Assembly Voting. E-valgsystemer til afholdelse af lov- og vedtægtsbestemte valg



Relaterede dokumenter
E-valgsystemer til afholdelse af lov- og vedtægtsbestemt valg. Opbygning og datasikkerhed

KANDIDATER. Let og sikker opstilling af kandidater

Konference-kit. Assembly Voting Konference er et digitalt afstemningssystem og forum til brug i forsamlinger

Introduction to products and operation processes. Ældrerådsvalg. Ældrerådsvalg / Seniorrådsvalg

Beboerdemokrati 2.0. Hele eller dele af beboerdemokrati 2.0. Beboerdemokrati 2.0 bygger på Danmarks mest

Beboerdemokrati 2.0. Digitale afdelingsmøder i boligafdelinger

Digitale afdelingsmøder med Beboerdemokrati 2.0

Forretningsgang for valg til bestyrelsen i MP Pension

Beboerdemokrati 2.0. Digitale afdelingsmøder i boligafdelinger

Valg til integrationsrådet 2014

Valg til integrationsrådet SÅDAN GENNEMFØRES VALGET

STOFA VEJLEDNING ONLINEDISK INSTALLATION

DIGITALT UNGDOMSVALG - mulighed for valgkampagne ifm. den interaktive ungdomsportal

Opret en begivenhed og/el. tjekliste

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Guide til IT-afdelingen: Test af DANBIO6 Kiosksystem

Samtykke, Cookie- og privatlivspolitik

Indstilling. Valg til Integrationsrådet Resume. Til Århus Byråd via Magistraten. Borgmesterens Afdeling. Den 13. november 2009.

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Version 8.0. BullGuard. Backup

MEDARBEJDERSAMTALER Planorama

En trin-for-trin forklaring af bestilling og aktivering af NemID

Dette valgregulativ fastsætter reglerne for valg af 2 forbrugerrepræsentanter til bestyrelsen samt 2 suppleanter for disse.

2.2 Valgregulativet er udstedt af Selskabernes bestyrelser.

Nets - Medarbejder Signatur

Manual til Den Elektroniske Portefølje i Almen Medicin Tutorlægens udgave

Dokumentation af sikkerhed i forbindelse med databehandling

Brugerguide til STAR s Tilskudsportal

Seniorrådsvalg som hybridvalg. Kombineret digitalt- og brevvalg med digitalpost.

Velkommen til OPEN Storage

Retningslinjer for behandling af cookies og personoplysninger

Valgregulativ. Forbrugervalgt repræsentanter til bestyrelsen i Hørsholm Vand ApS

EffEKTIvISER hverdagen AMPAREX brugervenligt OG InTEGRERET SOfTWARE TIl OPTIKERE Kunde håndtering KASSe (POS) MArKedSføring

Procedure for Ældrerådsvalg 2017

Serviceaftale. Serviceaftale vedr. digitale løsninger. mellem. CompanYoung ApS. Vestre Havnepromenade 1B, 3. Sal, 9000 Aalborg. CVR-nr.

VEJLEDNING TIL VALGKONTROLLANTEN

Service Level Agreement

Oftest stillede spørgsmål

Indledning. MIO er optimeret til Internet Explorer. Læs endvidere under Ofte stillede spørgsmål.

Stk. 2. Ingen kan udøve valgret eller kandidere til valget uden at være optaget på valglisten.

Journalmodulet er udviklet specifikt til psykologer med stor fokus på sikkerhed. Journalen indeholder bl.a.:

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

Politik for informationssikkerhed i Plandent IT

BullGuard Premium Protection Installation af BullGuard Premium Protection Ny BullGuard-bruger... 2

Service Level Agreement

Valgregulativ for Mariagerfjord Vand a s

DPSD2 Guide: Sådan sikrer du at du kan logge ind i DPSD2.

Vejledning til Praktikportalen

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

I løbet af 2017 vil C-drevet på alle UCL s bærbare computere automatisk blive krypteret med BitLocker.

Teknisk guide til opsætning af SPF, DKIM og DMARC for at sikre optimale leveringsrater for s fra webcrm, ved brug af Mailjet.

Sådan beskytter du din computer mod angreb

Vejledning til Praktikportalen

e-conomic modul til Magento

DRFLive - dynamisk visning af resultater fra DRF Stævnesystem

UniIReg : Web program til registrering, rapportering, statistik/udtræk og opfølgning

Web MTC manual. Version

MyArchive.kb.dk Selvarkivering af s

STOFA VEJLEDNING SAFESURF INSTALLATION

Keepit Classic. Keepit Classic Relaterede Problemer

Brugerguide til STAR s Tilskudsportal

OS2faktor. Brugervejledning. Version: Date: Author: BSG

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Skyfillers Hosted SharePoint. Kundemanual

Borgerforslag.dk. Supplerende dokument til flowchart. Ref

MANUAL. Præsentation af Temperaturloggerdata. Version 2.0

VEJLEDNING Udfyldelse af spørgeskemaet

Transkript:

E-valgsystemer til afholdelse af lov- og vedtægtsbestemte valg Marts 2013

Om Assembly Voting Assembly Voting er et samarbejde mellem Siemens A/S og Aion ApS om gennemførelse af demokratisk gyldige elektroniske valghandlinger, der er bygget op ud fra internationale anbefalinger for e-valg; teknisk opbygning, dokumentation og brugervenlighed (bl.a. Europarådets "Legal, Operational and technical standards for e- voting" og OSCE s Guidelines for observation of electronic voting ). Siemens A/S leverer teknologien, og Aion ApS står for organiseringen af valghandlinger med elektronisk stemmeafgivelse ved lov og vedtægtsbestemte valg i blandt andet faglige organisationer og kommuner. Assembly Voting er i dag Danmarks mest benyttede elektroniske valgsystemer, og har siden starten i 2001 været benyttet ved over 350 bindende valghandlinger med mere end 6.500.000 vælgere. Assembly Voting er bl.a. blevet benyttet i 3F, HK, FOA, Dansk Metal, Bibliotekarforbundet, Dansk Magisterforening, Ingeniørforeningen (IDA), Dansk Sygeplejeråd, Kommunikation og Sprog (KS) og Danmarks Idræts-Forbund (DIF) og Team Danmark, Frederiksberg Kommune, Aarhus Kommune, Frederikssund Kommune, Køge Kommune, Esbjerg Kommune, Roskilde Kommune, TopDanmark, Siemens, m.fl. Forskningsbaseret valgteknologi Virksomhederne bag Assembly Voting deltager som partnere i DemTech Demokratisk teknologi ved IT Universitetet i København. Projektet er blandt verdens største forskningsmæssige satsninger i udviklingen af sikre e- valgteknologier. Projektet er bl.a. støttet af Det Strategiske Forskningsråd, og involverer en række af verdens førende forskere i e-valgteknologi. Læs mere om Assembly Voting på www.assemblyvoting.com Læs mere om Demtech demokratisk teknologi på www.demtech.dk Assembly Voting Jacob Gyldenkærne, Aion ApS Mail: jacob@aion.dk Tlf: 2684 6644 www.assemblyvoting.com www.demtech.dk 2

Valgsystemernes opbygning og datasikkerhed Kort om valgsystemerne Assembly Voting består af flere forskellige systemtyper, der kan tages i brug alt efter opgavens krav og specifikationer. Brugerfladen er den samme for de forskellige systemer. Systemerne understøtter langt de fleste typer af valghandlinger (urafstemninger, kandidatvalg med 1 eller flere stemmer, stemmevægte etc.) Assembly Voting er opbygget, så det sikres, at 3 grundlæggende principper ved en legitim demokratisk valghandling altid overholdes: 1) at kun stemmeberettigede har mulighed for at stemme, 2) at der for hver stemmeberettigede kun registreres et gyldigt antal stemmer, uanset hvilket afstemningsmedie der benyttes 3) at der er fuld anonymitet omkring den afgivne stemme Der findes 2 overordnede varianter af valgsystemerne i Assembly Voting. De adskiller sig i den tekniske systemopbygning og i principperne for den praktiske organisering af valghandlingen. Herunder gennemgås de 2 valgsystemer. 3

