Wednesday, October 17, 2012

Äänestäjän sähköisen rekisteröinnin käyttöönotto ja viestinnän vaikeus

Olen tulossa olevien kuntavaalien alla kouluttanut Kaarinan kaupungin vaalilautakunnat käyttämään sähköistä äänestäjän rekisteröintisovellusta. Kouluttajaksi minut on pyydetty siksi, että olen tammi-helmikuussa presidentinvaaleissa testannut vaalilautakunnan kanssa sähköistä rekisteröintisovellusta.

Kyse ei ole sähköisestä äänestyssovelluksesta, vaan vaalitietojärjestelmän osasta, joka mahdollistaa paperisesta äänestysluettelosta luopumisen. Äänestäjä saapuu paikalle kuten ennenkin ja esittää henkilöllisyystodistuksen. Suuri edistysaskel on se, että vaalivirkailija voi yksinkertaisesti skannata äänestäjän henkilöllisyystodistuksesta viivakoodin optisella lukijalla. Ainoastaan pahvisten vaaleanpunaisten ajokorttien ja vanhempien henkilökorttien kohdalla joudutaan näpyttelemään henkilötunnus käsin. Sovellus on ollut käytössä jo vuosia ennakkoäänestyspaikoilla.

Teknisesti sovellus on toteutettu siten, että JavaScriptillä on tehty selainsovellus, joka kommunikoi SSL-suojattua yhteyttä käyttäen vaalitietojärjestelmälle. Vaalivirkailijoiden tunnistautuminen hoidetaan VETUMA-tunnistautumismenetelmillä.

Kaarinassa sovellus toimi vaalipäivien äänestyksessä presidentinvaalissa hyvin. Kaikki järjestelmää käyttäneet vaalivirkailijat olivat sitä mieltä, että se on huomattava parannus vanhaan. Kuitenkin siitä huolimatta että käytimme rinnakkain sekä paperilistaa vanhaan malliin että uutta järjestelmää meillä jäi kahden äänen ero sähköisen listan ja uurnasta löytyneen annettujen äänien välille: uurnassa oli kaksi ääntä enemmän. Jäljitimme ongelman siihen, että käyttöliittymä ei ollut aivan selkeä ja yhdistettynä siihen seikkaan, että viivakoodinlukijat päästävät onnistuneen viivakoodin lukemisen jälkeen piippauksen vaikka lukijasta tullut tieto ei siirtyisikään sovellukseen oikein esim. sen takia, että kursori ei ole tekstikentässä, johon tieto pitäisi lukea.

Kirjoitan tätä blogausta siksi, että en ole ollenkaan vakuuttunut siitä onko järjestelmä siinä tilassa, että se on vaalin alkaessa kunnossa. Syy käy ilmi kun kerron tapahtumat aikajärjestyksessä.

3. tammikuuta kirjoitan Oikeusministeriön vaalitukeen seuraavan viestin:

Tervehdys,

Olen Kaarinan keskustan äänestysalueen vaalilautakunnan puheenjohtaja. Pidimme 3.1. koulutustilaisuuden äänten sähköisestä rekisteröinnistä ja osallistuimme järjestelmän testausharjoitukseen. WWW-sovellusta testattaessa kävi ilmi kaksi sovellukseen liittyvää ongelmaa joihin ainakin kannattaa kiinnittää huomiota ohjeistuksen muodossa:

1) Äänestystapahtumat sisältävän loki-ikkunan sulkeminen, virkistämistoiminnon (refresh) käyttäminen tai selaimen taakse-painikkeen painaminen hävittää tiedot. Ongelman ydin: vikatilanteessa yksi virhetoiminto riittää hävittämään koko tiedon eikä sitä saada takaisin ennenkuin vikatilanne on ohi. Näin ainakin Win7+IE -yhdistelmällä.

Äänestäjän tietojen etsiminen selaimen etsi-toiminnolla on mielestäni liian riskialtis menetelmä - erilaisissa poikkeustilanteissa ihmiset tekevät enemmän ja ennakoimattoman luonteisia virheitä. Listan hävittäminen on liian helppoa ja tällainen virhetoiminto rampauttaa toiminnan koko loppuajaksi minkä vaalihuoneisto on auki.

