Tässä dokumentissa on koottu näitä argumentteja yhteen kommentoituna. Vastaukset on alun perin kirjoitettu vastauksiksi nettikeskusteluihin, josta syystä niiden tyyli on usein naseva.
Tämän dokumentin ohella hyviä - ja erityisesti Suomen järjestelmän osalta osin ajantasaisempia - tiivistelmiä
-ovat erityisesti Effin kesäkuussa 2008 julkaisemat [lausunto raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52], sekä [Effin raportti Suomen järjestelmästä][53] sekä sen uudempi englanninkielinen versio[60].
+ovat erityisesti Effin kesäkuussa 2008 julkaisemat [lausunto raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52], sekä [Effin raportti Suomen järjestelmästä][53] sekä sen [uudempi englanninkielinen versio][60].
Tämä dokumentti on [Public Domainia](http://creativecommons.org/licenses/publicdomain/).
* Effi sähköisestä äänestämisestä
* Yleistä
-* Sähköisen äänestyksen "business case"
+* Sähköisen äänestyksen tarve
+* Kansalaisten luottamus äänestykseen
* Viron nettiäänestyskokeilu oli ongelmaton
-* Sähköistyminen on tulevaisuutta
-* Nettiäänestys aktivoi äänestämään
* Yhdysvaltain huonoilla kokemuksilla ei ole merkitystä Suomessa
* Mikä on paperivarmistus?
* Nettipankkikin on olemassa, miksi ei siis myös nettiäänestys
* Äänestäjää lukuunottamatta kukaan ei saa tietää, ketä kukin on äänestänyt.
* Äänestäjän ja myös hävinneiden ehdokkaiden pitää voida luottaa, että äänet on laskettu tuloksessa oikein ja että ääniä ei katoa tai ilmesty tyhjästä.
* Äänestäjä ei saa pystyä todistamaan muille äänestäneensä tietyillä tavoilla. Näin estetään äänten ostaminen tai äänestäjien painostus. Samasta syystä äänestämisen on tapahduttava henkilökohtaisesti.
-* Järjestelmän on toimittava luetettavasti myös epävakaissa yhteiskunnallisissa oloissa, siis sellaisissa, joissa tyypillisesti YK lähettäisi vaalitarkkailijoita.
+* Järjestelmän on toimittava luetettavasti myös epävakaissa yhteiskunnallisissa oloissa, siis sellaisissa, joissa tyypillisesti YK lähettäisi rauhanturvaajia.
+* Järjestelmän on mahdollistettava vaalitarkkailu, myös ulkomaisille ja valtioiden välisille organisaatioille. Demokraattisen valtion hallinnon kansan luottamus pitää pystyä uskottavasti todistamaan muille valtioille. Epädemokraattisille valtioille on pystyttävä näyttämään esimerkkiä.
* Järjestelmän on paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy. Tämä vaatimus johtaa siihen, että "tavallisen kadunmiehen" on ymmärrettävä järjestelmän toiminta; muutoin epäilyt väärinkäytöksistä voivat johtaa epävakaissa oloissa jopa yhteiskuntajärjestyksen kaatumiseen.
Jos tarkastellaan nykyistä paperilippuja käyttävää äänestystä näiden vaatimusten valossa, se täyttää kaikki nämä vaatimukset erittäin hyvin. Suomessahan ääntenlasku tehdään hajautetusti (jokaisella äänestyspaikalla) kilpailevien puolueiden edustajien toimesta, ja laskennat tarkistetaan keskitetysti. Jokaisen äänestyspaikan tulos julkistetaan erikseen, jotta vaalilautakunnat voivat varmistua omien laskujensa oikeasta huomioimisesta.
Nykyisessä järjestelmässä äänestystuloksen laajamittainen huomaamaton väärentäminen vaatisi maantieteellisesti laajan ja puoluerajat ylittävän salaliiton. Järjestelmä myös mahdollistaa äänten tarkastuslaskennan, koska äänestyslippuja voidaan laskea uudelleen niin mona kertaa, kuin halutaan.
-Vaatimusten toteuttaminen täysin sähköisesti taas on hyvin hankalaa. Perinteiset tietojärjestelmäturvallisuuden menetelmät eivät yleensä pysty vastaamaan kaikkiin vaatimuksiin samalla kertaa. Esimerkiksi pankkijärjestelmät voidaan rakentaa suurelta osin lokimekanismien, kirjanpidon ja vastaavien varaan. Sähköäänestyksessä esimerkiksi sen tiedon, kuka äänesti ketä, kirjaaminen on jo liikaa. Pankkijärjestelmien turvallisuus perustuu myöskin siihen, että väärinkäytösten riski on riittävän pieni rahassa mitattuna. Demokraattisissa vaaleissa päätetään lainsäädäntövallasta, jota taas ei voi rahassa mitata.
+Vaatimusten toteuttaminen täysin sähköisesti taas on hyvin hankalaa. Perinteiset tietojärjestelmäturvallisuuden menetelmät eivät yleensä pysty vastaamaan kaikkiin edellä esitettyihin vaatimuksiin samalla kertaa, ja jotkin turvamekanismit voivat olla ristiriidassa toisten vaatimusten kanssa. Esimerkiksi pankkijärjestelmät voidaan rakentaa suurelta osin lokimekanismien, kirjanpidon ja vastaavien varaan. Sähköäänestyksessä taas esimerkiksi sen tiedon, kuka äänesti ketä, kirjaaminen on jo liikaa. Pankkijärjestelmien turvallisuus perustuu myöskin siihen, että väärinkäytösten riski on riittävän pieni rahassa mitattuna. Demokraattisissa vaaleissa päätetään ihmisten elämään vaikuttavasta lainsäädäntövallasta, jota taas ei voi rahassa mitata.