Assembly Voting Version 1 (AVV1) Bruges primært til afholdelse af vedtægtsbestemte valg i faglige organisationer og foreninger Al datatrafik krypteres i såvel transaktion som lagring. Data spejles over flere servere (fuld redundans), så datatab kun eksisterer som teoretisk mulighed - Assembly Voting har aldrig haft datatab. En stemme registreres i databasen som en relation imellem stemmeberettiget stemmeprofil og et valgalternativ. Anonymitet sikres efter et organiserende anonymitetsprincip, hvor systemleverandør via valgsystemet, alene har adgang til anonymiserede stemmeprofiler (randomiserede numeriske eller alfanumeriske koder). Valgkunde eller 3. part forestår udsendelse af gyldige valgkoder via personificerede valgkort til stemmeberettigede vælgere. Der er således organiseret adskillelse mellem valgliste med stemmeberettigede og stemmeregistrering i valgsystem. Valgsystemet kan kun tilgås af godkendte navngivne personer i beskyttet miljø (læs mere nedenfor). For at øge tilgængeligheden kan AVV1 understøtte 2 yderligere elektroniske afstemningsmedier (ud over internet): SMS IVR (voice response telefoni) Generelt kan man sige, at de 2 supplerende afstemningsmedier reducerer sikkerheden for anonymitet i valghandlingen. Det er koblingen i gateways mellem et anvendt telefonnummer og stemmeoplysningerne, der tilføjer en risikovariabel i relation til brud på anonymitet i stemmeafgivelsen. 4

Web, sms og IVR er i dette set up integreret i samme base. Dvs. man kan kun stemme afgive et gyldigt antal stemmer uanset medie. Det grundlæggende problem ved sms er at sikre fuld anonymitet på SMSgatewayen. Gatewayen kan registrere, fra hvilket nummer en given tekststreng kommer, og dermed kompromittere adskillelsen mellem stemme og vælgerid. I samarbejdet med gateway leverandør til Assembly Voting, er der udviklet en frakobling af stemmedata fra mobilnummer, så snart stemmen modtages. Så den medarbejder der håndterer gatewayen ikke har adgang til koblingen mellem tekststreng og telefonnummer. Det grundlæggende problem ved IVR er ligeledes at skille telefonnummer fra indtastning via telefonen. Der r ikke en umiddelbar løsning på dette problem, og en medarbejder med fuld database adgang kan i princippet finde ud af, fra hvilket telefonnummer en given indtastning kommer. Assembly Voting oplyser om de tilknyttede problemstillinger ved SMS og IVR i relation til valghandlinger overfor valgkunder. Det er valgkundernes suveræne beslutning jf. valgvedtægter og tilknyttet valgbestyrelse / revision der beslutter hvilke afstemningsmedier, der skal være tilgængelige i den givne valghandling. 5

Sikkerhed Assembly Voting Version 2 (AVV2) Bruges primært til højrisikovalg, fx lovbestemte valg. AVV2 er bygget op omkring asymmetrisk kryptering. En krypteringsnøgle består af 2 nøglehalvdele ofte kaldet den offentlige nøgle og den private nøgle. Den offentlige nøgle anvendes til at kryptere en tekst og kun den tilhørende private nøgle kan anvendes til dekryptering. Det kan udtrykkes lidt populært således: Med den offentlige nøgle kan man gemme en stemme i en forseglet kuvert. Seglet kan kun brydes hvis man har den private nøgle. Implementering af stemmekryptering I AVV2 er valgsystemet udvidet med et program, der installeres på en PC som ikke har netadgang. Denne PC benævnes resultatpc. På resultatpc en generes et nøglesæt og den offentlige nøgle overføres manuelt til valgserveren, den private nøgle bliver på resultatpc en. Når en vælger logger ind på valgserveren for at stemme overføres hele opstillingslisten og den offentlige nøgle til vælgerens PC, stemme dialogen inkl. navigering imellem valglister sker lokalt, når vælgeren har afgivet og bekræftet sin stemme krypteres denne med en offentlige nøgle og kryptogrammet sendes til valgserveren. Man kan bruge analogien, at stemmen lægges i en kuvert og forsegles. 6

Den krypterede stemme gemmes i databasen, relationen i databasen imellem stemmen og kandidaten etableres ikke. Dvs. personale med fuld databaseadgang kan i dette system se, at en stemmeprofil har stemt, men ikke hvad der stemt på profilen. Så selv om man skulle have adgang til den fulde udsendingsbase, vil man stadig ikke kunne tilbageføre afgivne stemmer til enkeltpersoner. 7

Når valget er afsluttet dannes en liste, som indeholder alle kryptogrammer, listen omordnes automatisk (mixed variation) således sekvensen af kryptogrammerne ikke kan relateres til en sekvens af vælgerne i databasen. Denne liste overføres manuelt til resultatpcen. ResultatPCen dekrypterer kryptogrammerne med anvendelse af den private nøgle og danner en valgbog med resultatet. Valgbogen kan printes direkte eller bæres tilbage til valgserveren. Option: Netadgang fra resultatpc Man kan lette processen hvis man giver resultatpc en netadgang, dataoverførelsen imellem resultatpc en og valgserveren kan ske direkte fra resultatpc en. Dette svækker ikke sikkerheden i løsningen væsentligt, men gør argumentationen for sikkerheden lidt svagere idet man skal argumentere for at resultatpc en ikke kan blive inficeret med malware som kan eksponere den private nøgle for tredje part. 8

