Suomalaiset liian luottavaisia?

Sunnuntaisuomalaisessa oli mielenkiintoinen artikkeli "Hukka äänet eivät pelota". Jutun kyselyn mukaan 72% suomalaisista antaisi yhä äänensä sähköisesti, jos siihen olisi mahdollisuus. Nähdäkseni edellinen kuvaa enemmän halua äänestää ns. "nykyaikaisesti" , kuin sitä ihmiset todella uskoisivat sähköiseen äänestykseen. Luulen että näin on vaikka 66% vastanneista väitti pitävän sähköistä äänestämistä melko tai erittäin luotettavana. Kyselyn asettelu ei tainnut jättää muuta vaihtoehtoa vastata. Kyselyssä ei kysytty nettiäänestämistä, vaikka luultavasti se olikin monella vastaajalla mielessä. Koneen tuominen äänestyskoppiin ei juurikaan yksinkertaista äänestämistä.

Sunnuntaisuomalaisessa oli vähän lisääkin aiheesta.

J.J. Kasvi myöntää tehneensä virhe arvion

Lueskelin Jyrkin blogia, 232 hukattua luottamusta. Blogin kommenteissa Riitta toteaa että äänestämisen keskeyttäminen voi olla ollut protesti ääni siinä missä tyhjän äänestäminen. Riitta on oikeassa. Sama on käväissyt itselläkin mielessä.

Mikä olisikaan helpompi tapa torpata äänestyskokeilu kuin käydä hukkaamassa oma ääni hyvän asian puolesta. Mikään ei kuitenkaan puolla että kyseessä olisi ollut protesti. Karu totuus taitaa olla se että äänet todella vain "hukkuivat" matkalle. Edes meillä tämän kokeilun epäilijöillä ei ollut hajua että noin siinä voisi käydä.

Yhdyn Blogin kommenteissa JS ja Markuksen näkemykseen tämä kokeilu on vain tämä kokeilu, eikä sen takia pidä kirvestä kaivoon heittää. Nettiäänestys on täysin eri asia kyllä Jyrkin se pitäisi tietää.

Ryhmäkanne äänestyssotkusta

Effi etsii sähköäänestyksessä kärsineitä. Asialla on jo aika kiire, mutta mediassa siitä uutisoitiin vasta viime hetkillä. Esimerkiksi IT-viikossakin kerrottiin asiasta vasta eilen. vaikka ilmoitus Effin sivu oli jo päivätty 5.10. Jos keskiviikko on todella viimeinen valituspäivä olen itsekin aika myöhään liikkeellä. Taitaa aika monelta jäädä osallistuminen ryhmäkanteeseenkin väliin.

Muutama sana paperivamennuksesta

Yleisesti paperivarmennusta pidetään ratkaisuna sähköisen äänestyksen ongelmiin. USA:ssa monien ääneten laskenta sotkujen takia siitä on jo tullut keskusteluissa oikeastaan ainoa vaihtoehto. Käytännössä kuitenkin princetonin yliopiston suositusten mukainen paluu optisesti luettaviin käsin täytettäviin lomakkeisiin on vain paluuta koneelliseen laskentaan. Se ei ole missään mielessä sähköistä äänestämistä.

Itse en näe meillä mitään syytä siirtyä tuohon suuntaan. Toisaalta äänestyksestä äänestäjälle tulostettava uurnaan tiputettava paperi kuitti on itsessään riski. Jos äänessä ei ole seuranta koodia mikä estää tekaisemasta sellaista itse jo etukäteen. Loppupelissä tulos tultanee laskemaan kuitenkin lapuista, joten kaikki todelliset huijaukset tulevat kohdistamaan uurnaan kuten nytkin ja valvonnan on oltava nykyisen kaltainen. Menetelmässä tosin on mahdollisuus spekuloida esim. pudottamalla uurnaan toisen lapun minkä kone tulostaa tai olla pudottamatta mitään. Periaatteesta kummastakaan ei pitäisi jäädä kiinni äänestyssalaisuuden vuoksi.

Jos äänessä on seurantakoodi edellisen estämiseksi syntyy jopa suurempi mahdollisuus jäljittää äänen antaja kuin itse esittämässäni nettiäänestysmenetelmässä, jossa äänestäjä itse kehittää seurantakoodin jonka avulla itse varmistaa äänen kulun uurnaan. Merkityt konetulosteet tarkistetaan aina jonkun toisen puolesta ja näin ollen aina jollakin ulkopuolisella täytyy olla tieto, mikä ääni on oikea ja mikä väärä. Tosiasiassa automaattiseen paperi tulosteeseen voidaan tämä tietovarsin helposti tulostaa niin ettei äänestäjä sitä havaitse. Itseasiassa äänestäjän käsin kirjoittama satunnaisesti valittu varmistusäänestyslippu olisi tulostetta parempi, mutta käytännössä edellinen merkitsee paluuta käsin äänestämiseen. Kone tekisi vain ennakko-gallupia.

Käytännössä edellisiä kehittyneemmällä nettiäänestyksessä ei oikeastaan ole mitään mahdollisuutta paperivarmennukseen. Yksinkertaisesti siitä syystä että käytännössä paperiäänen muuttaminen on jokseenkin mahdotonta. Ilman äänen muuttamismahdollisuutta taas nettiäänestäminen on liian turvatonta. Edelliset esimerkkini osoittavat hyvin sen miten paperi varmenteen tuominen sähköiseen äänestyskoppiinkaan ei ole mitenkään yksinkertaista eikä edes edistyksellistä.

Ja äänestyskeskustelu jatkuu vilkkaana

Hesarin keskustelupalstalla asiaa puidaan ihan tosissaan. Keskustelu on sielläkin siirtynyt paperivarmenteisiin ja jenkkien kokemuksiin. Niin jenkkien kokemuksista olisi voinut ottaa oppia jo aikaisemmin. Ehkä Harri Hursti olisi syytä kutsua kotiin testaamaan seuraavaksi kokeiltavaa järjestelmää.

Enemmän itseäni hämmästyttävät Tuija Braxin kslm:lle keskiviikkona antama lausunto, jonka mukaan sähköisestä äänestysjärjestelmästä luovutaan kesän eurovaaleissa, koska se ei odotetulla tavalla lisännyt äänestysinnokkuutta. Mitä kuvitteliko Brax todelle että äänestyspömpeliä tullaan joukolla testaamaan? Ei kyllä se tappaja sovellus joka todella voisi lisätä äänestysintoa on nettiäänestys. Siihen eikä sen tajuamiseen suuria kykyjä kaivata. Kaikki sitä rajoittuneemmat kokeilut eivät lisää äänestysintoa.

Toinen asia jolla Brax puolusteli sähköistä äänestyksen tarpeellisuutta oli tuloksenlaskenta nopeus. Minusta ääniä on aikaa laskea viikkotolkullakin. Tärkeintä on että tulos on oikea. Me pystymme elämään vanhojen johtajien alaisuudessa tuon aikaa.

Lisää kokeilun sotkusta

Mikrobitin mukaan J.J. Kasvi vaatii äänestyksen uusimista kolmella paikkakunnalla ja äänestyskokeilusta luopumista. Luulen että siihen luultavasti päädytäänkin. Kävipä Jyrkillä mäihä että äänestyskoneen käyttöliittymään oli jäänyt tällainen bugi . Tässä bugissahan ei ollut kyse ilmeisesti muusta kuin tolkuttoman huonosta liittymäsuunnittelusta OK-napissa olisi pitänyt lukea "äänestä" eikä "OK". Hutaisten omaan tekemiseen luottamisen ongelma on vaivannut koko projektia. Moni kohta on toteutettu kaikkien järjellisten olettamusten vastaisesti.
Ongelmasta on kirjoitettu muuallakin tämän päivän KSML/STT:n mukaan Tuija Brax olisi ollut hyvin hämmästynyt siitä että äänestyksessä syntyi keko hukka ääniä. Lehdestä Braxia lainaten "Olen itsekin testannut järjestelmää moneen kertaan, ja olen suoraan sanottuna vieläkin ihan hirveän hämmästynyt, että semmoinen (virhe) on voinut niin laajasti tulla. Osoittautui, että järjestelmä ei ole ollut ongelma, vaan sittenkin ihminen".

Että näin. Kyllä toimiva äänestysmenetelmä olisi pystynyt korjaamaan ihmisen aiheuttamat ongelmat. Sehän on hyvän hyvän ja huonon järjestelmän ero.

Pahoin pelkään että kokeilujärjestelmän mukana haudataan nettiäänestäminen pitkälle ensivuosi kymmenelle. Sääli että kokeilijat mokasivat näin perusteellisesti. Edellistä pahenpikin vaihtoehto tietysti on olemassa, se että liittymä korjataan ja vakuutetaan nyt kun OK-tilalla lukee "äänestä" kaikki on kunnossa.

Sähköäänestys tulija meni

Uutisen mukaan yllättävin vika oli OK-napin hukkuminen.
Niin joo mitä tähän nyt sanoisi. Oikeusministeriö joutuu ensimmäisen todellisen pulman eteen. Vikahan tietysti korjaantuu tiedottamisella, mutta ongelmaa ei olisi edes syntynyt jos meillä olisi viron mukainen korjaava äänestys mahdollisuus. Kaikille äänestäneille olisi vain tiedotettu että äänestäkää uudelleen. Vaalipäivänä aika ei olisi ehkä riittänyt, mutta ennakkoäänissä kyllä.

Euroopan neuvosto tarkkailee

Suomeen on lähetetty Susan Bolan selvittämään sähköäänestyksen toimimista. Mitenköhän on löytääköhän huomautettavaa järjestelmästä? Myös digitoday uutisoi asiasta.

Aiheen tiimoilta järjestetään myös seminaari. En vain löydä seminaari mistään. ETYJ:n sivuillakaan ei ole mitään tapahtumaa suomessa tuona ajan kohtana. Ainakaan paikkaa ja ohjelmaa ei ole kovin helppo saada selville googlettamalla. Ilmeisesti sinne ei haluta kaikkien tulevan.

Effin Timo Karjalaisen haastattelu

Linkki radiohaastatteluun on tässä. Omituista tässä ns. radiohaastattelussa on se ettei siinä ole tietoa missä ja milloin haastattelu on lähetetty.

Itse haastattelun sisältö varsin selvä. Suomen sähköäänestyskokeilu ei täytä EU:n määrittelemiä vähimmäisehtoja sähköiselle äänestämiselle. Edellinen ei ole kellekään mikään yllätys. Haastattelun jälkeen jäi mietityttämään täyttääkö Viron järjestelmä vastaavat ehdot? Minun käsitykseni mukaan se täyttää ne ainakin osittain paremmin kuin meidän omamme.
Siellä ainakin saavutetaan Timon perään kuuluttamaa selvää hyötyä, koska äänestäminen ei ole paikkaan sidonnaista, kun jopa kännykällä voi äänestää.

