4 Huomaa, että tähän dokumenttiin kirjoitettu voidaan julkaista [Public Domain -lisenssillä](http://creativecommons.org/licenses/publicdomain/).
11 Alkuperäinen versio tästä tekstistä julkaistiin alunperin Effin blogissa
13 <http://www.effi.org/blog/kai-2007-08-24.html>.
14 Tämä dokumentti on [Public Domainia](http://creativecommons.org/licenses/publicdomain/).
16 Effi julkaisi 21.8.2007 [tiedotteen][1] sähköisestä äänestämisestä. Oli mielenkiintoista seurata tiedotteesta eri
17 foorumeilla syntynyttä keskustelua. Kuten aikaisemmissakin sähköistä äänestystä koskevassa keskustelussa,
18 samat argumentit tuntuvat toistuvan. Tähän dokumenttiin on koottu näitä argumentteja yhteen ja yritetty vastata niihin.
22 * Effi sähköisestä äänestämisestä
24 * Viron nettiäänestyskokeilu oli ongelmaton
25 * Nettiäänestys aktivoi äänestämään
26 * Yhdysvaltain huonoilla kokemuksilla ei ole merkitystä Suomessa
27 * Mikä on paperivarmistus?
28 * Nettipankkikin on olemassa, miksi ei siis myös nettiäänestys
29 * Käytetäänhän ääntenlaskussa nykyäänkin apuna tietokoneita
30 * Tietokone ei tee virheitä - ["Suomalainen järjestelmä on täydellinen
31 * Mikä äänestäjien painostus?"
32 * Äänestyslaitteiden lähdekoodin pitäisi olla avointa
33 * Sähköinen äänestysmenetelmä X olisi hyvä
34 * Tekniikan kehitystä ei saa estää
35 * Sähköäänestyksen vastustaminen estää demokratian toteutumisen tai laajentumisen
36 * Lähteenä käytettyjä keskusteluja
39 ### Effi sähköisestä äänestämisestä
41 * [Effi 21.8.2007: Jäitä hattuun sähköisessä äänestämisessä][1]
42 * [Effin blogi 16.3.2006 ja lausunto oikeusministeriölle: Sähköinen äänestys uhkaa johtaa kansanvallasta harvainvaltaan][40]
43 * [Suunniteltuun vaalitietojärjestelmään liittyviä teknisiä dokumentteja][38]
44 * [Äänestysjärjestelmä ei saa olla liikesalaisuus][45] (Effi 25.1.2008)
45 * [Oikeusministeriön vaalipäällikkö julistautuu marttyyriksi][29] (Effin blogi/Kai Puolamäki 26.1.2008)
46 * [Sähköisen äänestyksen eteneminen - Oikeusministeriö tyrmää myös akateemisten tahojen kritiikin][47] (Effin blogi 28.2.2008)
47 * [Dokumentoimattomia salaisuuksia][48] (Effin blogi 10.3.2008)
48 * [Effi valmis osallistumaan sähköäänestyspilotin auditointiin][49] (Effin blogi 12.3.2008)
49 * [Salassapitosopimuksen anatomia][50] (Effin blogi 20.3.2008)
50 * [Sähköäänestysjärjestelmän vaatimusdokumentteja][51] (Effin blogi 21.5.2008)
51 * [Lausunto raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52] (Effi 10.6.2008)
52 * [Suomen sähköinen äänestysjärjestelmä ei täytä suosituksia][53] (Effi 19.6.2008)
53 * [Sähköinen äänestysjärjestelmä rikkoo sekä lakia että vaalisalaisuuden][54] (Effi 24.6.2008)
57 Aluksi on syytä muistuttaa, mitä äänestysjärjestelmältä vaaditaan:
59 * Järjestelmän pitää valvoa, että kukin äänioikeutettu voi äänestää vain kerran.
60 * Äänestäjän henkilöllisyys ei saa olla yhdistettävissä ääneen.
61 * Äänestäjän pitää voida luottaa, että äänet on laskettu tuloksessa oikein ja että ääniä ei ilmesty tyhjästä.
62 * Äänestäjä ei saa pystyä todistamaan muille äänestäneensä tietyillä tavoilla. Näin estetään äänten ostaminen tai äänestäjien painostus. Samasta syystä äänestämisen on tapahduttava henkilökohtaisesti.
64 Järjestelmän on toimittava luetettavasti myös epävakaissa yhteiskunnallisissa oloissa, siis sellaisissa, joissa tyypillisesti YK lähettäisi vaalitarkkailijoita.
66 Esimerkiksi riittävän turvallisen sähköisen pankkijärjestelmän toteuttaminen on vaalijärjestelmään verrattuna hyvin yksinkertaista.
70 * Järjestelmän on paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy. Sopivissa oloissa pelkkä uskottavasti esitetty epäily äänestystuloksen oikeellisuudesta voi johtaa yhteiskuntajärjestyksen kaatumiseen.
71 * Kansalaisten on kyettävä ymmärtämään järjestelmän toimintaperiaate sekä mekanismit, joilla tuloksen oikeellisuus taataan. Sähköisen äänestysjärjestelmän tapauksessa luotettavuuden toteaminen vaatii usein huomattavaa asiantuntemusta, mitä tavallisilla kansalaisilla ei ole.
73 Nykyinen ääntenlasku hajautettuna ja kilpailevien puolueiden edustajien suorittamana toteuttaa edellä kuvatut vaatimukset - toisin kuin monet ehdotetut sähköiset äänestysjärjestelmät. Nykyinen järjestelmä otettiinkin käyttöön aikana, jolloin ihmiset eivät luottaneet toisiinsa. Tästä huolimatta haluttiin luottaa siihen, että vaalitulos on laskettu oikein ja että kukaan ei pääse valtaan vaalivilpillä.
75 Nykyisessä järjestelmässä äänestystuloksen laajamittainen huomaamaton väärentäminen vaatisi maantieteellisesti laajan ja puoluerajat ylittävän salaliiton. Järjestelmä myös mahdollistaa äänten tarkastuslaskennan.
77 Vaikka vain pieni vähemmistö äänestäisi sähköisesti, riittäisi sen väärentäminen usein kääntämään vaalien tuloksen kokonaan toiseksi - esimerkkinä edelliset eduskunta- ja presidentinvaalit.
79 Oikeusministeriö toteaakin [hallituksen esityksessä 14/2006 eduskunnalle vaalilain muuttamisesta][18]:
81 > "Yleisesti ottaen vaalijärjestelmämme toimii teknisessä mielessä varsin hyvin, mistä on osoituksena se, että vaalit toimitetaan ongelmitta ja niiden tulokset saadaan selville kansainvälisestikin verrattuna nopeasti. Pakottavia muutospaineita ei tässä suhteessa voidakaan katsoa olevan."
83 Minkäänlaista pakkoa siirtyä sähköiseen äänestykseen ei siis ole.
85 On myös syytä erottaa sähköinen äänestyspaikalla tapahtuva äänestys, jota oikeusministeriö on ehdottanut ja jota [kokeillaan vuoden 2008 kunnallisvaaleissa][19], ja Internetin kautta tapahtuva nettiäänestys, jota [viestintäministeri Suvi Lindén (kok) on visioinut][20].
87 Effin kannan sähköäänestysasiassa tiivistää hyvin äänestysjärjestelmästä vastaavan oikeusministeri Tuija Braxin (vihr) oman [puoluehallituksen kanta 2.12.2005][21]:
89 > "Edellä kuvatun perusteella Vihreä liitto ei kannata tehtyä esitystä vaalilain muuttamisesta. Jos kuitenkin sähköinen äänestys halutaan mahdollistaa, on ehdoton vaatimus sisällyttää järjestelmään äänikohtainen äänestäjän varmentama paperituloste."
91 ### "Viron nettiäänestyskokeilu oli ongelmaton"
93 Aivan aluksi kannattaa lukea läpi [Effin alkuperäinen tiedote][1] ja siinä olevat viitteet. Näitä viitteitä ei ymmärrettävästi toistettu uutisartikkeleissa, mikä aiheutti hämmennystä. Moni keskustelija tuntui esimerkiksi jakavan [ministeri Lindénin virheellisen käsityksen][22], jonka mukaan Viron nettiäänestyskokeilu oli sujunut täydellisesti. Tämä ei pidä paikkaansa, kuten Effin tiedotteessa viitatussa Viron valtiollisen vaalilautakunnan sivuilla julkaistussa [raportissa][23] sanotaan. Raportti toteaa, että nettiäänestykseen liittyy useita haasteita läpinäkyvyyden ja tuloksen luotettavuuden suhteen ja ellei haasteisiin pystytä vastaamaan, suosittaa harkitsemaan nettiäänestyksestä luopumista:
95 > "Although the National Election Committee made considerable efforts to minimize the inherent risks, testing and auditing of the system could have been more comprehensive. Furthermore, there appeared to be almost no oversight of the internet voting process by political parties or civil society. The internet voting system as implemented appears to have functioned in the Estonian context on this occasion. Yet, unless the above-mentioned factors are effectively addressed, the authorities should reconsider whether the internet should be widely available as a voting method, or alternatively whether it should be used only on a limited basis or at all."
97 Viron viime aikoina kokemien nettihyökkäyksen valossa ei olisi yllättävää, jos vaalien heikoin lenkki eli nettiäänestys joutuisi koetukselle seuraavissa vaaleissa. Ei ole mahdotonta, että joku tekisi haittaohjelman, joka käyttäjän huomaamatta muuttaisi annettua ääntä; vastaavanlaisia haittaohjelmia käytetään tekemään nettipankeissa tilisiirtoja käyttäjän huomaamatta. Nettiäänestys on altis myös nimipalvelu- ja palvelunestohyökkäyksille ja niin edelleen; "liikuvia osia" ja siten potentiaalisia vikapisteitä on perinteiseen paperiäänestysjärjestelmään verrattuna todella paljon. Ylipäätään nettiäänestysprosessi sisältää niin paljon vaikeasti hallittavia ja suojattavia tekijöitä, että jos joku haluaa tehdä maata vastaan kyberhyökkäyksen ja aiheuttaa yhteiskunnallista epävakautta väärentämällä vaalituloksen, olisi nettiäänestys varteenotettava kohde.
99 Bruce Schneierin sanoin: "A secure Internet voting system is theoretically possible, but it would be the first secure networked application ever created in the history of computers."
101 *Nettiäänestys ja äänestäjän painostus.* Viron nettiäänestyksessä äänensä saattoi myöhemmin muuttaa. Tämän oli tarkoitus ehkäistä äänestäjän painostusta ja äänten ostamista: vaikka ääni olisikin annettu valvonnan alaisena, olisi äänestäjä voinut periaatteessa painostajan tietämättä vielä myöhemmin muuttaa ääntään. Äänestäjä saattoi myös antaa paperiäänen nettiäänestyksen sulkeuduttua; tällaisessa tapauksessa nettiääni jätettiin huomiotta. Näin esimerkiksi äänten ostaja ei olisi voinut olla varma, ketä äänestäjä oikeasti lopulta äänesti. Äänestysjärjestelmä kuitenkin tallensi ajan, jona ääni oli annettu; poliittiset puolueet ja vaalitarkkailijat näkivät tämän ajan, jonka avulla ne olisivat periaatteessa voineet selvittää korjasiko äänestäjä myöhemmin ääntään.
