Økonomi- og Indenrigsministeriet Oplæg til analyse af it-mæssige trusler i relation til afholdelse af e-valg i Danmark

Transkript

1 Økonomi- og Indenrigsministeriet Oplæg til analyse af it-mæssige trusler i relation til afholdelse af e-valg i Danmark Maj 2012

2 Indhold 1. Formål Metode Forudsætninger Begreber Målsætninger for e-valg Være letforståeligt og enkelt at anvende Understøtte stemmehemmeligheden Opretholde frie valg Forhindre manipulation af stemmeresultatet Sikre en nøjagtig stemmeoptælling Indeholde revision og dokumentation Give mulighed for omtælling Opretholde den folkelige kontrol Opfylde persondataloven, herunder sikkerhedsbestemmelserne Opretholde den demokratiske kultur ved valg Have en rimelig omkostning Hovedfaser Gennemgående komponenter Udvikling og produktion af stemmeudstyr Procesbeskrivelse Komponenter Trusler Krav til stemmeudstyr Kravstillere Stemmeudstyr Leverandøren af stemmeudstyr Leverandør af software Leverandør af hardware Underleverandører Udviklingsinfrastruktur Produktionsfaciliteter Anskaffelse af udstyr, levering og opsætning før valg Procesbeskrivelse Komponenter

3 5.3 Trusler Ansvar for indkøb i kommunen Fragtmand inkl. lager (Leverandør Kommune) Fragtmand (Kommunens lager valgsted) Lager i kommunen Opsætning af stemmeudstyr og overvågning Afprøvning af stemmeudstyr Uddannelse Valghandlingen Procesbeskrivelse Komponenter Trusler Valgsted Valgbestyrelse, valgstyrer og valgtilforordnet Kandidatliste Stemmekort Stemmekort før valghandling Stemmekort med stemme Stemmemaskinen Stemmekasse Valgstedsserver Resultatopgørelse og -indberetning Procesbeskrivelse Komponenter Trusler Valgbestyrelse, valgstyrer og valgtilforordnet Hukommelseskort Valgstedsserver Nedpakning/Opbevaring Procesbeskrivelse Komponenter Trusler Valgbestyrelse, valgstyrer og valgtilforordnet Stemmemaskine/Stemmekasse/Valgstedsserver Stemmekort Certificering/Revision

4 9.1 Procesbeskrivelse Komponenter Trusler Leverandør af stemmeudstyr Ansvarlig for afholdelse af valghandlingen Evaluering

5 1. Formål Dette oplæg til analyse er udarbejdet som inspirationsmateriale i forbindelse med workshop om e-valg i Danmark den 15. maj Efter workshoppen vil analysen blive færdiggjort og herefter indgå som baggrundsmateriale i forbindelse med tilrettelæggelse af reguleringen. 1.1 Metode Vi har i henhold til aftale foretaget analyse af it-baserede trusler, der kan være mod et e-valg, som beskrevet i Forskning og e-valgssystemer Demtech-projektet af 9. december 2011, samt information modtaget på møde af 26. marts Vores analyse tager udgangspunkt i Recommendation Rec(2004)11 and explanatory memorandum fra Europarådet samt standarden ISO 15408:2009 Common Criteria for Information Technology Security Evaluation. Endvidere i Teknologirådets anbefalinger til implementering af e-valg fra marts Vi har identificeret trusler, mod e-valg, med udgangspunkt i identificerede mål med e-valg. På baggrund heraf har vi opstillet de hovedfaser og processer, der er fra projektets start og til og med, valget er afsluttet og nedpakket. For hver proces i forløbet har vi identificeret de komponenter, der indgår i processen, og med udgangspunkt heri hvilke trusler, der er mod komponenterne ud fra de opsatte mål. Nærværende rapport er på baggrund heraf opdelt i følgende hovedelementer: Mål for E-valg Hovedfaser Processer Komponenter Trusler 1.2 Forudsætninger Nærværende rapport herunder analyse af trusselsbillede omfatter e-valg med fokus på udvikling af den software, som skal anvendes til e-valg, samt installation på hardware. Endvidere selve valghandlingen, optælling af digitale stemmekort samt efterfølgende opbevaring af hardware og håndtering af software. I forbindelse med selve valghandlingen omfatter vores analyse ikke de processer, der ligger forud for, at en vælger møder op på valgstedet, så som udsendelse af valgkort, autentificering af vælger mv., da disse processer forudsættes at følge de samme processer, som anvendes ved papirbaseret valg i dag. Endvidere omfatter analysen ikke selve indberetningen af resultater til KMD s valgsystem, idet det forudsættes, at dette sker ved manuel indtastning på samme måde som ved papirbaserede valg. Vi har ikke i analysen foretaget nogen form for økonomiske betragtninger. 1.3 Begreber Vi har i rapporten anvendt en række begreber som er nærmere defineret nedenfor. Begreb Fortrolighed Integritet Tilgængelighed Betydning Sikkerhed for, at uvedkommende ikke kan få adgang til data. Sikkerhed for, at data ikke er ændret eller tabt At systemerne til stadighed kan anvendes, og at der er adgang til data. 5

6 Begreb Uafviselighed Autenticitet KMD s valgsystem RFID Betydning Sikkerhed for, at hverken afsender (vælger) eller modtager (valgmyndighed) kan afvise at have sendt henholdsvis modtaget data. Sikkerhed for, hvem der har afsendt(vælger) og modtaget data (valgmyndighed). Centralt system, hvor valgresultatet indberettes fra valgstedet, når valghandlingen er afsluttet, og afstemningsresultatet er opgjort. Radio Frequency Identification (RFID) er en automatisk identificeringsmetode, som fungerer ved opbevaring og fjernmodtagelse af data ved brug af anordninger, kaldet RFID tags eller transponders. RFID tags er objekter, som kan påsættes eller inkorporeres i et produkt, et dyr eller en person for senere at kunne bruges til identificering via radiobølger. Chip-baserede RFID tags indeholder siliciumchips og radioantenner. Passive tags kræver ingen intern strømforsyning, mens aktive tags kræver en elektricitetskilde. Det RFID tag, som anvendes til stemmekort, er passivt, og der anvendes write once read many (worm)-princippet. RFID betragtes i mange tilfælde som værende sikkert, baseret på den antagelse at RFID-kortlæsere og -chip skal være i tæt nærhed for at kunne kommunikere. Denne antagelse er imidlertid forkert. Ved hjælp af forholdsvis simpelt og billigt udstyr kan adskillige angreb udføres fra større afstand. Valgliste Worm RFID Worm Valglisten er en liste over alle stemmeberettigede vælgere. Valglisten indeholder oplysninger om vælgerens navn, adresse og fødselsdato. Worm RFID er en automatisk identificeringsmetode, som fungerer ved opbevaring og fjernmodtagelse af data ved brug af anordninger, kaldet RFID tags eller transponders. Udtrykket bruges i forbindelse med medier, hvor oplysninger - efter de er skrevet til mediet - efterfølgende ikke kan ændres. Et eksempel er cd-rom er. 6

7 2. Målsætninger for e-valg Der er i Teknologirådets rapport om anbefalinger til e-valg angivet en række målsætninger for et e-valg. Vi har anvendt disse målsætninger og anbefalinger som kriterier for analysen af it-mæssige trusler mod e-valget. Vi har i det følgende kort gennemgået målsætninger, herunder sammenhæng til it-mæssige vurderingskriterier. e-valgsystemet skal: 1. være letforståeligt og enkelt at anvende 2. understøtte stemmehemmeligheden 3. opretholde frie valg 4. forhindre manipulation af stemmeresultatet 5. sikre en nøjagtig stemmeoptælling 6. give mulighed for omtælling 7. opretholde den folkelige kontrol 8. indeholde revision og dokumentation 9. være driftsikkert 10. efterleve persondataloven, herunder sikkerhedsbestemmelserne 11. opretholde den demokratiske kultur ved valg 12. have en rimelig omkostning. 2.1 Være letforståeligt og enkelt at anvende Valgmulighederne skal præsenteres for vælgerne på en ensartet måde, og parti-/kandidatlisten skal præsenteres på en måde, som ligger så tæt på et papirvalg som muligt. Den digitale præsentation af valgmulighederne skal være udformet, så vælgerne: Ikke hindres i at afgive deres stemme Ikke afgiver stemme i strid med deres ønsker Kan afbryde stemmeafgivning og ændre deres valg undervejs Ikke er i tvivl om, hvornår stemmeafgivningen er afsluttet. Endvidere skal systemet være enkelt at betjene for såvel tilforordnede som vælgere. Der skal herudover være sikkerhed for, at valghandlingen er uafviselig, i det øjeblik vælgeren har lagt det digitale stemmekort i den digitale stemmekasse. 2.2 Understøtte stemmehemmeligheden En stemme på en kandidat og/eller parti skal ske hemmeligt/fortroligt, så der på ingen måde kan skabes en forbindelse mellem en vælger og det foretagne valg. Dette stiller særlige krav til den hardware og software, som skal anvendes til e-valghandlingen og den efterfølgende optælling. Vi har derfor i vores analyse af de enkelte faser haft fokus på, hvor der kan ske en kompromittering af valghemmeligheden, fra det øjeblik en vælger foretager sit valg i stemmerummet, til stemmen er afgivet, optalt og indgår i valgresultatet samt ved efterfølgende håndtering af stemmekort. Det vil sige: De afgivne stemmer skal være anonyme (Fortrolighed) Der må på intet tidspunkt efterfølgende kunne etableres forbindelse mellem stemme og vælger - heller ikke indirekte ved logning eller lignende 7