Timo myös toteaa haastattelussa että äänestämiskokeilusta on tullut kunnia kysymys. Olen samaa mieltä, ja uskallan väittää että kunnia asiana vielä pidetään Viron järjestelmän nokittamista. Äänestysmenetelmää on rakennettu meillä sen omituiseksi ja viron hyviäkin ratkaisuja vältteleväksi, että kyseessä ei voi olla enää järkiperäinen hanke. Tehdyt ratkaisut on perusteltavissa vain muilla syillä, mikä on todella huono juttu.
Effin kannasta poiketen itse uskon nettiäänestämisen tulevaisuuteen, mutta järjestelmää ei todellakaan voida rakentaa tämän kokeilun varaan. Päinvastoin kokeilun ratkaisuista olisi päästävä eroon, koska ne ovat pelkkää painolastia nettiäänestysjärjestelmää rakennettaessa.

Sähköinen äänestys käytössä

Tässä linkki ylen areenalla olevaan video leikkeeseen. Useammankaan katselu kerran jälkeen siitä ei oikein saa siitä mitään tolkkua. Toivottavasti homma pelaa paremmin kuin video näyttää sen toimivan.

"Sähköinen äänestys toisi monia etuja"

Lueskelin juuri päivän Keskisuomalaisesta otsikon mukaista artikkelia. Artikkelissa ei ollut oikeastaan mitään uutta. Ihmettelen vain ovatko artikkelissa mainitut edut, muualla äänestäminen ja jatkettu ennakkoäänestysaika, todella etuja. Kuten tiedetään ennakkoäänestys on nykyisen vaalijärjestelmän heikoin lenkki. Miksi tämän heikon lenkin painoarvoa halutaan lisätä?
Muualla äänestäminen lisää äänestämisen riskejä, koska äänen väärinkäytön mahdollisuus kasvaa yksinkertaisesti siksi että toisen puolesta äänestäminen toisella puolella maata on huomattavan paljon helpompaa kuin kotipaikka kunnalla.

Jo tästäkin näkökulmasta oikeusministeriön näkemys vaalien luotettavuuden ja turvallisuuden parantumista tuntuu naurettavalta, vaikka äänestyskoneessa ei olisikaan niitä perustavaa laatua olevia puutteita kuin siinä nyt on!

Mielenkiitoisempi juttu onkin Uuden Suomen "Oikeusministeriö teki korjauksia sähköisen äänestämisen parantamiseksi"-artikkeli. Viisi vikaan korjattua asiaa:

1. Lasketaan äänet itse uudelleen
2. Korjataan käyttöjärjestelmää. Knoppixin live CD:tä voi tosiaan muokata, mutta kuka sen tekee ja miten
   
3. Enää kukaan yksin ei pysty tekemään lisää ääniä, mutta kaverin kanssa kyllä
4. Vaaliuurna avataan ministeriön mukaan vain usean henkilön paikalla ollessa
   
5. Äänestysohjelmiston versio voidaan varmistaa jälkikäteen varmuus perustuu siihen että kaveri, joka pystyy vaihtamaan softan, ei pystyisi palauttamaan alkuperäistä äänestyksen päätyttyä
   

Äkkiseltään korjaukset eivät vakuuta minua. Vanhinkoja ne ehkä estävät, mutta tahallisuuteen niillä ei taida olla mitään vaikutusta.

Lisää juttuja äänestyskokeilusta tietoviikossa

Tietoviikossa on nyt mielenkiintoisia artikkeleita mm. kuntavaalien kokeilusta. "Näin iso uhka sähköinen äänestys on kunnallisvaaleille"-artikkeli käsittelee auditoinin paljastamia riskejä. Erityisesti siinä korostetaan sisään rakennetusta turvallisuuden merkitystä eli toiminta menetelmien turvallisuutta toteutuksen turvallisuuden perustana. Asia joka on yleensä ohitettu keskusteluissa täysin.
Muut tietoviikon artikkelit ovat "Voisiko Suomen vaaleissa käydä kuten USA:ssa?" ja "Viron vaalit siirtyvät jo kännykkään". Edelliseen turvallisuus näkökantaan liittyen jälkimmäisessä viro jutussa puhutaan riskien hallinnasta, kun taas ensimmäisessä voisiko Suomessa-jutussa kerrotaan kuinka riskit sivuutetaan ja luotetaan sokeasti omaan osaamiseen. Viron äänen muuttamismahdollisuus näytetään kuitenkin unohdetun viimeisestä artikkelista merkittävänä turvatekijänä, joka mahdollistaa kipittämisen vaaliuurnalle pieleen menneen känny äänestyksen jälkeen.

Ei voi kuin itkeä ja nauraa

Lueskelin juuri ministeri Braxin ajatuksia uudestasuomesta.
Jokainen voi itse sieltä katsoa mitä ajatuksia ministerillä on sähköäänestyskokeilusta.

Suljettu koodi ja sähköinen äänestys

IT-viikon uutisen mukaan USA:ssa käytössä olleen sähköisen äänestysjärjestelmän valmistaja on myöntänyt järjestelmän hukanneen ääniä Ohiossa. Sinällään tapauksessa ei ole mitään yllättävää. Suljettu koodi on aina suuri riski ilman varmistusmekanismia äänen perille menosta. Jopa avoimen koodin ohjelmissakin voi olla vastaavia ongelmia.
Mielenkiintoista on se, käynnistääkö virheen myöntäminen keskustelun äänen perille menon varmistuksen tarpeellisuudesta uudestaan. Pelkään ettei niin tapahdu enkä edes usko että äänestyspömpelin tekijät halua myöntää virheen mahdollisuutta koodissaan.