103 Uudelleenäänestysmahdollisuus ei tietenkään estä tehokasta painostusta tai äänten ostamista. Ääni voidaan esimerkiksi antaa valvonnan alla ja tämän jälkeen "lainata" äänestykseen tarvittavaa henkilökorttia nettiäänestyksen päättymiseen asti. Paperiäänenkään antamisen estäminen ei ole vaikeaa; vaalipäivänä voidaan laittaa joku vahtimaan äänestyspaikkaa tai äänestäjä voi olla liikuntarajoitteinen tai esimerkiksi ulkomailla asuva henkilö.
105 ### "Nettiäänestys aktivoi äänestämään"
107 Nettiäänestys voi alentaa äänestyskynnystä ja siten väliaikaisesti vähentää äänestysaktiivisuuden laskua. Nykymuotoinen paperiäänestys ennakkoäänestysmahdollisuuksineen ei kuitenkaan ole selitys äänestysprosenttien pienenemiselle, vaan kyse on politiikan uskottavuudesta, moraalista ja vetovoimasta. Äänestysaktivisuuden laskeminen on yhteiskunnallinen ongelma, joka ei ratkea nettiäänestysmahdollisuudella.
109 Aihetta on tutkittu ja [tulokset][24] kertovat, että etä-äänestysmahdollisuus (jonka erityistapaus nettiäänestys on) ei aktivoi äänestämään.
111 Yksi syy äänestysaktiivisuuden laskuun voi esimerkiksi olla, että erilaisilla eturyhmillä on yhä suurempi vaikutus poliittiseen päätöksentekoon. Äänestäjät, varsinkin nuorempi sukupolvi, voivat tuntea, että [heidän mielipiteitään ei kuunnella][25] tarpeeksi. Kuvaava esimerkki Effin toiminta-alalta oli [musta joulukuu][26] vuonna 2005, jolloin säädettiin urakalla uutta älytöntä lainsäädäntöä.
113 Nettiäänestys ei ratkaise näitä asioita.
115 Äänestyksen tietokoneistaminen voi päinvastoin heikentää ihmisten luottamusta äänestykseen ja siihen, että sillä voisi oikeasti vaikuttaa mihinkään - tämä luottamus on jo nykyään heikoilla - ja siten johtaa äänestysaktiivisuuden laskuun. Oma käännös asiaa käsittelevästä [Timothy Leen kolumnista][27] (Slashdot: [E-Voting Undermines Public Confidence In Elections][28]):
117 > "[Marylandin osavaltiossa äänestyskoneiden kuljetuksesta on palkattu vastaamaan yritys, jonka johdossa on osavaltion entinen osavaltion Rebublikaanisen puolueen johtaja.] - - Huolimatta siitä, kuka kuljettaa nämä äänestyskoneet, kansaa pyydetään luottamaan siihen, että niitä ei manipuloida. Hyvin suunnitellussa äänestysjärjestelmässä äänestäjien ei pitäisi tarvita luottaa keneenkään. Koko prosessin pitäisi olla yksinkertainen ja läpinäkyvä, siten että kuka tahansa kykenee tarkkailemaan prosessia ja varmistumaan siitä, että äänestys suoritettiin oikein. Sähköisten äänestyslaitteiden monimutkaisuus ja läpinäkymättömyys tekee tehokkaan julkisen tarkastelun mahdottomaksi, mistä syystä ne ovat huono ajatus, vaikka mitään yksilöityä todistetta vilpistä ei olisikaan."
119 Suomessa oikeusministeriö on ilmoittanut, että sähköisen äänestyksen tapauksessa [pitää vain luottaa oikeusministeriön virkamiehiin][29]. [Hallituksen esityksessä 14/2006 eduskunnalle vaalilain muuttamisesta][18] sanotaan asiasta:
121 > "Suomen vaalijärjestelmä on jo lähes sadan vuoden ajan perustunut luottamushenkilöjärjestelmään, jonka mukaan vaalipiirilautakuntien, kuntien keskusvaalilautakuntien, vaalilautakuntien ja vaalitoimikuntien jäsenten tulee edustaa eri poliittisia puolueita. Siten on pyritty varmistamaan vaalien yleistä luotettavuutta ja oikeudellisuutta. Sähköinen äänestäminen muuttaisi vaalien luonnetta tässä suhteessa."
123 ### "Yhdysvaltain huonoilla kokemuksilla ei ole merkitystä Suomessa"
125 Yhdysvalloissa on pitkään käytetty eri osavaltioissa erilaisia sähköisiä äänestysjärjestelmiä, kun Suomessa vasta suunnitellaan ensimmäisiä pilottihankkeita. Siksi Yhdysvaltain kokemukset ovat erittäin arvokkaita. Olisi naiivia olettaa, että Suomessa tietotekninen osaaminen olisi oleellisesti niin paljon parempaa kuin Yhdysvalloissa, että vastaavia ongelmia ei lintukodossamme voisi esiintyä.
