Vilde Elise Samnøy Amundsen skrev sin masteroppgave om det norske valgsystemet der stemmegivningen foregår manuelt, mens opptellingen av stemmene er automatisert gjennom datasystemet Elektronisk Valgadministrasjonssystem (EVA-scanning):
«EVA Skanning er et system eiet og utviklet av Valgdirektoratet, som kommunene og fylkene i Norge siden 2013 har kunnet velge å benytte for maskinell opptelling av valg i Norge. De som ikke benytter EVA Skanning, teller for hånd.» Kilde: Valg.no.
Norge kombinerer det manuelle og det digitale
Det er blitt spekulert i om sikkerheten ved EVA-scanning er godt nok ivaretatt og om det er utviklet gode nok rutiner for å oppdage og avdekke mulig sikkerhetssårbarhet i data-systemet.
Vilde Elise Samnøy Amundsen konkluderer med at systemet ikke er godt nok sikret.
Komplekse programvaresystemer er notorisk vanskelig å sikre, og kan aldri garanteres å være fullstendig sikret. Derfor må et teknologiavhengig valgsystem implementere pålitelige mekanismer for å oppdage feil.
Måten å sørge for programvareuavhengighet kan være å utvikle to separate systemer, eventuelt å implementere risiko-begrensende revisjoner.
Et teknologiavhengig valgsystem må være programvareuavhengig, det betyr at en uoppdaget feil i programvaren ikke forårsaker en uoppdagbar feil i selve resultatet.
Blant annet konkluderer rapporten at:
«Hovedfunnene indikerer at EVA Skanning ikke er tilstrekkelig sikret. Valg av arkitektur og protokoller er ikke entydig motivert av sikkerhet, men heller av praktiske hensyn.
Funnene indikerer også at påliteligheten til eksisterende mekanismer for å oppdage feil er svak. Hovedmekanismen for å oppdage feil er å sammenligne det manuelle og elektroniske resultatet. Gitt avvik, blir det gjennomført en elektronisk omtelling.
En elektronisk omtelling undergraver det manuelle resultatet, og dermed rettferdiggjør to elektroniske teller. Grunnet dårlig sikkerhet og lav pålitelighet knyttet til mekanismer som oppdager feil, bør risikobegrensende revisjoner innføres i det norske valgsystemet. To algoritmer diskuteres i denne mastergradsoppgaven: ballot polling audits og comparison audits. Av de to, anses comparison audits som den mest hensiktsmessige algoritmen for det norske valgsystemet.»
Slik oppdager man best feil i valgsystemene
Risiko-begrensende revisjoner blir ansett som beste metode for å oppdage feil i valgsystemer. Det er så langt ikke implementert i det norske valgsystemet.
Valg av arkitektur og protokoller er ikke entydig motivert av sikkerhet, heller av praktiske hensyn. Funnene hennes indikerer også at eksisterende mekanismer for å oppdage feil, er svake eller upålitelige.
Hovedmekanismen for å oppdage feil er å sammenligne det manuelle med det elektroniske telleresultatet. Hvis det er avvik blir det gjennomført en ny elektronisk telling. Om den elektroniske tellingen bekrefter seg selv, undergraves det manuelle resultatet.
Det er ifølge Amundsen, opp til kommunene selv å avgjøre hvilken feilmargin de aksepterer og det varierer fra én til ti stemmer pr. 1000. Altså opp til én prosent.
EVA er norsk
EVA-scanning er et norskutviklet system. Amundsen har også sett på andre lands systemer som ligner det norske, der du stemmer med papir og det telles elektronisk.
I USA bruker de tildels hel elektronisk stemmegivning og det gir helt andre nivåer av usikkerhet og risiko. Det kan ikke sammenlignes med det norske systemet. Blir systemet hel-digitalisert oppstår det nye risiko.
I et valgsystem som det norske hvor det kan stå om ganske få stemmer som skiller mellom over eller under sperregrensen, kan det være ganske lett å manipulere valgresultatet ved å sende noen velvalgte stemmer inn i systemet der de «trenges» – såfremt du har eller tar deg tilgang til samme nettverk som maskinene i valglokalet. Det samme kan man tilføye om det amerikanske systemet hvor vinneren tar alt i de fleste delstater.