Biometristen tunnisteiden luottettavuus

Tulevaisuudessa äänestäjienkin tunnistamiseen käytetään biometrisia henkilötunnisteita. IT-viikon uutinen Biopassin murtaminen onnistui tutkijalta nopeasti paljasti karun totuuden, absoluuttisen tunnistamisen mahdottomuuden. Tekniikan taakse piiloutuminen sumentaa kansalaisten arviointi kykyä arvioitaessa niin sähköisen äänestyksen kuin biometristen tunnisteiden luotettavuuttakin.

Paperin ja kynän kanssakin voi yrittää tehdä vilunkia, mutta jokainen meistä ymmärtää ettei se ole kovin helppo valvovien silmien alla. Huijata voidaan yrittää myös koneiden valvovan silmän alla eikä se ole sen epätodennäköisempää kuin ihmisten valvoessa. Päinvastoin koodista aina voi löytyä hakkerin mentävä aukko, jonka käyttöä kukaan ei normaali oloissa voi huomata ellei järjestelmää ole rakennettu sellaisen varalle. Tähänkin pitäisi osata äänestysjärjestelmää rakennettaessa varautua, niin että kiinnijäämisen riski olisi mahdollisemman korkea ja äänestyksen manipuloinnin seurannaisvaikutukset jäisivät mitättömäksi.

Nämä ehdot toteutuvat vain jos äänestäjällä on mahdollisuus varmistaa äänensä päätyminen uurnaan ja epäselvässä tapauksessa korjata viallinen ääni. Jos tähän päästään kukaan ei voi äänestää toisen puolesta ilman kiinnijäämisriskiä, eikä näin ollen absoluuttista tunnistamista tarvita . Jos vielä tulos voidaan korjata mahdollisissa väärinkäytöstapauksissa, toisen puolesta äänestämiseen ei pitäisi olla kenelläkään motivaatiota.

Kyllä kansa luottaa

Viimeksi kaipasin keskustelua, sain mitä halusin. 10.8. ilmestyneessä Sunnuntaisuomalaisessa kyseltiin kansalaisilta luottavatko he sähköiseen äänestykseen. Tulos oli karua luettavaa. Kyselyn mukaan 77% luottaa koneisiin. Tämä ei sinällään ole yllättävää, vaan huolestuttavaa. Teknisestä näkökulmasta käynnistyvä äänestyskokeilu on vähintäänkin epäilyttävä, mikä käy ilmi myös artikkelista vaalijohtajan päinvastaisista vakuutteluista huolimatta. Ilmeisesti kuitenkaan epäilys ei ole saavuttanut kansalaisia.

Miten käy sähköisen äänestämisen tulevaisuudessa, jos tässä kokeilussa tyritään? Meneekö ihmisiltä täydellisesti luottamuskoneilla äänestämiseen?
Ainekset katastrofiin ovat valmiina. Lehden mukaan jopa järjestelmän auditoijaryhmän puheenjohtaja Juhani Karhumäki avoimesti korostaa, että auditointi tehtiin vain kokeilua varten. Valtiollisiin vaaleihin professori ei nykyisenlaisena kelpuuttaisi. (Tätä kohtaa ei nettiartikkelissa ole.)

Ilmeisesti kansalaiset voisivat katsoa Hacking democracyn. Ei siksi etteikö sähköinen äänestäminen voisi olla turvallista vaan siksi että ymmärtäisivät, miksi äänestysjärjestelmän on oltava läpinäkyvä ja ymmärrettävä. Itsessään äänet sisältävän muistikortin hakkeronti ei ole sen kummoisempi toimenpide kuin uurnaan menevien äänien vaihtaminen toisiin.

Sähköäänestys-FAQ päivitetty

EFFI on päivittänyt FAQ:ta, mutta lopputulos on edelleen valitettavan sekava. Käsittääkseni FAQ:ssa pitäisi olla usein esitettyjä kysymyksiä vastauksineen selkeästi esitettynä. Tähän sähköäänestys-FAQ kai pyrkii. Valitettavasti sisältö on vähän turhan valikoitunutta ja tarkoitushakuista. Monessa tapauksessa vieläpä epämääräistä eli monellakin tavalla samanlaista kuin oikeusministeriön sähköisen äänestämisen kokeilua esittelevät sivut, joiden vajavaista sisältöä EFFI on arvostellut.

Esimerkiksi kohta "Mikä äänestäjien painostuskohta?" ohittaa nykytilanteen kokonaan. Nykyisin äänestys salaisuus perustuu pelkkää luottamukseen. Minikameroiden uhkasta ei puhuminen ei kai käy, koska ainoa keino niiltä suojautumiseen on äänen vaihtamisen mahdollistaminen (viron parjatun systeemin tapaan). Kohdassa ei myöskään puututa tekijään, joka mahdollistaa painostamisen, eli ulkopuolisen mahdollisuuteen yhdistää ääni henkilöön. FAQ:ssa kuitenkin puututaan kärkkäästi olosuhteisiin joissa painostus voisi mukamas tapahtua. Mikä on mielestäni täysin toisarvoista, mutta ilmeistä kun halutaan vakuuttaa että paperivarmistus on ainoa oikea keino varmistaa tulos eihän silloin voi nykyjärjestelmää kyseenalaistaa. Samalla jarrutetaan tosin aika vahvasti kehitystä.
Nimittäin FAQ:ssa kummittelee edelleen lause "Äänestäjän henkilöllisyys ei saa olla yhdistettävissä ääneen" kun siellä pitäisi lukea "Vain äänestäjä itse saa pystyä tunnistamaan oman äänensä" . Jälkimmäinen mahdollistaa äänten seurannan laskentaan asti.

Näillä eväillä nettiäänestämistä keskustelu pitäisi viedä eteenpäin. FAQ sisältää edelleen myös mainintoja vilkkaista keskusteluista, joita käydään, vaikka tosiasiassa keskustelu on tauonnut. Molemmat osapuolet ovat kaivautuneet bunkkereihinsa.

EFFI syynäsi auditoijien raportin

Odotetusti EFFI otti myös kantaa auditointiin. Lausunto oli tiukka sanainen. Mielenkiintoista on, että auditointiraportista löytyy EFFIn muukaan myös selvä äänestyssalaisuuden rikkoja kohta.
Itseäni ei niinkään huolestuta äänien jäljitettävyys jälkikäteen vaan jäljittämisen helppous. Jos uurnan kopiota säilyttää organisaatio, joka säilyttää kopioita salausavaimista, on jotain pielessä.
Siksi EFFIn suositus, pidättäytyä äänestämästä koneella, on todella paikallaan.

Mitä tulee korjauksiin ja niiden auditointiin, niin eipä siihen taida aika riittää. Joten näyttää siltä että auditointi onkin ollut pelkkää teatteria.

Auditoijien raportti lukiessa ei voi kuin ihmetellä

Raportti paljastaa järjestelmästä aivan alkeellisia ratkaisuja, joita ei ole ilmeisesti ajateltu juuri ollenkaan, jopa minä olen pystynyt ennakoimaan omassa visiossani nuo ongelmat.

Raportissa törmää jatkuvasti epäkohtiin joita ei luulisi tuollaisessa järjestelmässä olevan lainkaan, kuten esim. äänestäjällä luulisi olevan jonkinlainen mahdollisuus 'nähdä' menikö ääni uurnaan, laskenta on aina yksinkertaisinta tarkastaa laskettamalla äänet uudelleen toisilla laskijoilla, äänien sekoittaminen luotettavasti ennen laskentaa jne.

Kriittisiksi luokiteltuja ongelmia oli kuitenkin aika vähän ja kokeilun pysäyttäväksi auditoijat eivät olleet uskaltaneet luokitella yhtään! Se hieman yllätti, kun katsoi sitä mikä oli vialla. Ratkaisuksi tarjottiin lisää asiantuntijoita organisaatioon, mikä näin järjellä ajatellen tuntuu naurettavalta. Minusta huijauksen mahdollisuus äänen antamisen jälkeen olisi pystyttävä minimoimaan ihan teknisillä ratkaisuilla, ihmiset tekevät virheitä.


Miksi tehdä virhealtis järjestelmä, jos virheiden syntyminen on mahdollista vältää toteutuksella?

Sähköisien äänestysjärjestelmän auditointi on päättynyt

Raportti kuitenkin selvästi toteaa että järjestelmä on luotettava vain, jos kaikki toimijat noudattavat annettuja pelisääntöjä. Käytännössä edellinen merkitsee sitä että tutkittu koodi näytti tekevän sitä mitä sen pitikin. Edellistä mielenkiintoisempaa onkin että raportti puuttuu myös kovalla kädellä äänestystapahtumaan ja äänestyksen toteutukseen(, mitä auditoijilta ei kai oltu pyydetty). EFFI ottikin jo taas kantaa äänestyksen toteutukseen. Digitoday uutisoi auditoijien vaatimuksesta kahdentaa äänten laskenta, mikä nyt on tietysti vähimmäisvaatimus vaatimus tällaisessa järjestelmässä.

Äänestyksen toteutus pysyy edelleen piilossa

EFFI on pyytänyt lisää tarkempia dokumentteja äänestysjärjestelmästä, mutta ei ole niitä saanut. Oikeusministeriö ei ilmeisesti halua kertoa meille mitä koodia äänestyskopin koneissa pyöritetään eikä edes oikeastaan miten se toimii. (Toinen vielä pelottavampi mahdollisuus on ettei siellä edes tiedetä miten se toimii.)

Näin ulkopuolisen näkökulmasta erikoinen suhtautumistapa ministeriöltä pyyntöön johon suostuminen voisi vahvistaa merkittävästi järjestelmän uskottavuutta. Oman käsitykseni mukaan blogin kirjoittaja Antti Vähä-Sipilä ei ole edes sähköisen äänestyksen vastusta vaan rehellinen asiantuntija, joka on huolissaan sähköäänestys kokeilun toteutuksesta.

Kokeilun toteutus ratkaisee miten ihmiset tulevat suhtautumaan sähköäänestykseen tulevaisuudessa. Nykyisellään se ei tule lisäämään luottamusta, jos asiantuntijoillekaan ei anneta mahdollisuutta tehdä objektiivista arviota järjestelmästä. Järjestelmähän voi olla täysin luotettavakin, mutta mistä sen tietää.

Nähdäkseni oikeusministeriö on ratkaisuillaan jo kampittamassa nettiäänestämisenkin tulevaisuutta. Ilman avointa keskustelua toteutusratkaisuista nettiäänestämisestä ei voi saada turvallista.

Sähköäänestys ylitti ylen iltauutisten uutiskynnyksen

Mitään kovin rakentavaa illan uutisissa ei ollut otsikkoa lukuun ottamatta. On selvää että monet asiantuntijat ovat huolissaan nykyisestä toteutustavasta. Erityisesti tällöin puhutaan äänestysohjelmiston ja äänestämisen läpi näkyvyydestä on . Eli siitä miten äänestäjä voi varmistua äänestyksen oikeellisuudesta ja luotettavuudesta. Näitä asioitahan ei ole juuri lainkaan huomioitu äänestyksen toteutuksessa. Ratkaisuksi tarjottua kolmansien osapuolien auditointia, mikä ei mitenkään ratkaise perusongelmaa. Äänestäjä ei voi mitenkään varmistua ohjelman toiminnasta eikä äänensä perille menosta.

