Wybory przez internet
Przez wszystkie lata pracy w informatyce (ponad 45) zawsze były jakieś problemy wydające się nie do rozwiązania i albo zostały informatycznie rozwiązane albo stały się mało istotne.
Dlatego też, z dużym zdziwieniem czytam apele specjalistów informatyków, że nie jest możliwe zaprojektowanie informatycznego systemu wyborczego, który spełniałby wszystkie oczekiwane warunki – tajności, powszechności, niezależności, bezpośredniości, równości praw kandydatów, weryfikowalności i uczciwości procesu wyborczego.
Jeden z takich apeli podważających możliwość istnienia takiego sytemu powstał po analizie wyborów przez internet w Estonii. Szanuję stwierdzenia specjalistów, którzy zapewne zamierzali zbudować system wyborczy, ale ich doświadczenia i obserwacja działania systemu w Estonii, stwierdzili że obecnie ani w najbliższej przyszłości nie da się zbudować takiego niezwodnego systemu.
Ale jak mam się z tym zgodzić to postulowałbym szybko pożegnać się z:
- Systemami bankowymi, gdyż są równie mało bezpieczne, a stwierdzenie że się tam da odwrócić operacje w przypadku wielu tysięcy operacji na konta w bankach na przysłowiowych Kajmanach może być niewykonalne.
- Systemami obsługi giełdy NYSE, NASDAQ, itp. gdzie o szybkości dokonywania transakcji decyduje długość kabla pomiędzy serwerem giełdowym a komputerem maklera, odwracanie błędnych transakcji też może być kłopotliwe.
- Z modułami fiskalnymi w kasach, bo na miejscu US bym już im nie wierzył, że ktoś je podmieni na swoje z innymi funkcjami.
- Samolotami z komputerowymi systemami sterowania (737 już jest na ziemi), gdyż też nie są pewne, że je ktoś nie przejmie i coś tam spowoduje.
- Z wieloma innymi systemami.
Dlaczego się z nimi nie żegnamy? Bo zakładamy pewien stopień ryzyka, że awarie lub źli ludzie mogą nam jednak zrobić kłopot, ale sobie z tym kłopotem poradzimy.
Możemy też sobie poradzić z kłopotem problemu przypadkowego lub umyślnego błędu w systemie wyborczym oraz wpływu innych osób na jego działanie. Twierdzę, że istnieją algorytmy, aby wybory przez internet spełniały wszystkie wymagania demokratycznych wyborów. Być może jeszcze nie został jeszcze w pełni opracowany taki algorytm, ale to jest tylko kwestia czasu, środków i determinacji zamawiającego.
Spróbujmy zaprezentować założenia takiego algorytmu informatycznego systemu wyborczego:
- Informatyczny system wyborczy, nawet w najbardziej złożonych wyborach samorządowych, jest funkcjonalnie bardzo prosty, nawet jak ma obsługiwać około 30 mln. wyborców, dotychczas głosujących w ok. 30 tys. punktach wyborczych. Przy założeniu że wyborcy, komitety wyborcze są uczciwe i nikt zewnątrz nie zamierza przeszkadzać czy wpływać na pracę tego systemu, to opracowanie założeń, struktury funkcjonalnej i jego implementacja nie powinna przekraczać możliwości zespołu studentów z 3-4 roku.
- Niestety takich „komfortowych warunków” nie należy zakładać i trzeba się przygotować na wszelkie możliwe utrudnienia i zagrożenia. Do takiego systemu należy włączyć wszystkie możliwe mechanizmy bezpieczeństwa teleinformatycznego, ochrony danych osobowych i zabezpieczenia przed nieuprawnionym dostępem.
- Trzeba też zweryfikować uczciwość i profesjonalizm wszystkich osób z zespołu projektowego, wykonawczego oraz audytowego i każdego kto może mieć z jakichś powodów dostęp do systemu, mogąc coś w nim zmienić. Należy też rozciągnąć ochronę osobistą nad tymi osobami w okresie przygotowywania systemu oraz podczas samych wyborów.
