Digivaalit vaarantavat kansallisen turvallisuuden
Väitellessäni kesällä 2011 siitä, miten Internet arkkitehtuuria voitaisiin kehittää turvallisempaan ja informaatiokeskeisempään suuntaan päätin, että seuraavaksi haluan tutkia jotain millä on konkreettisempaa merkitystä suomalaisen yhteiskunnan kehittämiselle. Aikani pohdittua päädyin tekemään työtä kyberturvallisuuden parissa.
Minun kiinnostukseni heräsi, kun huomasin, että digitalisaatio ja tietoverkot olivat levinneet puhtaan informaation käsittelystä teollisiin järjestelmiin, automaatiojärjestelmiin ja muihin yhteiskuntaamme pyörittäviin järjestelmiin. Tutkin 2010-luvun ensimmäisinä vuosina muun muassa sitä, miten voimme selvittää yhteiskuntamme haavoittuvuuden verkkohyökkäyksiä kohtaan ja miten turvallisuutta voidaan parantaa teknologian ja lainsäädännön keinoin.
Nämä teemat nousivat taas mieleeni, kun näin pari päivää sitten YLEn uutisen, jossa kerrottiin hallituksen selvittävän taas digitaalista äänestystä.
Vaaleilla valitut edustajat ovat kansallisen turvallisuuden ensimmäinen puolustuslinja
Rehelliset ja avoimet vaalit ovat välttämätön osa demokraattista yhteiskuntaa. Vaaleilla valitut päättäjät voivat esimerkiksi lakkauttaa Suomen valtion, liittää Suomen Venäjään tai julistaa sodan muuta maailmaa vastaan – tai vain päättää olla tekemättä mitään tilanteessa, jossa venäläiset vihreät miehet ilmestyvät destabiloimaan Suomen valtiota.
Suomalaisen yhteiskunnan säilyminen riippuu siitä, että meillä on vapaat vaalit, joita suurvaltakaan ei voi väärentää. Vaalijärjestelmää pitää siis arvioida seuraavaa uhkaa vastaan: kykeneekö miljardibudjetilla varustettu vieraan suurvallan tiedustelupalvelu muuttamaan merkittävästi Suomessa järjestettyjen valtakunnallisten vaalien lopputulosta
Yksittäisiä ihmisiä on helppo manipuloida, mutta ihmisillä toimivaa vaalijärjestelmää ei
Yksittäistä ihmistä on yllättävän helppo manipuloida tekemään asioita, joita tämän ei pitäisi tehdä. Monissa asioissa, joiden turvallisuus on tärkeää, ihminen on se heikoin lenkki. Aiheesta kiinnostuneet voivat lukea vaikka Kevin Mitnickin tarinoita* siitä kuinka sosiaalisilla taidoilla päästään sisään jos jonkinlaisiin paikkoihin ja saadaan yksityistä tai salaista tietoa.
Ihmistä ei kuitenkaan yleensä saa tekemään mitä tahansa, vaan lähinnä asioita, jotka vaikuttavat tämän mielestä normaaleilta tai järkeviltä. Sosiaalisessa manipuloimisessa on kyse siitä, että saadaan haitallinen asia vaikuttamaan normaalilta ja järkevältä. (Lisäksi jokin joukko ihmisistä on lahjottavissa tai kiristettävissä.)
Sen sijaan on vaikeaa houkutella iso joukko ihmisiä toimimaan väärin juuri hyökkääjän haluamalla tavalla.
Esimerkiksi kelpaa vaikka ääntenlaskujärjestelmä. On käytännössä mahdotonta houkutella kaikki tai edes suurin osa suomalaisten vaalien ääntenlaskijoista laskemaan äänet väärin samalla tavoin. Nykyisten vaalien turvallisuus syntyy siitä, että ihmiset ovat itsenäisiä ja erilaisia toisistaan, eri puolueista tulevat ihmiset vahtivat toisiaan ja sama tekniikka käytettynä yhteen ihmiseen ei tuota tismalleen samaa lopputulosta kuin toiseen ihmiseen.
Todennäköisyyslaskentaa käyttäen asian voi havainnollistaa näin:
- Jos hyökkääjän tarvitsee vakuuttaa yksi ihminen toimimaan väärin ja todennäköisyys yhden ihmisen vakuuttamiseen on 20% ja tämä voi kokeilla kymmenentä eri henkilöä, on hyökkääjällä 90% mahdollisuus onnistua.
- Jos hyökkääjän tarvitsee vakuuttaa kaikki kymmenen ihmistä, on hyökkääjällä 0,00001% mahdollisuus onnistua.
Vaalivilppi isossa mittakaavassa on mahdotonta, koska se vaatisi samanaikaisesti satojen tai tuhansien eri puolueista tulevien ihmisten vakuuttamista väärentämään vaalitulokset juuri samalla tavalla.
Tietokoneiden ja ohjelmistojen manipuloiminen
Tietokoneessa pyörivän ohjelmiston manipuloiminen on vaikeampaa kuin ihmisen, jos ohjelmiston ja tietokoneen turvallisuuteen on panostettu. Mutta jos hyökkääjä onnistuu pääsemään järjestelmään käsiksi, hän voi laittaa järjestelmän tekemään käytännössä mitä tahansa.
Kun hyökkääjänä on suurvalta, tämä voi hankkia käyttöönsä tismalleen samanlaiset laitteet kuin hyökkäyksen kohteena on ja harjoitella hyökkäystä niin monta kertaa, että kaikki menee oikein. Näin Yhdysvallat menetteli hyökätessään vuosikausia kenenkään huomaamatta Stuxnetilla Iranin ydinohjelman kimppuun.
Edes äänestyslaitteiden määrä ei auta – oli sitten laitteina vaalipisteisiin sijoitettavat äänestystietokoneet tai kuluttajien omat tietokoneet tai kännykät. Kaikki äänestystietokoneet ovat samanlaisia ja niissä on sama ohjelmisto. Hyökkääjälle riittää, kun pystyy murtamaan yhden. Saman hyökkäyksen voi kopioida kaikkiin muihin laitteisiin. Tälle ongelmalle on olemassa oma nimikin: monokulttuuri.
Kun hyökkääjä sitten löytää tavan päästä käsiksi äänestysjärjestelmään, tämä voi asentaa sinne ohjelmiston, joka väärentää vaaleja tavalla, joka on mahdotonta havaita.
Johtopäätöksiä
Vaalit ovat ensimmäinen puolustuslinja vapaan ja demokraattisen yhteiskunnan ja sen vihollisten välissä. Siksi niiden turvallisuutta pitää tarkastella osana kansallista turvallisuutta. Kyse ei ole enemmästä eikä vähemmästä kuin kansakunnan selviämisestä ja kohtalosta.
Maantieteelle emme mahda mitään. Meillä on naapurissamme Venäjä, joka on aggressiivinen laajentumishaluinen suurvalta ja joka on käyttänyt vaalivilppiä niin historiassa kuin nykyäänkin saavuttaakseen omat tavoitteensa. Baltian maat katosivat maailman kartalta 50 vuodeksi. Vaalivilppiä käytettiin oikeuttamaan niiden liittäminen osaksi Neuvostoliittoa. Krimin niemimaa liitettiin osaksi Venäjää vaalivilpin keinoin. Yhdysvalloissa venäläiset hakkerit ovat tunkeutuneet presidentinvaalien äänestäjärekisterijärjestelmiin ja turvallisuusalan huippunimet ovat huolissaan siitä voidaanko Yhdysvaltojen presidentinvaalien tuloksia edes pitää luotettavina.
Vaalien turvallisuuden pettäminen on uhka Suomen valtion olemassaololle. Meillä ei ole varaa mokata kerran ja korjata virheitämme, sillä meitä ei välttämättä ole enää olemassa, jos vihamielinen suurvalta pääsee päättämään vaaliemme tuloksen.
Pysytään turvallisessa paperisiin äänestyslippuihin perustuvassa vaalijärjestelmässä ja pidetään huolta siitä, että lapsenlapsemmekin pääsevät kasvamaan vapaassa ja demokraattisessa Suomessa.
Mikko Särelä on tietoverkkoteknologian tohtori ja työskennellyt digitaalisten järjestelmien turvallisuuden parissa kohta kaksikymmentä vuotta.
* ”The Art of Deception: Controlling the Human Element of Security”, Kevin Mitnick, William Simon ja Steve Wozniak ja ”The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers”, Kevin Mitnick ja William Simon
Hyvin kirjoitettu. Näitä samoja asioita mietimme kovasti ja pitkään, kun Codentossa teimme oikeusministeriön tilauksesta selvityksen nettiäänestysjärjestelmistä. Totesimme, että ei ole mitään mieltä edes yrittää kokeilla nettiäänestystä valtiollisissa vaaleissa.
Sen sijaan nettiäänestys voisi toimia jonkinlaisena galluppina – erityisesti kunnallisissa neuvoantavissa äänestyksissä nettiäänestys voisi olla kokeilemisen arvoinen. Tosin vain siinä tapauksessa, että kyseessä on todellakin neuvon antaminen ja nykyisellä paperiäänestyksellä poliitikoilla on valta ja uskallus toimia neuvoa vastaan.
Olisi ollut hienoa pystyä kirjoittamaan selvitykseemme tämän blogitekstisi kaltainen loppukaneetti. Se ei vain ollut meidän toimeksiantomme tehtävä eikä siksi mahdollinen.
Suomessa on käytössä idioottivarma ja hyvin toimiva äänestyssysteemi, joka toimii moitteettomasti kaikilla kielillä ja pelkällä lyijykynällä. Lisäksi äänisalaisuus säilyy, eikä tietoturvaongelmia esiinny.
MIksi tällaista hyvin toimivaa järjestelmää pitäisi muuttaa, ja käyttää siihen vielä tolkuttomasti rahaa? Jos nykyisellä vaalitavalla ei pysty käyttämään äänioikeuttaan, niin eihän ääntä ole pakko käyttää. Se on jokaisen oma valinta.
Hyöty ei ole niin suuri, että uhkaa kannattaisi hyväksyä. Hyöty on jopa mitätön ja uhka erittäin suuri. Uhka voi toki realisoitua monella eri vakavuustasolla, mutta asia on luonteeltaan sellainen, että jo melko pieni realisoituminen aiheuttaa huomattavat kustannukset.
Meillä on paljon isompiakin asioita korjattavana kuin äänestyksen kustannusten optimointi. Vaalien keskimääräiset kustannukset per vuosi ovat olleet 2003-1015 noin 14 miljoonaa euroa vuodessa (http://www.vaalit.fi/…/Taulukko_Vaalien_toimittamiskustannu…).
Tämän ajatuksenkulun voi liittää moniin muihinkin digitaalisesti toteuttaviin asioihin.
Ikävä kyllä kehityssuunta näyttää sellaiselta, että digitalisaatio kannibalisoi muut vaihtoehdot rinnaltaan.
Kun yhteiskuntakriittiset digitaaliset ratkaisut ajetaan alas hyökkäyksen seurauksena, kivikausi odottaa.
Tämän asian ympärillä pyörii melkoisesti epäselviä ja homonyymisiä termejä. On syytä huomauttaa, että Oikeusministeri Lindström puhuu tuolla sähköisestä etä-äänestyksestä Internetin välityksellä. Aiemmassa sähköisen äänestyksen kokeilussa pilotoitiin sähköistä äänestyspäätettä.
Näiden kahden ero on suurin piirtein sama kuin vertaisi polkupyörää (äänestyspääte) ja kuurakettia (sähköinen etä-äänestys). Polkupyörä todettiin mahdottomaksi rakentaa, joten seuraavaksi yritetään kuurakettia. Tästä lähtee pienet moitteet silloiselle Oikeusministeri Braxille, joka ensin suhtautui ongelmiin täysin välinpitämättömästi, ja kun joutui myöntämään ongelmat, lupasi muutoksia mutta mitään ei tapahtunut. Vaalijohtaja Jääskeläinen istuu edelleen pallillaan, vaikka suoraan luvattiin tämän muuttuvan.
[…] Lue myös ajatuksiani sähköisten vaalien turvallisuudesta. […]
Nyt eletään vuoden 2017 syksyä. Luen tätä muutaman vuoden ikäistä kommentti ketjua, missä perustelut ovat samoja kuin ketjuissa vuosituhannen vaihteessa 20 vuotta aiemmin.
Sillä aikaa maailma on muuttunut. Käteisestä on tullut kirosana bittcoinit vyöryvät kännyköihin. Skeptisimmät tulostavat niitä paperille.
Herätkää, ei äänestäminen voi olla kriitisempää kuin rahan siirtäminen. Politikot vain pelkäävät vallan karkaavan käsistään kun pandoranlipas avataan. Meille väitetään että pelkkä nettiäänestäminen on riski, kertomatta sen mahdollisuuksista. Annettaan ihmisten valita haluavatko käyttää tuon mahdollisuuden. Vaalisalaisuus ei voi mennä ohi ihmisten kuulemisennohi
Niin tovi on taas vierähtänyt ja lähes kaikkissa paperisten äänten laskennassa äänten koostamiseen käytetyissä tietokoneissa on paljastunut perustavaa laatua oleva aukko. Onko sitä kenties käytetty vaalitulosten manipulointiin? Tuskin, tilannetta on kuintenkin mahdoton varmentaa äänet on tuhottu, jossain on paperiset käsin kirjoitettu äänet vaalipaikoittain vai onko? Jos numerot ovat vain koneilla onko joku voinnut muuttaa ne kaikki ennen tuloksen julkistamista?
Jeps unohdetaan tropellihattu jutut ja mietitään mitä sillä kännykällä ei voi vielä tehdä? Niin äänestää, jos riskeistä huolimatta haluat joskus päästä äänestämään kännykällä niin sites.google.com/view/torkkujat/ on pelinavaus sinulle.
Mukaan kelpaavat myös ne jotka haluavat muutosta nykyjärjestelyihin, eihän tämä nykyinenkään tilin saldoa pokkuroiva lobbaridemokratia ole mistään kotoisin.