127 Yksi Yhdysvalloissa [opittu läksy on][30], että ainoa järkevä tapa saada riippumaton varmistus sähköisen äänestysjärjestelmän toiminnasta on kerätä jokaiselta äänestäjältä uurnaan tämän itsensä tarkistama paperitosite, joiden perusteella tulos voidaan tarvittaessa tarkistaa.
129 Suomeen ehdotetut järjestelmät eivät paperivarmistusta tunne.
131 ### "Mikä on paperivarmistus?"
133 [Paperivarmistuksessa (VVPR, Voter Verified Paper Record, tai VVPB, Voter Verified Paper Ballot)][30] äänestäjä saa äänestään paperitositteen. Tosite ei jää äänestäjälle, vaan hän laittaa sen vaalipaikalla normaaliin uurnaan tarkastettuaan sen. Näin kerätyillä tositteilla voidaan suorittaa tarkastuslaskenta. Vaikka kaikkia tositteita ei aina laskettaisikaan, voidaan esimerkiksi laskea satunnaisotannalla valittujen äänestyspaikkojen äänet ja verrata näin saatuja äänimääriä sähköiseen tulokseen. Jos sähkö- ja paperitulokset eroavat toisistaan, lasketaan kaikki paperiäänet ja hylätään sähköinen tulos kokonaan. Samaten jos kisa menee tiukoille tai jokin osapuoli syyttää sähköisestä vaalivilpistä, voidaan laskea paperitositteet. Paperivarmistus on hyvä ratkaisu, koska paperitositteiden avulla voidaan suorittaa äänistysohjelmistoista ja -laitteista riippumaton, avoin ja ymmärrettävä tarkastuslaskenta.
135 Yhdysvalloissa on kokemuksien perusteella luovuttu laajalti puhtaasti sähköisestä äänestyksestä ja siirrytty paperivarmistuksen käyttöön, jotta äänestyslaitteista ja -ohjelmistoista riippumaton tarkastuslaskenta olisi mahdollinen.
137 Effi vaati [lausunnossaa oikeusministeriölle][31] paperivarmistusta ministeriön suunnittelemaan sähköiseen äänestysjärjestelmään, huonolla menestyksellä. Suomeen ehdotetussa järjestelmässä ei siis ole paperivarmistusta, täällä luotetaan sähköisen järjestelmän erehtymättömyyteen.
139 ### "Nettipankkikin on olemassa, miksi ei siis myös nettiäänestys"
141 Kuten tämän dokumentin alussa on perusteltu, pankkijärjestelmän toteuttaminen on vaalijärjestelmään verrattuna hyvin yksinkertaista. Tärkeimmät erot pankkijärjestelmän ja sähköisen äänestyksen välillä ovat [anonyymiys, korjattavuus ja luotettavuus][32]:
143 * *Anonyymiys.* Pankki tietää aina tilisiirroissa sekä maksajan että maksun saajan henkilöllisyyden, mutta äänestäjän ääntä ja henkilöllisyyttä ei saisi vaalisalaisuuden vuoksi liittää toisiinsa. Anonyymiysvaatimuksen vuoksi suurta osa esimerkiksi tilisiirtojen turvamekanismeista ei voi soveltaa sähköiseen äänestämiseen (ellei anonyymiyttä haluta rikkoa). Vaalivilpin huomaaminen - toisin kuin esimerkiksi pankkitilin virheveloituksen huomaaminen tiliotteesta, korjaaminen ja vilppiin syyllisten kiinni saaminen on tästä syystä puhtaasti sähköisessä äänestyksessä mahdotonta tai huomattavasti vaikeampaa kuin esimerkiksi mainittu pankkitilin virheveloituksen huomaaminen ja korjaaminen.
144 * *Korjattavuus.* Pankki ylläpitää moninkertaista kirjanpitoa ja muita varmistuksia. Jos esimerkiksi tilisiirtoa epäillään virheelliseksi, voidaan selvittää mistä on kyse ja korjata aiheutunut virhe. Puhtaasti sähköisessä äänestyksessä korjattavuuden toteuttaminen on huomattavasti vaikeampaa, koska riippumatonta tarkastuslaskentaa ei voida tehdä.
145 * *Luotettavuus.* Jos joku väittää kavaltaneensa miljoona euroa, mutta kukaan ei tunnusta menettäneensä rahoja, kavallusväitteen voi jättää omaan arvoonsa. Jos joku toisaalta väittää murtaneensa sähköisen äänestysjärjestelmän ja huijanneensa vaaleissa, puhtaasti sähköisessä järjestelmässä (jossa ei esimerkiksi ole paperivarmistusta) ei auta muuta kuin luottaa äänestysjärjestelmään. Äänestysjärjestelmän on siis paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy.
147 Nettipankit sekoilevat ja joskus jopa tilin saldo näkyy väärin - muistetaan esimerkiksi surullisenkuuluisa Sampo-pankin tietojärjestelmäuudistus keväällä 2008. Virheet voidaan kuitenkin korjata, koska asiakas huomaa, että tilin saldo on virheellinen ja moninkertaisten varmistusten vuoksi oikea saldo voidaan selvittää. Sähköisessä äänestyksessä sen sijaan pitää vain luottaa äänestystulokseen, jos riippumatonta tapaa selvittää oikeaa tulosta (esim. paperivarmistus) ei ole.
149 Sähköisen äänestysjärjestelmän auditoinnin ja ylläpidon hoitaa usein yksityinen yritys. Kannattaa miettiä, halutaanko vaalijärjestelmä ulkoistaa ehkä ulkomaalaisomistuksessa olevalle yritykselle, muistaen että järjestelmän pitäisi toimia luotettavasti myös epävakaissa yhteiskunnallisissa oloissa. Pahimmassa tapauksessa pelkkä epäily äänestystuloksen oikeellisuudesta voi johtaa yhteiskuntarjärjestyksen kaatumiseen.
