### Sisällys
-[[!toc]]
+
* Effi sähköisestä äänestämisestä
* Yleistä
* Äänien katoaminen sähköäänestyspilotissa
-* Sähköisen äänestyksen tarve (sähköistyminen on tulevaisuutta, nettiäänestys aktivoi äänestämään)
+* Sähköisen äänestyksen tarve
+* Väite: Sähköistyminen on tulevaisuutta
+* Väite: Nettiäänestys aktivoi äänestämään
* Kansalaisten luottamus äänestykseen
* Sähköisen äänestyksen valmistelu Suomessa
-* Viron nettiäänestyskokeilu oli ongelmaton
+* Väite: Viron nettiäänestyskokeilu oli ongelmaton
+* Nettiäänestys ja äänestäjän painostus
* Yhdysvaltain huonoilla kokemuksilla ei ole merkitystä Suomessa
* Mikä on paperivarmistus?
* Nettipankkikin on olemassa, miksi ei siis myös nettiäänestys
* Äänestäjä ei saa pystyä todistamaan muille äänestäneensä tietyillä tavoilla. Näin estetään äänten ostaminen tai äänestäjien painostus. Samasta syystä äänestämisen on tapahduttava henkilökohtaisesti.
* Järjestelmän on toimittava luetettavasti myös epävakaissa yhteiskunnallisissa oloissa, siis sellaisissa, joissa tyypillisesti YK lähettäisi rauhanturvaajia.
* Järjestelmän on mahdollistettava vaalitarkkailu, myös ulkomaisille ja valtioiden välisille organisaatioille. Demokraattisen valtion hallinnon kansan luottamus pitää pystyä uskottavasti todistamaan muille valtioille. Epädemokraattisille valtioille on pystyttävä näyttämään esimerkkiä.
-* Järjestelmän on paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy. Tämä vaatimus johtaa siihen, että "tavallisen kadunmiehen" on ymmärrettävä järjestelmän toiminta; muutoin epäilyt väärinkäytöksistä voivat johtaa epävakaissa oloissa jopa yhteiskuntajärjestyksen kaatumiseen.
+* Järjestelmän on paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy. Tämä vaatimus johtaa siihen, että "tavallisen kadunmiehen" on ymmärrettävä järjestelmän toiminta; muutoin epäilyt väärinkäytöksistä voivat johtaa epävakaissa oloissa jopa yhteiskuntajärjestyksen kaatumiseen. Toisella tapaa ilmaistuna: järjestelmän tulee olla sellainen, että uskottavaa epäilyä vaalivilpistä ei voi esittää, jos vaalit ovat oikeasti sujuneet rehellisesti.
Jos tarkastellaan nykyistä paperilippuja käyttävää äänestystä näiden vaatimusten valossa, se täyttää kaikki nämä vaatimukset erittäin hyvin. Suomessahan ääntenlasku tehdään hajautetusti (jokaisella äänestyspaikalla) kilpailevien puolueiden edustajien toimesta, ja laskennat tarkistetaan keskitetysti. Jokaisen äänestyspaikan tulos julkistetaan erikseen, jotta vaalilautakunnat voivat varmistua omien laskujensa oikeasta huomioimisesta.
Alkuperäinen valituskirjelmä on luettavissa [Effin blogissa](http://www.effi.org/blog/2008-11-12-Tapani-Tarvainen.html). Helsingin hallinto-oikeus [hylkäsi valituksen 29.1.2009 valittajien mielestä kestämättömillä perusteilla](http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2009-01-29.html) ([Helsingin hallinto-oikeuden päätös sähköäänestysasiassa](http://www.effi.org/blog/hhao-2009-01-29.html)). Hallinto-oikeuden päätöksestä valitettiin korkeimpaan hallinto-oikeuteen (KHO).
-KHO kumosi kunnallisvaalien tulokset ([Effin tiedote 9.4.2009](http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2009-04-09.html)). Kokeilukunnissa pitää järjestää uudet vaalit, koska mm. paperivarmistuksen puuttumisen vuoksi tarkastuslaskentaa ei voitu tehdä. KHO perusteli päätöstään äänien katoamisella, joka oletetusti johtui puutteellisesta ohjeistuksesta ja sähköisen äänestysjärjestelmän toimintavirheestä.
+KHO kumosi kunnallisvaalien tulokset 9.4.2009 ([Effin tiedote 9.4.2009](http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2009-04-09.html)). Kokeilukunnissa pitää järjestää uudet vaalit, koska mm. paperivarmistuksen puuttumisen vuoksi tarkastuslaskentaa ei voitu tehdä. KHO perusteli päätöstään äänien katoamisella, joka oletetusti johtui puutteellisesta ohjeistuksesta ja sähköisen äänestysjärjestelmän toimintavirheestä.
Sähköisen vaaliuurnan avulla on mahdollista selvittää kuka äänesti ketäkin. KHO ei tutkinut, rikkooko sähköisen vaaliuurnan säilyttäminen vaalisalaisuutta ja tekeekö se siten sähköisestä äänestysjärjestelmästä vaalilain vastaisen, koska KHO:n mukaan tämä ei kuulu sen toimivaltaan (on epäselvää kenen toimivaltaan tämä kuuluisi).
-KHO ei myöskään ottanut kantaa siihen, onko äänestysjärjestelmä, jonka oleelliset osat ovat liikesalaisuuksia ja jonka toiminnasta ei siten voi varmistua, ylipäätään soveltuva valtiollisiin vaaleihin. Saksan perustuslakituomioistuinhan [totesi sähköiset äänestysjärjestelmät tällä perusteella perustuslain vastaisiksi](http://www.ccc.de/updates/2009/wahlcomputer-urteil-bverfg?language=en) ([tuomioistuimen tiedote](http://www.bundesverfassungsgericht.de/en/press/bvg09-019en.html)).
