E-valgsystemer til afholdelse af lov- og vedtægtsbestemt valg. Opbygning og datasikkerhed

Relaterede dokumenter
Assembly Voting. E-valgsystemer til afholdelse af lov- og vedtægtsbestemte valg

Assembly Voting Konference-Kit

Konference-kit. Assembly Voting Konference er et digitalt afstemningssystem og forum til brug i forsamlinger

Beboerdemokrati 2.0. Boliglaboratoriet Gothersgade 11, 3- sal 1123 København K line@boliglaboratoriet.

Introduction to products and operation processes. Ældrerådsvalg. Ældrerådsvalg / Seniorrådsvalg

KANDIDATER. Let og sikker opstilling af kandidater

Beboerdemokrati 2.0. Hele eller dele af beboerdemokrati 2.0. Beboerdemokrati 2.0 bygger på Danmarks mest

Assembly Voting Konference

Beboerdemokrati 2.0. Digitale afdelingsmøder i boligafdelinger

Seniorrådsvalg som hybridvalg.

Forretningsgang for valg til bestyrelsen i MP Pension

Digitale afdelingsmøder med Beboerdemokrati 2.0

Valg til integrationsrådet 2014

Forretningsgang for valg til bestyrelsen i MP Pension. I henhold til vedtægtens 9 og 10 fastsættes følgende om valg til bestyrelsen:

Assembly Voting ApS. Kompagnistræde 6, København K CVR:

Valg til integrationsrådet SÅDAN GENNEMFØRES VALGET

Medborgerskab 2.0. Medborgerskab 2.0

Beboerdemokrati 2.0. Digitale afdelingsmøder i boligafdelinger

Digitale afdelingsmøder med Beboerdemokrati 2.0

STOFA VEJLEDNING ONLINEDISK INSTALLATION

Guide til IT-afdelingen: Test af DANBIO6 Kiosksystem

Opret en begivenhed og/el. tjekliste

Tilbud på hybridvalg. Afholdelse af Ældrerådsvalg 2013 i Furesø Kommune

Sotea ApS CVR-nr

DIGITALT UNGDOMSVALG - mulighed for valgkampagne ifm. den interaktive ungdomsportal

Sotea ApS. Indholdsfortegnelse

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Dette valgregulativ fastsætter reglerne for valg af 2 forbrugerrepræsentanter til bestyrelsen samt 2 suppleanter for disse.

Sikkerhedspolitik Version d. 6. maj 2014

Samtykke, Cookie- og privatlivspolitik

Valgregulativ Samsø Spildevand A/S Cvr.nr Forbrugerrepræsentation i bestyrelsen. 1. Formål. 2. Baggrund

Indstilling. Valg til Integrationsrådet Resume. Til Århus Byråd via Magistraten. Borgmesterens Afdeling. Den 13. november 2009.

Version 8.0. BullGuard. Backup

VALGREGULATIV. Nærværende valgregulativ, der er udarbejdet af selskabets bestyrelse, fastsætter reglerne for valgets gennemførelse.

Nets - Medarbejder Signatur

Dokumentation af sikkerhed i forbindelse med databehandling

Valgprotokol. Vedrørende valg af repræsentantskabet. Eniig a.m.b.a. Marts 2019

2.2 Valgregulativet er udstedt af Selskabernes bestyrelser.

Manual til Den Elektroniske Portefølje i Almen Medicin Tutorlægens udgave

Procedure for Ældrerådsvalg 2017

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Retningslinjer for behandling af cookies og personoplysninger

Valgregulativ. Forbrugervalgt repræsentanter til bestyrelsen i Hørsholm Vand ApS

MEDARBEJDERSAMTALER Planorama

frcewtfrhousf(wpers ml

VALG AF FORBRUGERREPRÆSENTANTER I GRIBVAND SPILDE- VAND A/S

Brugerguide til STAR s Tilskudsportal

Vejledning til afvikling af et digitalt afdelingsmøde

Valgregulativ for. Norliv. Foreningen for kunder i Nordea Liv & Pension

Din digitale samarbejdsplatform

Serviceaftale. Serviceaftale vedr. digitale løsninger. mellem. CompanYoung ApS. Vestre Havnepromenade 1B, 3. Sal, 9000 Aalborg. CVR-nr.

