Mens danske politikere lige nu er ved at beslutte, om Danmark skal indføre e-valg som forsøg, bliver eksempler fra andre europæiske lande ofte hevet frem i debatten. Især lande, som havde satset stort på e-valg, men som så endte med at droppe konceptet helt, har vakt interesse.
Sådan et land er Holland. Fra 1990’erne og frem blev e-valg indført og gradvist mere udbredt, indtil næsten hele landet stemte via en særlig computer i stemmeboksen, som opsamlede stemmerne elektronisk. Men i 2006, da maskinerne også blev introduceret i hovedstaden Amsterdam, blev det for meget for en gruppe aktivister med Rob Gonggrijp i spidsen, en kendt skikkelse i det hollandske it-miljø, blandt andet som stifter af landets første internetudbyder XS4all. De stiftede gruppen ’Vi stoler ikke på stemmecomputere’ (Wij vertrouwen stemcomputers niet), med det erklærede formål at få stoppet e-valg i Holland.
Teknologien, som blev brugt af de fleste kommuner i landet, var en såkaldt direct-recording electronic-maskine, altså en dedikeret computer til formålet, som i løbet af valgdagen opsamlede stemmerne lokalt.
Når valgstedet lukkede, blev resultaterne udlæst fra hver maskine. Producenten var det hollandske firma Nedap, som havde udviklet et simpelt apparat, baseret på gammel hardware. Hjernen i Nedaps stemmemaskine var en 68000-processor fra 1970’erne med 16 kilobyte RAM, og skærmen var på 2 x 40 tegn.
Strategien for aktivisterne blev at få fat i sådan en maskine og vise offentligheden, at resultatet kunne manupuleres. Og det viste sig faktisk ikke så svært at købe en Nedap-computer, som de havde frygtet, fortalte Rob Gonggrijp i et to timers oplæg på den tyske konference Chaos Computer Congress i 2006, kort tid efter gennembruddet. Det kostede 3.000 euro og en kage til en kommunalt ansat, og så fik aktivisterne hele to maskiner og alt ekstraudstyr mellem hænderne, til Nedaps store fortrydelse, i september 2006.
Kunne købe nøglen for 15 kroner
Nedap-computeren blev nøje gennemgået (læs PDF med alle detaljer), og sikkerheden viste sig at være hullet. Nøglen, der skulle beskytte indmaden mod fremmede, var en standardnøgle, som kunne købes via internettet for 15 kroner. Og den EPROM-chip, som rummede softwaren i maskinen, kunne ved hjælp af en skruetrækker til at åbne kabinettet skiftes ud på få minutter.
En EPROM-chip er en variant af en ROM-chip, altså read-only-memory, hvor indholdet på chippen ikke kan manipuleres. En EPROM-chip kan nulstilles ved at udsætte den for UV-lys. Men selvom en hacker ikke umiddelbart kunne ændre softwaren på chippen i Nedap-maskinen, var det altså muligt at kode sin egen chip og så lynhurtigt bytte dem ud.
Med lidt snilde var det muligt at skrive softwaren om, så det næsten var umuligt at påvise, at der var fusket med den, fortalte Rop Gonggrijp. For eksempel kunne man lægge en betingelse ind om, at først når en valghandling havde været i gang i ti timer skulle stemmerne manipuleres. Dermed ville en normal test ikke afsløre, at der blev fusket.
’Vi stoler ikke på stemmecomputere’-gruppen fandt endnu et problem med Nedap-apparaterne, som viste sig at være afgørende: Den lille skærm udsendte elektromagnetisk stråling med en anden frekvens end normalt, hvis der indgik specialtegn på skærmen. Disse skulle nemlig bitmap-renderes, og så faldt antallet af opdateringer pr. sekund. Ét af de hollandske partier havde et navn med et specialtegn, og dermed kunne man på afstand måle, når en vælger valgte dette parti.