+KHO ei myöskään ottanut kantaa siihen, onko äänestysjärjestelmä, jonka oleelliset osat ovat liikesalaisuuksia ja jonka toiminnasta äänestäjät eivät siten voi varmistua, ylipäätään soveltuva valtiollisiin vaaleihin. Saksan perustuslakituomioistuinhan [totesi sähköiset äänestysjärjestelmät tällä perusteella perustuslain vastaisiksi](http://www.ccc.de/updates/2009/wahlcomputer-urteil-bverfg?language=en) ([tuomioistuimen tiedote](http://www.bundesverfassungsgericht.de/en/press/bvg09-019en.html)).
KHO:n päätöstä ja sen aiheuttamia reaktiota kommentoidaan blogiartikkelissa
[Sähköinen äänestys: mikä oikeasti meni pieleen](http://www.effi.org/blog/kai-2009-04-12.html) (Effin blogi/Kai Puolamäki 12.4.2009).
Minkäänlaista pakkoa siirtyä sähköiseen äänestykseen ei siis ole.
-#### Väite: Sähköistyminen on tulevaisuutta
+### Väite: Sähköistyminen on tulevaisuutta
Yleisesti ottaen sähköistyminen toki on tulevaisuutta. Valtiollisissa vaaleissa virta ei kuitenkaan kulje tähän suuntaan juuri niistä syistä, joita tässäkin dokumentissa on selostettu. Esimerkiksi Yhdysvalloissa suurin osa osavaltioista [ei enää salli ilman äänestäjän tarkastamaa paperitositetta tapahtuvaa äänestystä][30] ja useissa osavaltioissa [prosessi on meneillään](http://www.uusisuomi.fi/ulkomaat/39684-esimerkki-suomelle-–-usassa-kypsyttiin-sahkoiseen-aanestykseen).
Sähköisessä äänestysjärjestelmässä, jossa on monta vaihetta, pieni joukko voi pahimmassa tapauksessa vaikuttaa merkittävästi äänestystuloksen oikeellisuuteen.
-#### Väite: Nettiäänestys aktivoi äänestämään
+### Väite: Nettiäänestys aktivoi äänestämään
Nettiäänestys voi alentaa äänestyskynnystä ja siten väliaikaisesti vähentää äänestysaktiivisuuden laskua. Nykymuotoinen paperiäänestys ennakkoäänestysmahdollisuuksineen ei kuitenkaan ole selitys äänestysprosenttien pienenemiselle, vaan kyse on politiikan uskottavuudesta, moraalista ja vetovoimasta. Äänestysaktivisuuden laskeminen on yhteiskunnallinen ongelma, joka ei ratkea nettiäänestysmahdollisuudella.
-Aihetta on tutkittu ja [tulokset][24] kertovat, että etä-äänestysmahdollisuus (jonka erityistapaus nettiäänestys on) ei aktivoi äänestämään.
+Aihetta on tutkittu ja [tulokset][24] viittaavat siihen, että etä-äänestysmahdollisuus (jonka erityistapaus nettiäänestys on) ei aktivoi äänestämään.
Yksi syy äänestysaktiivisuuden laskuun voi esimerkiksi olla, että erilaisilla eturyhmillä on yhä suurempi vaikutus poliittiseen päätöksentekoon. Äänestäjät, varsinkin nuorempi sukupolvi, voivat tuntea, että [heidän mielipiteitään ei kuunnella][25] tarpeeksi. Kuvaava esimerkki Effin toiminta-alalta oli [musta joulukuu][26] vuonna 2005, jolloin säädettiin urakalla uutta älytöntä lainsäädäntöä.
Nettiäänestys ei ratkaise näitä asioita.
-On myös syytä erottaa sähköinen äänestyspaikalla tapahtuva äänestys, jota oikeusministeriö on ehdottanut ja jota [kokeillaan vuoden 2008 kunnallisvaaleissa][19], ja Internetin kautta tapahtuva nettiäänestys, jota muun muassa [viestintäministeri Suvi Lindén (kok) on visioinut][20].
+On myös syytä erottaa sähköinen äänestyspaikalla tapahtuva äänestys, jota oikeusministeriö on ehdottanut ja jonka [kokeilu epäonnistui vuoden 2008 kunnallisvaaleissa][19], ja Internetin kautta tapahtuva nettiäänestys, jota muun muassa [viestintäministeri Suvi Lindén (kok) on visioinut][20].
Tietoturvamielessä verkon kautta tapahtuva nettiäänestys sisältää periaatteessa
kaikki äänestyspaikalla tapahtuvan täyssähköisen äänestämisen riskit
ja sen lisäksi vielä useita muita riskejä, jotka äänestyspaikalla voitaisiin eliminoida.
-Ainakaan äänestyspaikalla tapahtuva sähköinen äänestys ei näytä aktivoivan äänestämään - pikemminkin päinvastoin. Uudellamaalla äänestysprosentti kasvoi kuntavaaleissa 2008 verrattuna kuntavaaleihin 2004 +2,4% ja koko maassa +2,6%. Kunnissa, joissa kokeiltiin sähköistä äänestystä, äänestysprosentti kasvoi huomattavasti vähemmän (Karkkila +0,7%, Kauniainen +0,8%, Vihti +0,5%; lähde [Ylen vaalitulospalvelu](http://yle.fi/vaalit2008/tulospalvelu/index.html)).
+Ainakaan äänestyspaikalla tapahtuva sähköinen äänestys ei näyttänyt aktivoivan äänestämään - pikemminkin päinvastoin. Uudellamaalla äänestysprosentti kasvoi kuntavaaleissa 2008 verrattuna kuntavaaleihin 2004 +2,4% ja koko maassa +2,6%. Kunnissa, joissa kokeiltiin sähköistä äänestystä, äänestysprosentti kasvoi huomattavasti vähemmän (Karkkila +0,7%, Kauniainen +0,8%, Vihti +0,5%; lähde [Ylen vaalitulospalvelu](http://yle.fi/vaalit2008/tulospalvelu/index.html)).