Ratkaisuehdotus: vaalilautakuntia ohjeistetaan siinä, miten tulee toimia yhteys- tai sähkökatkon aikana. Yhteyskatkon aikana riittävä toimi lienee paikallisen kopion tekeminen äänioikeuden jo käyttäneiden listasta joko paperille tulostamalla tai tulostamalla PDF-tulostinohjelmalla sähköinen paikallinen kopio. PDF-tiedoston käyttäminen jo äänestäneiden etsimiseen on turvallisempaa kun listaa ei pysty PDF-lukuohjelmaa käytettäessä tahattomasti muuttamaan. Sähkökatkon yhteydessä paikallisen sähköisen kopion tekeminen on ainoa mahdollisuus. Vaikka käytössä olisi katkottoman virransyötön takaavia UPS-laitteita, ne eivät tyypillisesti riitä teholtaan laserkirjoittimen käyttämiseen.

2) USB-väylän liitettävää viivakoodin lukijaa käytettäessä viivakoodinlukijalla tehdyn lukutapahtuman jälkeen äänestäjän henkilötunnus ilmestyy tekstikenttään. Tässä toiminnallisuudessa on pieni ongelma: kenttä ei tyhjene lukutapahtuman alkaessa. Tästä syystä kenttä täytyy tyhjentää manuaalisesti delete-näppäintä käyttämällä aina kun viivakoodinlukijaa on käytetty. Selainikkunassa ei ole toiminnetta tämän suorittamiseen. Kentän tyhjentäminen on olennaista mm. siksi, että osa viivakoodin lukulaitteista on herkkiä ns. kaksoisliipaisulle, jossa sama viivakoodi luetaan yhden painalluksen aikana kahdesti.

Ratkaisuehdotus tulevaisuutta ajatellen: sovellus tyhjentää hetun sisältämän tekstikentän aina kun viivakoodin lukijalta tulee uusi datapurske. 


 Saan kysymykseeni seuraavan vastauksen 11.01:

Hei,
pahoittelut, ettemme ole ehtineet vastata. Kommenttinne samoinkuin muun palautteen käsittely on meillä vielä työn alla. 1 -kohdan ehdotuksenne mukaisesti meiltä on vielä tulossa lisäohjetta. Esittämänne huoli on aiheellinen ja virkistämistä tulee välttää. Jos käyttökatko on niin pysyvä, että joudutaan loppuajaksi siirtymään paperiversion käyttöön, tulisi pyrkiä saamaan tulostettua loki paperille lähimmässä paikassa, missä tietoliikenneyhteydet toimivat. Laajan yhteysongelman kohdalla tämä ei aina tietenkään ole mahdollista.


Vastaan viestiin heti:

Kiitos nopeasta vastauksesta.

Paperille tulostaminen ei ole vaihtoehto jos sähköt ovat poikki. Useimmissa tapauksissa äänestyspaikan laitteisto koostunee kannettavista tietokoneista. Helpon siirrettävyyden ohella niitä tietysti käytetään siksi, että toiminta voi jatkua jonkin aikaa akun varassa. Sähkön puute tarkoittaa kuitenkin sitä, että tulostimet eivät toimi ilman katkottoman virransyötön varmistavaa UPS-laitetta. Oma tuntumani on se, että tällaisia ei äänestyspaikoille ilmesty jos niitä ei ole erityisesti ohjeistettu hankkimaan.

Kannattaa myöskin huomata, että koulujen ja muiden tavallisten äänestyspaikkojen verkkotulostimet eivät sähkökatkon tapauksessa toimi, koska kouluissa tietoverkon aktiivilaitteita kuten kytkimiä ei ole kouluissa yleensä varustettu UPS-laitteilla, tulostimista puhumattakaan.