Brugerflade og eksekvering af stemmeafgivelse Systemets brugerflade er testet hos en bred målgruppe gennem en periode på 6 måneder og tilpasset herefter. Det er tilstræbt at stemmeafgivelsen skal være selvindlysende, og at brugeren derfor føler sig hjemme og sikker i stemmeafgivelsesprocessen. Det er imidlertid umuligt at udelukke at enkelte vil have behov for hjælp, hvorfor en Hotline service vil være tilgængelig gennem hele valgperioden. Se eksempel på stemmeafgivelse sidst i dokumentet, (Stemmeafgivelse i Assembly Voting, s. 9) Driftssikkerhed Systemet overvåges døgnet rundt i hele valgperioden, og uregelmæssigheder registreres løbende. Alle systemer er redundante, og data kan til enhver tid genskabes i tilfælde af strømudfald eller lignende. Systemet revideres løbende teknisk både af interne teknikere og eksterne eksperter. Assembly Voting har over en periode på 10 år haft en oppe tid på over 99,9%. Systemet opdateres løbende til at kunne håndtere alle nye versioner af browserne: Internet Explorer, Mozilla Firefox, Safari, Opera og Google Chrome. Systemet virker i af alle setups. Kun i tilfælde af ekstremt sikre firewalls kan brugeren opleve, at firewallen vil nægte adgang til systemet (under 1 promille). Hvis det tilfælde skulle opstå, kan brugeren stemme via sms eller fra anden personlig computer. De elektroniske valgkort er lavet ud fra en gennemtestet skabelon, der løbende testes i forhold til at kunne undgå firewalls og spamfiltre. Der laves halvårligt nye revisioner af valgkortskabelonen, for at sikre optimal penetration (under 1 promille af udsendte elektroniske valgkort afvises af firewalls eller fanges i spamfiltre). Hosting faciliteter Assembly Voting systemet hostes hos Siemens A/S i deres profesionelle regnecenter. Serverparken er fuld redundant og under konstant overvågning. Siemens A/S koncernen anvender et system for sikkerhedsledelse som specificeret i BS 7799/ISO 17799. Som supplement til BS 7799/ISO 17799 er der for centrale dele af IT-produktionen defineret et antal ITIL-processer, der dækker væsentlige dele af de krav, som kræves i DS 484/ISO 27002. De politikker, som Siemens har besluttet er generelt i overensstemmelse med DS 484. Siemens har nedsat en projektgruppe og fastlagt en plan for udformning af de nødvendige procedurer, herunder etablering af det nødvendige kontrolsystem for sikring af at procedurerne overholdes og for at sikre, at Siemens vil være i overensstemmelse med både ISO 17799 og DS 484. Driftsmiljøet har endvidere en RJ 3411B erklæring. Datasikkerhed Al datatrafik krypteres i såvel transaktion som lagring. Data spejles over flere servere (fuld redundans), så datatab kun eksisterer som en teoretisk mulighed - Assembly Voting har aldrig haft datatab. 9

