WWW-pohjaisen äänestysjärjestelmän tietoturvan ja luotettavuuden arviointi

Abstract

Tämän opinnäytetyön aiheena oli tutkia WWW-äänestysjärjestelmän käytön mahdollisuuksia yhdistyksissä, opiskelijakunnissa ja ylioppilaskunnissa. Aihetta lähdettiin tutkimaan näitä yhteisöjä koskevan lainsäädännön sekä vaalien yleisten vaatimusten näkökulmasta. Tavoitteena oli selvittää lainsäädännön asettamat vaatimukset WWW-pohjaiselle äänestämiselle rajatussa toimintaympäristössä, tutkia tietojärjestelmän eri osien tietoturvariskit vaalisalaisuuden säilymisen ja vaalituloksen eheyden näkökulmasta sekä tutkia äänestysjärjestelmän antaman vaalituloksen luotettavuuden varmistamista ohjelmiston laadunvalvonnan keinoin. Tietojärjestelmän turvallisuutta lähdettiin arvioimaan pilkkomalla WWW-äänestysjärjestelmä osakokonaisuuksiin, joiden tietoturvauhkia tutkittiin nykyisen tietoturvatilanteen kautta. Äänestysjärjestelmäohjelmiston tietoturvaa tutkittiin ohjelmistosuunnittelun ja lähdekoodin yleisimpien tietoturvavirheiden kautta. Ohjelmiston luotettavuuden varmistamista lähdettiin tutkimaan tietojärjestelmäprojektin laadunvarmistusmetodien kautta analysoimalla tietojärjestelmädokumentaation ja testauksen sekä ylläpidon laadun osatekijöitä. Äänestysjärjestelmän palvelinpään tietoturvan voi pitää hyväksyttävällä tasolla jatkuvan asiantuntevan ylläpidon ja seurannan sekä ohjelmistojen ja laitteiden tietoturvallisen konfiguroinnin avulla. Vaalin järjestäjä ei sen sijaan voi varmistua äänestäjän Internetpäätteen tietoturvasta, joten vaalisalaisuutta ei voi taata WWW-äänestämisessä. Äänestysjärjestelmän tuloksen oikeellisuuden varmistaminen onnistuu riittävän tehokkaasti kun määrittelydokumentaation vastaa täysin asiakkaan odotuksia ja kaikesta testaustoiminnasta jää täydelliset dokumentaatiot asiakkaan tarkastelua varten. Myös ohjelmiston ylläpito tulee olla suunniteltu. WWW-äänestysjärjestelmää ei voi suositella käyttöön vaalisalaisuuden vaarantumisen takia. Lisäksi luotettavan äänestysjärjestelmän luominen vaatii kokenutta toimittajaa ja erittäin huolellista määrittely- ja testausprosessia. Tämä nostaisi ohjelmiston kustannukset tarkoitetun käyttäjäryhmän maksukyvyn ulkopuolelle. Kokonaisuutena WWW-äänestysjärjestelmän käytön suurin este on äänestäjän mahdottomuus varmistua järjestelmän toiminnasta. Oman äänen tallentumista ja laskennassa huomioon ottamista ei voi mitenkään todistaa äänestystilanteessa. Tämä tuhoaa vaalin uskottavuuden. Lakiteknisiä esteitä järjestelmän käytölle ei ole.

The purpose of this thesis was to explore possibilities of using Internet based voting system in associations and in student unions. Subject was explored from point of view of legislation that controls associations and student unions and from point of view of general requirements of elections. Intention was to clarify the requirements that are set by legislation to Internet based voting in selected user environment, to explore threats posed to secrecy of the vote and to integrity of election returns by data security threats of voting information system and to explore ways to be ensure the reliability of election returns that voting systems produces by means of software quality assurance. Security voting system was analysed by splitting the Internet based voting system to smaller sub assemblies and by measuring data security threats by examining present security situation of that part. Security was analysed by identifying common security mistakes in system design and in source code. Assuring the software integrity was explored trough software quality assurance methods of information system project by analysing components of quality that form high quality information system documentation, testing and maintenance. Voting systems server side security can achieve acceptable level with constant and professional maintenance and by configuring hardware and software in secure way. On the contrary, election organiser has no way to assure that client side security is in order and that it does not threat secrecy of the vote. Required confidence of election returns produced by voting system can be achieved when information system documentation fulfils all users needs and when complete documentation of testing can be accessed. Usage of Internet based voting can not be recommend because of the security threat it poses to secrecy of the vote. Another problem is that creation of high quality voting system requires experienced software supplier and thorough design and testing process. This can lead to situation where expenses of the voting software becomes too high to target user group. As a whole, biggest problem in Internet based voting system is that voter is unable to verify how voting system functions. There is no way to prove that voters vote is registered and that it is really counted. This effectively destroys credibility of the election. There is no obstacles placed by legislation on using Internet based voting system.