Hevder åpen kildekode er en sikkerhetsrisiko i seg selv
At systemene ikke har åpen kildekode kan antyde svakheter i programvaren og skape usikkerhet i befolkningen om riktigheten i et valgresultat, men argumentet for ikke å publisere den er at det i seg selv representerer en sikkerhetsrisiko.
DEFCON er en av de største hackerkonferansene i verden. I 2016 hadde de avdekket en rekke feil på maskinene som brukt under valg i USA. I 2017 satte de opp en «Voting Village» med samme utstyr som de bruker ved valg.
En 11-årig jente klarte i løpet av ti minutter å hacke seg inn og endre valgresultater på en kopi av Florida stats hjemmeside. Konferansen demonstrerte at selv deltagere med lite forkunnskaper og begrensede verktøy var i stand til å bryte konfidensialiteten, integriteten og tilgjengeligheten i systemene.
USA er spesielt på den måten at mye av stemmegivningen foregår digitalt, og så er systemene og sikkerheten ulik fra stat til stat. Hillary Clinton ble oppfordret til å be om omtelling i vippestatene Wisconsin, Michigan og Pennsylvania da de mente å ha bevis for at resultatene kunne være manipulert eller hacket. I 2020 krevde Trump omtelling i flere stater.
Les også:
Norsk professor mener at tellemaskin-manipulasjon kan utføres i det skjulte
Vilde Amundsen intervjuet ansatte i Kommunal- og moderniseringsdepartementet (KMD). Etter det foreslo KMD at foreløpig opptelling av både forhåndsstemmer og valgtingsstemmer skal foregå for hånd og at det skal foreligge rutiner dersom det er avvik når endelig opptelling er foretatt ved maskinell scanning.
Ansvarlig professor Stig F. Mjølsnes ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi, NTNU, skrev et høringssvar med utgangspunkt i Vildes masterarbeide. I svaret skriver han blant annet:
«Uautorisert manipulasjon av tellemaskiner kan i prinsippet gjøres skjult og i forkant, dette er vel dokumentert i mange internasjonalt publiserte papers over det siste tiåret. Følgende må det etableres kontrollmekanismer for å oppdage slike angrep.»
Videre: «Uavhengige funksjonelle prosesser er et sentralt konsept i design av pålitelige systemer. En ny maskinell opptelling kan gjøres mest mulig uavhengig av forrige maskintelling ved å benytte uavhengig installerte skannere, andre datamaskiner og programvare, separat datakommunikasjon og skifte operatører for å unngå gjentak av samme mulige systematiske og/eller intensjonelle feil.»
Les også – Teknologi-giganter inn i norsk politikk:
«Risk limiting audits» har som formål å si noe om sannsynligheten for om et resultat er riktig eller ikke. Vilde så på to algoritmer: «Ballot polling audits» og «comparison audits» og foreslo den siste som mest hensiktsmessig i det norske valgsystemet. KMD skrev at de skulle se på mekanismer for å oppdage feil, men de spesifiserte aldri hvilke.
Vilde Amundsen karakteriserer ikke seg selv som en hacker, men hun henvendte seg i regi av NTNU til utviklerne av EVA med spørsmål om hun kunne gjøre en etisk hacking av programvaren. Hennes motiv var å bidra til å avsløre svakheter, men det fikk hun ikke lov til. «Det er godt mulig de har skrevet gode koder, men hverken å ville dele dokumentasjon eller kildekode med forskere, er ikke det mest optimale,» sier hun.
Da masteren var ferdig sendte Vilde den til Valgdirektoratet og KMD
De lovet at de punktene hun nevner skulle utbedres før neste valg, den gang i 2019 – det var blant annet ikke spesifisert om trafikken mellom klient/database var kryptert, hvis den ikke er kryptert burde den krypteres. Dessuten: brukernavn og passord på klientene var lagret ukryptert. Det siste skal være fikset har ordnet.
Det er imidlertid vanskelig å sjekke hva som er blitt utbedret da forskerne fremdeles ikke har fått dokumentasjon på eller tilgang til kildekoden.
Det er lite offentlig informasjon tilgjengelig om EVA-scanning og Valgdirektoratet ønsker ikke å spesifisere hvordan lokale nettverk i kommunene settes opp. Vilde Amundsen mener at informasjonssikkerheten ikke er prioritert.
Kilde:
NTNU