Service Level Agreement

En trin-for-trin forklaring af bestilling og aktivering af NemID

Capto Digital Signatur via Penneo

GUIDE FOR BRUG AF SPORTI s MEDLEMSDATABASE NORGE. SPORTI Tarp Byvej Esbjerg N 1

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Valgregulativ Forbrugerrepræsentanter. Aalborg Vand A/S og Aalborg Kloak A/S

Valgregulativ for. TryghedsGruppen smba

DataHub Forbrugeradgangsløsning Spørgsmål og svar

Vejledning: AMUUDBUD.DK

Teknisk guide til opsætning af SPF, DKIM og DMARC for at sikre optimale leveringsrater for s fra webcrm, ved brug af Mailjet.

Databeskyttelsespolitik for Medictinedic ApS

Service Level Agreement

OS2faktor. Brugervejledning. Version: Date: Author: BSG

Borgerforslag.dk. Supplerende dokument til flowchart. Ref

Service Level Agreement

Velkommen til OPEN Storage

Stk. 2. Kommunalbestyrelsen udpeger en central kommunal koordinator.

VALGREGULATIV FOR NORD ENERGI A.M.B.A.

DPSD2 Guide: Sådan sikrer du at du kan logge ind i DPSD2.

Svanningevej 2 DK-9220 Aalborg Øst Tel

Lav etiketter online. Hvorfor? Før du går i gang. Hvordan

Vejledning - Stamdata i ENAO

Brugerguide til styrelsens Tilskudsportal

Valgregulativ for Mariagerfjord Vand a s

Præsentation af Curanets sikringsmiljø

Oftest stillede spørgsmål

WORKSHOP BSS. Databeskyttelse AARHUS OLE BOULUND KNUDSEN UNIVERSITET 18. DECEMBER 2017 INFORMATIONSSIKKERHEDSCHEF

Bekendtgørelse om VALGREGLER (udkast, version )

Borgerforslag - støtterblanket

Vejledning til brug af Bank RA Revisionsinstruks

Vejledning til Køreprøvebooking. FAQ Ofte stillede spørgsmål

VALG AF FORBRUGERREPRÆSENTANTER I EGEDAL VANDFORSY- NING A/S OG EGEDAL SPILDEVAND A/S

Stk. 2. Ingen kan udøve valgret eller kandidere til valget uden at være optaget på valglisten.

KOMBIT FLIS. Teknisk Tilslutning. Version: 1.0 Status: Endelig Godkender: Forfatter: Ingo Nielsen Nicolai Juel Vædele

Sikkerhedspolitik Version d. 3. oktober 2013

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

VEJLEDNING TIL VALGKONTROLLANTEN

Vejledning til brug af Citrix platform hos DIN Forsyning

Overordnet organisering af personoplysninger

Valgcirkulære, Institutfora, Health Cirkulære af 23. oktober 2012 om gennemførsel af valg til institutfora/skoleforum ved Health, Aarhus Universitet

Journalmodulet er udviklet specifikt til psykologer med stor fokus på sikkerhed. Journalen indeholder bl.a.:

Februar Vejledning til Danske Vandværkers Sikker mail-løsning

UniIReg : Web program til registrering, rapportering, statistik/udtræk og opfølgning

V A L G R E G U L A T I V

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

KOM GODT I GANG MED ENAO

Journalnr.: HEF HIMMERLANDS ELFORSYNING A.m.b.a. Valgregulativ

Elektronisk signering manual 1.3

Transkript:

E-valgsystemer til afholdelse af lov- og vedtægtsbestemt valg Opbygning og datasikkerhed 2014

Om Assembly Voting Assembly Voting er udviklet i samarbejde mellem Siemens A/S og Aion ApS til gennemførelse af demokratisk gyldige elektroniske valghandlinger, der er bygget op ud fra internationale anbefalinger for e-valg; teknisk opbygning, dokumentation og brugervenlighed (bl.a. Europarådets "Legal, Operational and technical standards for e-voting" og OSCE s Guidelines for observation of electronic voting ). Aion ApS leverer teknologien og står for organiseringen af valghandlinger med elektronisk stemmeafgivelse ved lov og vedtægtsbestemte valg i blandt andet faglige organisationer og kommuner. Assembly Voting er i dag Danmarks mest benyttede elektroniske valgsystemer, og har siden starten i 2001 været benyttet ved over 550 bindende valghandlinger med mere end 10.000.000 vælgere. Assembly Voting er bl.a. blevet benyttet i 3F, HK, FOA, Dansk Metal, Bibliotekarforbundet, Dansk Magisterforening, Ingeniørforeningen (IDA), Dansk Sygeplejeråd, Kommunikation og Sprog (KS) og Danmarks Idræts-Forbund (DIF) og Team Danmark, Frederiksberg Kommune, Aarhus Kommune, Frederikssund Kommune, Køge Kommune, Esbjerg Kommune, Roskilde Kommune, TopDanmark, Siemens, m.fl. Forskningsbaseret valgteknologi Assembly Voting deltager som partner i DemTech Demokratisk teknologi ved IT Universitetet i København. Projektet er blandt verdens største forskningsmæssige satsninger i udviklingen af sikre e-valgteknologier. Projektet er bl.a. støttet af Det Strategiske Forskningsråd, og involverer en række af verdens førende forskere i e-valgteknologi. Læs mere om Assembly Voting på www.assemblyvoting.com Læs mere om Demtech demokratisk teknologi på www.demtech.dk Yderligere information Kontakt venligst CIO Mikkel Leffers Svendstrup på e-mail: mikkel@aion.dk eller telefon: +45 2616 9638. 2

Valgsystemernes opbygning og datasikkerhed Kort om valgsystemerne Assembly Voting består af flere forskellige systemtyper, der kan tages i brug alt efter opgavens krav og specifikationer. Brugerfladen er den samme for de forskellige systemer. Systemerne understøtter langt de fleste typer af valghandlinger (urafstemninger, kandidatvalg med 1 eller flere stemmer, stemmevægte etc.) Assembly Voting er opbygget, så det sikres, at 3 grundlæggende principper ved en legitim demokratisk valghandling altid overholdes: 1) at kun stemmeberettigede har mulighed for at stemme, 2) at der for hver stemmeberettigede kun registreres et gyldigt antal stemmer, uanset hvilket afstemningsmedie der benyttes 3) at der er fuld anonymitet omkring den afgivne stemme Der findes 2 overordnede varianter af valgsystemerne i Assembly Voting. De adskiller sig i den tekniske systemopbygning og i principperne for den praktiske organisering af valghandlingen. Herunder gennemgås de 2 valgsystemer. 3

Assembly Voting Version 1 (AVV1) Bruges primært til afholdelse af vedtægtsbestemte valg i faglige organisationer og foreninger Al datatrafik krypteres i såvel transaktion som lagring. Data spejles over flere servere (fuld redundans), så datatab kun eksisterer som teoretisk mulighed - Assembly Voting har aldrig haft datatab. En stemme registreres i databasen som en relation imellem stemmeberettiget stemmeprofil og et valgalternativ. Anonymitet sikres efter et organiserende anonymitetsprincip, hvor systemleverandør via valgsystemet, alene har adgang til anonymiserede stemmeprofiler (randomiserede numeriske eller alfanumeriske koder). Valgkunde eller 3. part forestår udsendelse af gyldige valgkoder via personificerede valgkort til stemmeberettigede vælgere. Der er således organiseret adskillelse mellem valgliste med stemmeberettigede og stemmeregistrering i valgsystem. Valgsystemet kan kun tilgås af godkendte navngivne personer i beskyttet miljø (læs mere nedenfor). 4

For at øge tilgængeligheden kan AVV1 understøtte et yderligere elektronisk afstemningsmedie (ud over internet): SMS Generelt kan man sige, at det reducerer sikkerheden for anonymitet i valghandlingen. Det er koblingen i gatewaysmellem et anvendt telefonnummer og stemmeoplysningerne, der tilføjer en risikovariabel i relation til brud på anonymitet i stemmeafgivelsen. Web og sms er i dette set up integreret i samme base. Dvs. man kan kun stemme afgive et gyldigt antal stemmer uanset medie. Det grundlæggende problem ved sms er at sikre fuld anonymitet på SMSgatewayen. Gatewayen kan registrere, fra hvilket nummer en given tekststreng kommer, og dermed kompromittere adskillelsen mellem stemme og vælgerid. I samarbejdet med gateway leverandør til Assembly Voting, er der udviklet en frakobling af stemmedata fra mobilnummer, så snart stemmen modtages. Så den medarbejder der håndterer gatewayen ikke har adgang til koblingen mellem tekststreng og telefonnummer. Assembly Voting oplyser om de tilknyttede problemstillinger ved SMS i relation til valghandlinger overfor valgkunder. Det er valgkundernes suveræne beslutning jf. valgvedtægter og tilknyttet valgbestyrelse / revision der beslutter hvilke afstemningsmedier, der skal være tilgængelige i den givne valghandling. 5

Sikkerhed Assembly Voting Version 2 (AVV2) Bruges primært til højrisikovalg, fx lovbestemte valg AVV2 er bygget op omkring asymmetrisk kryptering. En krypteringsnøgle består af 2 nøglehalvdele ofte kaldet den offentlige nøgle og den private nøgle. Den offentlige nøgle anvendes til at kryptere en tekst og kun den tilhørende private nøgle kan anvendes til dekryptering. Det kan udtrykkes lidt populært således: Med den offentlige nøgle kan man gemme en stemme i en forseglet kuvert. Seglet kan kun brydes hvis man har den private nøgle. Implementering af stemmekryptering I AVV2 er valgsystemet udvidet med et program, der installeres på en PC som ikke har netadgang. Denne PC benævnes resultatpc. På resultatpc en generes et nøglesæt og den offentlige nøgle overføres manuelt til valgserveren, den private nøgle bliver på resultatpc en. 6

Når en vælger logger ind på valgserveren for at stemme overføres hele opstillingslisten og den offentlige nøgle til vælgerens PC, stemme dialogen inkl. navigering imellem valglister sker lokalt, når vælgeren har afgivet og bekræftet sin stemme krypteres denne med en offentlige nøgle og kryptogrammet sendes til valgserveren. Man kan bruge analogien, at stemmen lægges i en kuvert og forsegles. Den krypterede stemme gemmes i databasen, relationen i databasen imellem stemmen og kandidaten etableres ikke. Dvs. personale med fuld databaseadgang kan i dette system se, at en stemmeprofil har stemt, men ikke hvad der stemt på profilen. Så selv om man skulle have adgang til den fulde udsendings base, vil man stadig ikke kunne tilbageføre afgivne stemmer til enkeltpersoner. Når valget er afsluttet dannes en liste, som indeholder alle kryptogrammer, listen 7

omordnes automatisk, således at sekvensen af kryptogrammerne ikke kan relateres til en sekvens af vælgerne i databasen. Denne liste overføres manuelt til resultatpcen. ResultatPCen dekrypterer kryptogrammerne med anvendelse af den private nøgle og danner en valgbog med resultatet. Valgbogen kan printes direkte eller bæres tilbage til valgserveren. Option: Netadgang fra resultatpc Man kan lette processen hvis man giver resultatpc en netadgang, dataoverførelsen imellem resultatpc en og valgserveren kan ske direkte fra resultatpc en. Dette svækker ikke sikkerheden i løsningen væsentligt, men gør argumentationen for sikkerheden lidt svagere idet man skal argumentere for at resultatpc en ikke kan blive inficeret med malware som kan eksponere den private nøgle for tredje part. 8

Brugerflade og eksekvering af stemmeafgivelse Systemets brugerflade er testet hos en bred målgruppe gennem en periode på 6 måneder og tilpasset herefter. Det er tilstræbt at stemmeafgivelsen skal være selvindlysende, og at brugeren derfor føler sig hjemme og sikker i stemmeafgivelsesprocessen. Det er imidlertid umuligt at udelukke at enkelte vil have behov for hjælp, hvorfor en Hotline service vil være tilgængelig gennem hele valgperioden. Se eksempel på stemmeafgivelse sidst i dokumentet Driftssikkerhed Systemet overvåges døgnet rundt i hele valgperioden, og uregelmæssigheder registreres løbende. Alle systemer er redundante, og data kan til enhver tid genskabes i tilfælde af strømudfald eller lignende. Systemet revideres løbende teknisk både af interne teknikere og eksterne eksperter. Assembly Voting har over en periode på 10 år haft en oppe tid på over 99,9%. Systemet opdateres løbende til at kunne håndtere alle nye versioner af browserne: Internet Explorer, Mozilla Firefox, Safari, Opera og Google Chrome. De elektroniske valgkort er lavet ud fra en gennemtestet skabelon, der løbende testes i forhold til at kunne undgå firewalls og spamfiltre. Der laves halvårligt nye revisioner af valgkortskabelonen, for at sikre optimal penetration (under 1 promille af udsendte elektroniske valgkort afvises af firewalls eller fanges i spamfiltre). Hosting faciliteter Assembly Voting systemet hostes hos TDC Hosting A/S i deres professionelle datacenter. Det primære datacenter er opført i 35 cm dobbeltarmeret beton, hvor tyverisikringen er med tre sikkerhedszoner og brandsikret med inergenanlæg. Hertil kommer UPS-anlæg med dieselgenerator i tilfælde af strømsvigt og et fuldt ud redundant køleanlæg. TDC Hosting A/S datacenter bliver løbende vedligeholdt og modernisteret. TDC Hosting A/S Product & Solutions har en sikkerhedspolitik, der beskriver de krav der stilles til deres driftsmiljø. Denne er senest blevet revideret af en uafhængig revisor den 10. januar 2013 (BDO Statsautoriseret 9

revisionsaktieselskab). BDO har udarbejdet og underskrevet en ISAE 3402-Erklæring der omhandler: Beskrivelse af generelle IT-kontroller, deres udformning og funktionalitet i henhold til TDC Hosting Product & Solutions sikkerhedspolitk. ISAE-2302 kan fremsendes hvis det ønskes. Datasikkerhed Al datatrafik krypteres i såvel transaktion som lagring. Data spejles over flere servere (fuld redundans), så datatab kun eksisterer som en teoretisk mulighed - Assembly Voting har aldrig haft datatab. Systemet angribes planlagt årligt af eksterne eksperter for at sikre mod eventuelle nye browser exploits og sikre, at det kan modstå ex. DoS angreb. Nye krypteringsteknologier implementeres løbende i samråd med Københavns IT Universitet. Assembly Voting systemet testes ligeledes løbende af uvildige revisionsvirksomheder, der på vegne af foreninger og kommuner tilser, at valghandlingen gennemføres i overensstemmelse med grundlæggende demokratiske principper og valgvedtægter. Håndtering af data Al datakommunikation af fortrolige medlemsdata mellem kunde og Assembly Voting systemet foregår krypteret via sikker sftp server eller vi fysisk overlevering af data på usb-sticks.. Datafiler hentes fra sikret server direkte ned på usb-stick for at undgå lagring af sensitive data på PC forbundet til Internettet. Datafiler overføres fra usb til krypteret drev på offline PC'ere som anvendes til generering af passwords/valgkoder, opsætning af valgsystem og generering af personlige valgkort/stemmesedler i PDF-format til print. I alle faser af databehandlingen gennemføres integritetscheck af data og overensstemmelse med leverede stamdata fra kunde. Integritetstestene gennemføres både elektronisk og ved manuelle stikprøver. Ved godkendt valghandling og valgresultat, dvs. at der ikke inden indsigelsesfristens udløb er fundet uregelmæssigheder der kompromitterer valgets rigtighed, destrueres alle databaser med personoplysninger og stemmeafgivelser. Registrering af henvendelser Alle henvendelser fra stemmeberettigede registreres i logbog for valghandlingen. 10