Edelliseen asiaan ei uutisissa puututtu juuri mitenkään. Ei edes selkeällä esimerkillä miten meillä on toimittu väärin ja miten olisi pitänyt toimia. Luulen että haastatellut olivat asioista toimittajalle kertoneet laajemminkin kuin pelkän paperitulosteen puuttumisen maininnan muodossa. Paperitulostehan on se yksinkertaisin ja ymmärrettävin varmistus ratkaisu koneäänestyksessä.

Mielenkiintoista uutisessa oli maininta kansalaisjärjestöistä nimeämättä itse järjestöä. Turhinta antia kai oli kansalaisten haastattelut, sillä he tuskin tietävät järjestelmän toteutuksesta vielä mitään.

Voiko äänestäjää oikeasti painostaa?

Kysymys tuli mieleeni lukiessani kotiäänestys episodinpäätymisestä käräjille. Siis kuka päättää milloin painostusyritys on tapahtunut? Ilmeisesti äänestäjä itse ei voi nykyään asiasta valittaa, koska tässäkin tapauksessa tapaus päätyi käräjille vasta puolueiden valitettua asiasta. Sinänsä hieman arveluttavaa äänestäjän kannalta, mutta hyvin perusteltua.
Nettiäänestyksessä tilannehan on vähän vastaava. Kuitenkin jos joku väittää että häntä on äänestystilanteessa yritetty painostaa, hän voi äänestää uudelleen. Siis käräjillä menoa ei tarvita painostuksen onnistuessakaan.
Miksi yksittäisen äänestäjän väitteitä ei pidä ottaa automaattisesti oikeuskäsittelyyn, johtuu siitä että äänestyssalaisuuden vuoksi asiaa on aika mahdotonta käydä läpi. Myös tekaistujen syytösten ilmaa heittäminen kyseenalaistaa vaalituloksen väärin perustein.

Valta vaihtuu nappia painamalla?

Veli Koskinen kirjoittaa (liittyy kai Tuija Braxin haastatteluun - Voima Numero 02/2008, sivu 41; en löytänyt muuta linkkiä) napin painamisen turvallisuudesta. Eittämättä koppiin tuotu äänestyskone on lähes hyödytön monessakin mielessä, mutta ei se minusta vielä oikeuta täysin kyseenalaistamaan tekniikan käyttämistä äänestyksestä. Päinvastoin, pitäisi miettiä miten tekniikkaa voisi hyödyntää niin, että siitä olisi todellista hyötyä äänestettäessä. Olen taas hieman päivittänyt omaa näkemystäni asiasta.

AVS online:ssa sivutaan osuvammin samaista Braxin haastattelu ja kiteytetään testauksen merkityksen: "Rikki kunnes toisin todistetaan" , eikä päinvastoin. Siis mitään järjestelmään ei todellakaan voi pitää toimivana, ennen kuin se on testattu. Mutta onko auditoijalla todella mahdollisuus pysäyttää järjestelmän käyttöönotto niin kuin Antti antaa ymmärtää sanoessaan: "On hienoa, että auditointitulosten myötä on realistinen optio romuttaa järjestelmä." Tuskinpa.

EFFI tarjoaa ilmaista auditointi apua

Niin olin aiemmin väärässä auditointi voi olla ilmaistakin, mutta kelpaako se oikeusministeriölle. Mielenkiintoista että auditoijille tarjotaan salassapitosopimusta, jota nämä eivät katso voivansa sellaisenaan hyväksyä. Olisi mielenkiintoista tietää ovatko muut auditoijat pitäneet samaista sopimusta hyväksyttävänä vai onko heillä kenties ihan oma sopimuksensa. EFFIn epäilevän suhtautumisen tietäen voi olla ettei ilmaista auditointia ehkä halutakaan, ei millään hinnalla.

Uskallatko sinä äänestää sähköisesti syksyllä?

Kysymys heräsi kun luin EFFIn viimeisimmästä yrityksestä saada selkoa mitä äänestyskoppeihin aiotaan sisälle laittaa. Oikeusministeriöllä ei näköjään ole halua kertoa sitä tai ymmärtämystä mitä dokumentteja äänestäjän ja äänestäjien joukossa ole vien asiantuntijoiden olisi saatava. Jos kyse on ymmärtämyksestä olen tosiaan huolissani. Äänestyksen luotettavuus perustuu aina avoimuuteen. En näe mitään perusteilla rajoittaa keskustelua pihtaamalla toteutuksen yksityiskohtia, koska äänestysturvallisuutta ei voi suojata rakennetietoja pimittämällä. Päinvastoin niiden pimittäminen on uhka äänestysturvallisuudelle.

Jos OM tietää mitä tekee, miksi se tekee niin? Mitä myöhemmin dokumentit paljastetaan sitä epäluuloisemmiksi asiantuntijat käyvät. Jos dokumentteja ei anneta lainkaan, luottamus sähköäänestysjärjestelmään jää väistämättä vähäiseksi ainakin asiantuntijoiden keskuudessa ja ennemmin tai myöhemmin asia vaikuttaa myös äänestäjien luottamukseen. Lyhyellä aikavälillä oleva äänestyskokeilu voidaan luultavasti viedä onnistuneesti läpi, mutta luottamuksen rajat tulevat nopeasti myöhemmin vastaan.

Itse henkilökohtaisesti kaipaan edes jotain kuittaus/seuranta järjestelyä, jotta äänestäjällä olisi oikeasti mahdollisuus seurata oikeudenmukaisuuden toteutumista. Moni muukin luultavasti kaipaa sitä.

