Ved Institutt for informatikk leder jeg en gruppe som arbeider med sikkerhet og personvern i IT-systemer. Etter at jeg ble medlem av faglig referansegruppe til prosjektet E-valg 2011, organisert av Kommunal- og regionaldepartementet, har medlemmer i min gruppe studert elektroniske valgsystemer.
Da vi skulle stemme ved rektorvalget i 2009, fant vi indikasjoner på at e-valgsystemet til UiB inneholdt svakheter. Jeg gjennomførte derfor en praktisk test av sikkerheten til e-valgsystemet sammen med to av mine studenter. Vi fant flere alvorlige svakheter ved systemet som tilsa at sikkerheten ikke var god nok. Vi har i et senere møte med IT-avdelingen ved UiB redegjort for disse svakhetene.
Jeg har til nå ikke kommentert resultatene av vår sikkerhetstest, men uttalelser til media fra lederen og sekretæren til valgstyret ved UiB (se bl.a. På Høyden 03.04.09 og BT 08.05.09) gjør det nødvendig å reagere. I det følgende vil jeg forklare hvorfor sikkerheten i e-valgsystemet ikke var god nok under rektorvalget i 2009 og hvorfor sekretærens manuelle overvåkingen av valget ikke kunne avsløre alle angrep på systemet.
Valgstyret mener at det er viktig at alle respekterer valget. Jeg er ikke uenig i dette synspunktet og ser at vår test av valgsystemet har skapt problemer for styret. Det er imidlertid viktig at også valgstyret viser respekt for velgerne ved å tilby et sikkert e-valgsystem. Dessverre viste vår test av systemet at det var mulig for uærlige velgere å sende inn så mange stemmer de måtte ønske uten å beherske noen “hacking”-metoder.
Vi fant at følgende enkle fremgangsmåte fungerte i praksis. En velger benyttet en nettside for å avgi sin stemme ved rektorvalget. En uærlig velger som ønsket å avgi flere stemmer kunne åpne flere kopier av denne valgsiden i sin nettleser. Deretter kunne velgeren benytte sidene etter tur for å sende inn flere stemmer. Alle stemmene ble godtatt av e-valgsystemet. Mine to studenter verifiserte denne metoden ved å sende inn til sammen 4 blanke stemmer.
Ifølge valgstyret var det bare to andre studenter (foruten mine studenter) som sendte inn flere stemmer. Disse studentene prøvde ikke å jukse, men sendte inn to stemmer hver ved et uhell!
På tross av at det faktisk var trivielt for en uærlig velger å sende inn flere stemmer, så hevder lederen og sekretæren til valgstyret at sikkerheten var god fordi tre personer ved UiB kunne overvåke valget under selve avviklingen (På Høyden 08.05.09). Valgstyret hevder at dette var nødvendig for å ta juksemakere og “hackere” som oss. Den eneste grunnen til at mine studenter ble “avslørt” var imidlertid at de også la inn stemmer på to fiktive kandidater. Det var først når disse navnene dukket opp blant valgresultatene at sekretæren til valgstyret oppdaget at noe var galt med valget. Det sier seg selv at personer som ønsker å jukse slik at en bestemt kandidat vinner valget ikke legger inn fiktive kandidater. Dersom mine studenter ikke hadde alarmert sekretæren for valgstyret ved å legge inn to fiktive kandidater, er det derfor langt fra klart at overvåkingen ville ha avslørt de to studentene som stemte dobbelt ved et uhell.
Vår test av e-valgsystemet viste også at personer med den nødvendige IT-kompetanse kunne utnytte andre alvorlige svakheter i systemet uten at dette nødvendigvis ville bli avslørt. E-valgsystemet var bl.a. sårbart for såkalt ”cross-site request forgery”. Denne svakheten gjorde det mulig å lure velgere til å stemme på en bestemt kandidat uten at de selv ble klar over hva som foregikk. Den manuelle overvåkingen vil ikke avsløre et slikt angrep fordi stemmene ser ut til å komme fra legitime velgere. Vi har ikke lurt noen velgere, men testet at angrepet fungerte i praksis ved å sende inn en blank stemme.
Valgstyret ved UiB mangler kompetanse på IT-sikkerhet og har derfor undervurdert utfordringene rundt sikkerhet ved elektroniske valg. Styret bør ikke forsvare tvilsom overvåking av valget, men heller sørge for at ansatte og studenter ved UiB får et sikkert e-valgsystem som også ivaretar personvernet. Det er bra at Ernst & Young i første omgang gjennomfører en ekstern gransking av det nåværende e-valgsystemet. I neste omgang bør valgstyret sørge for at det gjennomføres en grundig analyse av sikkerheten og personvernet til et nytt e-valgsystem før det settes i drift.
Innlegget har også stått på trykk i Bergens Tidende