også best lønnsomhet. Det er mange utfordringer som må løses før dette kan være realistisk. Anbefales ikke av noen.
Løsningsalternativer
Tabellen nedenfor sammenfatter kombinasjonen av mulige teknologiske løsninger og stemmested. Enkelte av kombinasjonene anses som ikke relevante (I/R), andre innebærer en videreføring av dagens teknologiske løsninger og vil ikke bli diskutert nærmere. Tallene etter den enkelte løsning refererer til kapittelnummer i neste kapittel.
Tabell 2.2 Løsningsrom
| Teknologi | Sentralisert (Valgorg.) | Desentralisert (offentlig) | Desentralisert (privat) |
| Papir (manuell telling) | Dagens løsning i de fleste norske kommuner | Posten (?) Ulike offentlige kontor | Poststemmer (?) |
| Papir (optisk lesning) | Oslo et.al. | Posten (?) Ulike offentlige kontor | Poststemmer (?) |
| Telefon - Call center | I/R | I/R | Telefoni (6.1) |
| Digital telefon (Mobil - ISDN) | I/R | I/R | SMS (6.2) |
| Elektronisk (dedisert utstyr) | DRE (Direkte Registrert Elektronisk) (6.3) | I/R | I/R |
| Elektronisk (Internett) | Kontrollert Internett (6.4) | Kontrollert Internett (Info Kiosker) (6.4) | Åpent Internett (6.5) |
I det videre vil notatet fokusere på fem hovedløsninger:
Desentralisert (privat) ved hjelp av telefon
Desentralisert (privat) ved hjelp av SMS
Dedisert elektronisk utstyr i valglokalet
Valg fra internett-terminaler plassert i kontrollerte lokaler
Åpent internettvalg fra terminaler plassert privat eller på jobb
2.6 Mulige løsninger
2.6.1 Telefoni
Beskrivelse av løsningen
Det vil kunne være mulig å gjennomføre valg ved hjelp av eksisterende telefonteknologi basert på bruk av digitale hussentraler og automatisk telefonsvarere. En slik løsningen vil være tilgjengelig for de aller fleste velgere, og vil ikke kreve investeringer i valgterminaler. Denne type løsning ble analysert av Saltman i 1991 29.
Løsningen vil måtte baseres på at velgeren får tilsendt en velgeridentifikasjon (PIN kode) for å kunne identifisere seg. Det antas også at det vil være behov for å sende ut en omfattende brukerveiledning med oversikt over gyldige partikoder og kandidater. Valghandlingen vil starte ved at velgeren ringer ett (av flere) oppgitt nummer. Systemet vil be om velgeridentifisering, og først når denne er tastet inn og godkjent vil velgeren kunne avgi sin stemme. Systemet vil kunne avvise velgere som allerede har stemt. Valgsystemet vil lede velgeren gjennom en dialog der systemet lister opp alternativer og velgeren foretar sine valg ved hjelp av telefonens taster. Dialogen må legges opp slik at velgeren kan få gjentatt veiledninger og alternativer, og den må også gi rom for å gå tilbake i prosessen.
Når velgeren er ferdig settes det kryss i manntallet. Deretter lagres stemmen digitalt og kryptert sammen med velgerens identifikasjon, men skilt fra denne slik at innsyn forhindres. Alle automatisk registrerte stemmer vil være tilgjengelige idet valglokalet stenger og opptelling kan starte umiddelbart etter valgtingsstemmene er kontrollert mot eventuelle manuelt avgitt forhånds- og fremmede stemmer.
For velgere som ikke har tilgang til telefon, eller som av andre grunner ikke ønsker å benytte muligheten til å stemme ved hjelp av telefon, må det gis mulighet til å stemme i valglokalet. Dette kan gjennomføres enten ved hjelp av tradisjonelle metoder, eller ved hjelp av lånt utstyr.
Fordeler
Stemmegivning fra telefon bør kunne etableres relativt raskt og med relativt beskjedne investeringer i systemløsninger og utstyr. Telefoner er meget utbredt, og valgterminalen er i utgangspunktet tilgjengelig for alle. «Call center» teknologien er kjent, og sammen med en god veiledningen vil den kunne medføre at feil unngås (færre forkastelser). Stemmene registreres elektronisk, og opptellingen vil kunne gjennomføres raskt og sikkert, uten omfattende manuell behandling.