Sähköisen äänestysjärjestelmän auditointi

Nyt julkista ihmetystä on herättänyt syksyllä käyttöön otettavan äänestysjärjestelmän auditointi (katso lisää Tampereen radio ja Effi). (Auditointi = rahan luovutus sitä vastaan että joku sanoo että pelaa se.) Auditointi on annettu Turun yliopiston matematiikan laitokselle. Keskustelua eritoten on herättänyt kysymys miksi Turku? Monen mielestä Tampere tai Helsinki olisivat parempia auditoijia, koska niistä löytyy myös tietoliikenne osaamista. Äänestämisessähän ei ole kyse pelkästä salakirjoituksesta, jossa Turkulaiset ovat tunnetusti eteviä. Salaushan ei ole välttämättä edes lopulta se tärkein turva tae. (lisätty 7.3.)
Kukaan ei ole kuitenkaan kyseenalaistanut sitä voiko auditoija todella sanoa että tämä järjestelmä on susi ja perustella päätöstään sillä että koodi on suljettua eikä näin ollen äänestäjä tai kukaan ulkopuolinen voi tietää miten se toimii. Epäilen että tähän valitulla auditoijalla ei ole mahdollisuuksia.

Jyrki J. Kasvi on kertonut omia näkemyksiään sähköisestä äänestämisestä Vihreässä blogissa ja myös Tietokone-lehden viikkokatsauksessa (17 minuutin kohdalta eteenpäin). Niissä ei ilmene mitään mullistavaa. Jyrki uskoo kovasti että kunnallisvaalien kokeilun jälkeen järjestelmää korjataan.
Toivottavasti hän on oikeassa ja keskustelu käynnistyy tämän kokeilun myötä. Itse pahoin pelkään että keskustelua syntyy vasta, jos kokeilussa syntyy suuria näkyviä ongelmia. Luultavasti sekin keskustelu käydään vain näiden ongelmien välttämiseksi, ei järjestelmän kehittämiseksi.

Herra Stubb on nettiäänestyksen kannalla

HS:n tarina ei taaskaan kerro miten äänestys toteutettaisiin, mutta ainakin keskustelua se on saanut aikaan.
Ensin mainitussa artikkelissa Arto Jääskeläisen antamat kommentit äänestyssalaisuuden ja vapauden puolesta vahvistavat käsitystäni siitä ettei kellään ole näytä olevan hajuakaan miten äänestys olisi syytä toteuttaa.
No ehkä kuitenkin ainakin minulla on. Sääli, että keskustelu jauhaa edelleen sivuraiteilla. Ideoiden sijasta pyöritetään eipäs-juupas-keskustelua.

Effi ei ole aivan oikeassa

Effin ja oikeusministeriön riita on aiheellinen. Äänestysjärjestelmästä pitää asiantuntijoiden saada tietoa liikesalaisuuksista riippumatta! Ainakin jos koko järjestelmässä ei käytetä mitään erityisiä järjestelyjä äänestäjän jäljityksen estoon ja äänen seurantaan. Edelliset eivät ole toisiaan pois sulkevia toimia; äänestäjä voi seurata ääntään äänestyssalaisuuden vaarantumatta. Vain tämä äänestäjälle tarjottava äänen täydellinen seuranta mahdollisuus mahdollistaa suljetun koodin käytön. Tässä kohdin Effin lausunto on hieman puutteellinen. Muuten he ovat oikealla asialla.

Esteitä ja aitoja ylitettävänä

Nähdäkseni suurimmat esteet nettiäänestämiseen ovat ilmeisesti jo itse äänestämiseen liittyvissä oletuksissa. Olen esimerkiksi yrittänyt saada selville kaupunkikorttia vaaleissa ehdottaneelta Veli-Matti Laitiselta miten henkilökortin väärin käyttö estetään. Tarjotaanko esimerkiksi äänen vaihtomahdollisuutta?

Yleisesti äänen vaihtamista ei ole pidetty vaihtoehtona. Kuuluuko siitä kiitos kenties Lorrie Faith Cranorille? Hän on määrittänyt äänestyksen todenperäisyyden niin että ääntä ei voi muuntaa äänioikeutetun annettua äänensä ja demokraattisuuden siten että kukin äänioikeutettu voi äänestää vain kerran. sivu 15

Minusta oleellista demokratian kannalta on että jokaiselta lasketaan vain ja ainostaan yksi ääni ja tällöin mikään ei estä äänestämästä useammin jos tuon lasketun äänen todenperäisyys on vahvistettavissa. Väitän olevani asiassa oikeassa. Tiukemmat rajoitteet ovat turhia.

En ole sähköäänestystä vastaan pikemminkin päinvastoin

Äänestysjärjestelmä on kuitenkin toteutettava ehdottomasti oikein. Nähdäkseni asioista päättäjille itselleenkin on yhä epäselvää, millainen oikeanlainen toteutus on. Sähköäänestyksen arvostelijat ovat täysin oikeassa siinä, että nyt esitetyssä muodossaan väärinkäytöksille jää mahdollisuus. Ilmeisesti juuri siksi meille ei ole tyhjentävästi kerrottu miten äänet turvataan ja miten niiden oikeellisuus varmistetaan. Ainoa asia mistä kai on varmuus on se että joillekin äänestyspaikoille ilmestyy koppiin kone, jolla äänet annetaan. Minusta tuo jo tuo vihjaisee että toteutus on yhtä metsässä muutkin viimeaikaiset nettiin liittyvät päätökset. Kai Puolamäki on tehnyt näistä hyvän yhteenvedon.

