Möller Insights – ”Är vi redo för e-röstning i Sverige?”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om e-röstning och dess utmaningar.

Är vi redo för e-röstning i Sverige?
Valet har varit och passerat, ny regering håller på att pusslas ihop och snart läggs en ny budget fram. Det är onekligen spännande tider i politiken, vilka som ska samarbeta, vilka vallöften som kommer att speglas i nya budgeten och vilka som blir de nya ministrarna. Fram till valet har möjligheterna med e-röstning diskuterats och den senaste granskningen slår fast att vi 2018 ska göra ett försök med detta. Norge lade dock ner sitt egna försök nyligen men Sverige är ju som bekant ett modernt IT-land och visst sjutton kan vi det här med teknik. Vi har ju även hela fyra år på oss att skapa en vettig lösning.

Ni som läser min blogg vet ju att jag inte är teknikfientlig, det skulle ju vara lite konstigt i min roll. Jag kan däremot ibland uppfattas så, ett exempel på detta är förra veckans blogg när jag undrade om molnet verkligen passar alla verksamheter.

Men jag vill tydliggöra att jag inte är emot nya tekniker, snarare tvärs om, nya innovationer är alltid spännande. Det kan vara mitt yrke, min erfarenhet eller den kunskap det för med sig om vad som faktiskt ofta händer när man sätter IT-system i händerna på offentlig sektor som gör mig lite benägen att trampa på bromsen.

För även om e-röstning har mycket att erbjuda så finns det en mängd utmaningar att hantera innan vi tar det steget.

Hur säkrar vi mot valfusk?
För det första handlar det om att bygga en så pass säker plattform att resultat inte går att påverka. Vissa kan tycka att det inte är någon större utmaning, men en liten sårbarhet i ett så viktigt system kan undergräva hela vår demokratiska process. Vi har väl alla läst om Shellshock den här och förra veckan, sårbarheten som har fått många verksamheter att bli skakiga i knäna. Värt att notera är att den sårbarheten är 22 år gammal, det är bara det att den identifierades nu. Samma sak var det med Heartbleed, en sårbarhet som funnits i SSL-protokollet extremt länge.

Varken Shellshock eller Heartbleed påverkar få människor utan Bash och SSL påverkar de flesta som nyttjar internet i någon mån idag. Trots att det är så välanvänt så tog det så lång tid att identifiera sårbarheten.

Hur ska vi då på fyra år utveckla ett system som vi kan säkerställa, till 100 procent, att ingen kan manipulera valresultaten?

Hur vet valmyndigheten att jag är jag?
Hur kan vi i ett e-val säkerställa att personen bakom skärmen är den han/hon utger sig för att vara? Den enda lösningen som jag kan se här med teknik som finns idag är att göra någon form av kroppslig identifiering. Det kan vara ansiktsigenkänning, fingeravtryck, ögonscanner eller något annat. Men att just ha en kod att knappa in eller ett bank-id säkerställer inte att det faktiskt är rätt person bakom datorn, bara att någon kunde det lösenordet.

Och även om vi hittar ett system som kan säkerställa identiteten till 100 procent så måste dessa data också vara 100 procent skyddade – för att bevara en annan av grundpelarna i demokratin, valhemligheten.

Det finns fler utmaningar än dessa men med IT-säkerhetsglasögon så är det här centrala problem som måste redas ut innan nästa steg kan tas. Det är alltför ofta så att vi vill hoppa på nya, spännande trender utan att egentligen bena ut de underliggande utmaningarna. Ibland kan det ställa till problem men i det här fallet är det helt oacceptabelt när hela demokratiska systemet får betala priset vid ett misslyckande.

Som vi har sett så har vi redan idag svårt att kontrollera det väldigt analoga papperslappsvalet med valfusk och valdeltagande på 124 procent. Så vi kanske ska ta oss en ordentlig funderare innan vi tar nästa steg.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik