U bliz-digitalizaciji koju je pandemija COVID-19 uzrokovala vidjeli smo da je moguće digitalizirati brojne državne servise. Ne samo da ih možemo, nego smo to učinili u rekordnom roku. Naravno da nije sve obavljeno bez poteškoća, no ovo je jedan od rijetkih iznimno pozitivnih aspekata trenutne pandemije.
Uz sav govor o digitalizaciji odmah se povlači i pitanje digitalizacije demokratskog glasovanja. Ovaj post je nastao kao odgovor na zdravi dijalog koji je nastao u grupi Glasa poduzetnika s ciljem da izložim neke nedostatke ovog pristupa. Cilj mi nije nametnuti moje promišljanje, nego pružiti sve bitne informacije da možete donijeti svoje.
Ja sam razvojni inženjer raznih informacijskih sustava s iskustvom u blockchain tehnologiji i standardnim centraliziranim informacijskim sustavima. Prije svega sam ogromni zagovornik digitalizacije i de-birokratizacije cijelog sustava i ovaj tekst pišem upravo zbog straha koji imam prema e-glasanju koji je nastao iz godina iskustva u ICT sektoru.
Ovaj članak bit će odijeljen na dio za ljude s iskustvom u ICT sektoru i dubokim tehničkim predznanjem (ako vas zanima ovaj dio, on se nalazi na kraju teksta), i one koji svoj doprinos daju jednom od brojnih drugih sektora. S ciljem da svi izađu s nekim novim informacijama.
Temelji demokratskog glasanja
Da bi glasanje bilo sigurno potrebno je zadovoljiti sljedeće uvjete: [izvor]
- Glasanje (ispunjavanje listića) mora biti obavljeno u privatnosti bez da itko nakon ubacivanja može znati za koga ste glasali osim vas samih (anonimnost)
- Ubacivanje/slanje glasova mora biti obavljeno u oku javnosti kako bi se osigurala transparentnost
- Brojanje glasova mora biti obavljeno u oku javnosti kako bi se spriječilo utjecanje pojedine strane
- Transport (lanac posjedovanja) glasova mora biti obavljen od strane odgovornih osoba, pod video nadzorom i moramo moći provjeriti ako su bili manipulirani u tom procesu
Ovo je samo jedan skraćeni isječak iznimno zahtjevnog procesa osiguranja sigurnosti izbora. Slobodno u glavi prođite kroz naš izborni proces i provjerite ako su navedene točke barem u idealnom scenariju zadovoljene.
Problematika e-glasanja
Temeljni problem e-glasanja je kako istovremeno osigurati transparentnost i anonimnost. Odnosno kako osigurati da svaki glasač ne može nikome pokazati za koga je glasao nakon samih izbora, a istovremeno osigurati da nitko nije manipulirao glasovima.
Alternativa #1 – Glasovi su javni
Nakon izbora, pokraj imena i OIB-a svake osobe nalazi se stranka za koju su glasali. Tako smo osigurali da svaka osoba može provjeriti za koga je njihov glas bio zapisan, i možemo osigurati da zbroj glasova odgovara objavljenim rezultatima. No da bi to postigli moramo odbaciti anonimnost.
Problematični scenarij #1: Vaš šef/poslovni partner kaže da ako ne glasate za ACME stranku dobijete otkaz/prekid suradnje. Ovo je sada u potpunosti omogućeno.
Problematični scenarij #2: Želite dobiti kredit/poticaj od neke državne službe. Oni vas odbace ili daju prioritet drugoj firmi koja je glasala za vladajuću stranku i tako opet favoriziraju svoje glasače.
Odbacivanje anonimnosti kreira ogromne mogućnosti za korupciju i približava nas diktaturi gdje status-quo postaje glasati za vladajuću stranku kako bi dobili sve pogodnosti i/ili ne bili kažnjavani za davanje glasa nekom drugom.
“Ako se desi ovakva diskriminacija, to će se riješiti sudskim putem.”
Moramo prvo moći dokazati da se ona desila, što je iznimno teško učiniti u većini slučajeva. A čak i da imamo dokaze, pouzdajemo li se dovoljno u naš pravni sustav da problem riješi brzo i efikasno?
Protuargument
Ovaj pristup je i ranjiv na manipulaciju glasačkog tjela. Što sprječava jednu vlast da stvori 10 000 nepostojećih ljudi koji glasaju za njihovu stranku. Kako ja mogu dokazati da ta osoba stvarno i ne postoji?
Alternativa #2 – Vjerujemo državi
Država kreira sustav preko kojeg obavimo glasanje i na kraju se pojave rezultati i tako odabiremo sljedeću vladavinu. S obzirom na to da država ima potpunu kontrolu nad sustavom glasanja, oni mogu prikazati rezultate po želji.
Ne postoji način da ja provjerim ako je moj glas stvarno pribrojan mom odabiru bez da znam baš svaku osobu koja je sa mnom glasala za istu opciju. Jedino tako možemo dokazati da su glasovi točno pribrojani, a to nas vodi natrag na Alternativu #1.
Praktični scenarij #1: Par visokopozicioniranih osoba odluči osvojiti sljedeće izbore. Dovoljno je da zaprijeti jednoj osobi koja radi na održavanju/razvoju glasačkog sustava i imaju osiguranu pobjedu na izborima. Netko taj sustav mora održavati i kreirati, i ta osoba mora imati potpunu kontrolu nad podacima. Od diktature nas dijeli jedan prestrašeni programer/sistemski administrator.
Praktični scenarij #2: S obzirom na to da NIJEDAN informacijski sustav nije 100% siguran, dovoljan je jedan uspješan napadač koji dobije pristup tom sustavu da modificira rezultate izbora i pritom dobije apsolutnu vlast.
“Ja vjerujem svojoj državi da će ona održavati demokratski proces glasanja.”
Sustav glasanja koji ovisi o dobroj volji vlasti se dijeli od diktature samo u toj dobroj volji. Ako vlast odluči preuzeti izbore, to može učiniti u bilo kojem trenutku.
No, zamislimo na trenutak da je vlast iznimno moralna i da im ova misao nikad ne bi došla na pamet. S obzirom na to da bi ovakav sustav morao biti centraliziran dolazimo do drugih sigurnosnih problema. Podaci o glasovima se nalaze na jednom centralnom računalu. Ukoliko osoba koja već ima pristup tom računalu (jer ga održava na bilo koji način) ili taj pristup stekne maliciozno, ta osoba ima potpunu kontrolu nad izborima a pritom i praktičnu diktaturu.
Protuargument
Čak i ako imamo potpuno povjerenje u našu vlast, zbog temeljne potrebe za centralizacijom sustava dovoljna je jedna korumpirana ili inkompetentna osoba da treća strana može preuzeti kontrolu nad izborima.
Alternativa #3 – Blockchain
Blockchain je iznimno zanimljiva tehnologija koja je donijela ogroman napredak u kreiranju decentraliziranih sustava povjerenja. Problem je da se zbog njezinog mitskog statusa i niskog poznavanja detalja te tehnologije ona smatra kao neko magično rješenje za sve probleme.
No zanimljivo je to da ona ne rješava nijedan od dva temeljna problema elektronskog glasovanja.
Kako bi osigurali transparentnost sustav za glasanje ne smije se izvršavati samo na državnim serverima. Time gubimo cijelu poantu decentralizacije sustava, jer je on opet u cjelovitom vlasništvu države (isto kao #2). Štoviše, većina servera mora biti u privatnom vlasništvu kako bi osigurali da država ne može manipulirati glasanjem. No s obzirom na to da se za pokretanje takvog servera mora imati poštena razina informatičkog znanja, bio bi iznenađen da svega stotinjak entuzijasta to i učini. S tako malom mrežom od par stotina uređaja trivijalno je napraviti preuzimanje mreže. To znači da osoba koja potroši par desetaka tisuća kuna može odlučiti o rezultatu izbora.
Ovaj sustav čak ni nije anoniman kao što se to često tvrdi. Tehnički, on je anoniman, no problem nastaje u tome da svaki glasač može naknadno dokazati za koga je glasao što postavlja iste probleme ucjene kao i #1. S obzirom na to da svaka osoba MOŽE dokazati za koga je glasala, netko vas može tražiti da im dokažete kako ne bi recimo dobili otkaz.
Praktični scenarij #1: Šef vam kaže da morate dokazati da ste glasali za ACME stranku da bi zadržali posao. Ne možete reći da niste stigli na izbore, da ste zaboravili slikati listić ili pokazat tuđu sliku jer u samim temeljima sustava mora postojati ova mogućnost.
Praktični scenarij #2: Stranka sa velikim budžetom odluči unajmiti par tisuća servera koji vrte maliciozni glasački software i tako dobije potpunu kontrolu nad izborima.
Praktični scenarij #3: Maliciozna skupina kreira računalni virus koji računalo pretvara u server koji vrti maliciozni glasački software i tako iznimno jefino preuzme potpunu kontrolu nad izborima.
“Prepustimo to informatičkoj struci, oni će pronaći rješenje za te probleme.”
Dan kada se to desi to će biti ogromna vijest u znanstvenoj zajednici s obzirom da je ovo iznimno kompleksan i poznat problem na kojem se aktivno radi. Ako vodeći svjetski znanstvenici još nisu pronašli idealno rješenje, vjerojatno neće ni državna firma.
Protuargument
Alternativa #4: Tradicionalno fizičko glasanje
Nedostatci fizičkog glasanja su nam svima jasni. Njihov temelj je u tome da moramo biti fizički prisutni što je često teško iz X razloga. No činjenica je da svaki od temelja glasanja je dobro zaštićen.