### Kansalaisten luottamus äänestykseen
Oikeusministeriö on myös toistuvasti kieltäytynyt antamasta järjestelmään liittyviä dokumentteja julkisuuteen, vedoten yrityssalaisuuksiin sekä muihin salassapitomääräyksiin.
-### "Viron nettiäänestyskokeilu oli ongelmaton"
+### Väite: Virossa Internet-äänestysjärjestelmä toimi
Virossa on todella käytetty sähköistä nettiäänestystä. Sen onnistuneen markkinoinnin ansiosta monet jakavat esimerkiksi [ministeri Lindénin virheellisen käsityksen][22], jonka mukaan Viron nettiäänestyskokeilu oli sujunut täydellisesti. Tämä ei pidä paikkaansa. Viron valtiollisen vaalilautakunnan sivuilla julkaistussa ETYJin demokraattisten instituutioiden ja ihmisoikeuksien toimiston (ODIHR) [raportissa][23] sanotaan. Raportti toteaa, että nettiäänestykseen liittyy useita haasteita läpinäkyvyyden ja tuloksen luotettavuuden suhteen ja ellei haasteisiin pystytä vastaamaan, suosittaa harkitsemaan nettiäänestyksestä luopumista (oma suomennos):
> [alkuperäinen teksti:] *"Although the National Election Committee made considerable efforts to minimize the inherent risks, testing and auditing of the system could have been more comprehensive. Furthermore, there appeared to be almost no oversight of the internet voting process by political parties or civil society. The internet voting system as implemented appears to have functioned in the Estonian context on this occasion. Yet, unless the above-mentioned factors are effectively addressed, the authorities should reconsider whether the internet should be widely available as a voting method, or alternatively whether it should be used only on a limited basis or at all."*
-Viron viime aikoina kokemien nettihyökkäyksen valossa ei olisi yllättävää, jos vaalien heikoin lenkki eli nettiäänestys joutuisi koetukselle seuraavissa vaaleissa. Ei ole mahdotonta, että joku tekisi haittaohjelman, joka käyttäjän huomaamatta muuttaisi annettua ääntä; vastaavanlaisia haittaohjelmia käytetään tekemään nettipankeissa tilisiirtoja käyttäjän huomaamatta. Nettiäänestys on altis myös nimipalvelu- ja palvelunestohyökkäyksille ja niin edelleen; "liikuvia osia" ja siten potentiaalisia vikapisteitä on perinteiseen paperiäänestysjärjestelmään verrattuna todella paljon. Ylipäätään nettiäänestysprosessi sisältää niin paljon vaikeasti hallittavia ja suojattavia tekijöitä, että jos joku haluaa tehdä maata vastaan kyberhyökkäyksen ja aiheuttaa yhteiskunnallista epävakautta väärentämällä vaalituloksen, olisi nettiäänestys varteenotettava kohde.
+
+
+Viron viime kokemien nettihyökkäyksen valossa ei olisi yllättävää, jos vaalien heikoin lenkki eli nettiäänestys joutuisi tulevaisuudessa koetukselle.
+
+Ei ole mahdotonta, että joku tekisi haittaohjelman, joka käyttäjän huomaamatta muuttaisi annettua ääntä; vastaavanlaisia haittaohjelmia käytetään tekemään nettipankeissa tilisiirtoja käyttäjän huomaamatta. Nettiäänestys on altis myös nimipalvelu- ja palvelunestohyökkäyksille ja niin edelleen; "liikuvia osia" ja siten potentiaalisia vikapisteitä on perinteiseen paperiäänestysjärjestelmään verrattuna todella paljon. Ylipäätään nettiäänestysprosessi sisältää niin paljon vaikeasti hallittavia ja suojattavia tekijöitä, että jos joku haluaa tehdä maata vastaan kyberhyökkäyksen ja aiheuttaa yhteiskunnallista epävakautta väärentämällä vaalituloksen, olisi nettiäänestys varteenotettava kohde.
Bruce Schneierin [sanoin](http://www.schneier.com/crypto-gram-0012.html#1):
"A secure Internet voting system is theoretically possible, but it would be the first secure networked application ever created in the history of computers."
-#### Nettiäänestys ja äänestäjän painostus
+### Nettiäänestys ja äänestäjän painostus
Painostus voi olla perheen tai ulkopuolisten suorittamaa tai ääniä voidaan ostaa. Erityisen ongelmallista ulkopuolisten suorittama painostus tai äänten ostaminen voivat olla, jos tuloerot ovat suuria tai yhteiskunnallinen tilanne on muuten epävakaa.
-Viron nettiäänestyksessä äänensä saattoi myöhemmin muuttaa. Tämän oli tarkoitus ehkäistä äänestäjän painostusta ja äänten ostamista: vaikka ääni olisikin annettu valvonnan alaisena, olisi äänestäjä voinut periaatteessa painostajan tietämättä vielä myöhemmin muuttaa ääntään. Äänestäjä saattoi myös antaa paperiäänen nettiäänestyksen sulkeuduttua; tällaisessa tapauksessa nettiääni jätettiin huomiotta. Näin esimerkiksi äänten ostaja ei olisi voinut olla varma, ketä äänestäjä oikeasti lopulta äänesti. Äänestysjärjestelmä kuitenkin tallensi ajan, jona ääni oli annettu; poliittiset puolueet ja vaalitarkkailijat näkivät tämän ajan, jonka avulla ne olisivat periaatteessa voineet selvittää korjasiko äänestäjä myöhemmin ääntään.
+Viron nettiäänestyksessä (ks. yllä) äänensä saattoi myöhemmin muuttaa. Tämän oli tarkoitus ehkäistä äänestäjän painostusta ja äänten ostamista: vaikka ääni olisikin annettu valvonnan alaisena, olisi äänestäjä voinut periaatteessa painostajan tietämättä vielä myöhemmin muuttaa ääntään. Äänestäjä saattoi myös antaa paperiäänen nettiäänestyksen sulkeuduttua; tällaisessa tapauksessa nettiääni jätettiin huomiotta. Näin esimerkiksi äänten ostaja ei olisi voinut olla varma, ketä äänestäjä oikeasti lopulta äänesti. Äänestysjärjestelmä kuitenkin tallensi ajan, jona ääni oli annettu; poliittiset puolueet ja vaalitarkkailijat näkivät tämän ajan, jonka avulla ne olisivat periaatteessa voineet selvittää korjasiko äänestäjä myöhemmin ääntään.