Tämän vuoksi Effin kanta on, että täysin sähköistä äänestysjärjestelmää ei pidä ottaa käyttöön. Effin kannan sähköäänestysasiassa tiivistää hyvin äänestysjärjestelmästä vastaavan oikeusministeri Tuija Braxin (vihr) oman [puoluehallituksen kanta 2.12.2005][21]:
### Sähköisen äänestyksen tarve
-Oikeusministeriö toteaakin [hallituksen esityksessä 14/2006 eduskunnalle vaalilain muuttamisesta][18]:
+Oikeusministeriö toteaa [hallituksen esityksessä 14/2006 eduskunnalle vaalilain muuttamisesta][18]:
> "Yleisesti ottaen vaalijärjestelmämme toimii teknisessä mielessä varsin hyvin, mistä on osoituksena se, että vaalit toimitetaan ongelmitta ja niiden tulokset saadaan selville kansainvälisestikin verrattuna nopeasti. Pakottavia muutospaineita ei tässä suhteessa voidakaan katsoa olevan."
kaikki äänestyspaikalla tapahtuvan täyssähköisen äänestämisen riskit
ja sen lisäksi vielä useita muita riskejä, jotka äänestyspaikalla voitaisiin eliminoida.
+#### Väite: Nettiäänestys aktivoi äänestämään
+Nettiäänestys voi alentaa äänestyskynnystä ja siten väliaikaisesti vähentää äänestysaktiivisuuden laskua. Nykymuotoinen paperiäänestys ennakkoäänestysmahdollisuuksineen ei kuitenkaan ole selitys äänestysprosenttien pienenemiselle, vaan kyse on politiikan uskottavuudesta, moraalista ja vetovoimasta. Äänestysaktivisuuden laskeminen on yhteiskunnallinen ongelma, joka ei ratkea nettiäänestysmahdollisuudella.
-### "Viron nettiäänestyskokeilu oli ongelmaton"
+Aihetta on tutkittu ja [tulokset][24] kertovat, että etä-äänestysmahdollisuus (jonka erityistapaus nettiäänestys on) ei aktivoi äänestämään.
-Aivan aluksi kannattaa lukea läpi [Effin alkuperäinen tiedote][1] ja siinä olevat viitteet. Näitä viitteitä ei ymmärrettävästi toistettu uutisartikkeleissa, mikä aiheutti hämmennystä. Moni keskustelija tuntui esimerkiksi jakavan [ministeri Lindénin virheellisen käsityksen][22], jonka mukaan Viron nettiäänestyskokeilu oli sujunut täydellisesti. Tämä ei pidä paikkaansa, kuten Effin tiedotteessa viitatussa Viron valtiollisen vaalilautakunnan sivuilla julkaistussa [raportissa][23] sanotaan. Raportti toteaa, että nettiäänestykseen liittyy useita haasteita läpinäkyvyyden ja tuloksen luotettavuuden suhteen ja ellei haasteisiin pystytä vastaamaan, suosittaa harkitsemaan nettiäänestyksestä luopumista (oma suomennos):
+Yksi syy äänestysaktiivisuuden laskuun voi esimerkiksi olla, että erilaisilla eturyhmillä on yhä suurempi vaikutus poliittiseen päätöksentekoon. Äänestäjät, varsinkin nuorempi sukupolvi, voivat tuntea, että [heidän mielipiteitään ei kuunnella][25] tarpeeksi. Kuvaava esimerkki Effin toiminta-alalta oli [musta joulukuu][26] vuonna 2005, jolloin säädettiin urakalla uutta älytöntä lainsäädäntöä.
-> "Vaikka kansallinen vaalilautakunta näkikin vaivaa minimoidakseen järjestelmään sisäänrakennetut riskit, järjestelmän testaus ja auditointi olisi voinut olla kattavampaa. Lisäksi, poliittiset puolueet tai kansalaisyhteiskunta eivät ilmeisesti juuri lainkaan valvoneet Internet-äänestysprosessia. Toteutettu Internet-äänestysjärjestelmä näyttää toimineen Virossa tässä tapauksessa. Kuitenkin, jos edellä mainittuja seikkoja ei tehokkaasti huomioida, viranomaisten pitäisi harkita uudestaan ptiäisikö Internet olla laajalti käytettävissä oleva äänestysmenetelmä, ja vaihtoehtoisesti pitäisikö sitä käyttää vain rajoitetusti tai ei laisinkaan."
+Nettiäänestys ei ratkaise näitä asioita.
-> [alkuperäinen teksti:] *"Although the National Election Committee made considerable efforts to minimize the inherent risks, testing and auditing of the system could have been more comprehensive. Furthermore, there appeared to be almost no oversight of the internet voting process by political parties or civil society. The internet voting system as implemented appears to have functioned in the Estonian context on this occasion. Yet, unless the above-mentioned factors are effectively addressed, the authorities should reconsider whether the internet should be widely available as a voting method, or alternatively whether it should be used only on a limited basis or at all."*
+#### Väite: Sähköistyminen on tulevaisuutta
-Viron viime aikoina kokemien nettihyökkäyksen valossa ei olisi yllättävää, jos vaalien heikoin lenkki eli nettiäänestys joutuisi koetukselle seuraavissa vaaleissa. Ei ole mahdotonta, että joku tekisi haittaohjelman, joka käyttäjän huomaamatta muuttaisi annettua ääntä; vastaavanlaisia haittaohjelmia käytetään tekemään nettipankeissa tilisiirtoja käyttäjän huomaamatta. Nettiäänestys on altis myös nimipalvelu- ja palvelunestohyökkäyksille ja niin edelleen; "liikuvia osia" ja siten potentiaalisia vikapisteitä on perinteiseen paperiäänestysjärjestelmään verrattuna todella paljon. Ylipäätään nettiäänestysprosessi sisältää niin paljon vaikeasti hallittavia ja suojattavia tekijöitä, että jos joku haluaa tehdä maata vastaan kyberhyökkäyksen ja aiheuttaa yhteiskunnallista epävakautta väärentämällä vaalituloksen, olisi nettiäänestys varteenotettava kohde.
+Yleisesti ottaen sähköistyminen toki on tulevaisuutta. Valtiollisissa vaaleissa virta ei kuitenkaan kulje tähän suuntaan juuri niistä syistä, joita tässäkin dokumentissa on selostettu. Esimerkiksi [Yli puolet Yhdysvaltain osavaltioista on jo kieltänyt täyssähköisen äänestämisen][30] ja useissa osavaltioissa prosessi on meneillään.
-Bruce Schneierin [sanoin](http://www.schneier.com/crypto-gram-0012.html#1):
-"A secure Internet voting system is theoretically possible, but it would be the first secure networked application ever created in the history of computers."
+Euroopan maista [Hollannin hallitus on päättänyt luopua sähköisistä äänestyksistä][55], koska ne eivät ole tarpeeksi turvallisia. Lisäksi [Iso-Britanniassa on ilmoitettu][63], että sähköisen äänestyksen pilotteja ei ole enää suunnitteilla.
-*Nettiäänestys ja äänestäjän painostus.* Viron nettiäänestyksessä äänensä saattoi myöhemmin muuttaa. Tämän oli tarkoitus ehkäistä äänestäjän painostusta ja äänten ostamista: vaikka ääni olisikin annettu valvonnan alaisena, olisi äänestäjä voinut periaatteessa painostajan tietämättä vielä myöhemmin muuttaa ääntään. Äänestäjä saattoi myös antaa paperiäänen nettiäänestyksen sulkeuduttua; tällaisessa tapauksessa nettiääni jätettiin huomiotta. Näin esimerkiksi äänten ostaja ei olisi voinut olla varma, ketä äänestäjä oikeasti lopulta äänesti. Äänestysjärjestelmä kuitenkin tallensi ajan, jona ääni oli annettu; poliittiset puolueet ja vaalitarkkailijat näkivät tämän ajan, jonka avulla ne olisivat periaatteessa voineet selvittää korjasiko äänestäjä myöhemmin ääntään.
+### Kansalaisten luottamus äänestykseen
-Uudelleenäänestysmahdollisuus ei tietenkään estä tehokasta painostusta tai äänten ostamista. Ääni voidaan esimerkiksi antaa valvonnan alla ja tämän jälkeen "lainata" äänestykseen tarvittavaa henkilökorttia nettiäänestyksen päättymiseen asti. Paperiäänenkään antamisen estäminen ei ole vaikeaa; vaalipäivänä voidaan laittaa joku vahtimaan äänestyspaikkaa tai äänestäjä voi olla liikuntarajoitteinen tai esimerkiksi ulkomailla asuva henkilö.
+Äänestyksen tietokoneistaminen voi heikentää ihmisten luottamusta äänestykseen ja siihen, että sillä voisi oikeasti vaikuttaa mihinkään - tämä luottamus on jo nykyään heikoilla - ja siten johtaa äänestysaktiivisuuden laskuun. Oma käännös asiaa käsittelevästä [Timothy Leen kolumnista][27] (Slashdot: [E-Voting Undermines Public Confidence In Elections][28]):
-### "Sähköistyminen on tulevaisuutta"
+> "[Marylandin osavaltiossa äänestyskoneiden kuljetuksesta on palkattu vastaamaan yritys, jonka johdossa on osavaltion entinen osavaltion Rebublikaanisen puolueen johtaja.] - - Huolimatta siitä, kuka kuljettaa nämä äänestyskoneet, kansaa pyydetään luottamaan siihen, että niitä ei manipuloida. Hyvin suunnitellussa äänestysjärjestelmässä äänestäjien ei pitäisi tarvita luottaa keneenkään. Koko prosessin pitäisi olla yksinkertainen ja läpinäkyvä, siten että kuka tahansa kykenee tarkkailemaan prosessia ja varmistumaan siitä, että äänestys suoritettiin oikein. Sähköisten äänestyslaitteiden monimutkaisuus ja läpinäkymättömyys tekee tehokkaan julkisen tarkastelun mahdottomaksi, mistä syystä ne ovat huono ajatus, vaikka mitään yksilöityä todistetta vilpistä ei olisikaan."