Ulemper/Risiko
Selv om teknologien er kjent er den ikke nødvendigvis likt. Altfor mange har, ved innringing til Call-center tilknyttet større organisasjoner, endt opp i tilsynelatende endeløse køer der man venter og venter uten å komme frem. Det vil også være en stor utfordring å utvikle et system som er tilstrekkelig brukervennlig, og som bidrar til at brukeren ikke gjør feil (for eksempel brukeren avslutter for tidlig). Løsningen vil være sårbar for såkalte sperreangrep (Denial of Service), og det må også etableres løsninger som sikrer mot avbrudd og utfall i tjenesten. Det er behov for sikkerhetstiltak som beskytter velgeren og stemmene fra misbruk og sabotasje. Hackerrisikoen er noe lavere enn for andre elektroniske løsninger, men en viss sikkerhet mot hacking må bygges inn i løsningen.
Løsningen innebærer omfattende kostnader i utsending av brukeridentifikasjon og veiledning. Stemmegivning over telefon vil kunne bli svært tidkrevende, særlig hvis velgeren ønsker å gjennomføre omfattende rettelser. For øvrig vil generelle innvendinger som gjelder desentraliserte løsninger gjelde for telefonvalg. Det er umulig å garantere at velgeren ikke selger sin stemme eller blir påvirket av andre i forbindelse med stemmegivningen.
2.6.2 SMS
Beskrivelse av løsning
SMS er en ny, digital tjeneste som gjør det mulig å sende og motta korte meldinger ved hjelp av GSM mobiltelefoner. Teknologien åpner for dialog, og vil kunne benyttes til å avgi stemme fra mobiltelefon. Tjenesten har hatt en formidabel vekst i det siste året, og Norge ligger langt fremme i utviklingen og bruk av SMS.
Løsningen vil igjen baseres på utsendelse av velgeridentifikasjon. I en SMS-løsning vil dialogen være tekstbasert og begrenset til relativt liten plass (displayet på mobiltelefonen) slik at det er grunn til å tro at valgmateriellet også for denne type løsning må inneholde relativt omfattende instruksjoner og en fullstendig oversikt over gyldige partikoder og kandidater.
Velgeren starter valghandlingen ved å sende en melding til valgserver (som vil ha flere nummer) og vil få tilbake en kvitteringsmelding med beskjed om å identifisere seg. Velgeren taster inn sin id/kode og denne kontrolleres mot sentrale registre. Når velgeren er godkjent vil systemet lede velgeren gjennom valgprosessen steg for steg (partivalg, rettelser) før valghandlingen avsluttes med en bekreftelse. Som for telefonialternativet forutsettes det at velgeren vil få mulighet til å angre og gå tilbake i prosessen hvis det er behov for det.
Avkryssing, lagring, og opptelling vil følge de samme prinsipper som de som ble skissert for telefonistemmer. For velgere uten tilgang til mobiltelefon vil det måtte etableres egne løsninger basert på tradisjonell stemmegivning eller utlån av mobiltelefoner i valglokalet.
Fordeler
Stemmegivning ved hjelp av SMS-teknologi har mange av de samme fordelene som telefonstemmegivning. Teknologien er meget utbredt og godt kjent i deler av befolkningen. Tekstdialog kan være lettere å holde styr på og vil derfor kunne være mer akseptabel for velgeren enn løsning basert på tale. Stemmene lagres elektronisk og opptellingen vil kunne gjennomføres raskt og sikkert.
Ulemper/Risiko
SMS-teknologien er relativt ny, og bruken er stort sett avgrenset til ungdomsmiljøet. Muligheten for «Hacking» er til stede, men risikoen for dette anses å være beskjeden. Sikkerhet i overføring vil være en utfordring, men kan ivaretas av kryptering. Denne type løsning er også sårbar for sabotasje, særlig sperreangrep.
Det vil antageligvis være behov for betydelig systemutvikling for å sikre valghandlingens krav til brukervennlighet, effektivitet og sikkerhet. Selve stemmegivningen kan også bli svært tidkrevende, spesielt for velgere som ønsker å utføre mange rettelser på stemmeseddelen.
En SMS-løsningen vil innebære relativt betydelige kostnader til utsendelse av velgeridentifikasjon og veiledning. Som for de andre alternativene som er basert på at velgeren avgir stemme utenfor kontrollerte valglokaler er også dette alternativet sårbart for stemmesalg, tyveri av velgeridentifikasjon og utilbørlig påvirkning av velgeren under selve valghandlingen. Det er en viss risiko for at valg via SMS vil medføre en trivialisering av selve valghandlingen.
2.6.3 Direkte registrert elektronisk (DRE)
Beskrivelse av løsning
Dette løsningsforslaget vil være basert på at velgeren avgir sin stemme på dedisert teknisk utstyr som styres av valgorganisasjonen og benyttes i kontrollerte lokaler (ref. DRE-løsninger i kapittel 2.2). Det vil kreve at valgorganisasjonen anskaffer og vedlikeholder utstyret og vil kreve relativt omfattende investeringer.
Velgeridentifisering ved dette alternativet kunne gjennomføres på tradisjonell måte med manuell kontroll og avkryssing i manntallet. Etter å ha blitt krysset av vil velgeren motta en brikke eller et smartkort som åpner valgterminalen for registrering av en stemme. Autorisasjonskortet er velgeruavhengig, og det vil ikke være noen mulighet for å koble stemmegiver og stemme. Velgere som ønsker å avgi fremmedstemme må gjøre dette ved hjelp av tradisjonelle papirstemmesedler for å sikre seg mot at velgeren avgir mer enn en stemme.
DRE-teknologien gir et stort antall forskjellige muligheter når det gjelder utstyr og stemmegivning. Valgterminalen kan være en standard PC eller en spesialutviklet enhet. Inntastingen kan foregå ved hjelp av tastatur eller berøringsfølsom skjerm. Oppsett og klargjøring av valgterminal vil være strengt kontrollert, noe som reduserer mulighet for inntrenging fra utsiden. Løsningen bør ha innebygd omfattende loggefunksjoner slik at det vil kunne være mulig å gjennomføre omtelling hvis dette vurderes å være nødvendig.
Stemmene vil lagres i elektronisk form og vil være tilgjengelig umiddelbart etter at valglokalene stenger. Opptellingen vil kunne foretas med et minimum av manuelle operasjoner og resultatet vil meget raskt kunne legges fram.
Fordeler
Dediserte valgløsninger, der utstyret står i kontrollerte omgivelser og settes opp og kontrolleres av valgorganisasjonen er relativt enkle å kontrollere og overvåke. Kommunikasjon (overføring fra terminal til server) kan gjennomføres i meget kontrollerte former, enten ved hjelp av egne datalagringskassetter, eller ved hjelp av kryptert og kontrollert overføringsnett i lukket miljø. Dediserte løsninger vil kunne skreddersys til valghandlingen, og vil kunne gjøres meget brukervennlige. En dedisert løsning vil i liten grad gi mulighet for «Hacking» fra tredje part. Som for alle de andre alternativene ligger det en vesentlig rasjonaliseringsgevinst i at stemmene ligger lagret elektronisk.
Ulemper/Risiko
Dediserte løsninger vil antageligvis falle svært kostbart. Svenskene anslo anskaffelseskostnaden for Sverige i 1992 til å være over 150 millioner kroner. New York City hadde et budsjett på 60 millioner dollar for innkjøp av DRE-utstyr i 1992. Innføringen av DRE-utstyr i New York ble for øvrig avbrutt som følge av feil og mangler som ble oppdaget under akseptanseprøvene 30. En slik investering forutsetter at kostnadene kan avskrives over mange valg. Dagens raske teknologiske utvikling gjør at løsningene fort kan bli foreldet. Utstyr som bare benyttes en gang annet hvert år gir også en betydelig risiko ved at både selve utrustningen og kompetansen om bruk ikke blir holdt vedlike.
Ved bruk av DRE-teknologi er det en forutsetning at utstyret er sikret mot alle typer feil og misbruk fra velgerens side. Enkelte valgteknologieksperter legger vekt på at ved bruk av DRE-utstyr er det vanskelig å beskytte valghandlingen mot utro tjenere i leverandørens rekker. Denne innvendingen kan imidlertid imøtegås hvis det gjennomføres omfattende tester kombinert med en formell sertifiseringsprosedyre. Eksisterende DRE-løsninger er i stor grad utviklet for andre lands formål (valglov) og en norsk løsning vil kreve omfattende tilpasning eller komplett ny utvikling, noe som vil gjøre løsningen enda mer kostbar.
2.6.4 Kontrollert Internett
Beskrivelse av løsningen
Bruk av internett-teknologi i kontrollerte omgivelser er et alternativ som har mange tilhengere. En slik løsning tillater utprøving av teknologien i sikre omgivelser, og anses som et nødvendig første skritt før man åpner for desentraliserte løsninger. En kontrollert internettløsning vil på mange måter ligne DRE-løsningen, men baserer seg på standard webteknologi, noe som vil kunne gi betydelige reduksjoner i kostnader. I forhold til en åpen internettløsning vil risikoen for misbruk og sabotasje reduseres vesentlig.
Prosessen vil være tilsvarende som den som er skissert for DRE-løsningen. Velgeridentifikasjon kan i dette tilfelle gjøres enten på tradisjonell måte ved hjelp av papirbasert manntall, eller ved hjelp av et interaktivt manntall på valgserveren. I det første alternativet vil det ikke være mulig å koble velgeridentitet og stemme, i det andre alternativet må det legges vekt på å holde de to informasjonsmengdene samlet samtidig som at det ikke må være mulig å koble de to informasjonsmengdene.
Selve valghandlingen vil kunne gjennomføres som en styrt dialog med omfattende interaktiv brukerveiledning for de som har behov for det. Systemet må inneholde mulighet for å angre/gå tilbake i prosessen, og må også ha funksjonalitet som sikrer mot at velgeren ufrivillig avbryter prosessen uten at stemmen er registrert. Rettelser vil være tidkrevende, og spesielt slengere (hvis muligheten opprettholdes) vil kreve ekstra logikk.
Som for de andre alternativene vil stemmene bli lagret elektronisk og vil være tilgjengelig umiddelbart. Det må stilles omfattende krav til logging (audit trail).
Fordeler
En kontrollert internettløsning vil være basert på kjent og testet teknologi med de økonomiske og bruksmessige fordeler dette gir. Ved å plassere valgterminalen i et kontrollert miljø sikres valgorganisasjonen full kontroll på oppsett av terminalen, og mulighetene for kontroll og overvåking av valgprosessen er også gode. En kontrollert løsning begrenser mulighetene for sabotasje og misbruk fra utsiden.
Bruken av eksisterende teknologi vil legge forholdene til rette for gjenkjenning, noe som reduserer mulighetene for feil. Internett-teknologien har også vist at det er fullt mulig å utvikle brukervennlige løsninger.
En kontrollert internettløsning vil basere seg på elektronisk lagring av avgitte stemmer, noe som igjen bidrar til en raskere og sikrere behandling og sammenstilling av stemmer.
Ulemper/Risiko
Selv om en kontrollert internettløsning er vesentlig enklere å overvåke enn en fullstendig åpen internettløsning, vil det fortsatt være mulighet for feil, misbruk og sabotasje. De viktigste kildene for denne type problemer vil være «insidere», dvs. valgfunksjonærer og leverandører. Det bør derfor utvikles test- og godkjenningsprosedyrer som beskytter løsningen mot angrep fra disse gruppene. Systemet må også sikres mot at velgeren fusker eller får tilgang til andre stemmer enn sin egen. Endelig må løsningen sikres mot strømbrudd og utstyrsfeil.
Ikke alle vil være like motiverte til å ta i bruk internettløsninger, og for disse må det etableres alternative løsninger. Dette innebærer at det vil være behov for å opprettholde et tradisjonelt valgsystem parallelt med internettvalget. Dette innebærer økte kostnader.
2.6.5 Åpent Internett
Beskrivelse av løsningen
Den desentraliserte internettløsningen der velgeren stemmer fra egen PC hjemmefra eller fra arbeidsplassen er det store målet til de mest teknologifrelste. Her er gevinstpotensialet størst, men samtidig er mulighetene for at noe kan gå galt også store. Sentralt i dette konseptet står ønsket om å kunne benytte eksisterende utstyr og teknologi for å redusere kostnader og tidsbruk på alle ledd i prosessen. I utgangspunktet kan man tenke seg valghandlingen utført fra PC, Palm-top eller WAP-telefon.
Denne løsningen må, som for de andre desentraliserte alternativene (SMS og telefoni), baseres på utsendelse av en velgeridentifikasjon (PIN, digital signatur) til alle stemmeberettigede. Velgeren vil gå til valgets hjemmeside og vil bli bedt om å identifisere seg. Etter at dette er gjort vil velgeren gå inn i en dialog med systemet på samme måte som i de andre alternativene. Det må stille store krav til brukervennlighet og systemet må gi mulighet for å angre. Når velgeren er ferdig må data krypteres og overføres til valgserver.
Enkelte prosjekter og valgeksperter mener at det må stilles krav om at velgeren selv skal kunne kontrollere sin stemme etter at den er avgitt for å kunne forsikre seg om at stemmen ikke er blitt endret. For å kunne ivareta dette kravet må det etableres løsninger som lagrer velgeridentifikasjon og stemme på en slik måte at velgeren kan kontrollere sin stemme. Ingen andre må få tilgang til begge informasjonsmengdene samtidig.
Fordeler
En fullskala, desentralisert internettløsning byr på store fordeler. For de som har tilgang på Internett vil løsningen bety en vesentlig forenkling i valghandlingen, og vil således kunne bidra til høyere valgdeltagelse. Kostnadene til utstyr og valglokaler forventes å gå ned etterhvert som systemet tas i bruk, men i oppstartsperioden vil det være behov for duplisering av utstyr.
Stemmegivningen kan kombineres med informasjonsinnhenting om partier og kandidater, og løsningen vil således kunne bidra til en mer kvalifisert stemmegivning. For øvrig vil (som for alle alternativene) stemmene være lagret elektronisk noe som vil redusere antall manuelle behandlinger og derigjennom antall feil. Valgresultatet vil være raskt tilgjengelig.
Ulemper/Risiko
Samtidig som de potensielle fordeler ved bruk av åpent Internett er store er også risikosiden betydelig. Dette gjelder først og fremst sabotasje og misbruk fra eksterne. Ved bruk av desentraliserte valgterminaler har ikke valgorganisasjonen noen kontroll på utstyret som velgeren bruker. Det betyr at virus av typen trojansk hest (se kapittel 4.2) eller lignende kan ligge på velgerens terminal. Denne typen software kan gripe inn i stemmeprosessen og forandre velgerens stemme uten at dette er synlig for velgeren. Det går an å beskytte seg mot denne type software, men dette vil antageligvis forutsette at velgeren gjennomfører valghandlingen fra en maskin som er startet fra en ren versjon av operativsystemet. Dette vil igjen måtte baseres på at valgorganisasjonen distribuerer en egen CD-ROM til alle velgere sammen med annet valgmateriell.
Informasjonen i en åpen internettløsning er sårbar for innsyn, men det antas at dette på noe lengre sikt vil kunne sikres gjennom bruk av avanserte krypteringsalgoritmer. Valgserveren vil være sårbar for sperre- (Denial-of-Service) og for villedningsangrep.
Det er ikke gitt at alle potensielle velgere vil ha full aksept til en internettløsning. Det er også et problem at for å oppnå en akseptabel sikkerhet vil man måtte etablere så mange sikkerhetsforanstaltninger at det vil gå utover brukervennligheten.
Som for de andre desentraliserte løsningene er det ingen sperre for at en person kan benytte velgeridentiteten til en annen. Det er av enkelte foreslått bruk av såkalte biometriske identifikasjon (fingeravtrykk, øyescan, etc), men selv denne metoden er ikke sikker mot utilbørlig påvirkning fra omgivelsene.
2.7 Konklusjon
2.7.1 Oppsummering
Åpent Internett
Den ideelle løsning synes for de fleste å være en åpen internettløsning. Denne løsningen har potensiale til å forenkle valghandlingen samtidig som den kan bidra til å redusere kostnader, korte ned opptellingstiden og begrense muligheten for feil i behandling av stemmesedler. Som diskusjonen over viser er det imidlertid mye som må på plass før en slik løsning kan la seg realisere.
Det er relativt enkelt å utvikle en løsning som tar imot stemmer via Internett. Det vil være behov for å legge stor vekt på brukervennlighet og effektivitet, men dette bør kunne bygges inn i løsningen. Det er imidlertid gode argumenter som sier at det per i dag ikke er mulig å utvikle en sikker løsning for stemmegivning over Internett. Krav til velgeridentifikasjon, sikker overføring og sikkerhet mot misbruk og sabotasje kan vanskelig løses i en åpen internettløsning med dagens teknologi. Innføring av digitale signaturer og/eller utvidet bruk av Smartkort vil kunne bidra til å heve sikkerheten til akseptable nivå.
Utviklingen innen teknologien gjør at det er grunn til å håpe (tro) at det innen overskuelig framtid (dvs. 3-5 år) vil eksistere brukervennlige og sikre løsninger for å utføre valghandlingen over Internett. Forhåpentligvis vil også slike forbedrede sikkerhetsløsninger bli gjort tilgjengelig uten at kostnadene ved utvikling og bruk blir for høye.
Uansett teknologisk utvikling så vil det ikke være mulig å opprettholde kravet om hemmelig valg hvis man åpner for desentral stemmegivning. I det øyeblikket stemmegivningen flyttes ut av kontrollerte omgivelser vil det ikke lenger være mulig å beskytte seg mot at enkelte velgere presses til å avgi stemme mot sin overbevisning. Desentrale valg åpner også for salg av stemmer på en helt annen måte en dagens løsning der selve stemmegivningen foregår uten innsyn. Kravet om hemmelig valg blir for mange det største hinder for en åpen internettløsning.
Andre løsninger
De andre løsningene antas alle å gi mindre gevinst enn en åpen internettløsning, samtidig som kostnadene blir like store eller større. Tradisjonell telefoni (call center) anses ikke å være noe godt alternativ, til det er løsningen ikke brukervennlig nok. Det er også vanskelig å se for seg en løsning basert på SMS-teknologien som vil tilfredstille grunnleggende krav til brukervennlighet og effektivitet. I tillegg er SMS teknologien på begynnerstadiet, og bør utvikles videre før den kan benyttes i valghandlingen.
Hvis man ønsker å skifte ut dagens valgløsninger, så er DRE eller kontrollert Internett de mest nærliggende valg i dag. Begge disse alternativene gir mulighet for utprøving av teknologi i kontrollerte omgivelser. Samtidig innebærer slike løsninger en betydelig reduksjon i risiko for «hacking» i forhold til åpent Internett. Begge løsningene vil kreve betydelige investeringer, spesielt vil DRE-løsninger som baseres på dedisert utstyr medføre en kraftig kostnadsøking.
Uansett valg av løsning vil det være behov for å opprettholde muligheten til å avgi stemme på tradisjonell måte. Dette innebærer at man ved innføring av ny teknologi vil få økte kostnader i forbindelse med oppretthold av to parallelle løsninger.
Videre fremdrift
De fleste observatører og eksperter synes å mene at internettvalg fra privat/kontrollert terminal er det ideelle mål når det gjelder å ta i bruk IKT under valg. De fleste er også tilsynelatende enige om at dette målet ikke kan realiseres med dagens teknologi, hovedsakelig på grunn av sikkerhetsrisikoen. Det er ingen som ønsker å avfeie all bruk av Internett i forbindelse med stemmegivning, men enkelte, spesielt Rebecca Mercuri, er svært skeptiske til om det noen gang vil være mulig å utvikle en internettløsning som tilfredsstiller de grunnleggende krav til sikkerhet mot feil, misbruk og sabotasje.
Diskusjonen rundt bruk av Internett i valghandlingen går derfor i stor grad på hvor lang tid det vil gå før teknologien (og velgerne) er moden. Leverandører av internettløsninger og de teknologifrelste er utålmodige og vil gjerne komme igang så fort som mulig. Andre grupperinger, inkludert leverandører, IT-eksperter, politikere, uavhengige interessegrupper og valgfunksjonærer, er forsiktigere, og ønsker ikke å åpne for internettstemmer før teknologien er utviklet videre og omfattende tester gjennomført.
De fleste land ønsker å komme igang og foreslår derfor at det iverksettes forsøk for å prøve ut den nye teknologien. Det skisseres i utgangspunktet tre alternativer:
demonstrasjonsvalg - dvs. skolevalg, prøvevalg etc. utenfor den normale valgprosessen
parallelle valg - dvs. åpning for at velgeren kan stemme vha. ny teknologi etter at vanlig stemme er avgitt
forsøksvirksomhet i et begrenset antall kommuner/kretser.
Valglovutvalgets innstilling åpner for en generell forsøksordning. Hvis man ønsker å forsette arbeidet med internettvalg i norsk regi bør dette arbeidet legges opp slik at det faller inn under denne type forsøksordninger. Selve utviklingen og utprøving av nye løsninger bør utføres i regi av valgorganisasjonene i samarbeid med systemleverandørene.
2A Generelle referanser
Følgende publikasjoner og nettsteder gir tilgang til omfattende skriftlig og elektronisk materiale som er av interesse i diskusjonen.
NOU 2001:3, Velgere, valgordning, valgte, 30. januar 2001, Oslo
SOU 2000:125, Valtekniska utredningen
SOU 1992:118, VAL: Organisation, Teknikk, Ekonomi, Federal Election Commission, Washington DC, 2001, http://www.fec.gov/
California Internet Voting Task Force, A Report on the Feasibility of Internet Voting, January 2000, http://www.ss.ca.gov/executive/ivote/final-report.htm/
VIP Projects Voting Technology, http://www.voting-integrity.org/projects/votingtechnology/
Election Center, http://www.electioncenter.net/
Mercuri Rebecca, http://mainline.brynmawr.edu/-rmercuri/notable/evote.html
The Bell, SafeVote Newsletter on Privacy, Security and technology in Internet Voting, 2000-2001, www.thebell.net
Spesielle referanser (ref. også fotnoter)
Elliott David M, Examining Internet Voting in Washington, http://www.electioncenter.net/voting/InetVotingWhitePaper.html
Rubin Avi, Security Considerations for Remote Electronic Voting over the Internet, http://avirubin.com/e-voting.security.html, AT&T Labs - Research, Florham Park, NJ
Phillips, Deborah M. & Hans A. von Spokovsky, Gauging the Risk of Internet Elections, Communications of the ACM, January 2001/Vol. 44, No.1, side 73
Mohen Joe & Julia Glidden, The case for Internet Voting, Communications of the ACM, January 2001/Vol. 44, No.1, side 72
Dictson Derek & Dan Ray, The Modern Democratic Revolution: An Objective Survey of Internet-Based Elections, January 2000,
Neumann Peter G, 2000, Internet and Electronic Voting, The Risk Digest, Volume 21, Issue 14, Tuesday 12 December 2000, http://catless.ncl.ac.uk/Risks/21.14.html#subj1/
Mercuri Rebecca, Voting Automation (Early and Often?), Inside Risks 125, CACM 43, November 2000, http://mainline.brynmawr.edu/¸rmercuri/notable/Papers/voteauto
Olsson Anders R, E-röstning: En lägesrapport, http://www.itkommissionen.se/extra/document/?id=20
van Vijk, Hans, 2000, Experts: E-voting could have prevented U.S. election confusion, http://www.cnn.com/2000/TECH/computing/11/08/e.voting.no.gamble.idg/
Saltman, Roy G, Accuracy, Integrity and Security in Computerized Vote-Tallying, 1988, NBS Special Publication 500-158, Gaithersburg, Maryland
Saltman, Roy G, 1991, Vote-by-Phone - Promises and Pitfalls, The Risk Digest, Volume 11, Issue 75, Wednesday May 29 1991, http://catless.ncl.ac.uk/Risks/11.75.html/
WIRED, Vol 9, No. 04, Debugging Democracy
Fotnoter
NOU 2001:3 Velgere, valgordning, valgte, 30. januar 2001 Oslo
Ibid, side 59
Ibid, side 212 ff
Ibid, side 257
Federal Election Commission, Washington DC, 2001, http://www.fec.gov/
Saltman, Roy G, Accuracy, Integrity and Security in Computerized Vote-Tallying, 1988, NBS Special Publication 500-158, Gaithersburg, Maryland
Saltman, op.cit
Federal Election Commission, op. cit.