Kun tulostaminen ei onnistu, äänestyspisteessä olevan koneen kanssa ei välttämättä voi lähteä muualle tulostamaan. Muistanette, että järjestelmään on pääsy ainoastaan tietyistä IP-osoitteista. Jos on todella tarkoitus lähteä muualle tulostamaan, tulostamisen täytyy tapahtua mielellään ylimääräisellä koneella, vaalijärjestelmään rekisteröidystä IP-osoitteesta. Tämä puolestaan tarkoittaa useimmissa tapauksissa sitä, että koneen on oltava kytkettynä kunnan hallintoverkkoon (jotta kone käyttäisi etukäteen ilmoitettua IP-osoitetta). Etukäteen määritellyn IP-osoitteen vaikutus on se, että vaikka jossain paikassa tietoliikenneyhteydet muuten toimisivat, siitä ei ole apua jos kyse on eri verkosta kuin mitä on suunniteltu käytettävän.

Jos esim. tapaninpäivän myrsky toistuu ja kunnan keskustaajama on sähköttä, tämä tarkoittaa edellä mainituista syistä monessa tapauksessa sitä, että tulostaminen ei kerta kaikkiaan onnistu kuin niiltä äänestyspisteissä käytössä olevilta koneilta, joilla tieto on.

Tämän takia pidän tärkeänä tehdä äänestäneiden listasta paikallinen sähköinen kopio välittömästi sähkökatkon tai yhteysongelman ilmettyä. Jos se pystytään tulostamaan paperille, se on hienoa, mutta käytännön toiminta äänestyspaikalla voi jatkua myös sähköisen kopion avulla.


Saan vastauksen nopeasti, samana päivänä:

Hyviä huomioita. Tarkoitin paperille tulostusta jossakin muussa kunnan toimitilassa, johon esim. vaalituki pystyy toimittamaan vaalipäivänä äänestäneiden luettelon vaikkapa sähköpostilla pdf -muodossa. Tuo lokin kopiointi sähköiseen muotoon on hyvä ratkaisu, jolla pärjätään niin kauan kuin on sähköä.

Meillä on huomenna asiasta kokous, jonka jälkeen lisäohjetta lähetetään, todennäköisesti perjantaina. 



Valmistautuminen kuntavaaleihin, lokakuu


Valmistautuessani pyynnöstä kouluttamaan kaupungin vaalilautakuntia syksyn kuntavaaleihin tajuan, että en ole saanut vastausta.  Otan yhteyttä 2.10. ministeriön vaalitukeen uudestaan:

Tervehdys,

Valmistaudumme uusiin vaaleihin. En edelleenkään ole saanut vastausta edellisen vaalin alla esittämääni kysymyksiinn. Voisitteko kertoa, mitä olette päättäneet asiasta ja miten asia on ohjeistettu?

Aloitamme tänään kaikkien Kaarinan kaupungin vaalilautakuntien koulutukset sähköisen rekisteröinnin osalta ja vastaukset tulisivat tarpeeseen.


Saan ainoastaan automaatti-ilmoituksen viestin vastaanottamisesta. Suunnittelen ja toteutan koulutukset niillä tiedoilla ja kokemuksilla mitä minulla on. Huomaan ilokseni, että sovellusta on parannettu siten, että virhetoimintojen mahdollisuus pienenee.

Koulutukset sujuvat hyvin, koulutettavat ovat kysyttäessä sitä mieltä että he pitävät järjestelmää hyvänä. Olen itsekin tyytyväinen kaupungin tietohallinnon otteeseen: äänestyspaikoille on varauduttu viemään tulostinten lisäksi myös UPS-laitteet, jotta paperituloste saadaan tehtyä myös sähkökatkon tapauksessa.

Viimeisellä koulutuskerralla 10.10. kuitenkin tulee ongelmia: saman äänestysalueen kaksi toimitsijaa istuu vierekkäin ja testaa järjestelmää. Vierekkäin olevien, samaan kytkimeen kytkettyjen koneiden lokitiedostot eivät täsmää. Kyse ei näytä olevan edes siitä, että viimeisimmät nimet eivät ole ehtineet päivittyä lokitiedostoon - eroja on myös takautuvasti. Lisäksi jotkut vaalitoimitsijat saavat eteensä väärän äänestysalueen lokitiedoston.

Saamme koulutuksen vedettyä teknisesti läpi mutta epävarmuus jää jäytämään. Kaupungin virkailijat kommunikoivat ja dokumentoivat tapahtuneen ja kuulen, että vaalituesta on saatu vastauksia, jotka selittävät osan tapahtuneesta. Lisäksi olisi pitänyt ottaa yhteyttä vaalitukeen tilanteen ollessa päällä, jotta sitä olisi voitu tarkastella in vivo. Päätetään järjestää uusi testi, johon kutsutaan kaikki vaalilautakuntien puheenjohtajat. Tämä testi pidettiin eilen, 16.10..

Tilaisuuden aluksi kerromme kaikille minkälaisiin ongelmiin törmäsimme ja puhumme toimintatavasta. Päätimme, että alamme testaamaan ja etsimään vikoja ja soitamme vaalitukeen jos löydämme niitä. Löydämme vikoja ja otamme yhteyttä vaalitukeen puhelimitse. Minä selitän ensimmäisen ongelman: sen, että äänestäjän tiedot eivät ilmesty lokiin äänen kirjaamisesta huolimatta, kaupungin virkamies selittää toisen ongelman. Jatkan asiasta keskustelua vaalituen virkamiehen kanssa, ja sanon, että tilanne vaikuttaa kyllä aika pahalta jos asiaa ei ole saatu edellisen kerran vikadokumentaation perusteella korjattua. Käytän hyvin jyrkkää kieltä tavalla joka jälkikäteen hävettää. Kysyn myös että miten minun pitäisi täällä näitä ihmisiä kouluttaa kun en ole vieläkään saanut vastausta tammikuussa lähettämääni kysymyksiin? Virkamies sanoo että hän ei ole tietoinen asiasta. Muistan kuitenkin että hän on sama henkilö, jonka kanssa viestin tammikuussa ja kivahdan, että tammikuun jälkeen minulle ei ole vastannut kuin ministeriön kirjaamon automaattivastaaja. Asiat on kerta kaikkiaan saatava kuntoon, voimasana, piste.

Palaamme kipakasta moodista asiaan. Kysyn, mitä tietoja vaalituki tarvitsee ongelman ratkaisemiseen. Vastaus: dokumentoinnin siitä, miten ongelmat ilmenevät. Ei siis tehdä mitään online-vianetsintää. Kiitän ja alamme dokumentoimaan vikoja ja lähetämme ne vaalitukeen.

Tänään sähköpostiyhteys vaalitukeen palaa. Virkamies kirjoittaa, että meillä on ollut viestinnällinen väärinkäsitys. Hänen tarkoituksensa oli viestiä tammikuussa, että kaikille järjestelmän käyttäjille tulee asiasta ohjeet. Luen viestiä hölmistyneenä: en ole moista uusittua ohjetta nähnyt. Paljastuu, että sellainen on tullut kaupungille, mutta se ei ole löytänyt tietään minulle. Saan kaupungilta skannatun version ohjeesta. Siinä on otettu huomioon voittopuolisesti kaikki sähkö- tai yhteyskatkoon liittyvät ongelmat, joita olen viesteissäni kuvannut. Ainoa merkittävä ero on se, että ministeriön ohjeessa suositetaan kopioimaan lokin sisältö tekstinkäsittelyohjelmaan - asia, jota pidän selvänä virhelähteenä.

Kirjoitan vastauksen, jossa pahoittelen eilisen puhelinkeskustelun sävyä, kerron, että olen vasta äskettäin saanut käsiini korjatun toimintaohjeen, mainitsen että oletin asiaan palattavan, toistan huoleni tekstinkäsittelyohjelmasta virhelähteenä, kerron miten olen ohjeistanut Kaarinan vaalilautakunnat ja korostan, että jo pelkästään lokien päivityksen ongelmat ovat tekijä, joka saa epäilemään järjestelmän luotettavuutta.

Kylmä rinki


Nyt odotamme, että vikojen lähteet saadaan paikallistettua ja vielä yhtä testiä. Sen pohjalta keskusvaalilautakunta joutuu päättämään miten ohjeistaa vaalilautakuntia ja toisaalta vaalilautakuntien puheenjohtajat pystyvät tekemään suunnitelmia siitä, miten vaalipäivänä toimitaan jos vikoja vieläkin ilmenisi.

Olen tyytyväinen siihen, että keskusteluyhteys on taas auki. Se, mihin en ole tyytyväinen on se, että jo lähtökohtaisesti aivan selkeitä riskitekijöitä ja ongelmia oli vuoden alussa vielä paljon. Se, että järjestelmää on käytetty jo vuosia ennakkoäänestyksessä ei ole tae siitä, että että se toimisi äänestyspaikoilla vaalipäivänä. Perustelu: postin henkilökunta ja ennakkoäänestyksessä työskentelevät henkilöt ovat tottuneita tietotekniikan käyttäjiä. Heidän tapansa käyttää tietotekniikkaa on homogeenisempi kuin vaalipäivänä koneiden ääressä istuvien vaalilautakuntien jäsenten. Minulla ei ole varaa tietotekniikassa luottaa moukan tuuriin. minussa on paha karma: saan todistettavasti aikaan pelkällä läsnäolollani kaikenlaisia vikoja tietokoneissa. Siksi olen oppinut pelaamaan varman päälle.

Demokratia ja vaalit on arvokas asia ja sitä arvokkuutta ei tule tärvätä tekniikan vajavaisuuteen. Ministeriön tapa viestiä asiasta henkii vanhaa kunnon hallinnon hierarkiaa. Samoin heidän näkemyksensä siitä, mikä vaalien järjestämisen läpinäkyvyyden asteen tulisi olla.

Esimerkki tästä: soitin 2.10. yleiseen vaalineuvontanumeroon kysyäkseni, missä vaalilautakuntien ohjeet ovat kun niitä ei löyty vaalit.fi-sivustolta. Siellä oleva kuntavaalimateriaali oli tuolloin vielä vuodelta 2008. Kerroin, että valmistelen koulutusta ja että minulla on tarkoitus viitata materiaalissa hyperlinkillä suoraan sähköiseen versioon oppaasta. Lisäksi sanoin, että on tärkeää, että kuntalaiset voivat myös tutustua vaalilautakunnan ohjeistukseen, jotta he niin halutessaan pystyvät tarkkailemaan sujuuko vaalitoimitus annettujen ohjeiden mukaisesti.

Vastaus tuli samana päivänä sähköpostilla: oppaat ovat paitsi vaalitietojärjestelmässä, myös oikeusministeriön sivuilla. Viestissä oli vielä kuvaava lisäys:

Tiedot on tarkoitettu vaaliviranomaisten käyttöön. Tarvittaessa lisätietoja voi kysyä ...

ja perässä kahden virkamiehen yhteystiedot. Viesti oli lähetetty cc:na koko ministeriön vaalitiimille.

5 comments:

Anonymous said...

Ministeriön ainoastaan vaalitoimitsijoille tarkoittamat materiaalit näyttävät olevan tuolla: http://www.vaalit.fi/uploads/vat.htm

Eliaksen blogi said...

Kas - Turussa on ollut ongelmia ennakkoäänestyksen käynnistämisen kanssa: http://areena.yle.fi/radio/1672145 kohdasta 00:40. Mielenkiintoista, että syyksi sanotaan että sovellus kirjautui väärään tietokantaan. Koitan selvittää mistä on kyse.

Anonymous said...

Ihmisten ei pitäisi käyttää sellaisia turvajärjestelmiä, joiden toimintaa eivät ymmärrä. Kun näin tapahtuu, ihmisiltä katoaa kyky puolustaa järjestelmää tai huomata sen virheitä, ja näin mukamas hieno sähköinen järjestelmä mahdollistaakin sen, että vaalien sabotoiminen tai tulosten väärentäminen onkin helpompaa. Perinteisen täysin paperisen järjestelmän huijaaminen on yllättävän vaikeaa, eikä siitä missään nimessä saa siirtyä pois.

Anonymous said...

Iltalehden sivuilta poimittua: http://www.iltalehti.fi/kuntavaalit/2012103116271639_kr.shtml

Anonymous said...

... The Center for Information Technology Policy at Princeton is pleased to host “E-Voting: Risk and Opportunity,” a live streamed symposium on the state and future of voting technology. At 1:30pm (Eastern) on November 1, 2012, electronic voting experts from across the United States will discuss what to expect on Election Day,...

https://citp.princeton.edu/event/e-voting-risk-and-opportunity/