-Yleisesti ottaen sähköistyminen toki on tulevaisuutta. Valtiollisissa vaaleissa virta ei kuitenkaan kulje tähän suuntaan juuri niistä syistä, joita tässäkin dokumentissa on selostettu. Esimerkiksi [Yli puolet Yhdysvaltain osavaltioista on jo kieltänyt täyssähköisen äänestämisen][30] ja useissa osavaltioissa prosessi on meneillään. [Hollannin hallitus on päättänyt luopua sähköisistä äänestyksistä][55], koska ne eivät ole tarpeeksi turvallisia.
+Suomessa oikeusministeriö on ilmoittanut, että sähköisen äänestyksen tapauksessa [pitää vain luottaa oikeusministeriön virkamiehiin][29]. [Hallituksen esityksessä 14/2006 eduskunnalle vaalilain muuttamisesta][18] sanotaan asiasta:
-### "Nettiäänestys aktivoi äänestämään"
+> "Suomen vaalijärjestelmä on jo lähes sadan vuoden ajan perustunut luottamushenkilöjärjestelmään, jonka mukaan vaalipiirilautakuntien, kuntien keskusvaalilautakuntien, vaalilautakuntien ja vaalitoimikuntien jäsenten tulee edustaa eri poliittisia puolueita. Siten on pyritty varmistamaan vaalien yleistä luotettavuutta ja oikeudellisuutta. Sähköinen äänestäminen muuttaisi vaalien luonnetta tässä suhteessa."
-Nettiäänestys voi alentaa äänestyskynnystä ja siten väliaikaisesti vähentää äänestysaktiivisuuden laskua. Nykymuotoinen paperiäänestys ennakkoäänestysmahdollisuuksineen ei kuitenkaan ole selitys äänestysprosenttien pienenemiselle, vaan kyse on politiikan uskottavuudesta, moraalista ja vetovoimasta. Äänestysaktivisuuden laskeminen on yhteiskunnallinen ongelma, joka ei ratkea nettiäänestysmahdollisuudella.
+### "Viron nettiäänestyskokeilu oli ongelmaton"
-Aihetta on tutkittu ja [tulokset][24] kertovat, että etä-äänestysmahdollisuus (jonka erityistapaus nettiäänestys on) ei aktivoi äänestämään.
+Virossa on todella käytetty sähköistä nettiäänestystä. Sen onnistuneen markkinoinnin ansiosta monet jakavat esierkiksi [ministeri Lindénin virheellisen käsityksen][22], jonka mukaan Viron nettiäänestyskokeilu oli sujunut täydellisesti. Tämä ei pidä paikkaansa. Viron valtiollisen vaalilautakunnan sivuilla julkaistussa ETYJin demokraattisten instituutioiden ja ihmisoikeuksien toimiston (ODIHR) [raportissa][23] sanotaan. Raportti toteaa, että nettiäänestykseen liittyy useita haasteita läpinäkyvyyden ja tuloksen luotettavuuden suhteen ja ellei haasteisiin pystytä vastaamaan, suosittaa harkitsemaan nettiäänestyksestä luopumista (oma suomennos):
-Yksi syy äänestysaktiivisuuden laskuun voi esimerkiksi olla, että erilaisilla eturyhmillä on yhä suurempi vaikutus poliittiseen päätöksentekoon. Äänestäjät, varsinkin nuorempi sukupolvi, voivat tuntea, että [heidän mielipiteitään ei kuunnella][25] tarpeeksi. Kuvaava esimerkki Effin toiminta-alalta oli [musta joulukuu][26] vuonna 2005, jolloin säädettiin urakalla uutta älytöntä lainsäädäntöä.
+> "Vaikka kansallinen vaalilautakunta näkikin vaivaa minimoidakseen järjestelmään sisäänrakennetut riskit, järjestelmän testaus ja auditointi olisi voinut olla kattavampaa. Lisäksi, poliittiset puolueet tai kansalaisyhteiskunta eivät ilmeisesti juuri lainkaan valvoneet Internet-äänestysprosessia. Toteutettu Internet-äänestysjärjestelmä näyttää toimineen Virossa tässä tapauksessa. Kuitenkin, jos edellä mainittuja seikkoja ei tehokkaasti huomioida, viranomaisten pitäisi harkita uudestaan ptiäisikö Internet olla laajalti käytettävissä oleva äänestysmenetelmä, ja vaihtoehtoisesti pitäisikö sitä käyttää vain rajoitetusti tai ei laisinkaan."
-Nettiäänestys ei ratkaise näitä asioita.
+> [alkuperäinen teksti:] *"Although the National Election Committee made considerable efforts to minimize the inherent risks, testing and auditing of the system could have been more comprehensive. Furthermore, there appeared to be almost no oversight of the internet voting process by political parties or civil society. The internet voting system as implemented appears to have functioned in the Estonian context on this occasion. Yet, unless the above-mentioned factors are effectively addressed, the authorities should reconsider whether the internet should be widely available as a voting method, or alternatively whether it should be used only on a limited basis or at all."*
-Äänestyksen tietokoneistaminen voi päinvastoin heikentää ihmisten luottamusta äänestykseen ja siihen, että sillä voisi oikeasti vaikuttaa mihinkään - tämä luottamus on jo nykyään heikoilla - ja siten johtaa äänestysaktiivisuuden laskuun. Oma käännös asiaa käsittelevästä [Timothy Leen kolumnista][27] (Slashdot: [E-Voting Undermines Public Confidence In Elections][28]):
+Viron viime aikoina kokemien nettihyökkäyksen valossa ei olisi yllättävää, jos vaalien heikoin lenkki eli nettiäänestys joutuisi koetukselle seuraavissa vaaleissa. Ei ole mahdotonta, että joku tekisi haittaohjelman, joka käyttäjän huomaamatta muuttaisi annettua ääntä; vastaavanlaisia haittaohjelmia käytetään tekemään nettipankeissa tilisiirtoja käyttäjän huomaamatta. Nettiäänestys on altis myös nimipalvelu- ja palvelunestohyökkäyksille ja niin edelleen; "liikuvia osia" ja siten potentiaalisia vikapisteitä on perinteiseen paperiäänestysjärjestelmään verrattuna todella paljon. Ylipäätään nettiäänestysprosessi sisältää niin paljon vaikeasti hallittavia ja suojattavia tekijöitä, että jos joku haluaa tehdä maata vastaan kyberhyökkäyksen ja aiheuttaa yhteiskunnallista epävakautta väärentämällä vaalituloksen, olisi nettiäänestys varteenotettava kohde.
-> "[Marylandin osavaltiossa äänestyskoneiden kuljetuksesta on palkattu vastaamaan yritys, jonka johdossa on osavaltion entinen osavaltion Rebublikaanisen puolueen johtaja.] - - Huolimatta siitä, kuka kuljettaa nämä äänestyskoneet, kansaa pyydetään luottamaan siihen, että niitä ei manipuloida. Hyvin suunnitellussa äänestysjärjestelmässä äänestäjien ei pitäisi tarvita luottaa keneenkään. Koko prosessin pitäisi olla yksinkertainen ja läpinäkyvä, siten että kuka tahansa kykenee tarkkailemaan prosessia ja varmistumaan siitä, että äänestys suoritettiin oikein. Sähköisten äänestyslaitteiden monimutkaisuus ja läpinäkymättömyys tekee tehokkaan julkisen tarkastelun mahdottomaksi, mistä syystä ne ovat huono ajatus, vaikka mitään yksilöityä todistetta vilpistä ei olisikaan."
+Bruce Schneierin [sanoin](http://www.schneier.com/crypto-gram-0012.html#1):
+"A secure Internet voting system is theoretically possible, but it would be the first secure networked application ever created in the history of computers."
+#### Nettiäänestys ja äänestäjän painostus
-Suomessa oikeusministeriö on ilmoittanut, että sähköisen äänestyksen tapauksessa [pitää vain luottaa oikeusministeriön virkamiehiin][29]. [Hallituksen esityksessä 14/2006 eduskunnalle vaalilain muuttamisesta][18] sanotaan asiasta:
+Viron nettiäänestyksessä äänensä saattoi myöhemmin muuttaa. Tämän oli tarkoitus ehkäistä äänestäjän painostusta ja äänten ostamista: vaikka ääni olisikin annettu valvonnan alaisena, olisi äänestäjä voinut periaatteessa painostajan tietämättä vielä myöhemmin muuttaa ääntään. Äänestäjä saattoi myös antaa paperiäänen nettiäänestyksen sulkeuduttua; tällaisessa tapauksessa nettiääni jätettiin huomiotta. Näin esimerkiksi äänten ostaja ei olisi voinut olla varma, ketä äänestäjä oikeasti lopulta äänesti. Äänestysjärjestelmä kuitenkin tallensi ajan, jona ääni oli annettu; poliittiset puolueet ja vaalitarkkailijat näkivät tämän ajan, jonka avulla ne olisivat periaatteessa voineet selvittää korjasiko äänestäjä myöhemmin ääntään.
-> "Suomen vaalijärjestelmä on jo lähes sadan vuoden ajan perustunut luottamushenkilöjärjestelmään, jonka mukaan vaalipiirilautakuntien, kuntien keskusvaalilautakuntien, vaalilautakuntien ja vaalitoimikuntien jäsenten tulee edustaa eri poliittisia puolueita. Siten on pyritty varmistamaan vaalien yleistä luotettavuutta ja oikeudellisuutta. Sähköinen äänestäminen muuttaisi vaalien luonnetta tässä suhteessa."
+Uudelleenäänestysmahdollisuus ei tietenkään estä tehokasta painostusta tai äänten ostamista. Ääni voidaan esimerkiksi antaa valvonnan alla ja tämän jälkeen "lainata" äänestykseen tarvittavaa henkilökorttia nettiäänestyksen päättymiseen asti. Paperiäänenkään antamisen estäminen ei ole vaikeaa; vaalipäivänä voidaan laittaa joku vahtimaan äänestyspaikkaa tai äänestäjä voi olla liikuntarajoitteinen tai esimerkiksi ulkomailla asuva henkilö.
+
+Myönnettäköön, että kännykkäkamerat ovat tuoneet lievän painostusmahdollisuuden myös suomalaiseen paperilipuilla tapahtuvaan äänestämiseen ja tietenkin äänen antamisen voi painostuksella estää kokonaan. Jälkimmäistä ongelmaa on vaikea estää, mutta edellisen osalta Oikeusministeriön tulisikin tutkia, pitäisikö äänestyskopissa kieltää myös kameran käyttö. Joka tapauksessa etä-äänestyksessä on huomattavan paljon suurempi riski painostukselle.