151 Suomenkin suunnitellussa järjestelmässä äänestysjärjestelmä voisi olla [pääosin ulkoistettu pörssiyhtiöön][33] (kyse olisi vaalipaikalla tapahtuvasta sähköisestä äänestämisestä, nettiäänestystä oikeusministeriö ei ole vielä esittänyt). [Hallituksen esitys 14/2006 eduskunnalle vaalilain muuttamisesta][18]:
153 > "Sähköinen vaaliuurna, kuten muutkin vaalitietojärjestelmän osat, toimisi oikeusministeriön kanssa sopimussuhteessa olevan tietotekniikkatoimittajan laitteilla toimittajan jossakin toimipisteessä."
155 *Nettipankit ja nettiäänestys.* Nettipankkien tietoturvassa on puutteita, minkä pankit hyvin ymmärtävät. Pelkästään vuonna 2005 Nordean verkkopankin asiakkailta huijattiin kalastelemalla 60.000 euroa. Riskien hallintaan on kuitenkin keinoja ja vahingot ovat rahalla korvattavissa. Yksittäiset vahingot ovat pankin liikevaihtoon verrattuna niin mitättömiä, että verkkopankkeja kannattaa väärinkäytöksistä huolimatta ylläpitää ja käyttää.
157 Jos sen sijaan äänestysjärjestelmässä on vikoja tai tietoturvassa on puutteita, on riskinä, että väärä henkilö tai puolue pääsee valtaan - tätä ei voi korvata rahalla.
159 Suuri osa kotitietokoneista on lisäksi tälläkin hetkellä käyttäjien tietämättä haittaohjelmien saastuttama. Tähän saakka näitä koneita on käytetty muun muassa huijauksiin, roskapostittamiseen ja palvelunestohyökkäyksiin. On myös tiettyihin nettipankkeihin erikoistuneita haittaohjelmia: kun käyttäjä kirjautuu nettipankkiin, voi haittaohjelma tehdä käyttäjän huomaamatta suurehkon tilisiirron. Onko viisasta sallia sitä mahdollisuutta, että tulevaisuudessa näitä koneita käytetään myös nettiäänestämiseen?
161 [Akatamiaprofessori Hannu Nurmi on sitä mieltä, että nettiäänestys olisi varmaan ihan turvallista (Helsingin Sanomat 31.1.2008). Helsingin Sanomien mukaan "hän muistuttaa, että intressi murtautua äänestysjärjestelmään on pienempi kuin murtautua esimerkiksi pankkijärjestelmään". Samalla tavalla voisi kai sanoa, että kenenkään intressi marssia Suomen rajojen yli on pienempi kuin murtautua esimerkiksi Nordean pankkiholviin, joten puolustusvoimat voi lakkauttaa. Toivottavasti Suomessa ei suhtauduta samalla asenteella muihin yhteiskunnan kannalta kriittisiin toimintoihin - äänestysjärjestelmän murtaminen ja pelkästään uskottava epäily vaalituloksen oikeellisuudesta kun voisi pahimmillaan johtaa yhteiskuntajärjestyksen kaatumiseen. Helsingin Sanomien artikkelissa muidenkin antamista kommenteista paistaa asenne, jonka mukaan äänestäjiä ei kiinnosta tai ainakaan pitäisi kiinnostaa äänestyksen luotettavuus.]
163 ### "Käytetäänhän ääntenlaskussa nykyäänkin apuna tietokoneita"
165 Ääntenlaskun apuna käytetään nykyäänkin luonnollisesti tietokoneita. Tuloksen huomaamaton manipuloiminen ei kuitenkaan onnistu, koska oikeusministeriö julkaisee laskennan perusteena käytetyt äänestysaluekohtaiset tulokset. Jos oikeusministeriön julkaisema äänestysalueen vaalitulos on väärä, huomaavat äänestysalueen ääntenlaskussa olleet tämän, mukaan lukien kilpailevien puolueiden asettamat valvojat. Puhtaasti sähköisessä äänestyksessä tätä varmistusta ei ole.
167 Toisaalta, jokainen voi laskimen tai tietokoneen avulla itse varmistua, että oikeusministeriön julkaisemien äänestysaluekohtaisten tulosten perusteella saadut ehdokkaiden kokonaisäänimäärät on laskettu oikein.
169 (Esimerkki: [Ehdokkaiden saamat äänet vuoden 2007 eduskuntavaaleissa Helsingin äänestysalueella "Kruununhaka A"][34])
171 Nykyisessä järjestelmässä tarkastuslaskenta on myös helppo suorittaa.
173 ### "Tietokone ei tee virheitä"
175 Jotkut tuntuvat kuvittelevan, että tietokoneet ovat puolueettomia ja uskollisia työjuhtia, jotka laskevat äänestystuloksen aina oikein. Siksi syytä huoleen ei muka ole.
177 Tämä ei kuitenkaan pidä paikkaansa. Tietokoneet tekevät täsmälleen mitä ne on ohjelmoitu tekemään. Kone voidaan ohjelmoida yhtä hyvin laskemaan äänet kuin toteuttamaan vaalivilpin.
179 Ohjelmissa on virheitä. Mitä monimutkaisempi äänestysjärjestelmä on, sitä enemmän siinä on myös vikaantuvia osia.
181 Joitakin [esimerkkejä Yhdysvalloista][35]:
183 * Vuonna 2003 Virginiassa, eräs ehdokas menetti 100 ääntä ohjelmointivirheen vuoksi.
184 * Vuonna 2001 Kaliforniassa, äänet oli pakko laskea käsin ohjelmointivirheen vuoksi.
185 * Vuonna 2000 Floridassa, Al Gore sai eräässä piirikunnassa presidentinvaaleissa -16.022 ääntä, siis negatiivisen äänimäärän.
186 * Vuonna 2003 Indianassa, Boonen piirikunnasta, jossa oli noin 20.000 äänioikeutettua, oli annettu yhteensä yli 140.000 ääntä.
188 Samanlaisia tarinoita on satoja lisää, [Effinkin lausunnossa][31] on lisää viitteitä. Voi vain arvailla, kuinka usein ongelmia ei ole huomattu ja vaalin tulos on ollut virheellinen. Huomattavaa on myös, että ongelmat eivät ole yleensä koskeneet yhtäläisesti kaikkia ehdokkaita, vaan ne ovat lisänneet tai vähentäneet tietyn ehdokkaan äänimääriä.
190 #### "Suomalainen järjestelmä on täydellinen"
192 Oikeusministeriö laukoo [hallituksen esityksessä 14/2006 eduskunnalle vaalilain muuttamisesta][18]:
194 > "- - äänestysjärjestelmä olisi täydellisesti suojattu tietomurroilta ja että uurnassa olevat tiedot eivät voisi hävitä eikä niitä voitaisi muuttaa."
196 Odotamme innolla maailman ensimmäistä tietojärjestelmää, joka on täydellisesti suojattu tietomurroilta. Oikeusministeriön ankka "täydellisestä tietoturvasta" (jollaista ei ikävä kyllä ole käytännössä mahdollista saavuttaa) osoittaa osaltaan, että tietotekniikan asiantuntijoita ei ole valmistelussa juuri kuultu.
198 Toisaalta ylläpitohenkilökunnalla olisi mahdollisuus korjata virheitä (täydellisen tietoturvallisessa järjestelmässä ei tosin saisi olla ainakaan äänimääriin tai äänestyksen luottamuksellisuuteen vaikuttavia virheitä):
200 > "Äänestyksen aikana oikeusministeriöllä tai sen valtuuttamalla tietotekniikkahenkilöstöllä olisi mahdollisuus valvoa sähköisen vaaliuurnan toimintaa ja suorittaa korjaus- tai vastaavia toimia, mikäli sellaisia tarvittaisiin."
202 Ylläpitäjät eivät kuitenkaan oikeusministeriön mielestä mitenkään voisi yhdistää äänestäjän ääntä ja henkilöllisyyttä, jotka on tallennettu tietojärjestelmään, eivätkä muuttaa ääniä:
204 > "Kyseiset henkilöt eivät voisi murtaa äänen ja henkilötunnuksen välistä salausta eivätkä saada selville sitä, keille ehdokkaille annettuja ääniä uurnassa on. He eivät myöskään voisi poistaa, lisätä tai muuttaa uurnassa olevia ääniä."
206 Esitetty ajatus on kaunis, mutta käytännössä mahdoton toteuttaa. Lisäksi vaikka järjestelmä pystyttäisiinkin suojaamaan, olisi ulkopuolisten mahdoton varmistua suojauksen riittävyydestä ja siten järjestelmän luotettavuudesta. Kuitenkin vaalijärjestelmän uskottavuus on käytännössä yhtä tärkeää kuin sen todellinen luotettavuus.
208 Effi kommentoi tätäkin [lausunnossaan][31] (s. 3), mutta ministeriössä ei asiaa joko haluttu tai kyetty ymmärtämään.
210 ### "Mikä äänestäjien painostus?"
212 Äänestys tapahtuu nykyään äänestyskopissa, eikä kukaan muu kuin äänioikeutettu näe ääntä. Äänestäjä ei pysty todistamaan muille äänestäneensä tietyillä tavoilla. Näin estetään äänten ostaminen tai äänestäjien painostus.
214 Painostus voi olla perheen tai ulkopuolisten suorittamaa tai ääniä voidaan ostaa. Erityisen ongelmallista ulkopuolisten suorittama painostus tai äänten ostaminen voivat olla, jos tuloerot ovat suuria tai yhteiskunnallinen tilanne on muuten epävakaa.
216 Katso myös kommenttia [äänestäjien painostuksesta Viron nettiäänestyksessä][3].
218 ### "Äänestyslaitteiden lähdekoodin pitäisi olla avointa"
220 Jos sähköiseen äänestykseen siirrytään, tulee äänestyslaitteiden lähdekoodin olla kaikkien vapaasti tutkittavissa. Tämä ei kuitenkaan ratkaise sitä, että äänestäjän on edelleen käytännössä mahdotonta todeta, että hänen käyttämänsä äänestyslaite käyttää nimenomaan julkaistua lähdekoodia eikä muutettua koodia, tai että äänestysjärjestelmän kaikki muut komponentit toimivat kuten pitäisi.
222 [Usable Security -blogissa][36] kuvataan erään sähköisen äänestysjärjestelmän osat. Jotta voisi varmistua, että järjestelmä on luotettava, kaikki osat pitäisi auditoida. Pelkän lähdekoodin julkistus ei riitä. Tästä syystä käytännössä ainoa tapa varmistua, että järjestelmä on luotettava, on vaatia sellaista varmennusta, joka on kaikkien ymmärrettävissä. Tällainen varmennus on tulostaa äänestyksestä paperitosite, jonka äänestäjä tarkistaa ja laittaa uurnaan. Tulos voidaan tarkistaa näiden tositteiden avulla. Yhdysvalloissa on tästä syystä laajalti [luovuttu][30] puhtaasti sähköisestä äänestyksestä ja alettu käyttää kuvatun kaltaista paperivarmistusta.