Henvendelserne kan foregå via telefon til hotline-service eller e-mail til teknisk valgansvarlig. For hver henvendelse registreres og kategoriseres henvendelsens årsag og efterfølgende handling. Mere specifikt registreres: Dato og tidspunkt for henvendelse Valgkode (for den der henvender sig) Årsag til henvendelse; Teknisk problem karakter (a. problemer med link, b. problemer med log on procedure, c. andre systemproblemer specificeres) Kommunikativ problem karakter (a. manglende information om stemmeafgivelse, b. spørgsmål til system/organisering af valghandling, c. andre spørgsmål til kommunikation omkring valghandlingen specificeres) Konklusion på henvendelse; aktionsbeskrivelse over for stemmeberettigede fra teknisk ansvarlig og opgørelse; løsning/ikkeløsning af problem for stemmeberettiget Logbogen over de personlige henvendelser indgår sammen med logfilen over den tekniske afvikling af valghandlingen i afstemningssystemet som grundlag for en samlet validering af valgresultatets rigtighed. Valideret valgresultat Valgresultatet kan valideres hvis der ikke i valghandlingen er indtruffet forhold af teknisk, organisatorisk eller kommunikativ karakter, der kan skabe begrundet usikkerhed om valgresultatets rigtighed. Hovedkriteriet for validering af valgets rigtighed er, at de indtrufne uregelmæssigheder ikke må kunne have betydning for om det ene valgbare alternativ er valgt frem for et andet valgbart alternativ. Med til afgørelsen af valgets rigtighed indgår logfilen over stemmeafgivelsens tekniske afvikling, og logbogen med opgørelse over de personlige henvendelser fra stemmeberettigede i valgperioden. Valgresultatets rigtighed bevidnes med underskrift af medlemmerne af den ansvarlige valgbestyrelse / valgudvalg på vegne af den kommune, organisation eller forening valget afholdes i. Løbende intern og ekstern revision af valgsystem og procedurer Valgsystemet testes løbende af valgkunders egne uvildige 11

revisionsvirksomheder. Revisionen udøves både på teknisk set up, performance, datasikkerhed og procedurer for opsætning af valg, gennemførelse af valghandling og opgørelse af valgresultat. Desuden gennemføres årlige penetrationstests ved ForteConsult. 12

Stemmeafgivelse i Assembly Voting Assembly Voting er et dedikeret valgsystem, der er designet til at gennemføre legitime valghandlinger. Det betyder, at du som vælger kun har mulighed for at møde informationer og funktioner, der specifikt er knyttet til afgivelsen af en stemme. Brugerfladen er bygger på OSCE s og Europarådetss anbefalinger, og er gennemtestet på landsrepræsentative vælgergrupper. Nedenfor er et eksempel på en brugerflade og flow over stemmeafgivelse ifm. et Hovedbestyrelsesvalg for Bibliotekarforbundet. Trin 1: Log ind til valgsystemet Log ind siden kan nås via link på foreningen eller organisationens hjemmeside. Ved adgang til Log ind siden skal der indtastes to unikke identifikatorer. Det vil typisk være en unik fremsendt valgkode og BrugerID (f.eks. fødselsdato, 6 cifre, ddmmåå), der indtastes. Log ind til Assembly Voting kan også ske via NemID. 13

Trin 2: Den elektroniske stemmeseddel Den elektroniske stemmeseddel åbner ved godkendt log in. Dvs. godkendt stemmeprofil (Valgkode og BrugerID), samt ikke tidligere afgivet stemme. 14

Trin 3: Kandidat CV Det er muligt at indsætte billede og kort tekst af de opstillede kandidater. Der kan endvidere linkes til uddybende kandidatpræsentation på egne hjemmesider. Trin 4: Afgivelse af stemme 15

Der klikkes på den kandidat man ønsker at stemme på. Maksimalt antal stemmer er angivet på siden. Herefter klikkes på Afgiv stemme. Trin 5: Bekræftelse af stemme Først når stemmen er bekræftet, er den registreret i valgsystemet. Kan stemmen 16

ikke bekræftes vender man tilbage til stemmesedlen. 17

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback