Elections.no

Svar på spørsmål om Fjerntilgang, del 2 (Svar på mail)

2019-01-08T00:00:00+00:00

Hadde Evry fjerntilgang til tellesentraler i Norge i 2017? I så fall hvilke?

Valgdirektoratet har inngått en rammeavtale som gir alle kommuner og fylkeskommuner lik tilgang til teknisk støtte knyttet til installasjon av EVA Skanning. Rammeavtalen åpner for at leverandørene kan benytte fjernaksess som en del av sin bistand, men det er den enkelte kommune/fylkeskommune som besluttet om de ønsker denne type tjeneste. Dette avtales i kommunens/fylkeskommunens avrop på rammeavtalen. Valgdirektoratet har ikke oversikt over den enkelte kommune/fylkeskommunes avrop på tjenester i rammeavtalen. Vi har full tillit til at kommunene og fylkeskommunene ivaretar dette på en sikker og god måte, på samme måte som de ivaretar andre kritiske samfunnsoppgaver.

Hadde en eller flere av de andre «skanning leverandørene» også fjerntilgang?

Rammeavtalen er lik for de tre leverandørene.

Vil en eller flere av «skanning leverandørene» ha fjerntilgang ved valget i 2019?

Vår anbefaling til låst konfigurasjon for maskiner som benyttes til EVA Skanning innebærer at fjerntilgang blir deaktivert. Den enkelte kommune/fylkeskommune må gjøre en selvstendig vurdering av hvordan de best ivaretar sikkerheten kombinert med tilgang til nødvendig teknisk kompetanse. Sikkerhet knyttet til eventuell fjerntilgang for teknisk personell vil være en del av denne vurderingen. Fjerntilgang for teknisk personell innebærer ikke at disse gis roller og tilganger i valgsystemene.

Fjerntilgang for teknisk personell kan være en hensiktsmessig løsning for å ivareta tilgang til nødvendig teknisk kompetanse i enkelte kommuner, vår rolle er å gi råd og veiledning som bidrar til at dette skjer i kontrollerte og sikre former.

Har denne tilgangen blitt evaluert av NSM/PST?

Valgdirektoratet har tett samarbeid med NSM, og NSM bidrar i arbeidet med å gjøre tester, tiltak og utarbeide veiledere for kommunene. Verken NSM eller PST har gjennomgang av rammeavtaler for Valgdirektoratet. Fjerntilgangen ble ikke vurdert av NSM/PST før 2017-valget.

Svar på spørsmål om Fjerntilgang (Svar på mail)

2019-01-07T00:00:00+00:00

Hadde Evry fjerntilgang til tellesentraler i Norge i 2017? I såfall hvilke?

Det er kommuner og fylkeskommuner som er ansvarlige for den praktiske valggjennomføringen, herunder installasjon og oppsett av skanningløsning, samt gjennomføring av både manuell og maskinell telling av stemmesedler. Valgdirektoratet tilbyr programvare og veiledning rundt bruken av programvaren. I veilederen for 2017 beskrives rutiner og praksis som forhindrer uautorisert eller unødvendig bruk fjernaksess.

Hadde en eller flere av de andre «skanning leverandørene» også fjerntilgang?

Vi følger konkurranseregler i offentlig anskaffelser, og valgte tre leverandører som oppfylte våre krav til tjenestene de skulle levere og sikkerhet knyttet til disse. Vi har rammeavtale med tre aktører som har lang historikk i å bistå valg, og kommunene har lang erfaring med å samarbeide med disse. Kommunene gjør selv avrop på rammeavtalen, og den operasjonelle sikkerheten knyttet til bistand skjer der ute i kommunene, i henhold til veiledning vi gir.

Vil en eller flere av «skanning leverandørene» ha fjerntilgang ved valget i 2019?

Kommunene gjør selv avrop på rammeavtalen, og den operasjonelle sikkerheten knyttet til bistand skjer der ute i kommunene, i henhold til veiledning vi gir.

Våre anbefalinger til kommunene og kravene til eksterne leverandører revideres til valget i 2019, for å styrke sikkerheten i valggjennomføringen.

Har denne tilgangen blitt evaluert av NSM/PST?

Sikkerheten knyttet til datamiljøet som EVA Skanning installeres i må ivaretas av kommunen/fylkeskommunen, og vi gir helt konkrete anbefalinger gjennom våre veiledere. Det er viktig å understreke at vi har full tillit til at kommunene og fylkeskommunene ivaretar sikkerheten i valggjennomføringen og data knyttet til dette på en god måte, på lik linje som de håndterer data innen andre kritiske ansvarsområder i kommunen.

Vi har også tett samarbeid med andre myndighet som utfører sikkerhetstester, og som gir anbefalinger til konkrete tiltak for å gjøre den til enhver tid gjeldene versjon av løsningen enda sikrere.

Svar på spørsmål om EVA Skanning (Svar på mail)

2018-12-20T00:00:00+00:00

Det følgende er sitat fra dette svaret fra Valgdirektoratet (utheving er lagt til)

“Spørsmål og svar: 1) Fantes det i 2017 et oppsett av stor installasjon som innebar at brukernavn og passord til SQL Serveren ble lagret i klartekst på disk?

Oppsettet av EVA Skanning ble gjort av kommuner og fylkeskommuner med eller uten bistand fra skanningleverandørene. Valgdirektoratet har inngått en rammeavtale med leverandørene av teknisk bistand på vegne av landets kommuner og fylkeskommuner, og disse velger selv om de benytter denne type bistand. Valgdirektoratet har ikke en fullstendig oversikt over konfigurasjonene som er gjort i fylkeskommunene og kommunene. Installasjonsveiledningen beskriver kort kryptering av passord ved hjelp av Integrated Security/Active Directory. Til valgene i 2019 vil brukernavn og passord være kryptert i standardoppsett ved hjelp av Data protection API (innebygget i Windows).

2) Stemmer det at kommunikasjonen mellom maskinene i stor installasjon ikke er kryptert?

Som nevnt i svaret over, ble oppsettet av EVA Skanning gjort av kommuner og fylkeskommuner. Noen benyttet bistand fra ekstern leverandør. Valgdirektoratet har ikke en fullstendig oversikt over konfigurasjonene som er gjort i fylkeskommunene og kommunene. Det som sendes fra klienten til databasen (Microsoft SQL Server) er stemmeseddelbilder og metadata over TCP/IP eller «named pipes» avhengig av oppsettet gjennom «stored procedures». Dette er standardiserte og etablerte protokoller som direktoratet benytter. Selv om direktoratet ikke har noen instruksjonsrett overfor kommuner og fylkeskommuner, anbefaler vi brukerne av EVA Skanning å kryptere denne kommunikasjonen ved TLS og sertifikat.

3) Stemmer det at parti tolkes ut ifra stemmeseddel nummeret og ikke teksten på stemmeseddelen?

Fram til nå har det vært slik at identifisering av parti skjer ved hjelp av stemmeseddelnummeret på seddelen. Til valgene i 2019 vil også tekstfelt for partinavn leses og kontrolleres.

4) Stemmer det at det er metadataen i databasen som er grunnlaget for tellingen og ikke bildene?

Ved skanning vil bildene tolkes og metadata utledes. Bilder og metadata sendes så til databasen som grunnlag for telling.

5) Stemmer det at det ikke finnes noen nasjonal arkivering av disse databasene?

Det finnes ingen nasjonal arkivering av databasene fra valgene i Norge. Det er kommunene og fylkeskommunene som eier dataene, og Valgdirektoratet kan ikke sette noe krav til at kommuner og fylkeskommuner skal ta vare på databasen for EVA Skanning etter valget. Vi anbefaler kommunene og fylkeskommunene å ta vare på dataene fra valget med backup av MSSQL- databasen. Kommunene er forpliktet til å ta vare på de fysiske stemmesedlene i fire år.

6) Stemmer det at det ikke finnes noen revisjon av om metadata og bilde i databasene stemmer overens?

Det finnes ingen generell revisjon av om bilder og metadata stemmer overens i databasen. Det finnes imidlertid en revisjonsmekanisme i skanningprosessen som alltid vil føre til at et antall sedler inspiseres av mennesker. I de tilfeller en stemmeseddel er endret og endringen ikke kan tolkes entydig av maskinen, vil disse være gjenstand for menneskelig verifisering. Et avvik mellom metadata og bilde vil da bli oppdaget for disse sedlene.

7) Finnes det noen prosedyre for å passe på at maskinene har de aller siste patcher på valgdagen?

Sikkerhetsveilederne inneholder en anbefaling om å oppdatere programvare, men det er kommunens og fylkeskommunenes ansvar å utforme en prosedyre som sikrer at de alltid har siste versjon av programvare.

8) Har dere noen statistikk fra valget i 2017 over forskjeller mellom manuell og maskinell telling - for hele landet?

Informasjon om foreløpig og endelig opptelling vil framkomme i den enkelte kommunes protokoller fra valget.

9) Vil dere utføre fysisk penetrasjonstest av en installasjon av EVA Skanning før valget i 2019?

Ja, vi planlegger å gjennomføre penetrasjonstester før valget i 2019.

10) Har dere utført noen fysisk inntrengningstest (ved bruk av social engineering mv) av en EVA Skanning tellesentral?

NSM gjennomførte i juni en sikkerhetstest av EVA Skanning installert hos en av landets kommuner med påfølgende avviksrapportering.

11) Vil dere tillate sikkerhetsforskere å undersøke et oppsett av EVA Skanning slik det ble brukt i 2017 og slik det vil bli brukt i 2019?

Vi har tett samarbeid med andre myndighet som utfører sikkerhetstester, og som gir anbefalinger til konkrete tiltak for å gjøre den til enhver tid gjeldene versjon av løsningen enda sikrere. Det er utført koderevisjon av en ekstern aktør med fokus på å avdekke kvalitets- og sikkerhetsutfordringer. Revisjonen peker på aktuelle tiltak som sikrer løsningen ytterligere, og som gir et system som er godt rustet.

12) Når vil dere slippe koden som ble brukt i 2017 som Bjørn Berg lovet på NRK at skulle slippes i August 2017?

Vi vil publisere systemdokumentasjon og kildekode for valgsystemene i 2019 når systemene går i produksjon (januar, april og juni). Vi vil i forbindelse med dette også vurdere om vi skal publisere kildekoden fra 2017.

13) Vil dere anskaffe en person eller team til å være liaison mellom sikkerhets researchere og valgdirektoratet?

Det er ikke noen sikkerhets-liason mellom offentligheten og Valgdirektoratet. For å komme i kontakt med sikkerhetsteamet, besøk vår nettside der dette er beskrevet: https://valg.no/.well-known/security.txt. Man vil naturlig nok også bli sendt til rett sted om man tar kontakt med oss gjennom vårt postmottak (post@valg.no).”

Departementet foretar ingen kontroll av opptellinger (Svar på mail)

2018-12-18T00:00:00+00:00

Det følgende er sitat fra dette svaret fra KMD

“Vi viser til din henvendelse fra 7. desember 2018 om oversikt over forskjeller mellom manuell og maskinell telling på landsbasis.

Valggjennomføringen er desentralisert i Norge, med mye ansvar og myndighet på lokalt folkevalgt nivå. Valgloven bygger på at det er kommuner og fylkeskommuner som er ansvarlige for å gjennomføre valg. Kommunene er ansvarlige for å sørge for en korrekt valggjennomføring og at opptellingen gjennomføres på en god måte lokalt. Det er kommunene og fylkeskommunene selv som godkjenner opptellinger og valgoppgjør, og som fordeler mandater på kommuner og fylker. Det er lange tradisjoner for denne rollefordelingen i Norge. Alle opptellinger skal protokolleres, og disse protokollene skal godkjennes av valgstyrene og fylkesvalgstyrene.

Departementet foretar ingen kontroll av opptellinger, og har derfor ingen sammenstilling av forskjellen mellom foreløpig og endelig opptelling gjort hos kommunene. Årsaken til avvik skal fremkomme av protokollene. Det er for øvrig satt i gang et arbeid for å gjøre protokollene mer leservennlige og mer egnete til å vise ulike avvik.”

Høringssvar til KMD forslag til endringer i Valgforskriften

2018-12-13T00:00:00+00:00

Bakgrunn

Høsten og sensommeren 2017 skrev jeg på Twitter, i aviser og senere snakket på TV og radio om valgsikkerhet. Denne interessen har jeg hatt siden jeg i 2005 skrev masteroppgave i informatikk om valgsystemet i Norge. Et “valgsystem” er et bredt begrep og favner alt som gjøres under et valg, alt fra manuelle til maskinelle prosesser og kontrollmekanismer. I denne høringsuttalelsen vil jeg snakke mest om de delene av valgsystemet i Norge som omhandler telling av stemmesedler.

Valgsikkerhet

Valgsikkerhet er et overraskende komplekst område innenfor sikkerhet, likevel er det et område som har vokst fram under et kontinuerlig trusselbilde over mange hundre år, lenge før vi introduserte datamaskiner. Det kan høres selvfølgelig ut, men målet i alle valgsystemer er å sikre at valgresultatet er riktig. Valgresultatet skal reflektere det folket har stemt. Dette utsagnet kan igjen virke utrolig naivt, men det definerer noen grenser som er viktige; målet er ikke at alt skal være feilfritt, målet er at eventuelle feil enten ikke påvirker resultatet eller blir oppdaget.

Oppdage feil

Å oppdage feil og/eller valgfusk er helt sentralt i et valgsystem, for hvis man oppdager feil/valgfusk som har påvirket valgresultatet, så har valgsystemet mulighet til å rette dette opp: slike muligheter inkluderer alt fra lokale og nasjonale omtellinger helt til annullering av valget. Disse mekanismene utløses bare hvis man kan påvise feil/fusk som er på en slik skala at resultatet kan ha blitt påvirket.

Denne påvisningen er helt sentral, man må oppdage feil og fusk, og man må evaluere hvorvidt hendelsen er av betydning for valgresultatet. Altså, det er ikke nødvendig at man har null feil, det er nødvendig at man oppdager feil. For å kunne gjøre dette må man ha kontrollmekanismer på plass.

Her kommer dette forslaget om endring i forskriften inn, som jeg støtter:

Forslaget er: § 37a Foreløpig opptelling av stemmesedler (1) Den foreløpige opptellingen av stemmesedler etter valgloven § 10-4 femte ledd og § 10-5 skal skje ved manuell telling.

Jeg skal begrunne dette gjennom et scenarie. Anta følgende metode, i valglokalet går frivillige sammen i par eller grupper, og sorterer stemmesedler etter parti. Hver bunke vil inneholde (innenfor en viss risikomargin) bare stemmesedler for ett parti. Hver bunke telles deretter og antall stemmesedler skrives ned og sendes med bunken. I det sentrale “tellesenteret” vil en slik bunke sendes gjennom en skanner, et dataprogram, over et nettverk og videre til en database. Alle disse leddene kan ha feil og kan inneholde skadevare som kan prøve å endre valgresultatet. Poenget er at så lenge maskinen kommer fram til det samme tallet som man kom fram til i valglokalet, så er det unødvendig å bekymre seg over sikkerheten i dette IT-systemet. Tallene stemte. Problemet oppstår bare hvis tallene ikke stemmer.

Her kommer et annet forslag til endring i forskriften inn, som i min mening gir lite hjelp til å løse dette problemet:

Forslag til ny § 37a (2) er: Ved avvik mellom en foreløpig og en endelig opptelling som er foretatt maskinelt, skal opptelling foretas på nytt. Ny maskinell opptelling kan ikke foretas av de samme personer som foretok endelig opptelling første gang.

Gitt at man gjorde det over, men tallet fra maskinen og tallet på lappen som fulgte med bunken stemmer ikke overens. Hvordan skal man løse dette? Her er det viktig å tenke over risikomodellen og trusselmodellen som valgsystemer er bygd på.

Evaluering av sikkerheten til manuell telling

Manuell telling er distribuert, gjøres av mange vanlige borgere og gjøres i felleskap med andre. Dette er gjort for å beskytte mot valgfusk. For å kunne begå valgfusk i et slikt system så er man nødt til å ha en konspirasjon, og en stor konspirasjon. Mange mennesker på mange steder må samarbeide for å kunne greie å bevege valgresultatet. Dette er helt sentralt. Målsetningen til valgsikkerhet handler om å sikre at valgresultatet er riktig, ikke at prosessen var feilfri. En slik massiv konspirasjon, som involverer dusinvis, kanskje hundrevis av mennesker er vanskelig å skjule. Spesielt siden den må foregå i valglokalene, der mange andre mennesker også oppholder seg. I valgsikkerhet antar man at en slik konspirasjon har høy risiko for å bli oppdaget og man er da kan bruke de midlene man har til å korrigere valgresultatet, for eksempel omtelling eller omvalg.

Videre kan vi se på feil, rett og slett tellefeil. Det er ikke nødvendig å anta, tellefeil vil forekomme i en manuell telling. Det er da viktig å se på tellefeil som vesensforskjellig fra valgfusk, ved uskyldig tellefeil prøver ingen bevisst å endre valgresultatet. Når vi da ser på tellefeil, så vil de distribuere seg over alle partiene. Dette kan vi illustrere best gjennom denne modellen: Anta at av 1000 stemmer talt pleier det å være et avvik på 5, dette er uavhengig av parti for dette er uskyldige tellefeil. Disse feilene vil skalere med parti, slik at man prosent-/promille-messig vil rammes like hardt om man er et lite eller stort parti. Rent antallsmessig så vil store partier ha flere feil og små partier ha få, bare fordi antall stemmer er forskjellig. I valgsikkerhet antar man ofte at dette ikke vil medvirke til å betydelig endre resultatet, fordi feilene distribuerer seg proporsjonalt over alle partiene.

Det finnes et unntak her, og det gjelder små marginer. Ved små marginer (eksempelvis utjevningsmandater eller partier på sperregrensen) kan feilmarginer som vanligvis ville være uproblematiske, bli veldig viktige. I disse tilfellene pleier man ofte å anbefale lokal manuell omtelling. Lovgivning på dette området varierer stort fra land til land.

Summert så anser man at rene manuelle tellefeil vil distribuere seg over partier og vil vanligvis ikke påvirke valgresultatet, unntak er i situasjoner med små marginer.

Evaluering av sikkerheten til maskinell telling

Når det gjelder maskinell opptelling er risikomodellen helt annerledes, og dette er utrolig viktig å forstå. Selv uskyldige feil i programvare eller oppsett, selv feil under trykking av stemmesedler, kan ha store konsekvenser. Datamaskiner er ikke ufeilbarlige, og selv i Norge har vi hatt flere feilsituasjoner på valgdagen med skanning systemer. Det er to ting som er viktig når man evaluerer risikoen ved maskinell opptelling:

Ett system: Disse systemene installeres sentralt og deles av mange valglokaler, det betyr at feil eller fusk her vil påvirke veldig mange stemmer. Umulig å verifisere: Det finnes ingen måte for vanlige mennesker å sjekke hva som skjer inne i datamaskinene eller i nettverket

Ved manuell telling sjekkes tellingen kontinuerlig av de andre som teller med deg, ved maskinell telling har man ingen slik sjekk. I tillegg er det stor mulighet for å påvirke valgresultatet, på grunn av mengden med stemmer.

Tilbake til scenariet, vi står nå med en bunke som i følge lappen skal inneholde 1000 Høyre stemmer, maskinen sier at det er 998, hva kan man gjøre?

En ting som har blitt gjort er å veie bunken, man vet ganske nøyaktig hva en viss mengde med stemmesedler veier, og siden både maskinell og manuell telling er enige om parti, så kan dette gi en bekreftelse den ene eller andre veien.

Det som er sentralt er å ikke stole på maskinen. Man må ha en uavhengig måte å sjekke resultatet. I løpet av det siste året har jeg vært veileder for en student ved NTNU, Vilde Amundsen, som skriver sin masteroppgave ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi om å oppdage og korrigere feiltelling i valg. Hun fremlegger et forslag om å bruke en teknikk fra valgsikkerhet som heter Risk Limiting Audits. Denne setter stikkprøvekontroll i et statistisk system hvor man tar nok stikkprøver til at man klarer å statistisk bekrefte valgresultatet, disse stikkprøvene telles manuelt. Dette kan innebære at man må ta flere og flere stikkprøver, hvis man ikke klarer å bekrefte resultatet, og kan i siste instans føre til en full manuell omtelling.

Datamaskiner, programvare og nettverk kan ha feil og kan manipuleres til å gjøre feil. Siden disse systemene er sentralt plassert og den samme programvaren er distribuert over hele landet, så vil selv små feil kunne bevege valgresultatet, uavhengig av om feilene har blitt gjort med vilje eller ei. Dette gjør at risikomodellen for disse er vesensforskjellig fra manuell telling og kan ikke egentlig sammenlignes.

Hvis man bruker datamaskinener til å gjøre dobbeltsjekking og omtelling, så vil det manuelle resultatet i stor grad miste sin verdi. Innen valgsikkerhet, som beskrevet over, så anser man et manuelt resultat som sikrere enn et maskinelt, selv om det manuelle inneholder uskyldige tellefeil.

Konklusjon

Å forhindre feil er ikke hovedfunksjonen til et valgsystem, og derfor ikke primæroppgaven til valgsikkerhet. Valgsystemer, altså hele prosessen man har for å foreta valg, har blitt utviklet over hundrevis av år for å oppdage feil og fusk som kan påvirke valgresultatet. Hvis man oppdager noe slikt, så kan man ta i bruk de lovmessige verktøyene man har for å forhindre at noen kommer til makten som ikke har blitt stemt inn.

Min anbefaling er å bruke andre verktøy en datamaskiner for å finne ut av uoverensstemmelser mellom manuelt og maskinelt resultat. Blant disse verktøyene er å sortere og sende stemmesedler sortert på parti, veie bunker, Risk Limiting Audits og manuell omtelling av en bunke.

Mer generelt er det nødvendig å åpne opp datasystemer som blir brukt i valg i Norge for at vi som borgere skal ha muligheten til i en viss grad å undersøke disse. Allikevel vil innsyn aldri bli nok, vi kan ikke vite hva som skjer inne i datamaskinen på valgdagen, vi er nødt til å ha andre kontrollmekanismer.

Høringssvar

Til KMD og Valgdir

2018-12-04T00:00:00+00:00

Hei,

sender en mail med spørsmål med håp om å få svar

1) Fantes det i 2017 et oppsett av stor installasjon som innebar at brukernavn og passord til SQL Serveren ble lagret i klartekst på disk?

2) Stemmer det at kommunikasjonen mellom maskinene i stor installasjon ikke er kryptert?

3) Stemmer det at parti tolkes utifra stemmeseddel nummeret og ikke teksten på stemmeseddelen?