Uudelleenäänestysmahdollisuus ei tietenkään estä tehokasta painostusta tai äänten ostamista. Ääni voidaan esimerkiksi antaa valvonnan alla ja tämän jälkeen "lainata" äänestykseen tarvittavaa henkilökorttia nettiäänestyksen päättymiseen asti. Paperiäänenkään antamisen estäminen ei ole vaikeaa; vaalipäivänä voidaan laittaa joku vahtimaan äänestyspaikkaa tai äänestäjä voi olla liikuntarajoitteinen tai esimerkiksi ulkomailla asuva henkilö.
Myönnettäköön, että kännykkäkamerat ovat tuoneet lievän painostusmahdollisuuden myös suomalaiseen paperilipuilla tapahtuvaan äänestämiseen ja tietenkin äänen antamisen voi painostuksella estää kokonaan. Jälkimmäistä ongelmaa on vaikea estää, mutta edellisen osalta Oikeusministeriön tulisikin tutkia, pitäisikö äänestyskopissa kieltää myös kameran käyttö. Joka tapauksessa etä-äänestyksessä on huomattavan paljon suurempi riski painostukselle.
-### "Yhdysvaltain huonoilla kokemuksilla ei ole merkitystä Suomessa"
+### Väite: Yhdysvaltain huonoilla kokemuksilla ei ole merkitystä Suomessa
Yhdysvalloissa on pitkään käytetty eri osavaltioissa erilaisia sähköisiä äänestysjärjestelmiä. Tämä johtuu erityisesti siitä, että Yhdysvaltain äänestystapahtumat ovat hyvin monimutkaisia (samoissa vaaleissa voidaan valita vaikkapa presidentti ja kymmenkunta pienempää viskaalia ja äänestää vielä lakimuutoksista sen lisäksi).
-Yhdysvaltain kokemukset ovat erittäin arvokkaita. Olisi naiivia olettaa, että Suomessa tietotekninen osaaminen olisi oleellisesti niin paljon parempaa kuin Yhdysvalloissa, että vastaavia ongelmia ei lintukodossamme voisi esiintyä.
+Yhdysvaltain kokemukset ovat erittäin arvokkaita. Olisi naiivia olettaa, että Suomessa tietotekninen osaaminen olisi oleellisesti niin paljon parempaa kuin Yhdysvalloissa, että vastaavia ongelmia ei täällä voisi esiintyä.
Yksi Yhdysvalloissa [opittu läksy on][30], että ainoa järkevä tapa saada riippumaton varmistus sähköisen äänestysjärjestelmän toiminnasta on kerätä jokaiselta äänestäjältä uurnaan tämän itsensä tarkistama paperitosite, joiden perusteella tulos voidaan tarvittaessa tarkistaa.
Oikeusministeriö on esittänyt, että Suomen järjestelmä on varmempi kuin Yhdysvaltojen, koska täällä käytetään keskitettyä sähköistä uurnaa eikä ääniä tallenneta äänestyskoneisiin. Tämä todellakin estää tiettyjä ongelmia ja vähentää itse äänestyskoneeseen liittyviä riskejä, mutta se ei vaikuta lainkaan täyssähköisen äänestyksen suurimpaan ongelmaan eli siihen, että tarkistuslaskentaa ei voida suorittaa ja että järjestelmä voi väärentää vaalituloksen.
-### "Mikä on paperivarmistus?"
+### Mikä on paperivarmistus?
[Paperivarmistuksessa (VVPR, Voter Verified Paper Record, tai VVPB, Voter Verified Paper Ballot)][30] äänestäjä saa äänestään paperitositteen. Tosite ei jää äänestäjälle, vaan hän laittaa sen vaalipaikalla normaaliin uurnaan tarkastettuaan sen. Näin kerätyillä tositteilla voidaan suorittaa tarkastuslaskenta. Vaikka kaikkia tositteita ei aina laskettaisikaan, voidaan esimerkiksi laskea satunnaisotannalla valittujen äänestyspaikkojen äänet ja verrata näin saatuja äänimääriä sähköiseen tulokseen. Jos sähkö- ja paperitulokset eroavat toisistaan, lasketaan kaikki paperiäänet ja hylätään sähköinen tulos kokonaan. Samaten jos kisa menee tiukoille tai jokin osapuoli syyttää sähköisestä vaalivilpistä, voidaan laskea paperitositteet. Paperivarmistus on hyvä ratkaisu, koska paperitositteiden avulla voidaan suorittaa äänistysohjelmistoista ja -laitteista riippumaton, avoin ja ymmärrettävä tarkastuslaskenta.
-Yhdysvalloissa on kokemuksien perusteella [luovuttu][30] laajalti puhtaasti sähköisestä äänestyksestä ja siirrytty paperivarmistuksen käyttöön, jotta äänestyslaitteista ja -ohjelmistoista riippumaton tarkastuslaskenta olisi mahdollinen.
+Yhdysvalloissa on kokemuksien perusteella [luovuttu][30] laajalti puhtaasti sähköisestä äänestyksestä ja siirrytty paperivarmistuksen käyttöön, jotta äänestyslaitteista ja -ohjelmistoista riippumaton ymmärrettävä tarkastuslaskenta olisi mahdollinen.
ETYJ:n [vaalitarkkailijan käsikirjassa](http://www.osce.org/publications/odihr/2005/04/14004_240_en.pdf) sanotaan (s. 44, oma suomennos):
> "Nykyään pidetään tarpeellisena - läpinäkyvyyden ja turvallisuuden vuoksi - sisällyttää kaikkiin sähköisiin äänestysprosesseihin auditoitava paperijälki. - - Näiden ominaisuuksien mukana oloa tulee pitää tarpeellisena - -"
-Effi vaati [lausunnossaa oikeusministeriölle][31] paperivarmistusta ministeriön suunnittelemaan sähköiseen äänestysjärjestelmään, huonolla menestyksellä. Suomeen ehdotetussa järjestelmässä ei siis ole paperivarmistusta, täällä luotetaan sähköisen järjestelmän erehtymättömyyteen.
+Effi vaati [lausunnossaa oikeusministeriölle][31] paperivarmistusta ministeriön suunnittelemaan sähköiseen äänestysjärjestelmään, huonolla menestyksellä. Suomessa testatussa järjestelmässä ei ollut, vaan täällä luotettiin järjestelmän erehtymättömyyteen. Jos Suomessa olisi käytetty paperivarmistusta, ei kunnallisvaaleja olisi tarvinnut uusia, koska tarkistuslaskenta olisi voitu tehdä perinteiseen tapaan käyttäen paperitositteita.
### "Nettipankkikin on olemassa, miksi ei siis myös nettiäänestys"
* *Korjattavuus.* Pankki ylläpitää moninkertaista kirjanpitoa ja muita varmistuksia. Jos esimerkiksi tilisiirtoa epäillään virheelliseksi, voidaan selvittää mistä on kyse ja korjata aiheutunut virhe. Puhtaasti sähköisessä äänestyksessä korjattavuuden toteuttaminen on huomattavasti vaikeampaa, koska riippumatonta tarkastuslaskentaa ei voida tehdä.
* *Luotettavuus.* Jos joku väittää kavaltaneensa miljoona euroa, mutta kukaan ei tunnusta menettäneensä rahoja, kavallusväitteen voi jättää omaan arvoonsa. Jos joku toisaalta väittää murtaneensa sähköisen äänestysjärjestelmän ja huijanneensa vaaleissa, puhtaasti sähköisessä järjestelmässä (jossa ei esimerkiksi ole paperivarmistusta) ei auta muuta kuin luottaa äänestysjärjestelmään. Äänestysjärjestelmän on siis paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy.
-Pankkijärjestemätkin sekoilevat ja joskus jopa tilin saldo näkyy väärin - muistetaan esimerkiksi surullisenkuuluisa Sampo-pankin tietojärjestelmäuudistus keväällä 2008. Virheet voidaan kuitenkin korjata, koska asiakas huomaa, että tilin saldo on virheellinen ja moninkertaisten varmistusten vuoksi oikea saldo voidaan selvittää. Sähköisessä äänestyksessä sen sijaan pitää vain luottaa äänestystulokseen, jos riippumatonta tapaa selvittää oikeaa tulosta (esim. paperivarmistus) ei ole.
+Pankkijärjestelmätkin sekoilevat ja joskus jopa tilin saldo näkyy väärin - muistetaan esimerkiksi surullisenkuuluisa Sampo-pankin tietojärjestelmäuudistus keväällä 2008. Virheet voidaan kuitenkin korjata, koska asiakas huomaa, että tilin saldo on virheellinen ja moninkertaisten varmistusten vuoksi oikea saldo voidaan selvittää. Sähköisessä äänestyksessä sen sijaan pitää vain luottaa äänestystulokseen, jos riippumatonta tapaa selvittää oikeaa tulosta (esim. paperivarmistus) ei ole.
-Kaupallisten tietojärjestelmien turvallisuus perustuu liiketaloudellisten riskien analyysiin. Riskien arvioinnin jälkeen päätetään vastatoimet (kontrollit), joilla jäännösriski pienennetään tasolle, jossa se voidaan taloudellisesti kantaa. Tämä malli toimii hyvin kaupallisessa maailmassa, mutta ei äänestyksessä. Vaaleissa valitaan henkilöitä ja puolueita, joilla on lainsäädäntövaltaa - tämä valta on muutakin kuin rahan käyttöä. Väärää vaalitulosta ei voi korvata rahalla.
+Kaupallisten tietojärjestelmien turvallisuus perustuu liiketaloudellisten riskien analyysiin. Riskien arvioinnin jälkeen päätetään vastatoimet (kontrollit), joilla jäännösriski pienennetään taloudellisesti hyväksyttävälle tasolle. Tämä malli toimii hyvin kaupallisessa maailmassa, mutta ei äänestyksessä. Vaaleissa valitaan henkilöitä ja puolueita, joilla on lainsäädäntövaltaa - tämä valta on muutakin kuin rahan käyttöä. Väärää vaalitulosta ei voi korvata rahalla.
Sähköisen äänestysjärjestelmän auditoinnin ja ylläpidon hoitaa usein yksityinen yritys. Kannattaa miettiä, halutaanko vaalijärjestelmä ulkoistaa ehkä ulkomaalaisomistuksessa olevalle yritykselle, muistaen että järjestelmän pitäisi toimia luotettavasti myös epävakaissa yhteiskunnallisissa oloissa. Pahimmassa tapauksessa pelkkä epäily äänestystuloksen oikeellisuudesta voi johtaa yhteiskuntarjärjestyksen kaatumiseen.
-Suomenkin suunnitellussa järjestelmässä äänestysjärjestelmä voisi olla [pääosin ulkoistettu pörssiyhtiöön][33] (kyse olisi vaalipaikalla tapahtuvasta sähköisestä äänestämisestä, nettiäänestystä oikeusministeriö ei ole vielä esittänyt). [Hallituksen esitys 14/2006 eduskunnalle vaalilain muuttamisesta][18]:
+Suomenkin suunnitellussa järjestelmässä äänestysjärjestelmä olisi ulkoistettu [pääosin ulkoistettu pörssiyhtiöön][33] (kyse olisi vaalipaikalla tapahtuvasta sähköisestä äänestämisestä, nettiäänestystä oikeusministeriö ei ole vielä esittänyt). [Hallituksen esitys 14/2006 eduskunnalle vaalilain muuttamisesta][18]:
> "Sähköinen vaaliuurna, kuten muutkin vaalitietojärjestelmän osat, toimisi oikeusministeriön kanssa sopimussuhteessa olevan tietotekniikkatoimittajan laitteilla toimittajan jossakin toimipisteessä."