### "Yhdysvaltain huonoilla kokemuksilla ei ole merkitystä Suomessa"
-Yhdysvalloissa on pitkään käytetty eri osavaltioissa erilaisia sähköisiä äänestysjärjestelmiä, kun Suomessa vasta suunnitellaan ensimmäisiä pilottihankkeita. Siksi Yhdysvaltain kokemukset ovat erittäin arvokkaita. Olisi naiivia olettaa, että Suomessa tietotekninen osaaminen olisi oleellisesti niin paljon parempaa kuin Yhdysvalloissa, että vastaavia ongelmia ei lintukodossamme voisi esiintyä.
+Yhdysvalloissa on pitkään käytetty eri osavaltioissa erilaisia sähköisiä äänestysjärjestelmiä. Tämä johtuu erityisesti siitä, että Yhdysvaltain äänestystapahtumat ovat hyvin monimutkaisia (samoissa vaaleissa voidaan valita vaikkapa presidentti ja kymmenkunta pienempää viskaalia ja äänestää vielä lakimuutoksista sen lisäksi).
+
+Yhdysvaltain kokemukset ovat erittäin arvokkaita. Olisi naiivia olettaa, että Suomessa tietotekninen osaaminen olisi oleellisesti niin paljon parempaa kuin Yhdysvalloissa, että vastaavia ongelmia ei lintukodossamme voisi esiintyä.
Yksi Yhdysvalloissa [opittu läksy on][30], että ainoa järkevä tapa saada riippumaton varmistus sähköisen äänestysjärjestelmän toiminnasta on kerätä jokaiselta äänestäjältä uurnaan tämän itsensä tarkistama paperitosite, joiden perusteella tulos voidaan tarvittaessa tarkistaa.
Suomeen ehdotetut järjestelmät eivät paperivarmistusta tunne.
+Oikeusministeriö on esittänyt, että Suomen järjestelmä on varmempi kuin Yhdysvaltojen, koska täällä käytetään keskitettyä sähköistä uurnaa eikä ääniä tallenneta äänestyskoneisiin. Tämä todellakin estää tiettyjä ongelmia ja vähentää itse äänestyskoneeseen liittyviä riskejä, mutta se ei vaikuta lainkaan täyssähköisen äänestyksen suurimpaan ongelmaan eli siihen, että tarkistuslaskentaa ei voida suorittaa ja että järjestelmä voi väärentää vaalituloksen.
+
### "Mikä on paperivarmistus?"
[Paperivarmistuksessa (VVPR, Voter Verified Paper Record, tai VVPB, Voter Verified Paper Ballot)][30] äänestäjä saa äänestään paperitositteen. Tosite ei jää äänestäjälle, vaan hän laittaa sen vaalipaikalla normaaliin uurnaan tarkastettuaan sen. Näin kerätyillä tositteilla voidaan suorittaa tarkastuslaskenta. Vaikka kaikkia tositteita ei aina laskettaisikaan, voidaan esimerkiksi laskea satunnaisotannalla valittujen äänestyspaikkojen äänet ja verrata näin saatuja äänimääriä sähköiseen tulokseen. Jos sähkö- ja paperitulokset eroavat toisistaan, lasketaan kaikki paperiäänet ja hylätään sähköinen tulos kokonaan. Samaten jos kisa menee tiukoille tai jokin osapuoli syyttää sähköisestä vaalivilpistä, voidaan laskea paperitositteet. Paperivarmistus on hyvä ratkaisu, koska paperitositteiden avulla voidaan suorittaa äänistysohjelmistoista ja -laitteista riippumaton, avoin ja ymmärrettävä tarkastuslaskenta.
### "Nettipankkikin on olemassa, miksi ei siis myös nettiäänestys"
-Kuten tämän dokumentin alussa on perusteltu, pankkijärjestelmän toteuttaminen on vaalijärjestelmään verrattuna hyvin yksinkertaista. Tärkeimmät erot pankkijärjestelmän ja sähköisen äänestyksen välillä ovat [anonyymiys, korjattavuus ja luotettavuus][32]:
+Kuten tämän dokumentin alussa on perusteltu, pankkijärjestelmän haasteet ovat äänestykseen verrattuna hyvin erilaiset. Pankkien turvajärjestelyt eivät siis sovi äänestysjärjestelmille, tai eivät täytä kaikkia äänestyksen erityistarpeita. Tärkeimmät erot pankkijärjestelmän ja sähköisen äänestyksen välillä ovat [anonyymiys, korjattavuus ja luotettavuus][32]:
* *Anonyymiys.* Pankki tietää aina tilisiirroissa sekä maksajan että maksun saajan henkilöllisyyden, mutta äänestäjän ääntä ja henkilöllisyyttä ei saisi vaalisalaisuuden vuoksi liittää toisiinsa. Anonyymiysvaatimuksen vuoksi suurta osa esimerkiksi tilisiirtojen turvamekanismeista ei voi soveltaa sähköiseen äänestämiseen (ellei anonyymiyttä haluta rikkoa). Vaalivilpin huomaaminen - toisin kuin esimerkiksi pankkitilin virheveloituksen huomaaminen tiliotteesta, korjaaminen ja vilppiin syyllisten kiinni saaminen on tästä syystä puhtaasti sähköisessä äänestyksessä mahdotonta tai huomattavasti vaikeampaa kuin esimerkiksi mainittu pankkitilin virheveloituksen huomaaminen ja korjaaminen.
* *Korjattavuus.* Pankki ylläpitää moninkertaista kirjanpitoa ja muita varmistuksia. Jos esimerkiksi tilisiirtoa epäillään virheelliseksi, voidaan selvittää mistä on kyse ja korjata aiheutunut virhe. Puhtaasti sähköisessä äänestyksessä korjattavuuden toteuttaminen on huomattavasti vaikeampaa, koska riippumatonta tarkastuslaskentaa ei voida tehdä.
* *Luotettavuus.* Jos joku väittää kavaltaneensa miljoona euroa, mutta kukaan ei tunnusta menettäneensä rahoja, kavallusväitteen voi jättää omaan arvoonsa. Jos joku toisaalta väittää murtaneensa sähköisen äänestysjärjestelmän ja huijanneensa vaaleissa, puhtaasti sähköisessä järjestelmässä (jossa ei esimerkiksi ole paperivarmistusta) ei auta muuta kuin luottaa äänestysjärjestelmään. Äänestysjärjestelmän on siis paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy.
-Nettipankit sekoilevat ja joskus jopa tilin saldo näkyy väärin - muistetaan esimerkiksi surullisenkuuluisa Sampo-pankin tietojärjestelmäuudistus keväällä 2008. Virheet voidaan kuitenkin korjata, koska asiakas huomaa, että tilin saldo on virheellinen ja moninkertaisten varmistusten vuoksi oikea saldo voidaan selvittää. Sähköisessä äänestyksessä sen sijaan pitää vain luottaa äänestystulokseen, jos riippumatonta tapaa selvittää oikeaa tulosta (esim. paperivarmistus) ei ole.
+Pankkijärjestemätkin sekoilevat ja joskus jopa tilin saldo näkyy väärin - muistetaan esimerkiksi surullisenkuuluisa Sampo-pankin tietojärjestelmäuudistus keväällä 2008. Virheet voidaan kuitenkin korjata, koska asiakas huomaa, että tilin saldo on virheellinen ja moninkertaisten varmistusten vuoksi oikea saldo voidaan selvittää. Sähköisessä äänestyksessä sen sijaan pitää vain luottaa äänestystulokseen, jos riippumatonta tapaa selvittää oikeaa tulosta (esim. paperivarmistus) ei ole.
+
+Kaupallisten tietojärjestelmien turvallisuus perustuu liiketaloudellisten riskien analyysiin. Riskien arvioinnin jälkeen päätetään vastatoimet (kontrollit), joilla jäännösriski pienennetään tasolle, jossa se voidaan taloudellisesti kantaa. Tämä malli toimii hyvin kaupallisessa maailmassa, mutta ei äänestyksessä. Vaaleissa valitaan henkilöitä ja puolueita, joilla on lainsäädäntövaltaa - tämä valta on muutakin kuin rahan käyttöä. Väärää vaalitulosta ei voi korvata rahalla.
Sähköisen äänestysjärjestelmän auditoinnin ja ylläpidon hoitaa usein yksityinen yritys. Kannattaa miettiä, halutaanko vaalijärjestelmä ulkoistaa ehkä ulkomaalaisomistuksessa olevalle yritykselle, muistaen että järjestelmän pitäisi toimia luotettavasti myös epävakaissa yhteiskunnallisissa oloissa. Pahimmassa tapauksessa pelkkä epäily äänestystuloksen oikeellisuudesta voi johtaa yhteiskuntarjärjestyksen kaatumiseen.
> "Sähköinen vaaliuurna, kuten muutkin vaalitietojärjestelmän osat, toimisi oikeusministeriön kanssa sopimussuhteessa olevan tietotekniikkatoimittajan laitteilla toimittajan jossakin toimipisteessä."
-*Nettipankit ja nettiäänestys.* Nettipankkien tietoturvassa on puutteita, minkä pankit hyvin ymmärtävät. Pelkästään vuonna 2005 Nordean verkkopankin asiakkailta huijattiin kalastelemalla 60.000 euroa. Riskien hallintaan on kuitenkin keinoja ja vahingot ovat rahalla korvattavissa. Yksittäiset vahingot ovat pankin liikevaihtoon verrattuna niin mitättömiä, että verkkopankkeja kannattaa väärinkäytöksistä huolimatta ylläpitää ja käyttää.
+#### Nettipankit ja nettiäänestys
-Jos sen sijaan äänestysjärjestelmässä on vikoja tai tietoturvassa on puutteita, on riskinä, että väärä henkilö tai puolue pääsee valtaan - tätä ei voi korvata rahalla.
+Nettipankkien tietoturvassa on puutteita, minkä pankit hyvin ymmärtävät. Pelkästään vuonna 2005 Nordean verkkopankin asiakkailta huijattiin kalastelemalla 60.000 euroa. Riskien hallintaan on kuitenkin keinoja ja vahingot ovat rahalla korvattavissa. Yksittäiset vahingot ovat pankin liikevaihtoon verrattuna niin mitättömiä, että verkkopankkeja kannattaa väärinkäytöksistä huolimatta ylläpitää ja käyttää.
-Suuri osa kotitietokoneista on lisäksi tälläkin hetkellä käyttäjien tietämättä haittaohjelmien saastuttama. Tähän saakka näitä koneita on käytetty muun muassa huijauksiin, roskapostittamiseen ja palvelunestohyökkäyksiin. On myös tiettyihin nettipankkeihin erikoistuneita haittaohjelmia: kun käyttäjä kirjautuu nettipankkiin, voi haittaohjelma tehdä käyttäjän huomaamatta suurehkon tilisiirron. Onko viisasta sallia sitä mahdollisuutta, että tulevaisuudessa näitä koneita käytetään myös nettiäänestämiseen? (Käyttäjä huomaa lopulta haittaohjelman tekemän tilisiirron, koska tilin saldo pienenee,
-mutta haittaohjelman tekemää äänestystä ei samalla tavalla voi huomata - kuten sanottua, nettiäänestyksen
-toteuttaminen turvallisesti on huomattavasti nettipankin turvaamista vaikeampaa.)
+Suuri osa kotitietokoneista on lisäksi tälläkin hetkellä käyttäjien tietämättä haittaohjelmien saastuttama. Tähän saakka näitä koneita on käytetty muun muassa huijauksiin, roskapostittamiseen ja palvelunestohyökkäyksiin. On myös tiettyihin nettipankkeihin erikoistuneita haittaohjelmia: kun käyttäjä kirjautuu nettipankkiin, voi haittaohjelma tehdä käyttäjän huomaamatta suurehkon tilisiirron. Onko viisasta sallia sitä mahdollisuutta, että tulevaisuudessa näitä koneita käytetään myös nettiäänestämiseen? (Käyttäjä huomaa lopulta haittaohjelman tekemän tilisiirron, koska tilin saldo pienenee, mutta haittaohjelman tekemää äänestystä ei samalla tavalla voi huomata.)
### "Kenelläkään ei ole intressiä murtautua äänestysjärjestelmään"
Akatamiaprofessori Hannu Nurmi on sitä mieltä, että nettiäänestys olisi varmaan ihan turvallista (Helsingin Sanomat 31.1.2008). Helsingin Sanomien mukaan "hän muistuttaa, että intressi murtautua äänestysjärjestelmään on pienempi kuin murtautua esimerkiksi pankkijärjestelmään".
-Siis kenenkään intresseissä ei ole vaikuttaa siihen, kuka Suomessa on vallassa?
-Pääasia, että pankkitilien saldot ovat oikein?
-
+Ottaen huomioon, kuinka kilpailtuja luottamustoimet ja edustajanpaikat ovat, ja kuinka suuri valta kansanedustajalla on, on melkoista vähättelyä sanoa, että äänestysjärjestelmään murtautumisessa ei olisi intressejä. Eduskunta päättää myös melkoisista rahasummista, joten suoranaista rahallistakin kiinnostusta voi olla. Rahaa voisi tehdä myös välillisesti, vaikkapa lyömällä vetoa vaalien voittajasta. Pahantekijän mielikuvitus on rajaton.
Samassa Helsingin Sanomien artikkelissa muidenkin antamista kommenteista paistaa asenne, jonka mukaan äänestäjiä ei kiinnosta tai ainakaan pitäisi kiinnostaa äänestyksen luotettavuus. Ketään ei myöskään tunnu kiinnostavan,
että vaalijärjestelmän pitäisi toimia luotettavasti myös kiristyneessä sisä- tai ulkopoliittisessa tilanteessa,
jossa kaikkiin viranomaisiin ei voi luottaa, ja jossa mahdollinen nettivaalijärjestelmä
voi joutua verkkohyökkäyksen kohteeksi.
-
Samalla tavalla voisi kai sanoa, että kenenkään intressi marssia Suomen rajojen yli on pienempi kuin murtautua esimerkiksi Nordean pankkiholviin, joten puolustusvoimat voi lakkauttaa. Toivottavasti Suomessa ei suhtauduta samalla asenteella muihin yhteiskunnan kannalta kriittisiin toimintoihin - verkon kautta
nettiäänestysjärjestelmän murtaminen ja pelkästään uskottava epäily vaalituloksen oikeellisuudesta kun voisi pahimmillaan johtaa yhteiskuntajärjestyksen kaatumiseen.
([Helsingin Sanomat 16.8.2008 kybersodankäynnistä](http://www.hs.fi/ulkomaat/artikkeli/Viro+ja+Puola+puolustavat+Georgiaa+ven%C3%A4l%C3%A4isi%C3%A4+verkkohy%C3%B6kk%C3%A4yksi%C3%A4+vastaan/1135238684787),
[Digitoday 19.8.2008](http://www.digitoday.fi/mielipide/2008/08/19/euroopan-tulivoimaisin-botnet/200821453/66)).
-
-
-
### "Käytetäänhän ääntenlaskussa nykyäänkin apuna tietokoneita"
Ääntenlaskun apuna käytetään nykyäänkin luonnollisesti tietokoneita. Tuloksen huomaamaton manipuloiminen ei kuitenkaan onnistu, koska oikeusministeriö julkaisee laskennan perusteena käytetyt äänestysaluekohtaiset tulokset. Jos oikeusministeriön julkaisema äänestysalueen vaalitulos on väärä, huomaavat äänestysalueen ääntenlaskussa olleet tämän, mukaan lukien kilpailevien puolueiden asettamat valvojat. Puhtaasti sähköisessä äänestyksessä tätä varmistusta ei ole.
[60]: http://www.effi.org/blog/2008-09-01-evoting-report-in-english.html
[61]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-10-28.html
[62]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-10-26.html
+ [63]: http://www.openrightsgroup.org/2008/10/27/no-e-voting-in-next-years-elections/
projects / .git / blobdiff