Der var valg til det hollandske parlament i november 2006, så kampagnen mod e-valg var et kapløb med tiden i efteråret 2006. Men i oktober kom det store gennembrud. Et nyhedsprogram i hollandsk tv tog emnet op og lod Rop Gonggrijp og hans med-aktivister vise i bedste sendetid, hvor nemt de kunne hacke stemmemaskinerne. Programmet viste også, at Nedap-maskinerne blev opbevaret uden nogen særlig høj sikkerhed, når de ikke blev brugt.
Myndighedernes argumenter om, at ingen havde adgang til at pille ved hardwaren, blev altså også pillet fra hinanden.
Ingen ekstern kontrol af softwaren
Udsendelsen blev det helt store emne op til valget i Holland, og den ansvarlige minister kom i massivt stormvejr. Forsvarets radiotjeneste blev sat til at undersøge problemet med den ’sladrende’ skærm, og både i aktivist-gruppen og hos myndighederne blev der arbejdet på overtid i månederne op til valget. Pludseligt blev det et emne, som alle aviser skrev om, og som folk talte om på gaden. Og her var det afgørende, at ’Vi stoler ikke på stemmecomputere’-folkene havde lavet materiale, som var nemt at forstå for alle, blandt andet små tegneserier.
For at understrege en pointe om, at det ikke bare var dumme maskiner, som kun kunne tælle stemmer sammen, men reelle computere, der kan omprogrammeres, fik gruppen også kodet et skakspil, der kunne køre på Nedap-maskinen. Det var helt fra starten et bevidst valg at bruge ordet stemmecomputere i stedet for stemmemaskiner.
Myndighederne afviste løbende kritikken og henviste til, at sikkerheden blev tjekket af eksterne revisorer ved hvert valg. Men gennem aktindsigt i disse krav til systemerne viste det sig, at ingen faktisk tjekkede softwaren igennem. Kravene var rent fysiske, for eksempel at maskinerne skulle fungere også efter at være tabt på gulvet.
Forbud mod stemmemaskiner kort før valget
Udover Nedap-maskinerne blev også andre fabrikater brugt. En løsning fra firmaet SDU var i praksis helt outsourcet til firmaet, uden nogen form for kontrol fra myndighederne, påpegede Rop Gonggrijp i sit oplæg.
Den 30. oktober 2006 – 22 dage før valget – faldt bomben så: Resultaterne af undersøgelserne af skærm-strålingen fra forskellige maskiner betød, at regeringen forbød stemmecomputere fra SDU og indførte krav om, at der skulle være en ’sikkerhedsafstand’ på fem meter fra alle Nedap-maskiner i brug. Det betød, at Amsterdam i hast måtte skifte tilbage til papir-og-blyant, mens resten af landet måtte indrette valgstederne efter de nye krav.
Valget blev gennemført, men al balladen fik politikerne til at nedsætte en kommission, som skulle undersøge problemerne til bunds. Konklusionerne fra denne kommission kom knap et år senere og førte til, at de meget udbredte Nedap-maskiner blev ulovlige at bruge. I 2008 valgte regeringen så, at Holland fremover slet ikke skulle prøve at bruge e-valg, men holde sig til papir og den røde blyant, som traditionelt var blevet brugt til at stemme.
Det hollandske Nedap-firma havde solgt stemmecomputere til andre europæiske lande også, blandt andet Irland, hvor regeringen i 2006 købte 7.000 apparater ind, kort før en rapport om e-valg blev offentliggjort.
Men kritik af sikkerheden, der fik ny luft efter skandalen i Holland, fik sat projektet i stå. I 2009 besluttede regeringen ikke at indføre e-valg, og i 2012 blev al hardwaren solgt som skrot for en halv million kroner. Indkøbsprisen havde været mange hundrede millioner kroner, da hvert apparat kostede omkring 35.000-40.000 kroner.
Bemærk at det danske lovforslag om e-valg, som er under behandling nu, handler om at bruge maskiner til at udprinte en seddel med vælgerne stemme i stemmeboksen, som så skal scannes, når den afleveres. Der er altså altid et papirspor, der kan tælles op manuelt, mens der i de hollandske Nedap-maskiner og andre DRE-systemer kun er computerens bud på, hvad folk har stemt.