-#### Nettipankit ja nettiäänestys
+Suomen epäonnistuneen sähköäänestyspilotin toteuttivat yhteistyössä [Tieto Oyj](http://www.tieto.fi/) (entinen TietoEnator) ja Barcelonalainen [Scytl](http://www.scytl.com/).
+
+### Nettipankit ja nettiäänestys
Nettipankkien tietoturvassa on puutteita, minkä pankit hyvin ymmärtävät. Pelkästään vuonna 2005 Nordean verkkopankin asiakkailta huijattiin kalastelemalla 60.000 euroa. Riskien hallintaan on kuitenkin keinoja ja vahingot ovat rahalla korvattavissa. Yksittäiset vahingot ovat pankin liikevaihtoon verrattuna niin mitättömiä, että verkkopankkeja kannattaa väärinkäytöksistä huolimatta ylläpitää ja käyttää.
-Suuri osa kotitietokoneista on lisäksi tälläkin hetkellä käyttäjien tietämättä haittaohjelmien saastuttama. Tähän saakka näitä koneita on käytetty muun muassa huijauksiin, roskapostittamiseen ja palvelunestohyökkäyksiin. On myös tiettyihin nettipankkeihin erikoistuneita haittaohjelmia: kun käyttäjä kirjautuu nettipankkiin, voi haittaohjelma tehdä käyttäjän huomaamatta suurehkon tilisiirron. Onko viisasta sallia sitä mahdollisuutta, että tulevaisuudessa näitä koneita käytetään myös nettiäänestämiseen? (Käyttäjä huomaa lopulta haittaohjelman tekemän tilisiirron, koska tilin saldo pienenee, mutta haittaohjelman tekemää äänestystä ei samalla tavalla voi huomata.)
+Suuri osa kotitietokoneista on lisäksi tälläkin hetkellä käyttäjien tietämättä haittaohjelmien saastuttama. Tähän saakka näitä koneita on käytetty muun muassa huijauksiin, roskapostittamiseen ja palvelunestohyökkäyksiin. On myös tiettyihin nettipankkeihin erikoistuneita haittaohjelmia: kun käyttäjä kirjautuu nettipankkiin, voi haittaohjelma tehdä käyttäjän huomaamatta suurehkon tilisiirron. Onko viisasta sallia sitä mahdollisuutta, että tulevaisuudessa näitä koneita käytetään myös nettiäänestämiseen? Käyttäjä huomaa lopulta haittaohjelman tekemän tilisiirron, koska tilin saldo pienenee, mutta haittaohjelman tekemää äänestystä ei sen sijaan samalla tavalla voi edes huomata.
-### "Kenelläkään ei ole intressiä murtautua äänestysjärjestelmään"
+### Väite: Kenelläkään ei ole intressiä murtautua äänestysjärjestelmään
Akatemiaprofessori Hannu Nurmi on sitä mieltä, että nettiäänestys olisi varmaan ihan turvallista (Helsingin Sanomat 31.1.2008). Helsingin Sanomien mukaan "hän muistuttaa, että intressi murtautua äänestysjärjestelmään on pienempi kuin murtautua esimerkiksi pankkijärjestelmään".
([Helsingin Sanomat 16.8.2008 kybersodankäynnistä](http://www.hs.fi/ulkomaat/artikkeli/Viro+ja+Puola+puolustavat+Georgiaa+ven%C3%A4l%C3%A4isi%C3%A4+verkkohy%C3%B6kk%C3%A4yksi%C3%A4+vastaan/1135238684787),
[Digitoday 19.8.2008](http://www.digitoday.fi/mielipide/2008/08/19/euroopan-tulivoimaisin-botnet/200821453/66)).
-### "Käytetäänhän ääntenlaskussa nykyäänkin apuna tietokoneita"
+### Väite: Käytetäänhän ääntenlaskussa nykyäänkin apuna tietokoneita
Ääntenlaskun apuna käytetään nykyäänkin luonnollisesti tietokoneita. Tuloksen huomaamaton manipuloiminen ei kuitenkaan onnistu, koska oikeusministeriö julkaisee laskennan perusteena käytetyt äänestysaluekohtaiset tulokset. Jos oikeusministeriön julkaisema äänestysalueen vaalitulos on väärä, huomaavat äänestysalueen ääntenlaskussa olleet tämän, mukaan lukien kilpailevien puolueiden asettamat valvojat. Puhtaasti sähköisessä äänestyksessä tätä varmistusta ei ole.
Nykyisessä järjestelmässä tarkastuslaskenta on myös helppo suorittaa.
-### "Tietokone ei tee virheitä"
+### Väite: Tietokone ei tee virheitä
Jotkut tuntuvat kuvittelevan, että tietokoneet ovat puolueettomia ja uskollisia työjuhtia, jotka laskevat äänestystuloksen aina oikein. Siksi syytä huoleen ei muka ole.
Samanlaisia tarinoita on satoja lisää, [Effinkin lausunnossa][31] on lisää viitteitä. Voi vain arvailla, kuinka usein ongelmia ei ole huomattu ja vaalin tulos on ollut virheellinen. Huomattavaa on myös, että ongelmat eivät ole yleensä koskeneet yhtäläisesti kaikkia ehdokkaita, vaan ne ovat lisänneet tai vähentäneet tietyn ehdokkaan äänimääriä.
-### "Suomalainen järjestelmä on täydellinen"
+### Väite: Suomalainen järjestelmä on täydellinen
-Suomalainen järjestelmä on kaikkea muuta kuin täydellinen. Tarkempia lisätietoja on kerrottu [lausunnossa raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52], sekä [Effin raportissa Suomen järjestelmästä][53] sekä sen [uudemmassa englanninkielisessä versio][60].