8 Vælgeren må ikke være i besiddelse af et bevis på den afgivne stemme efter stemmeafgivelsen Afgivne stemmer skal holdes hemmelige indtil optælling. 2.3 Opretholde frie valg En vælgers stemme på et parti og/eller en kandidat må ikke udføres under pres, manipulation eller lignende. Dette forhold er ikke behandlet nærmere i nærværende rapport, da selve valghandlingen skal finde sted som ved papirvalg. 2.4 Forhindre manipulation af stemmeresultatet Det må ikke være muligt at foretage manipulation(integritet), således at der opstår fejl i såvel stemmeafgivelse som stemmeoptælling (Autenticitet). Dette gælder såvel manipulation internt fra en medarbejder, der forestår udvikling og implementering, som tilforordnede og andre, der kommer i forbindelse med hardware og software ved valghandlingen og stemmeoptællingen, samt vælgere eller andre eksterne trusler mod e-valget. Forsøg på eller fuldbyrdet manipulation skal opdages, inden det får indflydelse på valghandlingen og stemmeoptællingen. Dette betyder, at: En afgiven stemme må ikke kunne ændres Integritet af de afgivne stemmer skal opretholdes og kunne modstå funktionsmæssige fejl samt fjendtlige angreb Hver vælger må kun kunne afgive en stemme. 2.5 Sikre en nøjagtig stemmeoptælling Der må ikke herske tvivl om en vælgers valg af parti og/eller kandidat. Endvidere at det også er den nøjagtige stemme, der i sidste ende indgår i den samlede optælling og det samlede valgresultatet (Integritet og Autenticitet). Endvidere må der ikke være tvivl om, at en vælger kun kan stemme en gang. 2.6 Indeholde revision og dokumentation Der skal være en uafhængig kontrol af den eller de leverandører, der forestår udvikling af e-valgløsningen samt implementerer denne på det udstyr, som anvendes i relation til valghandling og stemmeoptælling. Dette betyder bl.a., at: Der skal dannes et pålideligt og tilstrækkeligt detaljeret revisionsspor (logning), så der kan gennemføres såvel elektronisk som fysisk kontrol Revisionssporet skal registrere tid og hændelser, herunder antal vælgere, antal afgivne stemmer, antal ugyldige stemmer, optælling og omtælling, samt registrere ethvert angreb på systemets funktion Systemfejl, funktionsmæssige fejl og andre trusler mod systemet skal registreres Revisionssporet skal opretholde vælgerens anonymitet uafbrudt Der skal ske en certificering af leverandører, som udvikler software og hardware til e-valget Der skal endvidere ske en certificering af de kommuner, som ønsker at deltage i e-valget. 2.7 Give mulighed for omtælling e-valgsystemet må ikke hindre omtælling. Der skal kunne foretages genoptælling af delresultater og om nødvendigt hele valget. Dette gælder såvel manuelt som digitalt Systemet må ikke udelukke hel eller delvis gentagelse af et valg (eller en afstemning). 8

9 2.8 Opretholde den folkelige kontrol Indførelse af e-valg må ikke svække muligheden for folkelig kontrol. Det vil sige, at det så vidt muligt fortsat skal være den enkelte vælger samt tilforordnede, der kan føre kontrol med valghandlingen og optællingen på en enkel måde eller i det mindste svarende til det eksisterende papirvalg. Hvor de enkelte vælgere og/eller tilforordnedes kompetencer ikke er tilstrækkelige på grund af de særlige teknologiske risici der opstår, vil sikring af den folkelige kontrol kunne ske ved anvendelse af tillidsrepræsentanter, der er aktører med særlig faglig indsigt som bistår enten lokalt eller centralt med udøvelsen af den folkelige kontrol.software og det anvendte hardware skal være robust, således at nedbrud i valghandlingen og stemmeoptællingen undgås (Tilgængelighed). Såfremt der opstår nedbrud, skal systemer kunne reetableres uden unødigt ophold. Dette omfatter også, at svartider på systemerne ikke må hindre en glidende valghandling. Systemerne skal således: indeholde forholdsregler, som sikrer tilgængelighed af servicer under afstemningen kunne modstå funktionsmæssige fejl, strøm- og systemnedbrud samt fjendtlige angreb leveres i tide og afprøves, så valghandlingen kan gennemføres planmæssigt. Test skal gennemføres af såvel vælgere, valgstyrere som tilforordnede. 2.9 Opfylde persondataloven, herunder sikkerhedsbestemmelserne Persondataloven er relevant i forbindelse med registrering af stemmeberettigede vælgere og registrering af, hvorvidt disse vælgere har stemt. Væsentligst i denne relation er: Data om vælgeren skal beskyttes mod hændelig eller ulovlig tilintetgørelse, fortabelse eller forringelse Data om vælgeren skal beskyttes mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven. Ovenstående krav vil i væsentligt omfang være dækket af de øvrige målsætninger for e-valg. Der bør samtidig foretages en nærmere afklaring af, hvordan persondatalovens øvrige regler f.eks. iht. logning kan efterleves. Denne særlige problemstilling vil vi dog se bort fra i den videre analyse Opretholde den demokratiske kultur ved valg Den demokratiske kultur skal opretholdes ved valghandlingen. De eksisterende normer og traditioner, forbundet med valghandlingen, skal medtænkes i rammerne for e-valg. Den tillid, befolkningen har til valghandling og valgresultat, skal medtænkes og fastholdes ved indførelse af e-valg. Endvidere skal indførelse af e-valg gøre det lettere tilgængeligt at deltage i valget. Da det påtænkte e-valg skal afholdes under samme lokalemæssige forhold som hidtil, vil forholdende vedrørende lettere tilgængelighed jf. ovenfor ikke blive behandlet Have en rimelig omkostning Der skal altid udarbejdes en helhedsvurdering af omkostningerne i forhold til fordele og ulemper for vælgerne og valgsystemet. Økonomiske hensyn må ikke betyde, at man fravælger eller tager øgede risici i relation til de øvrige principper. Vi har ikke i nærværende analyse behandlet økonomiske konsekvenser, herunder omkostninger til imødegåelse af de identificerede trusler. 9

10 3. Hovedfaser Vi har valgt at opdele analysen i nedenstående hovedfaser, som vi anser for at udgøre et naturligt procesflow, fra der er valgt en leverandør til udvikling af software, til valget er overstået, og der skal ske en nedpakning og eventuel opbevaring af hardware indtil næste valg. Hertil kommer certificeringsprocessen samt revision under valghandlingen. Endelige afsluttes med den planlagte evaluering af e-valget. Udvilking og produktion Levering og opsætning Valghandling Stemmeoptælling Nedpakning mv. Certificering Forhåndsgodkendelse Revision Evaluering 3.1 Gennemgående komponenter Vi har i forbindelse med vores analyse identificeret en række gennemgående komponenter, som indgår i procesbeskrivelserne i forbindelse med såvel det forberedende arbejde som udvikling af software som selve valghandlingen. Komponenter opfatter vi som aktiver og aktører, der indgår i processen. Gennemgående komponenter er beskrevet i det følgende: Komponent Ansvarlig for afholdelse af valghandlingen Hukommelseskort Kandidatliste Kontrolbord Kommunevalghandlingsserver Kryptografiske nøgler Leverandør af stemmeudstyr Stemmekasse Beskrivelse Kommunen (Lokal valgbestyrelse). Opsamling af stemmeresultater i de digitale stemmekasser. Liste over opstillede partier og kandidater. Listen er lagret elektronisk på stemmemaskinen. Bord i valglokalet, hvor en vælgers identitet autentificeres, og der udleveres et stemmekort. Kommunevalghandlingsserveren består af samme enheder, som valgstedsserveren. På kommunevalghandlingsserveren er der i tillæg tilsluttet tastatur og mus. Kommunevalghandlingsserveren er opstillet ved kommunen og anvendes til at forberede valghandlingen for hvert valgsted. Kryptografiske nøgler, der anvendes i stemmeudstyr. Dette kan f.eks. være nøgler, der anvendes til autentifikation af RFID-chips eller i stemmekort. Leverandør af stemmeudstyr til brug for e-valg. Betegnelsen leverandør benyttes om den organisation, der leverer udstyret, samt de medarbejdere, der arbejder for organisationen. Medarbejdere kan f.eks. være projektleder, softwareudviklere, produktionsmedarbejdere, kvalitetssikringsmedarbejdere, mv. Eventuelle underleverandører betragtes i denne sammenhæng også som en del af leverandørens organisation. Digital stemmekasse, der optæller en afgiven stemme når et stemmekort placeres i denne. 10

