1. [לפני שמונה שנים כתבתי פוסט שמסביר
למה אני נגד בחירות אלקטרוניות, קראו אותו קודם]. לפני שמדברים על בחירות אלקטרוניות צריך לזכור שבישראל כל פיתוח ממשלתי טכנולוגי משמעותי מוביל לכישלון. המדינה אינה יודעת לנהל מערכות אלקטרוניות בצורה טובה ומעבירה את האחריות בדרך כלל לאותם קבלני משנה שעושים את אותן שגיאות שוב ושוב. כל פרויקט מחשוב נמרח מבחינת זמנים, מתייקר, נכשל ואז לא מפיקים ממנו את המסקנות. לכן, עד להודעה חדשה,
ישראל לא צריכה לעבור לבחירות אלקטרוניות.
2. מבקר המדינה הכריז השבוע כי
יש להנהיג בחירות ממוחשבות. הצורך בבחירות ממוחשבות, לפחות על פניו, נובע
מהזיופים שקיימים בבחירות. את זיוף תעודת הזהות המדינה "רוצה" לפתור על-ידי הכנת מאגר ביומטרי ומעבר לתעודות זהות חכמות, שכרוכות אחת בשנייה; אבל הבעיה הממשית היא זיופים בקלפי. לפחות אני ראיתי
עדויות של אנשים שטוענים שהצביעו למפלגה מסוימת והקול שלהם לא הופיע בקלפי. כלומר, על פניו באמת ראוי לעבור למערכת אלקטרונית ראויה ומאובטחת שתאפשר את ההצבעה בצורה מהירה, עם תוצאות אמת מיידיות, ובלי יכולת למניפולציה אנושית.
3. הבעיה היא בסייפא של הדרישה שלי: בלי יכולת למניפולציה אנושית. אם נלמד מכשלי העבר, נראה שבחירות אלקטרוניות בפריימריז של הליכוד והעבודה ב-2008 הביאו ל
כשלים מרובים, ואפילו בפריימריז של הליכוד ב-2012 הייתה
פרצת אבטחה משמעותית. הכישלונות האלו לא ייחודיים לחלם שבציון, כמובן. מערכות ההצבעה של חברת Diebold כשלו והביאו אותה
לשלם קנסות על טעויות במערך ההצבעה.
בחירות אלקטרוניות בברזיל גם עמדו תחת חשדות כבדים, ואפילו יש
מדריך אינטרנטי פשוט על איך לזייף בחירות.
4. גם בחירות אלקטרוניות וגם בחירות אמיתיות מלאות באפשרויות זיוף. אין מערך שחסין לזיוף אף פעם, יש רק הקטנת מרחקים. בין 2007 להיום היו שינויים רבים, והתקדמויות טכנולוגיות, אבל ישראל עדיין אינה בשלה למערך הצבעה אלקטרוני מלא. לצורך בחירות אלקטרוניות מאובטחות יש לעמוד בכמה קריטריונים משמעותיים:
4.1 אימות: הקריטריון הראשון הוא אימות זהות המצביע. את אימות זהות המצביע היה אפשר לעשות עם תעודות חכמות (הגם שהדבר
פריץ כבר היום). לצורך אימות איכותי יש צורך גם במערך הנפקה אמין (לא מאגר ביומטרי, אלא מערך הנפקה אמין) וגם במערכת אימות אמינה. נכון להיום, מערכת האימות שלנו מבוססת הרבה יותר מדי על אמון שאיש לא מנסה לזייף את המערכת. גם במעברים ביומטריים ניתן לזייף את האישור מנייר בסופו של דבר (תפ 59194-01-14 פרקליטות מחוז מרכז נ' אטקין) ולכן צריך לוודא שלא רק שהתיעוד אינו ניתן לזיוף, אלא שמערך הבדיקה עד הקלפי לא ניתן לזיוף.
ההצעה שלי לאימות היא פשוטה, אך קצת יקרה: החל משלושה חודשים לפני הבחירות, יישלחו בדואר רשום כרטיסי הצבעה אלקטרוניים לכל אזרחי המדינה. האיסוף של הכרטיסים יבוצע בדואר, כך שפקידי הדואר יבצעו את האימות. כרטיס ההצבעה אינו תעודת זהות: הוא כרטיס חד-פעמי שמשמש רק למטרת ההצבעה והאימות שלו הוא יחד עם תעודת הזהות. לאחר ההצבעה, ועדת הקלפי לוקחת את הכרטיס ומשמידה אותו.
4.2 מניעת קבלני קולות: אם אנחנו מדברים על הצבעה מרחוק (מהבית), צריך לוודא שאף קבלן קולות לא יכול לקחת את הכרטיסים החכמים של המצביעים ולהצביע בשמם. את זה אפשר לעשות רק על-ידי מערך הצבעה מרכזי על מכונות הצבעה, ולא באמצעות הצבעה מהבית. הצבעה מהבית תאפשר יותר מדי זיופים נכון להיום.
4.3 וידוא: הדבר החשוב ביותר במערכת הצבעה אלקטרונית הוא שהיא תאפשר לכל אחד לוודא שהקול שלו נספר. מערכות כמו
Helios מאפשרות לכל מצביע לאמת את ההצבעה שלו למרות שהיא לא יכולה לאפשר חזרה אחורה של לדעת מי הצביע (חשאיות).
4.4 חשאיות: אחד היתרונות המשמעותיים בהטלת פתקים לקלפי הוא שאי-אפשר (
בהעדר טכנולוגיה טובה מספיק) לדעת מי הצביע לאיזו רשימה. מערכת טכנולוגית חייבת להיות חשאית.
4.5 קוד פתוח: מערכת טכנולוגית שמאפשרת דמוקרטיה
חייבת לבוא בקוד פתוח. פתיחת הקוד לציבור היא הדרך היחידה לוודא שאין דלתות אחוריות, מעקף אבטחה, או פרצות.
4.6 אבטחה: המערכות צריכות להיות מאובטחות דיין כדי למנוע פרצות אקראיות ופרצות מכוונות.
5. הבעיה היא שנכון להיום המערכות פשוט לא עומדות בצורה טובה מספיק (
לפחות בישראל) בבדיקות אבטחה. כדי להגיע למצב של בחירות אלקטרוניות צריך לערוך לא מעט שינויים קודם במערך המדינתי. השינויים האלו לא יחסכו כסף ולא יחסכו את מערך הבחירות היקר אלא רק יטילו עוד עלויות. כדי לקיים בחירות אלקטרוניות מאובטחות נצטרך לייצר מאגרי מידע לא נחוצים (נניח, ביומטריים) ולאבטח אותם לאורך כל התקופה בין בחירות לבחירות. העלויות של אבטחת המידע הזה יחד עם עלויות נוספות של פיתוח מערכת ייעודית לישראל, יביאו את הבחירות האלקטרוניות לכישלון חרוץ. לכן, הפתרון היחיד הנראה לעין הוא לאמץ מערך יעיל יותר של הצבעה ידנית.
6. ומה היתרון בהצבעה ידנית? ובכן, בהצבעה ידנית יש אינספור נקודות כשל, אבל הן אטומיות: בכל קלפי יכול להיות פקיד מושחת אחד, אבל כמות הנזק של פקיד מושחת אחד נמוכה משמעותית מאשר מערכת מרכזית שיכולה להיכשל. כלומר, זיוף יהיה נקודתי בקלפי של 600-150 אנשים, ולא יכול לגנוב בחירות.