“Ali, ali, vidi ovaj članak kako su XXXX godine varali ovdje i ovdje…“
Ovaj oblik glasanja je daleko od savršenog, imali smo mnogih uspješnih i neuspješnih utjecanja na izbore i imat ćemo ih u budućnosti. No zbog decentralizacije ovog sustava takvi napadi su iznimno teški i skupi. Da bi utjecali na izbore morate utjecati na ljude na 6545 [izvor] glasačkih mjesta na kojima rade ljudi različitih stranačkih opredjeljenja. Umjesto totalitarne kontrole koju postignemo s par tisuća kuna, ili prijetnjom jednoj osobi sada moramo utjecati na stotine tisuća ljudi. Od kojih se većina neće slagati s tim što radimo ne samo po moralnoj liniji nego i po stranačkoj. I zato su takvi napadi teški/skupi za izvesti na bilo kojoj velikoj razini.
Uvijek će biti nekih manjih postotaka manipulacije, no potpuna kontrola izbora je gotovo nemoguća.
Zaključak
Evo, ovo su neka temeljna rješenja na koja je moguće izvesti glasanje. Sami procijenite koliko su neke opasnosti vjerojatne. No sustav koji se nije u mogućnosti zaštiti od njih je sustav u koji se ne može vjerovati. Dok ne uspijemo pronaći rješenje koje će osigurati istu razinu zaštite, ne treba žuriti prema elektronskom glasanju u zamjenu za žrtvovanje demokracije.
P.S. I ja sam čovjek, pa sam tako i ja mogao pogriješiti. Ukoliko mislite da neki dio nije točan i imate konstruktivne argumente za to, molim vas da ih ostavite u komentarima kako bi ih dodatno raspravili i kako bi dopisao iste u ovaj tekst. Hvala unaprijed!
Tehnički kompleksniji argumenti
U ovom djelu ću probati obraditi i neke češće argumente od osoba u IT sektoru koji imaju nešto iskustva u gradnji ovakvih sustava.
“Ja/moja firma možemo napraviti 100% siguran sustav koji nitko ne bi mogao hakirat i glasalo bi se preko mobilne aplikacije.”
Napravite whitepaper koji opisuje cijeli proces, pošaljite ga na peer-review i ukoliko ga prođe i zadovolji uvjete ja ću volontirati svoje sate da ga implementiramo.
“Kvalitetan UI/UX glasčkog softwarea bi omogućio da svaki glasač drži svoj blockchain node i tako smanji mogućnost 51% napada.”
Tehnički je ovaj argument potpunosti u pravu, no ajmo malo logički promisliti. Da bi node bio potpuno funkcionalan potrebno ga je držati upaljenog tokom cijelog procesa izbora, povezanog na kvalitetnu mrežu i sa određenim portovima odblokiranim na mreži i firewallu. Prvo probajmo vizualizirati broj ljudi u široj javnosti koji bi znali to sve učiniti. Tada probajmo vizualizirati broj koje bi bilo dovoljno briga da se uopće potrude to učiniti. Jeste li sigurni da je taj broj veći nego broj nodeova koji možemo podići na AWS-u da se vrte na 24 sata za relativno mali iznos? Ja nisam.
A tu postoji i onaj cijeli problem manjka anonimosti.
“Estonija je uvela e-glasanje i tamo to radi superiška.”
Jesu, i oni su to učinili tehnikom broj #2 što je potaknulo mnoge kritike na cijeli proces glasovanja.
Sve i jedan nedostatak digitalnog glasanja se moze primijeniti i na fizickom. Plus još ne možeš provjeriti da li je tvoj glas ispravno pobrojen.
Uvijek postoje zlobne osobe, u fizickom glasovanju je dovoljno da jedna zlobna osoba na N točaka u čitavom procesu poništi listić protukandidata.
Rješenje je da na svakog člana povjerenstva nakacimo kameru i tek onda bi valjda bili 99% sigurni da je sve ok.
Ironija je što svi ti fizički glasovi se upisuju u informacijski sustav u kojem su opet mogući svi ti problemi koje navodiš.
Mislim da je pravo vrijeme da se uvede e-glasovanje. Ne postoji niti jedan tehnološki napredak koji će moći spriječiti zle ljude da utječu na rezultate izbora.
Nisam puno razmišljao o implementaciji, ali bi ovako na brzinu: svaki građanin bi dobio token kojeg može iskoristiti. Distribucija tokena je random. Ti ces uvijek moci provjeriti gdje se nalazi tvoj token. Uz token naravno ide i privatni/javni kljuc tako da token moze iskoristiti osoba koja ima kljuceve.
I išao bi korak dalje, da “izboru” budu stalno otvoreni, da mogu mijenjati svoj glas kad god. Ovo bi bio feedback onima na vlasti, a izbori bi bili snapshot trenutnog stanja.
Osim toga, software bi stavio na github pa da svi vide kako funkcionira 😀
ostavite se surfanja po internetu i uhvatite se rada na pi-u (to vam je posao i za vam mi dajemo placu)