Systemet angribes planlagt årligt af eksterne eksperter for at sikre mod eventuelle nye browser exploits og sikre, at det kan modstå ex. DoS angreb. Nye krypteringsteknologier implementeres løbende i samråd med Siemens A/S og IT Universitetet. Assembly Voting systemet testes ligeledes løbende af uvildige revisionsvirksomheder, der på vegne af foreninger og kommuner tilser, at valghandlingen gennemføres i overensstemmelse med grundlæggende demokratiske principper og valgvedtægter. Håndtering af data Al datakommunikation af fortrolige medlemsdata mellem kunde og Assembly Voting systemet foregår krypteret via sikker ftp server eller vi fysisk overlevering af data på usb-sticks.. Datafiler hentes fra sikret server direkte ned på usb-stick for at undgå lagring af sensitive data på PC forbundet til Internettet. Datafiler overføres fra usb til krypteret drev på offline PC'ere som anvendes til generering af passwords/valgkoder, opsætning af valgsystem og generering af personlige valgkort/stemmesedler i PDF-format til print. I alle faser af databehandlingen gennemføres integritetscheck af data og overensstemmelse med leverede stamdata fra kunde. Integritetstestene gennemføres både elektronisk og ved manuelle stikprøver. Ved godkendt valghandling og valgresultat, dvs. at der ikke inden indsigelsesfristens udløb er fundet uregelmæssigheder der kompromitterer valgets rigtighed, destrueres alle databaser med personoplysninger og stemmeafgivelser. Registrering af henvendelser Alle henvendelser fra stemmeberettigede registreres i logbog for valghandlingen. Henvendelserne kan foregå via telefon til hotline-service eller email til teknisk valgansvarlig. For hver henvendelse registreres og kategoriseres henvendelsens årsag og efterfølgende handling. Mere specifikt registreres: Dato og tidspunkt for henvendelse Valgkode (for den der henvender sig) Årsag til henvendelse; Teknisk problem karakter (a. problemer med link, b. problemer med log on procedure, c. andre systemproblemer specificeres) Kommunikativ problem karakter (a. manglende information om stemmeafgivelse, b. spørgsmål til system/organisering af valghandling, c. andre spørgsmål til kommunikation omkring valghandlingen specificeres) Konklusion på henvendelse; aktionsbeskrivelse over for stemmeberettigede fra teknisk ansvarlig og opgørelse; løsning/ikkeløsning af problem for stemmeberettiget Logbogen over de personlige henvendelser indgår sammen med logfilen over den tekniske afvikling af valghandlingen i afstemningssystemet som grundlag for en samlet validering af valgresultatets rigtighed. 10

Valideret valgresultat Valgresultatet kan valideres hvis der ikke i valghandlingen er indtruffet forhold af teknisk, organisatorisk eller kommunikativ karakter, der kan skabe begrundet usikkerhed om valgresultatets rigtighed. Hovedkriteriet for validering af valgets rigtighed er, at de indtrufne uregelmæssigheder ikke må kunne have betydning for om det ene valgbare alternativ er valgt frem for et andet valgbart alternativ. Med til afgørelsen af valgets rigtighed indgår logfilen over stemmeafgivelsens tekniske afvikling, og logbogen med opgørelse over de personlige henvendelser fra stemmeberettigede i valgperioden. Valgresultatets rigtighed bevidnes med underskrift af medlemmerne af den ansvarlige valgbestyrelse / valgudvalg på vegne af den kommune, organisation eller forening valget afholdes i. Løbende intern og ekstern revision af valgsystem og procedurer Valgsystemet testes løbende af valgkunders egne uvildige revisionsvirksomheder, samt af Siemens interne IT-revision. Revisionen udøves både på teknisk set up, performance, datasikkerhed og procedurer for opsætning af valg, gennemførelse af valghandling og opgørelse af valgresultat. Desuden gennemføres årlige penetrationstests ved ForteConsult. 11

Stemmeafgivelse i Assembly Voting Assembly Voting er et dedikeret valgsystem, der er designet til at gennemføre legitime valghandlinger. Det betyder, at du som vælger kun har mulighed for at møde informationer og funktioner, der specifikt er knyttet til afgivelsen af en stemme. Brugerfladen er bygger på OECD og EU s anbefalinger, og er gennemtestet på landsrepræsentative vælgergrupper. Nedenfor er et eksempel på en brugerflade og flow over stemmeafgivelse ifm. et Hovedbestyrelsesvalg for Bibliotekarforbundet. Log in til valgsystemet Log in siden kan nås via link på foreningen eller organisationens hjemmeside. Ved adgang til Log in siden skal både den unikke fremsendte valgkode og BrugerID (fødselsdato, 6 cifre, ddmmåå) indtastes. 12

Den elektroniske stemmeseddel Den elektroniske stemmeseddel åbner ved godkendt log in. Dvs. godkendt stemmeprofil (Valgkode og BrugerID), samt ikke tidligere afgivet stemme. Kandidat CV Det er muligt at indsætte billede og kort tekst af de opstillede kandidater. Der kan endvidere linkes til uddybende kandidatpræsentation på egne hjemmesider. 13

Afgivelse af stemme Der klikkes på den kandidat man ønsker at stemme på. Maksimalt antal stemmer er angivet på siden. Herefter klikkes på Afgiv stemme. Bekræftelse af stemme Først når stemmen er bekræftet, er den registreret i valgsystemet. Kan stemmen ikke bekræftes vender man tilbage til stemmesedlen. 14

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback