Blockchain w polskich e-wyborach? Minister Gawkowski powinien się zastanowić

Podsumowanie zorganizowanego w grudniu przez ministerstwo spotkania z organizacjami pozarządowymi oraz inne publiczne wypowiedzi wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego, pozwalają powoli zrozumieć priorytety nowego szefa resortu cyfryzacji.

Cieszy – przynajmniej deklaratywne – zainteresowanie solidną cyfrową edukacją i higieną oraz walką z dezinformacją. Martwi potencjalnie mało krytyczne podejście do tak zwanej sztucznej inteligencji.

Poza sprawami bieżącymi i raczej niekontrowersyjnymi – jak np. konieczność implementacji unijnych dyrektyw, tematyką cyberbezpieczeństwa – w podsumowaniu grudniowego spotkania z organizacjami społecznymi i branżowymi przez wicepremiera Gawkowskiego, oraz w innych jego publicznych wypowiedziach, zwraca uwagę kilka kwestii.

Po pierwsze, edukacja medialna i higiena cyfrowa. Głosów na ten temat było na spotkaniu (w którym uczestniczyłem) bardzo dużo, cieszy więc, że zostały one odnotowane.

Po drugie, zainteresowanie walką z dezinformacją i mową nienawiści. To tematy trudne (kto decyduje, że dana wypowiedź jest nienawistna bądź nieprawdziwa?), ale bardzo istotne.

Dobrze też, że minister zgadza się z potrzebą większej liczby kobiet w branży IT, choć szkoda, że nie jest to odzwierciedlone w kierownictwie resortu – w zasadzie całkowicie męskim.

Big Tech na ostatnim miejscu?

Ostrożnie podchodzę do zapowiedzi, że „zdanie Big Techu będzie na ostatnim miejscu”. Czas pokaże, jak to w praktyce będzie wyglądało.

Na razie używanie z mobilnego systemu operacyjnego od Google'a lub Apple'a jest de facto niezbędne do korzystania z aplikacji mObywatel, administracja Microsoftem stoi, a polska klasa polityczna i wiele instytucji publicznych niemal zrośnięte jest z dawnym Twitterem.

Premier Gawkowski bardzo dużo mówi o tak zwanej sztucznej inteligencji. Jego przedwyborcze wypowiedzi na ten temat wydają się nieco bardziej krytyczne wobec tego rodzaju technologii niż powyborcze plany stworzenia Funduszu Sztucznej Inteligencji.

Związane z AI zagrożenia – nie te wydumane czy nakręcające bajerę i sprzedaż akcji, ale te realne już dziś – jednak nie zniknęły.

Są też rzeczy, które martwią: zupełnie niezrozumiałe jest promowanie rozwiązań opartych o technologię blockchain, i to w kontekście wyborów elektronicznych.

Edukacja medialna, higiena cyfrowa

Na grudniowym spotkaniu (z którego dostępne jest nagranie wideo) bardzo mocno wybrzmiał temat edukacji cyfrowej i higieny korzystania z technologii komunikacyjnych. Warto przytoczyć zwłaszcza dwa ważne głosy.

Magdalena Bigaj, reprezentująca Instytut Cyfrowego Obywatelstwa, zauważyła, że mija trzydzieści lat od pierwszych badań dotyczących wpływu nowych technologii na kondycję ich użytkowników, prowadzonych przez prof. Kimberly Young.

„Z tej wiedzy korzysta dzisiaj nie edukacja, nie system [ochrony] zdrowia, tylko przede wszystkim biznes do projektowania usług, których celem jest przytrzymanie naszej uwagi”.

Mamy dziś pandemię „problematycznego używania nowych technologii, której największymi ofiarami są dzieci i młodzież”. Przy czym problem ten dotyczy nie tylko ich, lecz również osób dorosłych i starszych.

Pani Bigaj zwróciła też uwagę, by nie obarczać odpowiedzialnością za problemy z korzystaniem z nowych technologii ich użytkowników i użytkowniczki. „Nawet najlepiej wyedukowany użytkownik nie jest w stanie samodzielnie oprzeć się rozmaitym manipulacyjnym mechanizmom obecnym w mediach internetowych”. Potwierdza to też raport Parlamentu Europejskiego na temat uzależnienia od nowych technologii.

Z kolei zdaniem Agaty Łuczyńskiej, reprezentującej Fundację Szkoła z Klasą, edukacja cyfrowa to znacznie więcej, niż tylko kształcenie technicznych kompetencji. „Potrzebujemy przede wszystkim nauczycieli, którzy rozumieją, że edukacja cyfrowa to też jest edukacja emocjonalna”.

„Musimy zacząć od kompleksowego szkolenia nauczycieli, dotyczącego nie kompetencji technicznych, ale kompetencji obywatelskich, budowania poczucia przynależności, zrozumienia, jak działają nasze emocje. Tylko to nam pozwoli wspierać walkę z dezinformacją”.

E-wybory i blockchain

Przyjrzyjmy się też wyborom przez internet i nieszczęsnemu blockchainowi, wymienianymi jednym tchem przez szefa resortu cyfryzacji:

„Akt wyborczy jest arcyważny i musi dawać gwarancję niepodważalności. Musimy więc wypracować koncepcję łączenia polityki i cyfryzacji. Środki techniczne do tego mamy. Można korzystać z technologii blockchain, można rozważać różnego rodzaju inne działania, które będą zapewniały tajność głosowania”.

Dużo tu trzeba rozpakować.

Zacznijmy od tego, że problem z e-głosowaniem nie jest technologiczny, a społeczny: podstawową funkcją wyborów jest nie tylko wskazanie nowej władzy czy podziału mandatów, ale też zapewnienie, że wszyscy się co do ich wyniku zgadzamy. Nawet jeśli „nasza” opcja przegrała.

System głosowania w wyborach powszechnych musi spełniać dwa trudne do pogodzenia warunki: głosowanie musi być poufne, a jednocześnie w pełni godne zaufania.

Jeśli głosowanie nie jest poufne – czyli można w jakikolwiek sposób powiązać osobę oddającą głos z oddanym przez nią głosem, ułatwia to znacznie bezpośrednie wpływanie na osoby głosujące: od kupowania głosów po zastraszanie głosujących.

Głosowanie tajne oczywiście nie uniemożliwia takich działań, ale bardzo utrudnia upewnienie się, że nasza łapówka lub groźba faktycznie zadziałały, i dana osoba faktycznie zagłosowała tak, jak nam obiecała. To znacznie zmniejsza skuteczność takich metod wpływania na wynik wyborów.

Jeśli głosowanie nie jest w pełni godne zaufania, różne siły polityczne mogą zacząć podważać wynik wyborów – a do czego to prowadzi, możemy sobie wyobrazić (lub przeanalizować ostatnie kilka lat polityki w Stanach Zjednoczonych).

Żeby głosowanie było godne zaufania, konieczne jest, by osoby głosujące rozumiały, jak system wyborczy działa. Jakie zabezpieczenia i procedury są wdrożone, by głosów nie podmieniano, by wszystkie policzono? Kto je liczy, jak przydzielane są mandaty?

To jest niełatwe nawet przy korzystaniu z papierowych kart wyborczych. Ilu wyborców rozumie metodę d'Hondta, używaną przy podziale mandatów w Sejmie?

Głosy ex machina

Zaplombowana urna wyborcza, obserwowana w lokalu wyborczym przez osoby reprezentujące różne siły polityczne biorące udział w wyborach, po czym komisyjnie otwierana w celu policzenia głosów, jest dość łatwym do zrozumienia (i audytu!) elementem systemu wyborczego.

Choć oszustwa wyborcze się zdarzają, to trudno je przeprowadzić konsekwentnie i skutecznie w skali całego kraju. Wymagałoby to bardzo dużo fizycznej pracy (miliony fizycznych kart do głosowania, tysiące urn, w komisjach wyborczych rozsianych po całym kraju), a więc też zaangażowania dużej liczby osób. Trudno taką operację zachować w tajemnicy wystarczająco długo.

Zastąpienie urny wyborczej komputerem (załóżmy, że nadal stojącym w lokalu wyborczym) znacznie utrudnia zrozumienie i audyt systemu.

• Kto napisał uruchomione na nim oprogramowanie?
• Czy zostało niezależnie zweryfikowane?
• Kto wyprodukował sprzęt?
• W jaki sposób możemy się upewnić, że oprogramowanie faktycznie na urządzeniu uruchomione nie zostało zmodyfikowane w nieuprawniony sposób, że sprzęt nie jest wadliwy?

Oczywiście możemy wdrożyć różne zaawansowane techniki podpisywania kodu i weryfikacji sprzętu, ale im bardziej skomplikowany system stworzymy, tym trudniej go będzie zrozumieć statystycznej osobie głosującej. I tym łatwiej ją będzie przekonać, że wybory zostały sfałszowane.

Dokładnie to się stało w Stanach Zjednoczonych, gdzie po przegranych wyborach prezydenckich w 2020 roku Partia Republikańska i wspierające ją media skutecznie nakręciły narrację, że maszyny do głosowania, użyte w wyborach, były trefne. Do dziś niebezpiecznie duży odsetek obywateli USA uważa, że tamte wybory zostały „skradzione”. Mimo że nie ma żadnych dowodów na jakiekolwiek związane z tymi urządzeniami nieprawidłowości mogące wpłynąć na wynik.

Głosowanie na (zainfekowanym) smartfonie

Sprawa staje się jeszcze trudniejsza, jeśli upieramy się przy głosowaniu bezpośrednio z naszych własnych urządzeń – a dokładnie to zdaje się mieć na myśli minister Gawkowski.

Jako przykład udanego wdrożenia e-głosowania z własnych urządzeń przywoływana jest często Estonia. Faktycznie, e-głosowanie funkcjonuje tam od 2005 roku. Jak jednak sugeruje niedawna analiza, oficjalne oprogramowanie wykorzystywane w estońskich wyborach nie spełnia nawet wymagań określonych w tamtejszym prawie.

W ostatnich wyborach parlamentarnych setki tysięcy głosów zostały prawdopodobnie oddane (i policzone!), mimo że nie zgadzały się podpisy cyfrowe tej aplikacji – co zasadniczo powinno było prowadzić do uznania tych głosów za nieważne.

Jednak nawet jeśli oprogramowanie do e-głosowania napisane byłoby perfekcyjnie i działało bez zastrzeżeń, to nie jest przecież uruchamiane w próżni. Zapewnienie bezpieczeństwa komputerów używanych do głosowania w lokalach wyborczych jest trudne, zwłaszcza w sposób pozwalający osobom nietechnicznym ufać wynikowi wyborów.

Pokazuje to sam fakt istnienia narzędzi cyfrowej inwigilacji osobistej jak Pegasus. Podobne narzędzia, technicznie rzecz biorąc, mogą być (i były) wykorzystywane do modyfikacji zawartości zaatakowanych smartfonów.

Poprzedni rząd posunął się do inwigilacji opozycji i wykorzystania tak zdobytych informacji do próby wpłynięcia na wynik wyborów. Nietrudno sobie wyobrazić, że jakaś siła polityczna posunęłaby się też do wpływania bezpośrednio na oddawane w wyborach głosy, jeśli tylko miałaby taką możliwość.

Głosy przetwarzane w (niewydajnej) infrastrukturze

Ostatecznie głosy z naszych urządzeń musiałyby też w jakiś sposób trafić na serwery Państwowej Komisji Wyborczej. To oznacza konieczność uruchomienia i utrzymywania infrastruktury i oprogramowania krytycznego dla bezpiecznego i skutecznego przeprowadzenia wyborów.

O tym, że nie jest to zadanie łatwe, przekonała się w 2014 roku PKW (a wraz z nią cała Polska) – system zbierania danych z obwodowych komisji wyborczych nie dał rady obsłużyć ruchu, w związku z czym zliczanie głosów opóźniło się o wiele godzin.

Przy czym system miał obsługiwać „tylko” kilkadziesiąt tysięcy komisji, a nie kilkadziesiąt milionów urządzeń pojedynczych obywateli, jak byłoby w przypadku e-głosowania! Mało tego, szybko okazało się, że napisane na zlecenie PKW oprogramowanie jest fatalnej jakości.

W zeszłorocznych wyborach mieliśmy podobną sytuację: tym razem ruchu nie dała rady obsłużyć infrastruktura serwerowa aplikacji mObywatel.

Przy czym, w przeciwieństwie do głosowania za pomocą fizycznych kart do głosowania, oszustwa wyborcze w przypadku e-wyborów skalują się bardzo łatwo.

Podmiana miliona fizycznych kart wyborczych to dużo więcej (ryzykownej) pracy niż podmiana jednej. A nawet jeśli dane z komisji spływają do PKW najpierw w formie elektronicznej, to w razie jakichkolwiek wątpliwości wypełnione karty do głosowania są dostępne do ponownego, ręcznego przeliczenia.

W przypadku e-głosowania takiej możliwości po prostu nie ma. A jeśli już ktoś uzyskał odpowiedni poziom nieuprawnionego dostępu do systemu informatycznego – np. znalazł błąd w oprogramowaniu podłączonego do internetu serwera do zliczania e-głosów – zmiana miliona głosów jest równie łatwa, jak zmiana jednego.

Blockchain tu nie pomoże

Czym jest blockchain? Dosłownie oznacza „łańcuch bloków”.