+Suomalainen järjestelmä on kaikkea muuta kuin täydellinen, kuten myös korkein hallinto-oikeus totesi hylätessään kunnallisvaalien tuloksen. Tarkempia lisätietoja on kerrottu [lausunnossa raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52], sekä [Effin raportissa Suomen järjestelmästä][53] sekä sen [uudemmassa englanninkielisessä versio][60].
Suomen järjestelmää suunniteltaessa "täydellisyys" nostettiin useasti esille.
> "- - äänestysjärjestelmä olisi täydellisesti suojattu tietomurroilta ja että uurnassa olevat tiedot eivät voisi hävitä eikä niitä voitaisi muuttaa."
-Oikeusministeriö puhuu "täydellisestä tietoturvasta" jo ennen, kuin järjestelmää edes oli tehty. Täydellistä tietoturvaa ei ikävä kyllä ole käytännössä mahdollista saavuttaa, jos järjestelmää pitäisi pystyä käyttämäänkin. Tämä osoittaa osaltaan, että tietotekniikan asiantuntijoita ei ole valmistelussa juuri kuultu.
+Oikeusministeriö puhui "täydellisestä tietoturvasta" jo ennen, kuin järjestelmää edes oli tehty. Täydellistä tietoturvaa ei ikävä kyllä ole käytännössä mahdollista saavuttaa, jos järjestelmää pitäisi pystyä käyttämäänkin. Tämä osoittaa osaltaan, että tietotekniikan asiantuntijoita ei ole valmistelussa juuri kuultu.
Toisaalta ylläpitohenkilökunnalla olisi mahdollisuus korjata virheitä (täydellisen tietoturvallisessa järjestelmässä ei tosin saisi olla ainakaan äänimääriin tai äänestyksen luottamuksellisuuteen vaikuttavia virheitä):
Effi kommentoi tätäkin [lausunnossaan][31] (s. 3), mutta ministeriössä ei asiaa joko haluttu tai kyetty ymmärtämään.
-### "Äänestyslaitteiden lähdekoodin pitäisi olla avointa"
+### Väite: Äänestyslaitteiden lähdekoodin pitäisi olla avointa
Jos täysin sähköiseen äänestykseen siirrytään, tulee äänestyslaitteiden lähdekoodin olla kaikkien vapaasti tutkittavissa. Tämä ei kuitenkaan ratkaise sitä, että äänestäjän on edelleen käytännössä mahdotonta todeta, että hänen käyttämänsä äänestyslaite käyttää nimenomaan julkaistua lähdekoodia eikä muutettua koodia, tai että äänestysjärjestelmän kaikki muut komponentit toimivat kuten pitäisi.
Auditoinnissa on myös sellainen ongelma, että siinä luottamus järjestelmään siirtyy luottamukseksi auditoijia kohtaan. Koska kaikki ihmiset eivät osaa, ehdi ja pysty auditoimaan ohjelmakoodia, heidän tulee luottaa erityisasiantuntijoihin, joiden määrä on huomattavan pieni. Perinteisessä paperiäänestyksessä luottamus hoidetaan hajauttamalla laskenta ja käyttämällä kilpailevien puolueiden edustajia, joiden ei tarvitse ymmärtää mitään tekniikasta.
-### "Sähköinen äänestysmenetelmä X olisi hyvä"
+### Väite: Sähköinen äänestysmenetelmä X olisi hyvä
Sähköinen äänestysjärjestelmä voidaan toteuttaa useilla tavoilla. Kehittyneimmät ehdotetut
järjestelmät käyttävät edistyneitä kryptografisia menetelmiä, joilla pyritään takaamaan äänestyksen luotettavuus ja anonymiteetti.
-Usein selitetään, kuinka sähköinen äänestys *voitaisiin* toteuttaa turvallisesti ja luotettavasti edellä kuvatun kaltaisilla menetelmillä. Suomeen puuhattava järjestelmä ei ole tällainen, joten oikeusministeriön
+Usein selitetään, kuinka sähköinen äänestys *voitaisiin* toteuttaa turvallisesti ja luotettavasti edellä kuvatun kaltaisilla menetelmillä. Suomeen puuhattava järjestelmä ei ollut tällainen, joten oikeusministeriön
hankkeen osalta tällaiset spekulaatiot ovat irrelevantteja. (Suomen järjestelmä toki käyttää sisäisesti kryptografiaa, mutta se ei toteuta esimerkiksi äänen oikein laskennan varmentamista näillä kehittyneemmillä menetelmillä.)
Ikävä kyllä kehittyneimmät järjestelmät ja menetelmät ovat usein niin monimutkaisia, että tavallinen äänestäjä - mukaanlukien suurin osa vaalitietojärjestelmästä vastaavista viranomaisista - ei ymmärtäisi niiden toimintaperiaatteita. Mitä monimutkaisempi järjestelmä tai menetelmä on, sitä enemmän vikaantumismahdollisuuksia se myös sisältää.
Tärkeä kysymys on myös, että miksi pitäisi siirtyä monimutkaiseen sähköiseen äänestysjärjestelmään, kun nykyinen paperijärjestelmäkin toimii hyvin? Tarjoaisiko monimutkainen menettely jotain sellaista lisäarvoa, jota ei saavutettaisi esimerkiksi yksinkertaisella paperivarmistuksen käytöllä?
-### "Yritetään sähköäänestystä ja otetaan käyttöön, jos se toimii hyvin"
+### Väite: Yritetään sähköäänestystä ja otetaan käyttöön, jos se toimii hyvin
Joidenkin mielestä sähköistä äänestystä voi hyvin kokeilla rajoitetusti. Sähköäänestys voitaisiin ottaa laajempaan käyttöön, jos kokemukset olisivat hyviä.