Miksi meille sitten yritetään syöttää näitä toimimatto ratkaisuja? Kysymys on selvästikin siitä ettei netin luonnetta ymmärretä. Päättäjinä on liian vähän J.J. Kasveja, joilla on hajua siitä missä mennään. Nettiin liittyviin päätöksiin yritetään väen väkisin soveltaa perinteisiä menetelmiä.

Käytetään esimerkkinä koneen raahaamista äänestyskoppiin. Ihmisille halutaan luoda turvattu paikka äänestää, paikka jonne pääsy valvottu. Sen sijaan tulisi ymmärtää että ihmisille pitäisi antaa mahdollisuus äänestää kaiken aikaa kaikkialla, kun siihen on kerran mahdollisuus. Ennen kuin joku ehtii sanomaan etteihän tuo ole turvallista, minun on todettava että nyt vaaditaan netin erilaisuuden ymmärtämistä. Jos voit äänestää kaiken aikaa kaikkialla siis vaikka kännykällä vaihtaen ääntä niin monta kertaa äänestyksen aikana kuin haluat, mistä kukaan voi tietää milloin todella äänestät? Sen sijaan kun menet kerran äänestyskoppiin kaikille on selvää missä pitää vakoilla. Kumpikohan oikeasti on turvallisempaa, jos äänestystieto lopulta siirretään kuitenkin saman netin yli?

Mitä sitten on tehty?

Kai paljonkin kun on voitu päättää, että 2008 kunnallisvaaleissa kokeillaan sähköistä äänestystä. Minulle on kuitenkin jäänyt täysin epäselväksi kaikki kokeiluun liittyvät yksityiskohdat. En ole löytänyt selvää faktaa siitä, miten se toteutetaan niin että Oikeusministeriön muistiossa esitetyt tavoitteet toteutuvat. Esimerkiksi se miten voidaan täydellisesti varmistua siitä, että sähköinen vaaliuurna on suojattu siten, ettei kukaan ulkopuolinen taho voi muuttaa uurnassa olevia ääniä ja ettei sen sisällöstä voisi saada tietoja ennen kuin vaalitoimitus on vaalipäivänä klo 20 päättynyt. Kansalaisena haluaisin varmasti ymmärtää yksinkertaisesti selitettynä miten juuri minä voi varmistua edellisestä. Pitääkö minun luottaa koneisiin ihmisiin vai molempiin?

Jotain on jo tehty

Tiedän että kovasti äänestyskoneita koetettu saada meillekin. Viimeisin hallituksen esitys aiheesta on luettavissa netissäkin. Jokainen tekstin läpi kahlannut huomaa että Sähköäänestys-FAQ:ssa on esitetty epäkohtia, joita esitys ei ratkaise millään tavoin.
Niitä ei voi ohittaa olan kohautuksella. Valitettava tosia asia on että 2000-luvun alussa käynnistetty vaalitietojärjestelmä hanke on teknisessä umpikujassa, josta ei ole kunniallista ulos pääsyä ilman asioiden uudelleen tarkastelua. Äänten laskenta nopeuden ja äänestyskoppien kanssa näprääminen on naurettavaa, kun äänestyksen suurimmat turvallisuus ongelmat ovat yhä ratkaisematta.

Myyntimiehille myytävää

Ehkä olin edellä hiekan liian pessimisti. Toki esimerkiksi "Kuntien verkkovastaavat haluaisivat nettivaalit" kaltaista positiivistakin kirjoittelua näkyy . Janne Saarikon:"Nettiäänestys jo/vasta 8 vuoden kuluttuakin" esitetty väite "Teknologia sen toteuttamiseen ylimääräisenä äänestyskeinona on jo olemassa." omassa positiivisuudessa paljastaa toteuttamisen suurimman ongelman. Kuka kertoisi päättäjille, miten teknologiaa tulisi käyttää niin ettei epäileville tuomaille jäisi sanan sijaa?

Tähän asti kukaan ei ole tuohon pystynyt. Myyntimiehillä ei ole ollut läpimyynti äänestysmenetelmää. Tappajasovellusta joka leikkaisi epäilyiltä siivet ja ampuisi kehityksen vauhtiin.

Internetäänestys-FAQ

Jotain täytyisi todella tehdä, jotta internetäänestäminen saisi tuulta purjeisiin. Nettiäänestämisen vastainen yleinen epäilevä ilmapiiri pitäisi saada myönteiseksi. Internetäänestäminen pitää saada kansan tahtotilaan. Erityisesti tietotekniikanammattilaiset pitää saada havahtumaan ja hyväksymään että turvallinen äänestäminen netissä on mahdollista, kun menetellään oikein. Ketkään muut eivät saa epäilyksiä haihtumaan ja internetäänestysprosessia etenemään.

Olen nyt tarttunut itse lapion varteen ja tehnyt internetäänestys-FAQ:n luomaan positiivista mielikuvaa siitä että äänestäminen netissä voi olla turvallista.

Jotain tarttis tehdä

Nettiäänestyksen kannattajia eittämättä on olemassa, vaikka yleensä kaikki uutisointi onkin internetäänestämisestä kovin negatiivista tai ainakin niihin liittyvä palaute. Tässä pari esimerkkiä Nettiäänestys on aina riski, nettiäänestys ja Verkkoäänestyksen ongelmia: Tekniikka, etiikka ja vaalisalaisuus. Internetäänestyksen vastustus on käytännössä niin voimakasta ettei puutteellista äänestysmenetelmää oteta käyttöön. Siis asian edistämiseksi täytyy olla jotain konkreettista jolla voidaan sulkea epäilijöiden suut.
Tarvitaan täydellinen äänestysjärjestelmä, mutta riittääkö sekään. Idea pitäisi myydä myös muille, mutta miten?