- Dla zwiększenia niezawodności i pewności poprawności działania tego systemu warto zdublować ciąg przetwarzania i zliczania głosów znajdujący się pomiędzy modułem wprowadzania głosu, a stanowiskiem odbioru wyników głosowania w PKW. Rozbieżność wyników powinna być sygnałem błędów w jednym z równolegle działających systemów (lub prób ingerencji). Dla rozstrzygnięcia, który wynik jest poprawny warto dodać trzeci ciąg zliczania. Oczywiście przed samym rzeczywistym głosowaniem należy wykonać istotną liczbę testów.
- Krytycznym dla systemu wyborczego jest poprawne zidentyfikowanie wyborcy przez moduł wprowadzania głosu. Istnieje już wiele metod identyfikacji osób, akceptowanych przez banki, operatorów i urzędy. Praktycznie mogą być wykorzystane każde z nich z dodatkowymi funkcjami, wszak system ten może mieć automatyczny dostęp do Pesela. Każda próba oszustwa powinna być odnotowana i następnie przeanalizowana przez odpowiednie służby.
- Tutaj mam jeszcze pomysł głosowania przez telefon poprzez połączenie ze sztucznie inteligentnym automatem (takim Maksiem z Orange), który potrafi zrozumieć słownie wypowiadane cyfry oraz teksty, przetworzyć je oraz zweryfikować ich poprawność w systemie, a następnie odnotować oddany głos, uzyskując potwierdzenie jego poprawności. Cała rozmowa odbywa się bez udziału osób trzecich. Jest to dobra opcja dla wielu mających kłopot z użytkowaniem internetu. Aż dziw, że moja propozycja jest tak innowacyjna.
- A dla wyborców słabiej zorientowanych w nowych technikach, można utworzyć wyborcze punkty pomocy, gdzie po wykonaniu wspólnie z obsługą czynności wstępnych pozostawia się obywatela z urządzeniem (typu e-czytnik) podobnym do karty wyborczej. Fakt, że w tradycyjnym głosowaniu jest też wielu, którzy nie bardzo rozumieją co mają zrobić z tą kartą/płachtą/książeczką do głosowania – ale na to się już nic nie poradzi.
- Jednym z wymogów na informatyczny system wyborcy jest prawo do sprawdzenia, czy „mój” głos został prawidłowo doliczony do puli wskazanego kandydata. W tradycyjnym systemie wyborczym takie prawo jest praktycznie niemożliwe do zrealizowania. W systemie elektronicznym jest to możliwe – np. poprzez uzyskanie kodu klucza po oddaniu głosu, którym następnie można sprawdzić, czy głos został właściwie doliczony. Będzie to jednak tylko odpowiedź systemu, tego samego który wcześniej przetwarzał ten głos. Wydaje się, że warto po prostu mieć do niego zaufanie.
- W systemie można zastosować algorytmy sztucznej inteligencji, które miałyby analizować przebieg procesu głosowania oraz zliczania głosów. Mogłyby one wyszukiwać sytuacje „dziwne, podejrzane” – np. masowe wprowadzanie identycznych głosów z jednej lokalizacji, próby powtórnego głosowania przez te same osoby, itp. Takie przypadki mogą być zapisywane i potem poddane poza systemem weryfikacji przez odpowiednie zespoły. Ewentualnie mogą stanowić materiał do protestów wyborczych.
- Podstawowym wymaganiem na taki system jest zachowanie tajności wyborów. Nie jest to problem, gdy głos po oddaniu zostaje natychmiast zaszyfrowany, łącznie z identyfikatorem wyborcy. Zostaje on wpisany do bazy danych, którzy już zagłosowali dla sprawdzenia potem czy ktoś nie zamierza głosować powtórnie. Po zakończeniu głosowania następuje faza zliczania głosów, po czym wyniki są przedstawiane PKW. W całym tym procesie nikt nie ma możliwości „zajrzeć” do danych systemu, z wyjątkiem osób, chcących sprawdzić stan jej głosu wg. otrzymanego klucza. Po zakończeniu wyborów i uzyskaniu przez PKW wyników głosowania oraz po przeanalizowaniu raportów systemu, Przewodniczący PKW, mając specjalny klucz dostępu do systemu inicjuje skopiowanie wszystkich danych systemu na dysk z drugą kopią. Dyski te są następnie plombowane i składane w skarbcu. A system po tej operacji zeruje te wszystkie dane we wszystkich swoich zasobach.
Wszystkie wymagania na informatyczny system wyborczy wydają się być spełnione. Pozostaje go tylko wykonać, wielokrotnie przetestować i zacząć używać.