-Sähköisen äänestyksen kokeilussa havaitaan vain tietyntyyppiset puutteet (esim. äänestyslaite jumiutuu), kun vakavampia ovat ne puutteet, joita <em>ei</em> huomata. Täyssähköisessä äänestyksessä, jollaista Suomeen ollaan puuhaamassa, ei esimerkiksi voida mitenkään tietää, onko äänet laskettu oikein (pitää vain luottaa kokeiltavaan äänestysjärjestelmään, koska järjestelmästä riippumatonta tarkastuslaskentaa ei voida tehdä).
+Sähköisen äänestyksen kokeilussa havaitaan vain tietyntyyppiset puutteet (esim. äänestyslaite jumiutuu, ääniä katoaa), kun vakavampia ovat ne puutteet, joita <em>ei</em> huomata. Täyssähköisessä äänestyksessä, jollaista Suomeen oltiin puuhaamassa, ei esimerkiksi voida mitenkään tietää, onko äänet laskettu oikein, koska järjestelmästä riippumatonta tarkastuslaskentaa ei voida tehdä.
-Toisaalta jos kokeilu sujuu hyvin, se ei tarkoita, että järjestelmässä ei voisi olla sellaisia heikkouksia, joita kukaan vain ei kokeilun aikana viitsinyt hyödyntää. Kolmanneksi, tietotekniset järjestelmät vanhenevat nopeasti ja viimeistään parin vaalin jälkeen merkittävä osa äänestystekniikasta on luultavasti jo täysin uutta - tästä syystä vanhat kokeilut ja auditoinnit ovat muuttuneet merkittäviltä osiltaan merkityksettömiksi.
+Toisaalta jos kokeilu sujuu hyvin, se ei tarkoita, että järjestelmässä ei voisi olla sellaisia heikkouksia, joita kukaan vain ei kokeilun aikana viitsinyt hyödyntää. Kolmanneksi, tietotekniset järjestelmät vanhenevat nopeasti ja viimeistään parin vaalin jälkeen kokeilut ja auditoinnit ovat myös vanhentuneet.
-### "Sähköäänestyksen vastustaminen estää demokratian toteutumisen tai laajentumisen"
+### Väite: Sähköäänestyksen vastustaminen estää demokratian toteutumisen tai laajentumisen
Äänestysprosessin luotettavuus takaa demokratian jatkuvuuden. Äänestysjärjestelmän on oltava sellainen, että se on luotettava myös vaikeina aikoina, kun yhteiskuntajärjestys muuten horjuu. Siksi äänestysjärjestelmää, varsinkin kun kyse on keskeisistä valtiollisista vaaleista, tulee muokata vain hyvin harkiten.
Konservatiivisuus takaa tässä asiassa demokratian säilymisen eikä suinkaan heikennä sitä.
-### "Onko sähköinen äänestys aina huono juttu keskeisissä valtiollisissa vaaleissa?"
+### Onko sähköinen äänestys aina huono juttu keskeisissä valtiollisissa vaaleissa?
Kuten yllä kohdassa "tekniikan kehitystä ei saa estää" on kerrottu,
-nykyinen paperijärjestelmämme on toimiva,
+nykyinen paperijärjestelmämme on toimiva,
tehokas, edullinen ja
-ymmärrettävä vaihtoehto. Ei järkevää korvata nykyistä järjestelmää,
+ymmärrettävä vaihtoehto. Ei järkevää korvata nykyistä järjestelmää,
joka koostuu yhden numeron
kirjoittamisesta parin vuoden välein paperille, epäluotettavammalla ja mitä luultavammin kalliimmalla
sähköisellä järjestelmällä.
Sähköinen äänestys *voisi* olla perusteltu,
-jos äänestystapa olisi erilainen
+jos äänestystapa olisi erilainen
(esim. [STV](http://en.wikipedia.org/wiki/Single_transferable_vote))
tai jos äänestyksiä olisi samalla
useampia,
-jolloin käsin suoritettava ääntenlasku olisi hitaampaa ja virhealttiimpaa.
+jolloin käsin suoritettava ääntenlasku olisi hitaampaa ja virhealttiimpaa.
Tällöinkin tulisi miettiä tarkkaan, kuinka tärkeää on saada
tulokset nopeasti äänestyksen päättymisen jälkeen verrattuna sähköisen järjestelmän
implementoinnista aiheutuviin tietoturvauhkiin ja kustannuksiin. Parempi vaihtoehto
-voisi olla esimerkiksi käyttää optisia lukijoita vaalilippujen laskentaan - samalla
-tavalla kuin Veikkauksen päätteillä luetaan lottokupongit.
+voisi olla esimerkiksi käyttää optisia lukijoita vaalilippujen laskentaan.
Edellytyksenä turvalliselle sähköiselle äänestykselle olisi käytännössä
-joka tapauksessa paperivarmistus, jossa äänestyspääte tulostaa äänestäjälle tositteen, jossa on äänestetyn ehdokkaan numero. Äänestäjä voi tarkastaa tositteen ja laittaa sen uurnaan. Näin voidaan aina suorittaa sähköisestä järjestelmästä riippumaton ymmärrettävä tarkistuslaskenta.
+joka tapauksessa paperivarmistus, jossa äänestyspääte tulostaa äänestäjälle tositteen, jossa on äänestetyn ehdokkaannumero. Äänestäjä voi tarkastaa tositteen ja laittaa sen uurnaan. Näin voidaan aina suorittaa sähköisestäjärjestelmästä riippumaton ymmärrettävä tarkistuslaskenta.
Maailmalta löytyy useita esimerkkejä siitä, että täyssähköiseen järjestelmään ei
luoteta, ks. kohtaa "Väite: Sähköistyminen on tulevaisuutta" aikaisemmin tässä dokumentissa.
äänestämisen riskit ja sen lisäksi vielä useita muita riskejä, jotka äänestyspaikalla voitaisiin eliminoida.
Nettiäänestystä ei siis voida ottaa käyttöön keskeisissä valtiollisissa vaaleissa,
ellei täyssähköiseen äänestyspaikalla ilman paperivarmistusta
-tapahtuvaan äänestykseen voida täysin luottaa.
+tapahtuvaan äänestykseen voida täysin luottaa.
### Lähteistä