Ko kontroliše "kod", kontroliše izbore: U čije će ruke ključ izbora?

U fokusu je bio tender za uvođenje sistema biometrijske autentifikacije birača i skenera glasačkih listića, reforme koja bi trebala značajno unaprijediti transparentnost i integritet izbornog procesa. Posebna pažnja posvećena je političkom i sigurnosnom značaju ovog tendera, s obzirom na to da će odluka o izboru dobavljača praktično značiti i odluku o tome u čijim rukama će biti tehnološka kontrola izbornog procesa u Bosni i Hercegovini. Tekst možete pročitati OVDJE.

Putovanje u Gruziju

Misija OSCE-a u Bosni i Hercegovini organizovala je studijsku posjetu delegacije iz BiH Gruziji u martu 2024. godine, s ciljem da institucije iz BiH iz prve ruke steknu uvid u način na koji se u Gruziji primjenjuju izborne tehnologije i kako se one uklapaju u izborni proces. U delegaciji su bili predstavnici CIK-a BiH, IDDEEA-e, Agencije za zaštitu ličnih podataka te Parlamentarne skupštine BiH.

U fokusu posjete nisu bila samo tehnička rješenja, nego i “operativni dio” tehnologije: kako se planira i provodi nabavka, kako se organizuju obuke izborne administracije, na koji način se rješava transfer podataka, te kako se adresiraju pitanja cyber sigurnosti i zaštite integriteta procesa.

Pojedini medijski i korporativni navodi ukazuju da je Smartmatic u određenim izbornim ciklusima bio uključen u modernizaciju izbornog procesa u Gruziji. U Gruziji je u posljednjih nekoliko godina došlo do široke primjene izbornih tehnologija, pri čemu je institucionalni nosilac procesa bila Centralna izborna komisija Gruzije (CEC), a ključni privatni dobavljač/implementacioni vendor bio je Smartmatic.

Međutim, OSCE/ODIHR je zabilježio kritike da su ključne informacije o testiranju/auditu i pristupu tehničkoj dokumentaciji bile ograničene ili objavljene kasno, što je – prema izvještaju – doprinijelo javnim sumnjama o ranjivostima i potencijalnoj zloupotrebi.

Brojne zabrinutosti i pripreme za tender

U javnom prostoru su se pojavile dvije dominantne vrste zabrinutosti. Operativni rizici i spremnost sistema. Naime, dio izvora upozoravao je da “nationwide” primjena predstavlja stres-test, uz rizike poput nedovoljnih obuka, konfuzije birača i mogućih kvarova opreme.

U dijelu biračkih mjesta, navodno je došlo do masovnog narušavanja tajnosti glasa, povezano s načinom ubacivanja listića u uređaj i vidljivošću odabira. Kasnije je zabilježena i odluka Izborne komisije da izmijeni proceduru za naredne izbore, što su kritičari tumačili kao indirektno priznanje da je problem postojao.

OSCE/ODIHR u finalnom izvještaju registruje i postizborne sporove i istrage nakon javnih optužbi o nepravilnostima. U tom kontekstu se navodi da su uređaji zapečaćeni i da je izdvajanje podataka rađeno radi forenzičkog pregleda, uz napomene o ulozi tehničkih aktera u procesu.

Prema dostupnik informacijama, Centralna izborna komisija BiH je u fazi pripreme prije objave tenderske dokumentacije i tehničkih specifikacija angažovala DemTech Group, konsultantsku kompaniju iz Danske.

Tim povoodm u posjeti Centralnoj izbornoj komisiji je bio Carsten Schürmann, koji je učestvovao u pripremi tehničkih elemenata/specifikacija vezanih za izborne tehnologije. Schürmann je profesor na IT University of Copenhagen, a u javno dostupnim biografskim navodima povezuje se s DemTech okvirom kroz ulogu direktora DemTech inicijative (istraživačkog projekta usmjerenog na povjerenje u digitalne izbore) te kao kontakt/direktor DemTech Group konsultantske firme.

Izvorni kod i kontrola procesa

Uvođenje izbornih tehnologija otvara ključno pitanje: ko stvarno kontroliše sistem - izborna institucija ili dobavljač. Zato se u ozbiljnim projektima insistira da krajnji korisnik (npr. CIK) bude vlasnik izvornog koda ili da barem ima čvrsta prava pristupa i kontrole, jer to direktno utiče na povjerenje javnosti, provjerljivost rezultata i dugoročnu održivost sistema.

Prvi razlog je nezavisna provjera. Ako institucija ima kod, može angažovati nezavisne eksperte za sigurnosne revizije i audit bez zavisnosti od dobavljača. Drugi razlog je izbjegavanje “vendor lock-in” situacije: bez prava na kod, dobavljač postaje jedini koji može raditi nadogradnje, ispravke grešaka i prilagodbe zakonu, što povećava troškove i rizik prekida podrške.

Treći razlog je kontinuitet – izborni sistemi traju godinama, a firme se mijenjaju ili nestaju; bez koda institucija može ostati bez mogućnosti održavanja u kritičnom trenutku.

S druge strane, kada dobavljač zadrži punu kontrolu nad kodom, povećavaju se rizici: od skrivenih funkcionalnosti i netransparentnih izmjena (“silent updates”), do situacije da se u slučaju spora institucija mora oslanjati na tumačenje dobavljača, što slabi kredibilitet. Dodatno, kontrola nad kodom i “build” procesom utiče i na privatnost podataka (identitet birača, logovi, ključevi) i otvara “supply-chain” rizike.

U praksi se često traži kompromis: source-code escrow (kod kod treće strane), pravo na nezavisni audit, stroga kontrola promjena i obavezna predaja dokumentacije i testova. Suština je ista, u izbornim sistemima nije dovoljno da tehnologija “radi” - mora se moći dokazati da radi ispravno i da ključna kontrola ostaje u rukama institucije.

Uvođenje modernih izbornih tehnologija, poput biometrijske identifikacije birača i optičkog skeniranja glasačkih listića, ima za cilj povećati tačnost evidencija i ubrzati obradu rezultata, uz zadržavanje papirnog listića kao fizičkog dokaza izborne volje. Ipak, nijedna tehnologija sama po sebi ne uklanja rizik od zloupotreba. Naprotiv, malverzacije se mogu pojaviti u različitim fazama procesa – od pripreme baze birača i konfiguracije uređaja, preko identifikacije birača i rukovanja listićima, do zatvaranja biračkog mjesta i prenosa rezultata prema centralnom sistemu. Zbog toga je ključno razumjeti gdje se nalaze potencijalne slabe tačke i koje vrste nepravilnosti su realno moguće.

Prva osjetljiva tačka je priprema i distribucija baze birača. Ovakav model glasanja zavisi od toga da su podaci u bazi tačni i ažurni, te da su identične verzije podataka učitane u uređaje koji se koriste na biračkim mjestima.

U slučaju neažurnih ili pogrešnih podataka, birači mogu biti neosnovano odbijeni ili, suprotno tome, neovlašteno prihvaćeni. Poseban rizik nastaje kada postoji neusklađenost između centralne baze i lokalnih baza koje se nalaze na biometrijskim uređajima, jer to često dovodi do improvizacija i ručnih intervencija na biračkom mjestu. Dodatno, neovlašten pristup konfiguraciji uređaja prije izbornog dana može otvoriti prostor za izmjene postavki, pravila rada, načina logovanja ili sigurnosnih parametara, što se kasnije teško dokazivo ispravlja.

Druga rizična faza odnosi se na biometrijsku identifikaciju birača na biračkom mjestu. Iako biometrija treba spriječiti glasanje u tuđe ime, praksa pokazuje da najveći problem često nisu senzori nego izuzeci. Ako sistem predviđa “ručni režim” ili posebnu proceduru kada biometrijska verifikacija ne uspije (npr. zbog oštećenog otiska ili tehničkog problema), taj mehanizam može postati kanal za zloupotrebe. U takvim situacijama postoji rizik da se identifikacija “pogura” mimo pravila, da se neopravdano odobravaju izuzeci ili da se broj izuzetaka na pojedinim biračkim mjestima neprirodno poveća. Također, u uslovima offline rada i kasnije sinhronizacije, može se pojaviti rizik duplog evidentiranja birača ako evidencija o tome da je birač glasao nije pouzdano zaključana i provjerljiva kroz sistem.

Treća kritična oblast je izdavanje i kontrola glasačkih listića. Iako birač glasa na papiru, malverzacije se mogu dogoditi kroz ubacivanje dodatnih listića mimo broja stvarno identifikovanih birača, naročito ako ne postoji striktno praćenje količina i kontrola sigurnosnih oznaka na listićima. Rizik postoji i u situacijama zamjene listića – kada se listić koji je birač popunio pokuša zamijeniti drugim listićem prije ubacivanja u skener ili kutiju. Jednako ozbiljan problem predstavlja namjerno poništavanje listića, bilo kroz fizičko oštećenje, bilo kroz stvaranje uslova da listić bude proglašen nevažećim.

Četvrta faza odnosi se na optičko skeniranje i interpretaciju (OMR) rezultata na samom biračkom mjestu. Tehnologija skeniranja može ubrzati brojanje, ali uvodi rizike poput selektivnog skeniranja, gdje se pojedini listići iz određenih razloga ne provuku kroz skener ili se proces prekida. Također, moguće su greške u očitavanju oznaka – zbog lošeg dizajna listića, neadekvatno podešene OMR logike ili tehničkih grešaka – što može dovesti do pogrešnog pripisivanja glasova ili proglašavanja listića nevažećim. Posebno opasna tačka nastaje ako postoji mogućnost ručne intervencije ili “override” mehanizma koji omogućava da se status listića ili interpretacija glasa mijenja bez jasnog, revizijski provjerljivog traga. Dodatno, ako skenirana slika listića nije pouzdano vezana za digitalni rezultat (npr. kroz potpis i kontrolu integriteta), otvara se prostor za sporove i sumnje u to šta je zaista skenirano i evidentirano.

Peta oblast rizika je fizička sigurnost uređaja i glasačke kutije. Čak i uz najbolji softver, neovlašten pristup skeneru ili kutiji može kompromitovati proces. Rizici se posebno povećavaju tokom pauza, pri transportu opreme ili nakon zatvaranja biračkog mjesta. Manipulacija plombama, nekvalitetno plombiranje ili nepostojanje evidencije o serijskim brojevima plombi mogu omogućiti prikriveno otvaranje i naknadne intervencije. U ekstremnim slučajevima, rizik predstavlja i mogućnost zamjene dijelova opreme ili memorijskih medija, ukoliko fizičke kontrole nisu stroge i dvostruko provjerljive.

Šesta faza uključuje zatvaranje biračkog mjesta i generisanje završnih izvještaja. U ovoj fazi se mogu pojaviti nepravilnosti poput štampanja završnih izvještaja koji ne odgovaraju stvarnom broju listića u kutiji, ili pokušaja naknadnih “korekcija” rezultata kroz izgovor ponovnog štampanja, greške uređaja ili potrebe za “ponovnim zaključivanjem”.

Posebno indikativne situacije nastaju kada se broj identifikovanih birača ne poklapa s brojem skeniranih listića ili s brojem listića u kutiji. Takva neslaganja su tipično najvažniji signal da je potrebno detaljno provjeriti biračko mjesto i postupanje biračkog odbora.

Sedma oblast je prenos rezultata prema centralnom sistemu. Kašnjenja, prekidi prenosa ili ponovni pokušaji slanja mogu otvoriti prostor za sumnju i potencijalne intervencije prije konačne predaje podataka. Ako protokol prenosa ne osigurava jaku provjeru integriteta i autentičnosti (npr. digitalni potpisi, kontrolne vrijednosti, pouzdane potvrde prijema), nastaje rizik od spora o validnosti poslanih podataka. Još jedan problem može biti nepouzdan mehanizam potvrde prijema, gdje biračko mjesto nema jasnu i dokazivu potvrdu da je centralni sistem primio upravo one rezultate koji su generisani na skeneru.
Konačno, osma faza rizika odnosi se na centralnu obradu i pohranu podataka. Čak i ako je proces na biračkom mjestu u potpunosti ispravan, centralni sistem mora imati stroge kontrole pristupa, audit logove i revizijske mehanizme kako bi se spriječile neovlaštene izmjene u bazi ili nepravilna konsolidacija rezultata. Greške u spajanju podataka, pogrešna asignacija biračkog mjesta ili administrativne intervencije bez transparentnog traga mogu dovesti do ozbiljnih posljedica po povjerenje u izborni rezultat.

Pažnja Ambasade SAD

Prema informacijama koje kruže među učesnicima i posmatračima procesa, značajnu pažnju pokazuje i Ambasada Sjedinjenih Američkih Država u BiH, prvenstveno kroz opći stav da projekat treba biti proveden “u maksimalnom redu” – sa proizvođačima opreme koji imaju jasne reference, dokazive kapacitete i iskustvo u implementaciji sličnih rješenja.

Ovakav pristup nije izuzetak: u međunarodnoj praksi izborna tehnologija se tretira kao dio kritične infrastrukture, pa se insistira na dobavljačima koji mogu demonstrirati provjerljiv track-record, formalne sigurnosne kontrole i spremnost da se sistem podvrgne nezavisnom auditu. Pojam “trusted vendor” u izbornoj tehnologiji, međutim, ima vrlo konkretan sadržaj. U praksi to znači da dobavljač mora ponuditi više od same opreme: potrebni su dokazi o ranijim implementacijama u složenim izbornim okruženjima, stabilan servisni model, kontrola verzija i promjena softvera, mogućnost forenzičkih provjera, te jasni mehanizmi odgovornosti u slučaju incidenta. Uz to, sve češće se insistira i na tome da reference dolaze iz sistema koji imaju razvijene standarde testiranja i nadzora – gdje se tehnologija ne uvodi “ad hoc”, nego kroz regulisane procedure, nezavisne evaluacije i javnu kontrolu.

Posebno osjetljivo pitanje, koje se u ovakvim projektima pojavljuje gotovo uvijek, jeste rizik od “stranih utjecaja” – u tehničkom smislu: ko kontroliše nadogradnje, pristup ključnim komponentama, servisne mehanizme i incident-response. Kritičari upozoravaju da izborni sistem ne smije postati zavisan od zatvorenih tehnoloških ekosistema u kojima je krajnji korisnik (institucija) ograničen u mogućnosti nezavisne provjere. U tom smislu, naglasak se stavlja na auditabilnost, kontrolu promjena, transparentne logove i ugovorne mehanizme koji osiguravaju da ključne poluge ostaju pod kontrolom institucija BiH.

(Vijesti.ba)