
Da debatten om e-valg brød ud i Danmark i begyndelsen af 2013, var der enighed blandt politikere og it-folk om én ting: Valg over internettet var slet ikke på tale, for det bliver for svært at gøre det sikkert og anonymt.
Men i Norge gik man den modsatte vej, da man i løbet af et storstilet e-valgs-forsøgsprojekt skulle beslutte, om borgerne skulle møde frem på valgstedet og stemme elektronisk, eller om de skulle kunne gøre det hjemmefra. Det fortæller Christian Bull, der er ansvarlig for sikkerheden i de norske e-valgs-forsøg, i et interview med Version2.
»Vi så på begge dele i starten af projektet. Men vi fandt ud af, noget overraskende, at det var mere udfordrende at lave e-valg på valgstederne end at lave internetvalg. Der er større muligheder for at eskalere et angreb, og det er svært at lave en løsning, der er nem at bruge både for vælgerne og de valgtilforordnede,« siger han til Version2.
Derfor har de norske myndigheder i Kommunal- og Regionaldepartementet nu holdt forsøg med internetstemmer til både et kommunalvalg og de nylige stortingsvalg i Norge, hvor 12 kommuner deltog i forsøget.
Ud af de 250.000 vælgere i forsøgskommunerne valgte 28 procent af dem at afgive deres stemme over internettet, ved hjælp af MinID, der er Norges svar på NemID. Den tilslutning kom bag på Christian Bull og hans kolleger.
»Det er meget høje tal for et forsøg, der bliver holdt for første gang, og det overraskede os. Men det indikerer, at vælgerne kan lide den service og meget gerne vil have muligheden for at stemme hjemmefra,« siger han.
Målet er dog ikke at afskaffe den traditionelle valghandling, for i de norske forsøg har man som ekstra sikkerhed også mulighed for at annullere sin stemme over internettet ved at gå ned på valgstedet på valgdagen og bruge papir og blyant.
»Vi kan ikke rulle internetvalg ud som det eneste, og så være tilfredse, for der er stadig problemer ved det. Men jeg synes, at vi bør lave forsøg. Ellers kommer vi ingen vegne. Som sikkerhedsfolk må vi påpege risici og finde ud af, hvad der er acceptabelt, og vi må vide, hvilke gevinster, vi kan opnå ved det,« siger Christian Bull.
Han har dog ikke altid være overbevist om, at e-valg gav mening.
»Jeg er selv teknolog og har en baggrund inden for it-sikkerhed, og jeg var i begyndelsen meget skeptisk og troede ikke, at det kunne lade sig gøre. Der er mange store sikkerhedsudfordringer. Men det har vist sig, at de kan løses ganske tilfredsstillende,« siger han til Version2.
Skal holdes fanget i en måned
Det store problem med internetvalg - og det som debatten i Norge mest har handlet om - er om vælgerne kan stemme anonymt og uden tvang. Det skulle muligheden for at stemme om sikre. Vælgerne kan stemme så mange gange, de har lyst, via internettet, i en måned op til valgdagen. Nogle dage før valgdagen lukker internetvalget, men så kan man som sagt stadig ombestemme sig og stemme på traditionel vis.
»Hvis du skal påvirke nogens stemme, skal du holde dem fanget i en måned,« siger Christian Bull.
Modellen med en måned til internetstemmer er mulig i Norge, fordi folketingsvalg kommer med faste mellemrum, modsat i Danmark, hvor de kan blive udskrevet med tre ugers varsel.
En anden problemstilling er, hvordan man både sikrer, at folk kun stemmer én gang hver, og samtidigt med garanti ikke kan spore, hvad de har stemt. Det har man løst i Norge ved hjælp af mix-netværk, forklarer Christian Bull.
»Det er en velafprøvet teknologi til at anonymisere kommunikation. Når stemmen kommer ind, er den krypteret. Så bliver metadata taget fra, mens selve stemmen bliver sendt igennem mix-net, så den derefter ikke kan spores tilbage,« siger han.
Eneste store problem, der opstod undervejs, var usikker kryptering af databaserne med stemmer. Det blev opdaget undervejs, så over 45.000 havde allerede stemt, og man valgte at køre videre, i stedet for at starte forfra og annullere de 30.000 stemmer, som var ramt af fejlen.
For at højne sikkerheden har nordmændene også krævet af leverandørerne, at alt software skal være åbent tilgængeligt, uden at det er open source i traditionel forstand.
»Det er meget vigtigt for os med den åbenhed. Det er open source på den måde, at vi publicerer koden, så andre kan teste den. Vores spanske leverandør ønskede ikke at få offentliggjort koden, men det var de nødt til, hvis de ville sælge til os,« siger Christian Bull.
Mange papirstemmer går tabt
I diskussionen om sikkerheden ved e-valg er det også værd at analysere det traditionelle papir og blyant-valg nærmere, mener han. I Norge er stemmesedlerne meget komplicerede, og der skal sættes flere krydser med tilsammen milliarder af kombinationsmuligheder. Derfor er det ikke realistisk at skabe hjælpemidler, som gør det muligt for eksempelvis blinde at stemme selv.
Samtidig bliver der afgivet mange brevstemmer i Norge, hvor man også kan brevstemme i en anden kommune end sin egen. Derefter skal stemmesedlerne sendes til hjemkommunen, og der sker et tab undervejs. Omkring to procent af disse stemmer går tabt i posten eller bliver forsinket.
»Kommer en brevstemme for sent frem til en kommune, bliver den makuleret. Det er et frygteligt syn. Til sammenligning blev samtlige internetstemmer talt med. Generelt er papirvalg meget mere kompliceret, end mange tror. Der er meget logistik undervejs, som kan gå galt,« siger han.
Men der er også faldgruber for e-valgsforsøg, og da det gik løs med stortingsvalg i august og september, var der nerver på.
»Du ved ikke, hvad frygt er, før du har holdt et e-valg. Uanset hvor meget du tester det, ved du aldrig, hvordan det går. Og konsekvenserne er alvorlige, hvis noget går galt, så det skal bare være rigtigt,« siger Christian Bull.
E-valgs-forsøg i Norge:
- Første forsøg var til kommunalvalget i 2011, hvor 13 procent af de stemmeberettigede i forsøgskommunerne valgte at stemme via internettet.
- Ved stortingsvalget i september 2013 var 12 ud af 428 kommuner med i forsøget. 28 procent af de stemmeberettigede her valgte at stemme via internettet. Internetstemmerne udgjorde 76 procent af alle stemmer afgivet før valgdagen.
- Efter disse to forsøg bliver konceptet nu evalueret, i en større samfundsmæssig sammenhæng, og politikerne skal beslutte, hvad der skal ske fremover.
- Valgdeltagelsen har ikke ændret sig i forsøgskommunerne, bortset fra hos nordmænd bosat i udlandet, hvor den steg med omkring 50 procent.
- Alle stemmeberettigede i forsøgskommunerne modtog med posten deres valgkort, med en talkode ud for hvert parti. Koderne er forskellige fra vælger til vælger og helt tilfældige.
- Efter at have afgivet sin stemme via computeren, modtog vælgerne en sms med en kode, som de kunne sammenligne med deres personlige koder på valgkortet og dermed anonymt kontrollere, at stemmen var gået korrekt igennem. I 2011 valgte 70 procent af vælgerne, der stemte via internettet, at åbne og læse bekræftelsen.