11 Komponent Stemmekort Stemmemaskine Beskrivelse Vælger benytter det elektroniske stemmekort til at afgive sin stemme i stedet for den traditionelle papirstemmeseddel. Stemmemaskinen består af en brugergrænseflade til afgivelse af stemmer, en stemmekortslæser samt en stemmekortsskriver. Stemmerum Et afskærmet rum, hvori en vælger anonymt afgiver sin stemme. Under valghandlingen er stemmemaskinen opstillet i stemmerummet. Rummet indeholder: En computer uden bevægelige dele En printer med en digital -læser/-skriver til det medie, som anvendes til opbevaring af den afgivne stemme. Denne enhed kan indlæse stemmekortet, validere om det er gyldigt, tilskrive / printe det udførte valgpå stemmekortet. En touch screen Ledninger, der forbinder de forskellige enheder. Valgbestyrelse, valgstyrer og valgtilforordnet I hver opstillingskreds vælger kommunalbestyrelsen en valgbestyrelse, som f.eks. skal sørge for stemmesedler og opslag. Valgbestyrelsen står også for den endelige optælling af stemmerne. Ved hvert valgsted vil der også være mellem fem og ni valgstyrere, valgt af kommunalbestyrelsen, som skal sikre, at afstemningen går rigtigt for sig. Valgstyrerne er også med til at tælle stemmerne op. Der vil desuden være en række valgtilforordnede, som kan udføre diverse opgaver i forbindelse med valget. Disse udvælges også af kommunalbestyrelsen. Valgmyndighed Valgsted Valgstedsserver Økonomi- og Indenrigsministeriet (ØIM) Det sted, hvor valghandlingen finder sted. Dette inkluderer både selve valglokalet og den bygning, hvori valglokalet er placeret Valgstedsserveren er en komponent, som består at en systemenhed med en touch screen, en printer, en hukommelseskortlæser samt en RFID læser. Valgstedsserveren anvendes under valghandlingen til registrering af annullerede stemmekort og ved konsolideringen til at afstemme valgstedet samt at beregne og udskrive resultatet. 11

12 Komponent Vælger Beskrivelse De borgere, der opfylder kravene for valgret (også kaldet stemmeret), det vil sige danske statsborgere (i tilfældet af folketingsvalg), der er over 18 år og bosat i Danmark, i Grønland eller på Færøerne. Man skal som udgangspunkt være tilmeldt folkeregistret for at være stemmeberettiget og må endvidere ikke være under værgemål med fratagelse af den retslige handleevne i henhold til værgemålslovens 6 12

13 4. Udvikling og produktion af stemmeudstyr I god tid før valget finder sted skal det stemmeudstyr, der skal anvendes ved e-valget, udvikles og produceres. Dette indbefatter såvel fysiske komponenter, så som elektronisk hardware og software. Endvidere skal der udvikles procedurer og vejledninger for anvendes af stemmeudstyret. Stemmeudstyret udvikles og produceres af en eller flere leverandører i henhold til en række krav, der udarbejdes af valgmyndigheden. Denne hovedfase omfatter alle skridt i udviklingen af stemmeudstyr samt produktion og opbevaring af stemmeudstyr, indtil dette leveres til den ansvarlige for afholdelse af valghandlingen (kommunerne). 4.1 Procesbeskrivelse Krav til udstyr Design af udstyr Impleme n-tering af udstyr Kontrol af udvikling Produktion af udstyr Kontrol af udstyr Opbevaring frem til levering Certificering Vi tager udgangspunkt i en generel beskrivelse af, hvordan it-stemmeudstyr udvikles og produceres. Dette kan inddeles i følgende trin: 1. Krav til stemmeudstyr. Valgmyndigheden udarbejder en række krav til stemmeudstyret. Disse krav indbefatter krav til funktionalitet, robusthed og sikkerhed, dokumentation, kontrol af udviklingsproces og det endelige stemmeudstyr. Disse krav kan udarbejdes i forskellige detaljeringsgrader og kan f.eks. indeholde krav om egen- eller tredjepartskontrol af stemmeudstyret. Leverandøren er ansvarlig for at levere stemmeudstyr, der lever op til de stillede krav. 2. Design af stemmeudstyr. Leverandøren udarbejder et design af stemmeudstyret. Det vil sige, at leverandøren beslutter, hvilke delkomponenter stemmeudstyret består af, og hvordan disse fungere sammen. Herunder vælges den tekniske platform, samt hvilken grad egenudvikling versus brug af eksisterende kommercielle produkter der benyttes. Samtidig udarbejdes specifikke procedure for anvendelse af leverandørens stemmeudstyr. 3. Implementering af stemmeudstyr. Leverandøren foretager implementation af stemmeudstyret. Softwaredelen af stemmeudstyret implementeres i dette skridt og integreres med eventuelle eksisterende softwarekomponenter. Hardwaredele af stemmeudstyret udvikles eller udvælges blandt eksisterende hardwarekomponenter. Ligeledes udarbejdes dokumentation af stemmeudstyret og procedure for anvendelse i denne fase. Resultatet af denne fase vil være fungerende prototyper af stemmeudstyret - af såvel software som hardware. 4. Kontrol af udvikling. Denne kontrol har til hensigt af sikre, at såvel design som implementering af stemmeudstyret opfylder krav, der i Trin 1 er stillet til stemmeudstyret. Kontrol af udvikling kan foregår både som egenkontrol eller foretages af en tredjepart. Dele af kontrollen vil i praktisk typisk foregå som et led af implementeringen, f.eks. ved at leverandøren løbende foretager test af software- og hardwarekomponenter. Der kan eventuelt stilles krav om, at delkomponenter kontrolleres særskilt. 13

14 5. Produktion af stemmeudstyr. I dette trin masseproduceres stemmeudstyret. Er der tale om fysisk stemmeudstyr, vil dette indebære produktion og samling af stemmeudstyr samt eventuel installation af software. Er stemmeudstyret en rent softwarekomponent vil dette skridt indbefatte den endelige udgivelse af softwarekomponenten, altså udgivelsen af en softwareinstallationspakke. 6. Kontrol af stemmeudstyr. Denne kontrol har til hensigt at sikre, at masseproduceret stemmeudstyr også lever op til de krav, der oprindeligt er stillet. Dette gøres typisk ved at sikre, at det masseproducerede stemmeudstyr rent faktisk svarer til det stemmeudstyr, der blev kontrolleret i Trin 4, samt ved at kontrollere, at visse kvalitetsparameter er overholdt. Denne kontrol vil typisk være mere simpel end kontrollen af udviklingen i Trin 4, da denne kontrol blot har til hensigt at sikre, at den tidligere kontrol stadig er gældende. 7. Opbevaring frem til levering. Når stemmeudstyret er produceret og kontrolleret skal opbevares således at der ikke kan foretages ændringer af stemmeudstyret. 8. Certificering af leverandøren. Certificeringen af leverandører omfatter kontrol, udført af uafhængige it-eksperter med henblik på at verificere, at udviklet software, herunder anvendte processer, overholder de krav, som ØIM har stillet til e-valget, samt krav, der i øvrigt må forventes at være bedste praksis for den type af leverancer. Endvidere certificering af den hardware, som skal anvendes til e- valget. Dette vedrører også implementering af softwaren og processer i den forbindelse, herunder opbevaring frem til leveringen til valgsteder. Risici vedrørende certificering er nærmere beskrevet i afsnit 9. : 14

15 4.2 Komponenter Der er følgende specielle komponenter for denne fase: Komponenter Krav til stemmeudstyr Kravstillere Beskrivelse Disse krav indbefatter krav til funktionalitet, robusthed og sikkerhed, dokumentation, kontrol af udviklingsproces og det endelige stemmeudstyr. Stemmeudstyr omfatter såvel software som hardware. De personer, der er involveret i at opstille krav til stemmeudstyret. Leverandør af software Leverandør af det software som skal anvendes i e- valgløsningen. Leverandør af hardware Leverandør af det hardware som skal anvendes i e- valgløsningen. Produktionsfaciliteter De faciliteter, hvor stemmeudstyr produceres. Produktionsfaciliteter inkluderer lagerfaciliteter, der måtte findes før og efter produktionen. Udviklingsinfrastruktur Udviklingsinfrastruktur, der benyttes af leverandøren til at designe og implementere stemmeudstyr. Infrastrukturen består såvel af de fysiske rammer for udviklingen som af den it-infrastruktur, der benyttes. Her tænkes især på de dele af infrastrukturen, der vedrører kvalitetssikring, så som opbevaring af kildekode, afprøvningsdokumentation mv. Underleverandører Leverandører af software og hardware kan have behov for at involverer underleverandører i udvikling og / eller produktion 15

16 4.3 Trusler Krav til stemmeudstyr Mangelfulde eller upræcise Hvis kravene til stemmeudstyr ikke er fyldestgørende eller ikke er præcise nok, vil dette udgøre en trussel mod e-valget. Et stemmeudstyr, som opfylder kravene, vil ikke nødvendigvis opretholde de målsætninger, der er for e-valg. Dette kan f.eks. forekomme, hvis kravene er udviklet under stort tidspres, eller hvis kravene ikke er analyseret tilstrækkeligt, inden kravspeficikationerne bliver publiceret Kravstillere Ikke-uafhængige En kravstiller kan af forskellige årsager - ønske, at e-valget ikke bliver en succes. En sådan kravstiller kan med forsæt indsætte fejl eller mangler i de krav, der stilles til stemmeudstyret. Stemmeudstyr, der opfylder de stillede krav, vil således ikke nødvendigvis leve op til målsætningerne for e-valg. I ekstreme tilfælde kan man forestille sig, at en kravstiller kan introducere en bagdør til systemet, som senere kan udnyttes til at kompromittere stemmeudstyret Manglende kompetencer eller viden Hvis kravstillerne har manglede kompetencer vedrørende eller viden om, hvordan krav til et e-valgssystem skal stilles, vil de krav, der stilles, med stor sandsynlighed ikke være fyldestgørende og retvisende, med henblik på at tilsikre at stemmeudstyret kan opretholde de målsætninger, der er for e-valg Stemmeudstyr Opfylder ikke krav Hvis stemmeudstyret ikke lever op til de krav, der er stillet til det, vil et e-valg, som gennemføres med dette udstyr, med stor sandsynlighed ikke leve op til de målsætninger, der er for e-valg. Der kan være mange grunde til, at stemmeudstyret ikke opfylde de krav, der er stillet. F.eks. kan der være designmæssige fejl i stemmeudstyret. Der kan også være fejl i implementeringen af udstyret. Alternativt kan der opstå fejl, idet man sammensætter delkomponenter, som mod forventning ikke fungerer sammen Tyveri af kryptografiske nøgler Hvis stemmeudstyret indeholder kryptografiske nøgler, kan disse aflæses af stemmeudstyret. De kryptografiske nøgler vil kunne anvendes til at kopiere stemmeudstyr og/eller til at kompromittere de sikkerhedsmekanismer, der er indbygget i stemmeudstyret Leverandøren af stemmeudstyr Ikke-uafhængige Leverandøren, herunder enkelte medarbejdere, kan af forskellige årsager - ønske at påvirke valgresultatet. Leverandøren kan modificere stemmeudstyret, så det ikke lever op til de stillede krav. Leverandøren kan f.eks. indbygge en bagdør i stemmeudstyret, der kan udnyttes til kompromittere valgresultatet, f.eks. ved fejlagtig registrering af afgivne stemmer eller fejlagtig opgørelse af valgresultatet Manglende kompetencer eller viden Hvis leverandøren ikke har de nødvendig kompetencer eller den nødvendige viden til at udvikle stemmeudstyr, kan dette resultere i udstyr, der ikke lever op til kravene for stemmeudstyr Manglende strukturerede processer til udvikling Leverandøren af software og hardware har ikke en struktureret proces for udvikling af software eller hardware, som sikre, at udviklingsfasen er en styret proces med passende faser, så der sker løbende kontrol og godkendelse samt opfølgning på tidsplaner, afhængigheder m.v. med andre områder i det samlede projekt. 16

17 4.3.5 Leverandør af software Manglende eller urealistisk tidsplan Hvis der ikke opsættes en realistisk tidsplan for hele design og udviklingsfasen, kan det medfører et væsentligt tidspres, med fejl eller mangler til følge. Dels ved manglende tid til design og udvikling, dels til kontrol og godkendelse samt efterprøvning af softwaren Manglende projektstyring Leverandøren har ikke en tilstrækkelig projektstyring af hele forløbet, hvilket kan betyde manglende overblik, manglende stillingtagen til opståede problemer samt manglende prioritering og styring af opgaver. Endvidere manglende løbende kommunikation med ØIM og kommuner Fejl eller mangler i designfasen Leverandøren opbygger et design som ikke lever op til de stillede krav til e-valget, hvilket kan have væsentlig konsekvens for selve udviklingsfasen og projektet som helhed. Endvidere at fejl eller mangler forbliver uopdaget, fordi der ikke foreligger en tilstrækkelig kontrol og godkendelse af designfasen inden der kan gås i gang med selve udviklingsfasen Manglende eller utilstrækkelig versionsstyring i udviklingsfasen Leverandøren har ikke en struktureret versionsstyring, hvilket medfører risiko for manglende overblik over gældende versioner. Dette kan medføre væsentlige fejl eller mangler i udviklingsfasen. Endvidere i selve produktionsfasen, hvis der ikke er sikkerhed for, at det er de senest gældende versioner som overdrages til produktion Manglende eller utilstrækkelig adgangssikkerhed Medarbejdere der ikke har et arbejdsbetinget behov kan få adgang til software og dermed ved en bevist eller ubevist handling slette eller ændre i software. Tilsvarende gælder hvis passwordsikkerhed ikke er tilstrækkelig Manglende eller utilstrækkelig funktionstest og godkendelse Udviklingere udfører ikke tilstrækkelig kontrol og godkendelse af den udviklede software inden den frigives til brugertest. Dette kan medføre såvel fejl og mangler i softwaren samt forsinkelse af det samlede projekt, da brugertest og udviklings/udbedringsfasen skal gentages flere gange end nødvendigt. Endvidere risiko for, at fejl eller mangler forbliver uopdaget fordi brugertesten ikke er tilstrækkelig indtil valghandlingen. Fejl eller mangler som kan være uløsning og derfor må betyde, at e-valghandlingen må stoppes Manglende eller utilstrækkelig brugertest og godkendelse Manglende eller utilstrækkelig involvering af brugere og tilfredsstillende testsenarier kan medfører at fejl eller mangler i softwaren forbliver uopdagede indtil valgdagen. Fejl eller mangler som kan være uløselige og derfor må betyde, at e-valghandlingen må stoppes Manglende test på den hardware som skal anvendes til e-valget. Selv om der har været til fuldt tilfredsstillende udviklingsproces samt funktions- og brugertest, kan der være risiko for væsentlige problemer, hvis softwaren ikke testes i god tid på den hardware, som skal anvendes til selve e-valget Manglende eller utilstrækkelig dokumentation Hvis der ikke sker en tilfredsstillende dokumentation i hele udviklingsforløbet, er der risiko for, at opdateringer og videreudvikling vanskeliggøres. Endvidere vanskeliggøres den folkelige kontrol med software på grund af manglende overblik, forståelse af softwarens arkitektur, indbyrdes afhængigheder m.v. Herudover kan produktion og installation af software vanskeliggøres, såfremt der ikke er en tilstrækkelig dokumentation Leverandør af hardware Hovedparten af de trusler, som er beskrevet under Leverandør af software er også aktuelle for leverandører af hardware i form af styring, processer og test og godkendelse. Herudover er der nedenstående særlige trusler. 17

18 Der tages ikke udgangspunkt i standardudstyr Dette kan dels medføre, at det kræver særlige kompetencer, at implementere såvel software på hardwaren som at klargøre selve hardwaren. Endvidere kan vise sig vanskeligt, at fremskaffe tilstrækkeligt udstyr til e-valget og / eller udstyret er ikke tilstrækkeligt afprøvet for hvor robust det er Hardwarens styresystem er ikke kompatibelt med den udviklede software. Hvis det ikke rettidigt sikres, at hardwarens styresystem og den udviklede software er forenelige, er der risiko for, at softwaren ikke kan installeres på den hardware som er tiltænkt e-valget Manglende fysisk sikkerhed omkring hardwaren Dette kan medføre at hardwaren i udviklingsfasen bliver kompromitteret i form af tyveri, sabotage eller ændring Underleverandører Manglende overblik over afhængigheder af underleverandøren Manglende overblik kan have væsentlige konsekvenser for det samlede projekt uanset om der er tale om underleverandør til software eller hardware, såfremt underleverandørens leverancer ikke tænkes tilstrækkeligt ind i hovedleverandørens projekt- og tidsplaner Manglende krav til underleverandøren Såfremt det ikke sikres, at der stilles samme minimumskrav til underleverandører som til hovedleverandører, er der risiko for, dennes leverancer ikke lever op til de stillede krav Manglende styring og kontrol Manglende styring af underleverandører kan medføre fejl eller mangler i dennes leverance. Hvis leverancen ikke indgår i hovedleverandørens test og godkendelsesprocesser kan det tilsvarende medføre fejl eller mangler Udviklingsinfrastruktur Modifikation af stemmeudstyr Hvis leverandørens udviklingsinfrastruktur bliver kompromitteret, vil en sabotør kunne ændre på stemmeudstyrets virkemåde. En sabotør vil f.eks. kunne ændre kildeteksten til programmer, der anvendes i stemmeudstyret, eller dokumentation for afprøvning mv. (revisionsspor). Derved kan en sabotør f.eks. påvirke valgresultatet eller påvirke stemmeudstyrets driftsstabilitet Driftsforstyrrelser Driftsforstyrrelser i udviklingsinfrastrukturen kan medføre, at leverandøren ikke kan levere stemmeudstyr i tide. Derved kan e-valget ikke gennemføres. Driftsforstyrrelser kan f.eks. forekomme på grund af sabotage Tyveri af design eller prototyper Leverandøren er i besiddelse af design, kildekode, dokumentation, prototyper og delkomponenter for stemmeudstyret. Der er en risiko for, at disse bliver stjålet af tredjepart eller af leverandørens medarbejdere Tyveri af kryptografiske nøgler Leverandøren er i besiddelse af de kryptografiske nøgler, der anvendes i stemmeudstyret. Der er således en risiko for, at disse nøgler bliver stjålet af leverandøren eller tredjepart. De kryptografiske nøgler vil kunne anvendes til at kopiere stemmeudstyr og/eller til at kompromittere de sikkerhedsmekanismer, der er indbygget i stemmeudstyret Produktionsfaciliteter Manglende adgangssikkerhed Manglende adgangssikkerhed til produktionsfaciliteterne kan medføre uautoriseret adgang til disse, med risiko for sletning eller ændring af softwaren. 18

19 Manglende funktionsadskillelse mellem udvikling og drift Hvis der ikke er adgangsmæssig funktionsadskillelse mellem udviklere og drift, er der risiko for, at der sker uautoriserede ændringer af den software, som skal anvendes ved e-valget. Ændringer som ikke har fulgt den aftalte proces i form af test og godkendelse Manglende ændrings- og versionsstyring En manglende struktureret ændringsproces når den udviklede software eller ændringer til denne lægges på produktionsmiljøet er der risiko for, at manglende overblik samt manglende sikkerhed for, at det kun er testet og godkendte versioner, som lægges på produktionsmiljøet Manglende koordinering med udviklingen Hvis det ikke sikres, at der sker en koordinering mellem udvikling og drift, når den egentlige produktion sættes i gang i form af installation på den hardware, som skal anvendes til e-valget er der risiko for, hardwaren ikke implementeres med den korrekte software Manglende drifts- og implementeringsvejledning Manglende drifts- og implementeringsvejledning kan medføre, at det ikke er muligt for medarbejdere som skal stå herfor, at udføre en tilfredsstillende drift eller at forestå implementeringen af hard- og software Utilstrækkelig kapacitet I forbindelse med produktion af e-valgsudstyret herunder at implementere software på hardwaren er der ikke tilstrækkelig kapacitet, i forhold til den lagte tidsplan Manglende test og godkendelse af klargjort e-valgudstyr Manglende eller utilstrækkelig og test kan medfører at fejl eller mangler i software og / eller hardware forbliver uopdaget indtil valgdagen. Fejl eller mangler som kan være uløsning og derfor må betyde, at e-valghandlingen må stoppes Modifikation af stemmeudstyr Stemmeudstyret fremstilles på produktionsfaciliteterne, og her vil det være muligt, at en sabotør får adgang til udstyret. En sabotør, der har adgang til stemmeudstyret, vil kunne ændre stemmeudstyrets virkemåde, og vil derigennem kunne påvirke valgresultatet eller påvirke stemmeudstyrets driftsstabilitet. Modifikation af stemmeudstyret kan foregå ved at ændre den installerede software, så den ændrer brugergrænsefladen, registrerer en stemme forkert, ændrer resultatopgørelsen, ændrer log og testbeskeder mv. Modifikation af stemmeudstyret kan også foregå ved at montere hardware i stemmeudstyret, der optager og/eller ændrer data i stemmeudstyret. Resultatet af denne type af angreb vil svare til, hvad man kan opnå ved at modificere den installerede software Tyveri af stemmeudstyr Stemmeudstyret findes på produktionsfaciliteterne, og der er således en risiko for, at udstyret stjæles. Tyveri af stemmekort vil kunne udnyttes til at give vælgere flere stemmer. Tyveri af øvrigt udstyr vil kunne udnyttes ved at modificere stemmeudstyret og derefter udbytte anvendt stemmeudstyr med det modificerede stemmeudstyr Tyveri af kryptografiske nøgler De kryptografiske nøgler, der anvendes i stemmeudstyret, vil være tilstede ved produktion af udstyret. Der er således en risiko for, at disse nøgler bliver stjålet af autoriserede personer. De kryptografiske nøgler vil kunne anvendes til at kopiere stemmeudstyr og/eller til at kompromittere de sikkerhedsmekanismer, der er indbygget i stemmeudstyret Driftsforstyrrelser Driftsforstyrrelser i produktionsfaciliteter kan medføre, at leverandøren ikke kan levere stemmeudstyr i tide. Derved kan e-valget ikke gennemføres. Driftsforstyrrelser kan f.eks. forekomme på grund af sabotage af produktionsfaciliteterne. 19

20 5. Anskaffelse af udstyr, levering og opsætning før valg Det er den enkelte kommune, der er ansvarlig for at gennemføre selve valghandlingen. Kommunen vil have en række opgaver, der skal udføres før selve valghandlingen. Disse opgaver er beskrevet herunder. Denne fase indeholder indkøb af udstyr, uddannelse af personer i brug af udstyr, levering af udstyr samt opsætning og afprøvning af udstyr. Det antages i denne fase, at leverandøren vil levere stemmeudstyr, der overholder kravene fra valgmyndigheden, som beskrevet i afsnit Procesbeskrivelse Denne proces omfatter følgende faser: Indkøb Uddannelse Levering Opsætning og afprøvning 1. Indkøb. Det er de kommuner, der er ansvarlige for gennemførelse af valghandlingen, der foretager indkøb af stemmeudstyr fra en leverandør. Denne indkøbsproces skal overholde retningslinjer for offentligt udbud. Ligeledes skal kommunen tilsikre at det indkøbte udstyr overholder de krav der stilles af valgmyndigheden (ØIM) herunder at leverandøren er certificeret. Vi behandler ikke nærmere risici omkring offentligt udbud i nærværende rapport, da disse forventes at følge almindelige gældende regler herfor. 2. Uddannelse. Personer der skal betjene stemmeudstyret, skal uddannes i brugen heraf. Dette inkluderer valgbestyrelse, valgstyrer, valgtilforordnede samt eventuelle valgteknikere. 3. Levering. Stemmeudstyret vil, som beskrevet i afsnit 4, blive produceret af leverandøren, hvor det kontrolleres for at sikre, at udstyret overholder de stillede krav. Stemmeudstyret skal derefter leveres til kommunerne/valgstederne. Leveringen af stemmeudstyr kan omfatte midlertidig opbevaring af udstyret enten hos fragtmand eller kommunen. I hele denne leveringsproces skal det tilsikres at stemmeudstyret ikke kompromitteres. 4. Opsætning og afprøvning. Stemmeudstyret skal opsættes på valgstedet og det skal afprøves for at sikre at det fungerer korrekt. Deltagere i denne afprøvning skal omfatte vælgere, valgstyrelse og valgtilforordnede. Efter stemmeudstyret er opsat og afprøvet skal det sikres at udstyret ikke kompromitteres inden valghandling går i gang. 20

21 5.2 Komponenter Der er følgende specielle komponenter for denne fase: Komponenter Ansvar for indkøb i kommunen Fragtmand inkl. lager. (Leverandør til kommunens lager / valgsteder) Fragtmand. (Kommunens lager til valgsted) Lager i kommunen Opsætning af stemmeudstyr og overvågning Afprøvning af stemmeudstyr Uddannelse Beskrivelse Ansvarlig for indkøb af stemmeudstyr til kommunen. Den virksomhed som forestår fragt fra leverandøren af stemmeudstyr til kommuner inkl. eventuelt behov for midlertidig opbevaring hos fragtmand. Den virksomhed som forestår fragt fra et eventuelt opbevaringssted i kommuner til valgsteder. Eventuelt opbevaringssted i kommunen indtil stemmeudstyret sættes op på valgstederne. Opsætning af stemmeudstyr i stemmerum samt af de digitale stemmekasser. Endvidere overvågning af udstyret indtil valghandlingen starter. Afprøvning af det opsatte stemmeudstyr omfattende vælgere, valgstyrelse og valgtilforordende Uddannelse af valgbestyrelse, valgstyrer, valgtilforordnede samt eventuelle valgteknikkere 21

22 5.3 Trusler Ansvar for indkøb i kommunen Ikke-uafhængige. Køber med vilje et mangelfuldt udstyr Indkøber kan af forskellige årsager - ønske, at e-valget ikke bliver en succes. En sådan indkøber kan med forsæt indkøbe et e-valgsystem, som ikke opfylder de stillede krav, herunder at leverandøren heraf ikke er certificeret Manglende kompetence eller viden Hvis indkøbere har manglede kompetencer eller viden om hvilke krav der er til et e-valgssystem vil systemet, med stor sandsynlighed ikke være fyldestgørende eller leve op til de opsatte krav, herunder at leverandøren af e-valgsystemet skal certificeres Fragtmand inkl. lager (Leverandør Kommune) Tyveri I forbindelse med opbevaring af stemmeudstyr i fragtvogn og / eller fragtlager er der risiko for, at udstyt stjæles. Tyveri af stemmekort vil kunne udnyttes til at give vælgere flere stemmer. Tyveri af øvrigt udstyr vil kunne udnyttes ved at modificere stemmeudstyr og derefter udbytte anvendt stemmeudstyr med det modificerede stemmeudstyr. Endvidere at valghandlingen ikke kan foretages elektronisk, hvis det ikke er muligt at fremskaffe tilstrækkeligt erstatningsudstyr Sabotage Der sker bevist sabotage mod udstyret, således dette enten destrueres eller modificeres Uheld Ved almindeligt uheld beskadiges stemmeudstyr i forbindelse med fragten herunder håndtering ved fragtvogn eller på lager. Dette kan medføre at valghandlingen ikke kan foretages elektronisk, hvis det ikke er muligt at fremskaffe tilstrækkeligt erstatningsudstyr. Endvidere risiko for ødelæggelse ved brand, vandskade o.l Fragtmand (Kommunens lager valgsted) Der er samme risici vedrørende fragtmand fra kommuens opbevaringssted og til valgsteder, som der er under punkt Risici er derfor ikke behandlet yderligere Lager i kommunen Tyveri I forbindelse med opbevaring af stemmeudstyr på lager er der risiko for, at udstyr stjæles. Tyveri af stemmekort vil kunne udnyttes til at give vælgere flere stemmer. Tyveri af øvrigt udstyr vil kunne udnyttes ved at modificere stemmeudstyr og derefter udbytte anvendt stemmeudstyr med det modificerede stemmeudstyr. Endvidere at valghandlingen ikke kan foretages elektronisk, hvis det ikke er muligt at fremskaffe tilstrækkeligt erstatningsudstyr Sabotage Der sker bevist sabotage mod udstyr, således dette enten destrueres eller modificeres Uheld Ved almindeligt uheld beskadiges stemmeudstyret i forbindelse med håndtering på lager. Dette kan medføre at valghandlingen ikke kan foretages elektronisk, hvis det ikke er muligt at fremskaffe tilstrækkeligt erstatningsudstyr. Endvidere risiko for ødelæggelse ved brand, vandskade o.l Opsætning af stemmeudstyr og overvågning Ukvalificeret personale Hvis stemmestyrudstyret opsættes af personale, der ikke er uddannet hertil, herunder har utilstrækkelige tekniske kompetencer, er der risiko for, at udstyret ikke vil fungerer som tilsigtet. 22