224 Suomeen ehdotetut sähköisen äänestämisen järjestelmät eivät paperivarmistusta tunne.
226 ### "Sähköinen äänestysmenetelmä X olisi hyvä"
228 Sähköinen äänestysjärjestelmä voidaan toteuttaa useilla tavoilla. Kehittyneimmät ehdotetut järjestelmät käyttävät edistyneitä kryptografisia menetelmiä, joilla pyritään takaamaan äänestyksen luotettavuus ja anonymiteetti.
230 Ikävä kyllä kehittyneimmät järjestelmät ja menetelmät ovat usein niin monimutkaisia, että tavallinen äänestäjä - mukaanlukien suurin osa vaalitietojärjestelmästä vastaavista viranomaisista - ei ymmärtäisi niiden toimintaperiaatteita. Mitä monimutkaisempi järjestelmä tai menetelmä on, sitä enemmän vikaantumismahdollisuuksia se myös sisältää.
232 Ehdotetut järjestelmät ja menetelmät voivat esimerkiksi auttaa huomaamaan vaalivilpin, mutta eivät korjaamaan vaalitulosta, jos se havaitaan vääräksi (korjattavuus) - toisin kuin esimerkiksi yksinkertainen paperivarmistuksen käyttö. [Freedom to Tinker -blogissa][37] on esimerkki eräästä tällaisesta ehdotetusta järjestelmästä ja sen käytännön toteutuksesta. Jotkut tällaisista järjestelmistä ovat lupaavia, mutta niiden käyttöönotto ei ole suoraviivainen toimitus.
234 Suomeen tällaista kehittyneempää järjestelmää ei ole tulossa, ainakaan vaalitietojärjestelmän [teknisen dokumentaation][38] perusteella.
236 Tärkeä kysymys on myös, että miksi pitäisi siirtyä monimutkaiseen sähköiseen äänestysjärjestelmään, kun nykyinen paperijärjestelmäkin toimii hyvin? Tarjoaisiko monimutkainen menettely jotain sellaista lisäarvoa, jota ei saavutettaisi esimerkiksi yksinkertaisella paperivarmistuksen käytöllä?
238 [Allekirjoittaneen käytännön kokemuksen mukaan on tärkeää, että lainsäädäntö- ja muissa hankkeissa vastuuvirkamiehet ja lainsäätäjät ymmärtävät mitä ovat tekemässä. Muuten lopputuloksessa ei ole kehumista, kuten joissakin muissa Effin toiminta-alaan liittyvissä lainsäädäntöhankkeissa on nähty. Jos esimerkiksi äänestysjärjestelmän toimintaperiaatteiden ymmärtäminen vaatisi tutkintoa kryptografiasta, olisi hyvin mahdollista, että toteutuva lainsäädäntö tai äänestysjärjestelmä olisi aivan jotain muuta kuin pitäisi. Tästäkin syystä vierastan liian monimutkaisia järjestelmiä niinkin demokratian kannalta keskeisessä toimituksessa kuin valtiollisissa vaaleissa.
240 Mitä tulee nykyisen vaalilain valmisteluun, niin verrattuna siihen, miten esimerkiksi tietoliikennejärjestelmien standardeja luodaan standardiorganisaatioiden laajoilla kuulemismenettelyillä, sähköisen äänestyksen valmistelu on Suomessa ollut hyvin suljettua. Kuvaavaa on, että esimerkiksi äskettäisessä sähköistä äänestystä koskevassa vaalilain uudistuksessa oikeusministeriö ei edes katsonut tarpeelliseksi pyytää lausuntoa tekniikan asiantuntijoilta ([2006:3 Sähköinen äänestys][39], ks. lausuntopyyntökirje). Effi antoi pyytämättä [lausuntonsa][31], jonka ministeriö jätti oleellisilta osiltaan [huomioon ottamatta][40]. Myöskään oikeusministeriön aikaisemmin (ks. kohta ["Suomalainen järjestelmä on täydellinen"][10]) mainitut kommentit "täydellisesti tietomurroilta suojatusta" ([HE 14/2006 vp][18]) vaalitietojärjestelmästä eivät ole omiaan herättämään luottamusta (on mahdollista tehdä hyvin turvallisia järjestelmiä, mutta tietoturvassa on käytännössä mahdotonta päästä täydellisyyteen).]
242 ### "Tekniikan kehitystä ei saa estää"
244 Joidenkin mielestä tekniikan kehitys ja "nykyaikaisiin" järjestelmiin siirtyminen on jo sinällään hyvä asia. "Vanhanaikaista" paperijärjestelmää hyvänä pitäviä pidetään kehityksen jarruina.
246 Kannattaisiko kuitenkin ensiksi miettiä mitkä ovat ehdotettujen uudistusten hyödyt ja haitat?
248 Nykyään käytössä oleva paperijärjestelmä on toimiva, tehokas (vaalitulokset saadaan käytännössä parissa tunnissa), edullinen (varsinkin kun ottaa huomioon vaihtoehtoisen sähköisen järjestelmän hankinta-, ylläpito- ja muut kulut), ymmärrettävä (jokainen kykenee ymmärtämään ääntenlaskuprosessin ja sen luotettavuuden varmistuksen periaatteet) sekä avoin (muun muassa kilpailevien puolueiden edustajat valvovat ääntenlaskua).
250 Sähköisessä äänestysjärjestelmässä, jossa on monta vaihetta, pieni joukko voi pahimmassa tapauksessa vaikuttaa merkittävästi äänestystuloksen oikeellisuuteen.
252 ### "Sähköäänestyksen vastustaminen estää demokratian toteutumisen tai laajentumisen"
254 Äänestysprosessin luotettavuus takaa demokratian jatkuvuuden. Äänestysjärjestelmän on oltava sellainen, että se on luotettava myös vaikeina aikoina, kun yhteiskuntajärjestys muuten horjuu. Siksi äänestysjärjestelmää, varsinkin kun kyse on keskeisistä valtiollisista vaaleista, tulee muokata vain hyvin harkiten.
256 Konservatiivisuus takaa tässä asiassa demokratian säilymisen. Miksi seikkailla, kun nykyinen paperiäänestysjärjestelmä toimii hyvin?
258 Sähköinen äänestys voisi toki olla hyvä vaihtoehto esimerkiksi neuvoa-antaviin äänestyksiin tai uusien äänestystapojen kokeiluun.
260 ### Lähteenä käytettyjä keskusteluja
262 * [Effi muistuttaa e-äänestämisen vaaroista][41] (ITViikko 22.8.2007, uutiskeskustelu)
263 * [Sähköinen äänestyksen tulisi täydentää demokratiaa][42] (Tietokone.fi 23.8.2007, uutiskeskustelu)
264 * [Effi pelkää sähköisen äänetyksen nakertavan demokratiaa][43] (Sektori 23.8.2007)
266 Tämän dokumentin kirjoittamisessa on käytetty apuna erityisesti [tekniikan tohtori Antti Honkelan kirjoittamaa Effin lausuntoa oikeusministeriölle][31], sekä yllä mainittuja nettikeskusteluja.
270 * [Oikeusministeriön sivu sähköisestä äänestämisestä][19]
271 * [Verifed voting][30] - paperivarmistuksesta
272 * [The Electoral Commission: May 2007 Pilot Schemes][44] - brittien kokemuksia
273 * [Raportti Viron nettiäänestyskokeilusta][23]
274 * [Antti Vähä-Sipilän blogissa][46] on 23.-28.1.2008 käsitelty aihetta laajalti
277 [1]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2007-08-21.html
278 [18]: http://www.finlex.fi/fi/esitykset/he/2006/20060014
279 [19]: http://www.vaalit.fi/14912.htm
280 [20]: http://www.aamulehti.fi/uutiset/kotimaa/41050.shtml
281 [21]: http://www.hare.vn.fi/upload/Asiakirjat/10514/Vihre%C3%A4%20Liitto.rtf
282 [22]: http://www.hs.fi/kotimaa/artikkeli/1135229643350
283 [23]: http://www.vvk.ee/english/OSCE%20report_EST_2007.pdf
284 [24]: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=917770
285 [25]: http://www.alli.fi/sivu.php?artikkeli_id=2691
286 [26]: http://www.effi.org/blog/kai-2005-12-16.html
287 [27]: http://techdirt.com/articles/20080120/07521615.shtml
288 [28]: http://it.slashdot.org/it/08/01/30/2239228.shtml
289 [29]: http://www.effi.org/blog/kai-2008-01-26.html
290 [30]: http://www.verifiedvoting.org/
291 [31]: http://www.effi.org/julkaisut/lausunnot/om-vaalilaki.html
292 [32]: http://www.schneier.com/crypto-gram-0102.html#10
293 [33]: http://www.tietoenator.fi/default.asp?path=408,410,16095,1124,9368,27688
294 [34]: http://192.49.229.35/E2007/s/tulos/ehdaluetulos_091001a.html
295 [35]: http://www.schneier.com/blog/archives/2004/11/the_problem_wit.html
296 [36]: http://usablesecurity.com/2006/02/23/the-election-software-supply-chain/
297 [37]: http://www.freedom-to-tinker.com/?p=839
298 [38]: http://www.effi.org/yksityisyys/vaalitietojarjestelma/
299 [39]: http://www.om.fi/34926.htm
300 [40]: http://www.effi.org/blog/2006-03-16-Antti-Honkela.html
301 [41]: http://www.itviikko.fi/keskustelut/thread.jspa?threadID=70862
302 [42]: http://www.tietokone.fi/foorumi/keskustelu.asp?threadid=67678&list=all&show=all
303 [43]: http://sektori.com/uutiset/7820/effi
304 [44]: http://www.electoralcommission.org.uk/elections/pilotsmay2007.cfm
305 [45]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-01-25.html
306 [46]: http://www.asiantuntijat.org/~avs/blog/index.html
307 [47]: http://www.effi.org/blog/2008-02-28-Jyri-Luostarinen.html
308 [48]: http://www.effi.org/blog/2008-03-10-Antti-Vaha-Sipila.html
309 [49]: http://www.effi.org/blog/2008-03-12-Tapani-Tarvainen.html
310 [50]: http://www.effi.org/blog/2008-03-20-Tapani-Tarvainen.html
311 [51]: http://www.effi.org/blog/2008-05-21-Antti-Vaha-Sipila.html
312 [52]: http://www.effi.org/julkaisut/lausunnot/sahkoisen-kuulemisen-kehittaminen-080610.html
313 [53]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-06-19.html
314 [54]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-06-24.html
projects / .git / blob