To pewien sposób zapisu danych, znacznie utrudniający modyfikację danych wcześniej już zapisanych. Można to sobie w ogromnym uproszczeniu wyobrazić jako zapisywanie notatek na kolejnych kartkach, gdzie każda kolejna notatka rozpoczynana jest słowem złożonym z pierwszych liter wszystkich słów notatki poprzedzającej.

Jeśli więc ktoś chciałby zmienić treść raz zapisanej notatki, musiałby też zmienić treść wszystkich notatek następujących po niej. Jeśli ktoś inny miałby kopie wszystkich tych notatek, łatwo zauważyłby, że notatki zostały zmodyfikowane.

W jaki sposób taki system zapisu danych miałby rozwiązać problemy z e-wyborami? Trudno powiedzieć. Być może chodziłoby o zapisywanie głosów w blockchainie, tak, by trudniejsze było ich nieuprawnione zmodyfikowanie później?

Tyle że to w żadnym razie nie rozwiązuje choćby problemu bezpieczeństwa urządzeń wykorzystywanych w głosowaniu. Blockchain nie pomoże na przykład określić, czy głos był oddany faktycznie przez osobę uprawnioną, czy w wyniku działania złośliwego oprogramowania.

Technologia ta nie pomoże też w kwestii zaufania do procesu wyborczego – wręcz przeciwnie, jest kolejnym skomplikowanym mechanizmem, którego zawiłości będą trudne do zrozumienia (a więc i do obdarzenia zaufaniem) dla osób biorących w wyborach udział.

Tym bardziej że – jak pokazuje wspomniany wcześniej przykład Estonii – nawet prostsze, już wdrożone systemy, nie są w praktyce skutecznie weryfikowane.

Notabene, trochę niepoważne jest to traktowanie różnych technologii jak magicznej różdżki. Tak jakby przywołanie „technologii blockchain” (albo coraz częściej „sztucznej inteligencji”) miało samo w sobie rozwiązać wszystkie problemy.

Są pilniejsze tematy

Temat e-głosowania jest oczywiście znacznie szerszy i bardziej skomplikowany. W ogóle nie poruszyłem na przykład kwestii poufności głosu oddawanego na smartfonie. Ktoś, kto chciałby kupić głosy lub zastraszyć osoby głosujące, mógłby przecież kazać im zagłosować przy nim, lub wręcz kazać sobie pozwolić zagłosować na ich urządzeniu.

Poza tym zdalnie oddany głos zawsze zostawi jakieś metadane, jak się upewnić, że nie pozwolą powiązać osoby głosującej z oddanym głosem?

Nie wspomniałem też o tym, że nie tylko o wewnętrzne siły polityczne trzeba się w tym kontekście martwić. Zewnętrzni gracze – korporacyjni czy geopolityczni – też mogą mieć interes we wpłynięciu na wynik wyborów albo w podważeniu do nich zaufania.

A jednocześnie mogą mieć dostęp do znacznie bardziej rozbudowanego arsenału przydatnych w tym celu środków niż jakakolwiek krajowa partia polityczna.

Polityczny chaos w Stanach Zjednoczonych, związany z próbami podważenia wyniku ostatnich wyborów prezydenckich, zdecydowanie jest Putinowi na rękę (choć trudno dziś powiedzieć, w jakim stopniu maczał w tym palce).

Czy ta gra jest warta świeczki? Na jednej szali mamy potężne trudności, wychodzące daleko poza kwestie czysto technologiczne, potencjalnie prowadzące do (słusznego bądź nie) kwestionowania wyników wyborów i łatwiejszego ich fałszowania. Na drugiej, wygodniejsze głosowanie i szybsze liczenie głosów.

Wygoda jest niewątpliwie ważna, ale jednak drugorzędna w zestawieniu z bezpieczeństwem procesu wyborczego i publicznym do niego zaufaniem. A co do liczenia głosów, raz na parę lat możemy chyba poczekać te paręnaście godzin na (godny zaufania) wynik.

Skupmy się więc na razie na edukacji medialnej.

Cykl „SOBOTA PRAWDĘ CI POWIE” to propozycja OKO.press na pierwszy dzień weekendu. Znajdziecie tu fact-checkingi (z OKO-wym fałszometrem) zarówno z polityki polskiej, jak i ze świata, bo nie tylko u nas politycy i polityczki kłamią, kręcą, konfabulują. Cofniemy się też w przeszłość, bo kłamstwo towarzyszyło całym dziejom. Rozbrajamy mity i popularne złudzenia krążące po sieci i ludzkich umysłach. I piszemy o błędach poznawczych, które sprawiają, że jesteśmy bezbronni wobec kłamstw. Tylko czy naprawdę jesteśmy? Nad tym też się zastanowimy.