23 Sabotage Der sker bevist sabotage mod udstyret, således dette enten destrueres eller modificeres Tyveri Hvis der ikke er tilstrækkelig sikring af stemmeudstyr efter opsætning, er der risiko for tyveri. Tyveri af stemmekort vil kunne udnyttes til at give vælgere flere stemmer. Tyveri af øvrigt udstyr vil kunne udnyttes ved at modificere stemmeudstyret og derefter udbytte anvendt stemmeudstyr med det modificerede stemmeudstyr. Endvidere at valghandlingen ikke kan foretages elektronisk, hvis det ikke er muligt at fremskaffe tilstrækkeligt erstatningsudstyr Afprøvning af stemmeudstyr Ufuldstændig afprøvning Manglende klarhed over hvilken afprøvning, der skal udføres efter stemmeudstyr er opsat vil kunne betyde, at eventuelle fejl, mangler eller sabotage forbliver uopdaget. Dette kan betyde, at valgresultater bliver manipuleret eller at der i forbindelse med valghandlingen opstår fejl eller mangler, som kan være uløselig og derfor må betyde, at e-valghandlingen må stoppes Sabotage Der sker bevist sabotage mod udstyret, således dette enten destrueres eller modificeres i forbindelse med testen Tyveri Hvis der ikke er tilstrækkelig sikring af stemmeudstyr efter opsætning, er der risiko for tyveri. Tyveri af stemmekort vil kunne udnyttes til at give vælgere flere stemmer. Tyveri af øvrigt udstyr vil kunne udnyttes ved at modificere stemmeudstyret og derefter udbytte anvendt stemmeudstyr med det modificerede stemmeudstyr. Endvidere at valghandlingen ikke kan foretages elektronisk, hvis det ikke er muligt at fremskaffe tilstrækkeligt erstatningsudstyr Uddannelse Utilstrækkelig uddannelse Utilstrækkelig uddannelse af valgbestyrelse, valgstyrer, valgtilforordnede samt eventuelle valgteknikkere kan bl.a. have følgende konsekvenser: opsætning afstemmeudstyr besværlig- eller umuliggøres Ufuldstændig afprøvning af det opsatte udstyr Manglende mulighed for at introducere vælgere for hvordan e-valgssytemet virker, såfremt vælgere søger hjælp hertil Manglende mulighed for udbedring af eventuelle fejl, der opstår på systemerne under valghandlingen Manglende mulighed for / eller besværlig elektronisk optælling af resultater. 23

24 6. Valghandlingen Vi har i det følgende analyseret trusler/risici i forbindelse med valghandlingen. Vi behandler ikke den proces, som ligger forud for, at en vælger møder op til valget, da det forudsættes, at denne er lig processen for papirvalg, herunder tilsendelse af valgkort mv. og giver således ikke særlige trusler i forhold til e-valget. 6.1 Procesbeskrivelse Valghandlingen er den fase, der foregår på selve valgdagen på et givet valgsted. Valghandlingen strækker sig fra vælgeren ankommer til kontrolbordet og får udleveret et stemmekort, og indtil denne har afgivet sin stemme ved at aflevere stemmekortet i den digitale stemmekasse. Valghandlingen er inddelt i følgende faser: 1. Vælgerregistrering 2. Stemmeafgivelse Kontrolbord Stemmekort Stemmekortslæser/ skriver Touch screen Stemmemaskine i stemmerum 3. Stemmeregistrering Stemmekasse Stemmekort med stemme 1. Vælgerregistrering og udlevering af stemmekort. Vælgeren ankommer til kontrolbordet. Vælgerens identitet autentificeres af en valgtilforordnet ved valgbordet. Vælgeren autentificeres ved, at han/hun bliver bedt om at aflevere sit valgkort, hvorefter stemmekortet udleveres, og valgtilforordnet afkrydser vælgeren på valglisten. 2. Stemmeafgivelsen. I det afskærmede stemmerum indsætter vælgeren stemmekortet i stemmekortslæser/skriveren, der er en del af stemmemaskinen. Stemmekortet valideres, og kan det godkendes, åbnes for adgangen til den elektroniske stemmeseddel på touch screenen. Vælgeren foretager sit valg og bekræfter dette. Det foretagne valg printes i klartekst på stemmekortet, og stemmen tilskrives endvidere på kortet, således at det kan aflæses elektronisk efterfølgende (stregkode, chipkort eller RFID-chip). Herefter udføres kortet af stemmemaskinen. Før vælgeren forlader stemmekassen, skal vælgeren kontrollere den printede stemme på stemmekortet samt folde stemmekortet, så stemmen ikke er synlig. 3. Stemmeregistrering. Vælgeren registrer og foretager sit valg ved at indsætte stemmekortet i stemmekassen. Stemmekassen vil på dette tidspunkt elektronisk registrere den afgivne stemme, og resultatet skrives til et hukommelseskort. 24

25 6.2 Komponenter Herunder angives de komponenter, der er specielle for valghandlingen. Endvidere vil valghandlingen indbefatte en række komponenter, der er angivet i afsnit 3.1 Gennemgående komponenter. Aktiver Stemmekort før valghandling Beskrivelse Kortet er forsynet med grafik, der letter korrekt indføring af stemmekortet i valgrummets terminal. Stemmekort Ved foretagelse af valg i valgterminalen bliver stemmekortet påtrykt det trufne valg i klartekst: parti og evt. kandidatvalg. Desuden forsynes stemmekortet med digital tilskrivning, som indeholder information om det trufne valg. 25

26 6.3 Trusler Nedenfor beskrives de trusler, der er identificeret mod valghandlingen. Truslerne er opgjort for hver enkelt komponent i valghandlingen. Vi gør opmærksom på, at vi er kommet frem til truslerne uden at have fået detaljeret (teknisk) viden om de anvendte komponenter. Derudover er truslerne baseret på vores erfaringer og teoretiske antagelser. Der er således ikke udført praktiske afprøvninger. Stemmekortets opbygning består af to værdier. Den visuelle, som tydeligt viser hvilket valg vælgeren har truffet på et skriftligt print på stemmekortet. Den anden værdi er en matchende kopi af valgresultatet gemt digitalt og som typisk ikke er synlig og / eller læselig for det blotte øje. Den digitale version af dette lagermedie eller hukommelse, varierer alt efter, hvilken teknologi der anvendes. Der tages udgangspunkt i én af tre overordnede teknologier: 1- eller 2-dimensionelle stregkoder, chipkort eller RFID (elektroniske chips som kan kommunikere trådløst over korte afstande) Valgsted Strømafbrydelse, brand, vandskader, naturkatastrofer mv. Enten ved uheld eller sabotage. Dette kan resultere i, at det elektroniske valg, afhængig af skadestørrelsen, ikke kan fortsætte på det pågældende valgsted - eller forstyrre valghandlingen Manglende backupudstyr Ved fejl i de anvendte komponenter vil manglende backupudstyr gøre, at valghandlingen forsinkes eller i værste fald ikke kan genoptages Kompromitteret backupudstyr Hvis backupudstyret ikke er tilstrækkeligt beskyttet og ikke lever op til de samme krav som det primære udstyr, kan valghandlingen og -resultatet blive kompromitteret Valgbestyrelse, valgstyrer og valgtilforordnet Manglende uafhængighed Da ovennævnte personer har autoriseret adgang til flere af valghandlingens komponenter, har de større mulighed for at sabotere eller manipulere valghandlingen og resultatet, f.eks. ved at ødelægge/kompromittere stemmekort, stemmemaskinen og stemmekasse Manglende procedurer Valgbestyrelse, valgstyrer og valgtilforordnede mangler de fornødne procedurer i forbindelse med f.eks. driftsforstyrrelser Manglende kompetence/viden Valgbestyrelse, valgstyrer og valgtilforordnede mangler den fornødne kompetence/viden til at kunne drive e- valget Kandidatliste Fejl i kandidatlisten eller kandidatfrafald Hvis der efter valghandlingen er gået i gang bliver opdaget fejl i kandidatlisten på stemmemaskinen f.eks. en kandidat, der står forkert på stemmesedlen, kandidatfrafald eller forkerte bogstavbetegnelser, kan opdateringen af den elektronisk lagrede kandidatliste på alle stemmemaskinerne blive problematisk, da centralstyring eller fjernadgang til maskinerne bevidst er fravalgt Kandidatlisten ødelægges/kompromitteres Se 6.s.2.1 og Stemmekort Nedenstående trusler gælder stemmekort både før valghandling, med valg og registrering af valg. 26

27 Fysisk defekt Det digitale lagermedie/hukommelse på stemmekortet har en produktionsfejl og er defekt, eller kortet bliver ubrugelige på grund af uheld/uagtsomhed (f.eks. drikkevarer, der spildes i opbevaringsstedet for stemmekortene ved kontrolbordene) eller ved sabotage Sletning af lagermedie/hukommelse på stemmekortet (zapping) Hukommelsen på stemmekortene kan ødelægges ved at udsætte dem for store fysiske belastninger f.eks. i form af magnetisk stråling. Eksempelvis kan en RFID-chip eller et chip-kort, hvis disse anvendes på stemmekortene, ødelægges ved, at en sabotør sender en kraftig elektromagnetisk puls fra noget dertil egnet udstyr, som kan bygges forholdsvis nemt og billigt Falsk(e) stemmekort Falske stemmekort kan f.eks. udnyttes ved at lade, som om man har stemt forkert og således få ombyttet sit kort til et nyt. Hvis man ombytter et falsk kort til et nyt, kan man få mulighed for at stemme to eller flere gange, da man stadig har det oprindelige kort samt et eller flere nye. Det falske kort behøver ikke at indeholde fungerende teknologi, men kan blot være en vellignende visuel attrap. Risikoen er formentlig større end ved et normalt papirvalg, da stemmekortet typisk er helt blankt i modsætning til papirstemmesedler. Derudover vil det være muligt at producere en stribe falske stemmekort hjemmefra med fysisk print af parti/kandidat, som lægges i stemmekassen sammen med et validt stemmekort. Alt efter hvor avanceret den valgte teknologi er, vil det være nemmere at forsøge forfalskninger. Det vil for eksempel være enklere at producere en forfalsket stregkode end et chip-kort eller en RFID-enhed Stemmekort før valghandling Kopiering af stemmekort (cloning) Afhængigt af hvilken teknologi der anvendes som hukommelse på stemmekortet, findes der forskellige måder at kopiere det anvendte medie på. Med hjælp fra forholdsvis billigt udstyr, kan stemmekortet og dets hukommelse duplikeres og der vil på denne måde kunne fremstille et eller flere falske klonede stemmekort, direkte i stemmerummet før valget foretages Stemmekort med stemme Bruger kan ikke bruge stemmekortet Statistisk set vil enkelte vælgere, f.eks. handicappede ikke kunne læse den printede stemme på stemmekortet Bruger forstår ikke stemmekortet En bruger forstår ikke, hvad der står printet på kortet, eller ved ikke, hvad han/hun skal gøre med kortet efter afgivet stemme Kopiering af stemmekort (cloning) Afhængigt af hvilken teknologi der anvendes som hukommelse på stemmekortet, findes der forskellige måder at kopiere det anvendte medie på. Med hjælp fra forholdsvis billigt udstyr, kan stemmekortet og dets hukommelse duplikeres og der vil på denne måde kunne fremstille et eller flere falske klonede stemmekort, direkte i stemmerummet inklusive den valgte stemme. Alt efter hvor avanceret den valgte teknologi er, vil det være nemmere at forsøge forfalskninger. Det vil for eksempel være enklere at forfalske en stregkode end et chip-kort eller en RFID-enhed. En stregkode er umiddelbart synlig for alle og det er derfor også muligt for alle at tage et billede af stemmekort og dechifrere indholdet og læse den kryptografiske nøgle. Herefter kan et nyt stemmekort nemt produceres blot ved hjælp af en printer. Det er derfor vigtigt, at der implementeres metoder til at sikre, at et stemmekort (den afgivne stemme) ikke bliver læst to eller flere gange selvom en sabotør indlæser flere kopier af valgkortet. 27

28 Fjernaflæsning (skimming) Informationerne på et brugt stemmekort kan aflæses med aflytningsudstyr. RFID-enheder kan læses over en længere afstand, hvis der anvendes korrekt udstyr med et tilstrækkeligt magnetfelt. Det er derfor særlig vigtigt at beskytte valgkortene mod magnetisk påvirkning så sabotører ikke allerede inden valget eller ved valget når at skrive til stemmekortet med en falsk stemme, som sabotøren genererer Stemmemaskinen Uautoriseret adgang til stemmemaskinen Hvis stemmemaskinen ikke er tilstrækkeligt fysisk beskyttet og derudover tillader adgang til f.eks. USB-nøgler, cd-/dvd-medier, ekstra netværksstik eller har terminalporte, vil en sabotør kunne kompromittere maskinens funktionalitet, integritet og/eller drift. Hvis stemmemaskinens software ikke er tilstrækkeligt beskyttet mod uautoriseret adgang, f.eks. åbne netværksporte, terminal adgang, debugging information og privilegeret adgang gennem systemets opstartsfase vil en sabotør kunne kompromittere maskinens funktionalitet, integritet og/eller drift Uautoriseret adgang til stemmemaskinens afprøvningsmekanisme Afprøvningsmekanismen, der bruges til at teste udstyret, før valget starter, kan potentielt bruges til at kompromittere udstyret Vælgerens valg og data på stemmekortets lagermedie/hukommelse stemmer ikke overens Brugerens stemme skrives forkert til stemmekortets lagermedie/hukommelse. RFID-enheder kan læses over en længere afstand, hvis der anvendes korrekt udstyr med et tilstrækkeligt magnetfelt. Det er derfor særlig vigtigt at beskytte stemmekortene mod magnetisk påvirkning så sabotører ikke allerede inden valget eller ved valget når at skrive til stemmekortet med en falsk stemme, som sabotøren genererer Vælgerens valg og print på stemmekortet stemmer ikke overens Brugerens stemme printes forkert på stemmekortet Vælger kan ikke bruge stemmemaskinen Bl.a. nogle handicappede vælgere vil ikke kunne bruge stemmemaskinens touch screen Vælger forstår ikke stemmemaskinen Der er nogle vælgere, som vil have svært ved at bruge stemmemaskinen. F.eks. hvad de skal gøre med stemmekortet, hvordan de skal stemme (også blankt), eller hvordan de ved, at stemmen er afgivet korrekt Vælgerens valg kan ses af næste bruger Hvis brugerens stemme ikke fjernes fra touch screenen, vil denne kunne læses af næste bruger Favorisering af partier/kandidater Touch screenens inddeling kan bevirke, at det er nemmere eller sværere at stemme på visse partier/kandidater Brugerens stemme registreres på stemmemaskinen Hvis brugerens stemme registreres på stemmemaskinen sammen med klokkeslættet i f.eks. systemets log, vil det have indvirkning på anonymiteten Systemet reagerer meget langsomt Hvis stemmekort/læser, touch screen eller systemet i øvrigt reagerer meget langsomt, er der en større risiko for, at en vælger foretager et andet valg, end tilsigtet Stemmekortet udtages i utide Herunder kan der opstå fejl på stemmekortet, hvor brugerens stemme printes forkert på stemmekortet eller skrives forkert til stemmekortets lagermedie/hukommelse. 28

29 Softwarefejl eller -kompromittering Softwarefejl/-nedbrud i stemmemaskinen kan opstå på grund af svagheder og dårlig fejlhåndtering i applikationer, drivere eller det underliggende operativsystem. Derudover vil en sabotør kunne udføre angreb ved hjælp af ondsindet kode/data på et hjemmelavet lagermedie/hukommelse, som kan få applikationen til at gå ned eller f.eks. ændre den elektroniske kandidatliste eller listen over godkendte kryptogrammer til stemmekortene Hardwarenedbrud Hardwaren i stemmemaskinen kan gå i stykker. En sabotør ødelægger maskinens tilgængelige komponenter (touch screen og kortlæser) eller afbryder strømmen Sabotage i form af støj (jamming) Kommunikationen mellem stemmekortlæsere og stemmekort forstyrres ved, at en sabotør sender et støjsignal. Udstyret hertil kan købes på internettet Fjernaflæsning (skimming) Kommunikationen mellem stemmekortlæsere og stemmekort aflyttes med aflytningsudstyr Funktionsfejl opdages ikke Hvis funktionsfejl i maskinen ikke opdages i tide, kan valgresultatet blive påvirket Stemmekasse Stemmekasse registrerer stemmen mere end en gang Det er derfor vigtigt, at der implementeres noget funktionalitet, som sikrer at ét stemmekort kun kan afgive én stemme uanset, hvor mange gange den læses fysisk af systemet Stemmekasse registrerer stemmen fejlagtig eller slet ikke F.eks. på grund af en fejl i stemmekassens hardware eller software. Ellers fejl i den visuelle læsning af stemmekortet, hvis denne metode benyttes Stemmekasse registrerer stemmen fejlagtig eller slet ikke F.eks. på grund af en fejl i stemmekassens hardware eller software. Ellers fejl i den visuelle læsning af stemmekortet, hvis denne metode benyttes Stemmekasse registrerer stemmen med klokkeslæt Hvis stemmen registreres sammen med klokkeslættet, vil det påvirke anonymiteten Hukommelseskort kan aflæses, før valghandlingen er afsluttet Hvis hukommelseskortet ikke er tilstrækkeligt fysisk beskyttet, kan valgresultatet aflæses, før valghandlingen er afsluttet Fysisk defekt hukommelseskort Hukommelseskortet og/eller læseren holder op med at virke eller bliver ødelagt ved elektromagnetisk stråling (sabotage), således at der hverken kan skrives eller læses til og fra kortet. Der vil på denne måde ikke foreligge elektroniske valgresultater på hukommelseskortet eller den digitale stemmekasse Tyveri af hukommelseskort Hukommelseskortet bliver stjålet, hvorefter stemmekasserne ikke kan registrere elektroniske stemmer. Der vil på denne måde ikke foreligge elektroniske valgresultater Softwarefejl eller -kompromittering Softwarefejl/-nedbrud i stemmemaskinen kan opstå på grund af svagheder og dårlig fejlhåndtering i applikationer, drivere eller det underliggende operativsystem. Derudover vil en sabotør kunne udføre angreb ved hjælp af ondsindet kode/data på et hjemmelavet lagermedie/hukommelse, som kan få applikationen til at gå ned eller f.eks. ændre den elektroniske kandidatliste eller listen over godkendte kryptogrammer til stemmekortene. 29

30 Hardwarenedbrud Hardwaret i stemmekasser kan gå i stykker, således at stemmer ikke kan registreres elektronisk Funktionsfejl opdages ikke Hvis funktionsfejl i stemmekassen ikke opdages i tide, kan valgresultatet blive påvirket Uautoriseret adgang til stemmekassens afprøvningsmekanisme Afprøvningsmekanismen, der bruges til at teste udstyret, før valget starter, kan bruges til at kompromittere udstyret Valgstedsserver Annullering af stemmekort virker ikke Hvis stemmekort, der skal kasseres, ikke annulleres korrekt, kan stemmekortene genbruges. Se også afsnit

31 7. Resultatopgørelse og -indberetning 7.1 Procesbeskrivelse 1. Resultatsopgørelse 2. Resultatindberetning Valgstedsserver Hukommelses kort Hukommelses kortlæser Printer Valgresultat ` Manuel indtastning af valgresultat i KMD valgsystem 1. Resultatopgørelse. Ved afsluttet valghandling udtages hukommelseskort fra stemmekasser og indlæses i valgstedsserveren hvorefter det elektroniske valgresultat kan opgøres. Kortene behandles efter afsluttet valghandling præcis som stemmesedlerne ved papirbaseret valghandling, og de kan tælles op manuelt enten komplet eller som stikprøver. Stemmekortet er den gyldige enhed i opgørelsen af valgresultatet. Elektroniske optællinger i stemmekasser og antallet af udleverede stemmekort er som udgangspunkt kontroloptællinger, der kan bidrage til at kvalificere det opgjorte valgresultat af valgtilforordnede. Resultatet printes ud til viderebehandling. 2. Resultatindberetning. Det samlede resultat for valgstedet indberettes manuelt i KMD-valgsystemet, der indsamler det samlede landsresultat. Vi har ikke behandlet selve resultatindberetningen, da denne forudsættes at følge de processer, som allerede eksisterer for papirvalg. 7.2 Komponenter Der henvises til Trusler Nedenfor beskrives de trusler, der er identificeret mod resultatopgørelse og -indberetning. Truslerne er opgjort for hver enkelt komponent i resultatopgørelse og -indberetning. Vi gør opmærksom på, at vi er kommet frem til truslerne uden at have fået detaljeret (teknisk) viden om de anvendte komponenter. Derudover er truslerne baseret på vores erfaringer og teoretiske antagelser der er ikke udført praktiske afprøvninger Valgbestyrelse, valgstyrer og valgtilforordnet Manglende uafhængighed Da ovennævnte personer har autoriseret adgang til flere af valghandlingens komponenter, har de mulighed for at manipulere resultatopgørelse og -indberetning Manglende procedurer Valgbestyrelse, valgstyrer og valgtilforordnede mangler de fornødne procedurer i forbindelse med resultatopgørelse og -indberetning Manglende kompetence/viden Valgbestyrelse, valgstyrer og valgtilforordnede mangler den fornødne kompetence/viden til at kunne udføre resultatopgørelse og -indberetning. 31

32 7.3.2 Hukommelseskort Fysisk defekt hukommelseskort Hukommelseskortet holder op med at virke eller bliver ødelagt f.eks. ved elektromagnetisk stråling (sabotage), således at der hverken kan skrives eller læses til og fra kortet. Der vil på denne måde ikke foreligge elektroniske valgresultater Tyveri af hukommelseskort Hukommelseskortet bliver stjålet. Der vil på denne måde ikke foreligge elektroniske valgresultater Valgstedsserver Valgresultatet beregnes ikke korrekt Fejl i softwaren på valgstedsserveren kan resultere i, at valgresultatet fra hukommelseskort ikke beregnes korrekt Dekryptering virker ikke I tilfælde af, at de elektroniske oplysinger på stemmekortet er krypteret, kan en fejl i softwaren, manglende krypteringsnøgler eller sabotage resultere i, at valgresultatet ikke læses korrekt Uautoriseret adgang til valgstedsserver Hvis valgstedsserveren ikke er tilstrækkeligt fysisk beskyttet og derudover tillader adgang til f.eks. USB-nøgler, CD/DVD-medier eller har terminalporte, vil en sabotør kunne kompromittere maskinens funktionalitet, drift og resultatet.derudover vil en sabotør kunne udføre lokale angreb, som kan påvirke det endelige valgresultat Softwarefejl eller -kompromittering Softwarefejl/-nedbrud i valgstedsserveren kan opstå på grund af svagheder i applikationer, drivere eller det underliggende operativsystem Hardwarenedbrud Hardwaren i valgstedsserveren kan gå i stykker. En sabotør ødelægger maskinens tilgængelige komponenter eller afbryder strømmen Funktionsfejl opdages ikke Hvis funktionsfejl i maskinen ikke opdages i tide, kan valgresultatet blive påvirket. 32

33 8. Nedpakning/Opbevaring Når valghandlingen er afsluttet, herunder optælling er overført til KMD s valgsystem, skal det udstyr, som har været anvendt til e-valget nedpakkes. Hukommelseskort, anvendt i de digitale stemmekasser, samt de digitale stemmekort forventes at skulle behandles på samme som papirvalgstemmesedler, efter et valg er afsluttet. Vi har derfor ikke behandlet dette nærmere. Derimod har vi analyseret trusler mod det hardware og software, som har været anvendt til e-valget i forbindelse med nedpakning og opbevaring frem til næste e-valg. 8.1 Procesbeskrivelse Processen omfatter følgende faser: Nedpakning Fragt til opbevaringssted Opbevaring til næste E-valg 1. Nedpakning af stemmeudstyr samt ubrugte stemmekort foretages efter valghandlingen er afsluttet, i forbindelse med den øvrige nedpakning af valgstedet. De dele af stemmeudstyret som skal opbevares frem til næste valg klargøres til fragt til opbevaringssted i kommunen eller anden lokation frem til næste e-valg. Øvrigt udstyr klargøres til destruktion eller anden anvendelse. 2. Fragt fra valgsted til opbevaringslager frem til næste e-valg. 3. Stemmeudstyr som forventes anvendt ved næste e-valg opbevares på lager i kommunen eller anden lokation under kommunens varetægt. 8.2 Komponenter Der henvises til afsnit 3.1 Gennemgående komponenter. 8.3 Trusler Valgbestyrelse, valgstyrer og valgtilforordnet Manglende uafhængighed Da ovennævnte personer har autoriseret adgang til flere komponenter, har de større mulighed for at sabotere udstyr under nedpakning, f.eks. ved at ødelægge/kompromittere stemmemaskine, stemmekasse og valgstedsserver Manglende procedurer Valgbestyrelse, valgstyrer og valgtilforordnede mangler de fornødne procedurer i forbindelse med forsvarlig nedpakning af udstyr Manglende kompetence/viden Valgbestyrelse, valgstyrer og valgtilforordnede mangler den fornødne kompetence/viden til at kunne nedpakke udstyr forsvarligt Stemmemaskine/Stemmekasse/Valgstedsserver Udstyr kompromitteres/ beskadiges under nedpakningen Enten ved uheld eller sabotage. Se Udstyr kompromitteres/ beskadiges under fragten Den ansvarlige for fragten vil have mulighed for at sabotere udstyret eller kommer til at beskadige det ved et uheld. 33