VAL, Organisation, Teknikk, Ekonomi, SOU 1992:118
SOU 2000:125
van Vijk, Hans, 2000, Experts: E-voting could have prevented U.S. election confusion, http://www.cnn.com/2000/TECH/computing/11/08/e.voting.no.gamble.idg/
Saltman op.cit.
Mercuri Rebecca, Rebecca Mercuri's Statement on Electronic Voting, http://mainline.brynmawr.edu/$100rmercuri/notable/RMstatement.html
Rubin Avi, Security Considerations for Remote Electronic Voting over the Internet, http://avirubin.com/e-voting.security.html
NOU 2001:3, op.cit
VAL, Organisation, Teknikk, Ekonomi, SOU 1992:118, side ?.
California Internet Voting Task Force, A Report on the Feasibility of Internet Voting, January 2000, http://www.ss.ca.gov/executive/ivote/final-report.htm/
Neumann Peter G, 2000, Internet and Electronic Voting, The Risk Digest, Volume 21, Issue 14, Tuesday 12 December 2000, http://catless.ncl.ac.uk/Risks/21.14.html#subj1/
Phillips, Deborah M. & Hans A. von Spokovsky, Gauging the Risk of Internet Elections, Communications of the ACM, January 2001/Vol. 44, No.1, side 73
Mohen Joe & Julia Glidden, The case for Internet Voting, Communications of the ACM, January 2001/Vol. 44, No.1, side 72
Mercuri Rebecca, http://mainline.brynmawr.edu/-rmercuri/notable/evote.html
Mercuri Rebecca, Rebecca Mercuri's Statement on Electronic Voting, op. cit
VIP Projects Voting Technology, http://www.voting-integrity.org/projects/votingtechnology/
Lewis R. Doug, Election Center, Internet Voting Overview, http://www.electioncenter.org/voting/InetVotingOverview.html
The Bell, SafeVote Newsletter on Privacy, Security and technology in Internet Voting, 2000-2001, www.thebell.net
Dictson Derek & Dan Ray, The Modern Democratic Revolution: An Objective Survey of Internet-Based Elections, January 2000,
IT-kommissionen är en statlig kommitté tillsatt av regeringen i syfte att vara regeringens rådgivare i IT-frågor. IT-kommissionens arbete går ut på att sprida information om de problem och möjligheter som utveckling och användning av informationsteknik innebär. Den övergripande uppgiften är att analysera informationsteknikens påverkan på samhällsutvecklingen. IT-kommissionen ska genom råd och föreslagna åtgärder också medverka till att information sprids till allmänheten.
Olsson Anders R, E-röstning: En lägesrapport, http://www.itkommissionen.se/extra/document/?id=20
Saltman, Roy G, 1991, Vote-by-Phone - Promises and Pitfalls, The Risk Digest, Volume 11, Issue 75, Wednesday May 29 1991, http://catless.ncl.ac.uk/Risks/11.75.html/
Mercuri Rebecca, Voting Automation /Early and Often?), Inside Risks 125, CACM 43, Novemeber 2000, http://mainline.brynmawr.edu/¸rmercuri/notable/Papers/voteauto