אין הצדקה לבחירות אלקטרוניות בישראל
זו אחת המסקנות העיקריות העולות משיחה שקיימנו עם ד"ר בן אדידה, מומחה להצפנה ובחירות אלקטרוניות מאוניברסיטת הרוורד, שמבקר בישראל. אבל הוא גם מציע אלטרנטיבה מעניינת ומסביר מדוע ישראל היא מקום טוב לנסות אותה. ראיון
בשנת 2000, בבחירות לנשיאות ארצות הברית, נפלה מבוכה. לא ברור היה מי המנצח בין גורג' בוש הרפובליקני ואל גור, הדמוקרטי. בשל קירבה גבוהה במספרי האלקטורים שהצביעו לכל צד. בסופו של יום, ההכרעה נפלה על מדינה אחת: פלורידה, שבה נאלצו בחלק מהמחוזות לספור את הקולות ידנית.
במחוז אחד, פאלם ביץ', נתגלו אחוזי הצבעה גבוהים באופן חשוד למועמד שלישי, עצמאי, שלא היו תואמים את אחוזי ההצבעה הארציים. החשד נפל על שיטת ההצבעה: המצביעים היו צריכים לנקב עיגולים שהיו בשדרת ספר ההצבעה – ומשותפים לשני צדיו, כאשר העיגולים המנוקבים נסרקו על ידי סורק אופטי. המבוכה הזו, הייתה אחד הכשלונות הגדולים של הצבעה ממוכנת.
אבל לא צריך להרחיק לכת מעבר לים: גם בישראל, הכשלונות המהדהדים של הצבעה ממוחשבת בבחירות המקדימות בעבודה וגם בליכוד (שם ההצבעה התקיימה, אך במחיר של תורים גדולים וסיבוכיות רבה) – מטילים צל כבד על התהליך שעומד להיות מיושם בישראל – מעבר להצבעה אלקטרונית בבחירות לכנסת.
אחד המרצים ביום עיון שהוקדש לנושא (PDF) במרכז הבינתחומי בהרצליה ובאוניברסיטת תל-אביב, הוא ד"ר בן אדידה. אדידה הוא מומחה לאבטחה, פרטיות ושקיפות בעל תואר דוקטור מקבוצת ההצפנה והמידע ב-MIT, וחוקר-עמית במרכז לחישוביות וחברה של אוניברסיטת הרוורד.
אדידה גם מנהל את פיתוח האבטחה של רשומה רפואית ממוחשבת בבית הספר לרפואה של האוניברסיטה, הוא נציג Creative Commns בקונסרציום הרשת העולמי (w3C) ומייעץ לגופים שונים בנושאי אבטחת מידע, הצפנה ושקיפות. הוא אף מעצבה של מערכת ההצבעה האלקטרונית "הליוס" ומוביל מחקר בנושא. פגשנו אותו לשיחה על בחירות אלקטרוניות בכלל, ומה הוא חושב על הבחירות האלקטרוניות המוצעות כאן בישראל.
מה זה בחירות אלקטרוניות?
בחירות אלקטרוניות (e-voting) הוא כינוי כולל לשלושה תחומים בעצם, מסביר אדידה: רישום בוחרים ממוכן, הצבעה אלקטרונית שבה המחשב מחליף את הקלפי המסורתית והצבעה דרך האינטרנט. רישום בוחרים זה החלק הפשוט בעניין, הוא דורש זהירות, אבל לגביו אין ויכוח. החלקים היותר סבוכים הם ההצבעה האלקטרונית המקומית או דרך האינטרנט.
"להצבעה אלקטרונית יש בסך הכל היסטוריה קשה", אומר אדידה. "למעט מקומות מסויימים שם היא נהייתה שיטה עדיפה, היא הפכה את ההצבעה ליותר מורכבת, יותר
יקרה, פחות מאובטחת וקשה יותר לאימות".
"בארצות הברית היא הפכה להיות הרבה פחות פופולרית מאז שנת 2000, ולהרבה אנשים יש בעיה לבטוח בה. אנשים פחות בוטחים במכונה לעשות את העבודה כמו שצריך", הוא מסביר.
תיעוד בלי זהות
מדוע בעצם זה כך? שאלתי. בן מחייך ומסביר. "בחירות מטבען הן בעיה מורכבת. אתה צריך לתעד כוונה של אנשים ובקמביל, לשמור על חשאיות זהותם כדי שלא יהיה ניתן לסחוט או לשחד אותם. זהו ניגוד שלא קיים באף יישום אלקטרוני נפוץ אחר כמו בנקאות או תעופה. הרבה אנשים אוהבים להשוות בחירות לשירותי ממשלה אחרים. אבל הצבעה היא שונה מאוד – היא סודית. הצורך הזה לא קיים באף מערכת אחרת".
"הצבעה היא שונה מכל צורה אחרת של אינטראקציה ממוחשבת – אנחנו באופן מודע מסלקים חלק מנתוני הזיהוי. אם קיבלת מידע שגוי בבנק, אתה יכול לבדוק. בבחירות, כיון שהזהות שלך מוסרת, האימות הוא בעייתי". טוען אדידה.
ישראל: לא מצדיק מחשב
מאוד רצינו לדעת את דעתו של אדידה לגבי מערכת ההצבעה האלקטרונית המוצעת כאן בישראל, ושעוצבה על ידי אנשי החשב הכללי במשרד האוצר, האחראים גם על ממשל זמין. זאת ועוד: האם בכלל יש טעם בבחירות אלקטרוניות בישראל?
אדידה די נחרץ בעניין הזה. לדעתו, היתרונות שבאים לידי ביטוי בשימוש במערכת מחשב במקומות אחרים בעולם (כמו טיפול יעיל בריבוי שפות, או במספר בחירות שהבוחר צריך לעשות), לא רלוונטיים לישראל. לדעתו, בישראל אנחנו עומדים לעבור בדיוק אותו תהליך שקרה בארצות הברית: התלהבות מהטכנולוגיה החדשה, ואז התפכחות והבנה שהטכנולוגיה במקרה הזה, הופכת את האמון ליותר מורכב – וחזרה לשיטת הנייר.
"ממה ששמעתי, המערכת שעוצבה אצלכם היא אחת המתחוכמות ושעוצבו בקפידה", הוא מחמיא לעבודת אנשי החשב הכללי, אבל מסייג מיד: "לא משנה כמה טוב עוצבה המערכת, המכונה היא זו שסופרת. ולכן, האנשים שמתפעלים אותה צריכים להיות ישרים היום, ישרים מחר ומחרתיים. וזה – הרבה אמון לשים בארגון אחד", אומר אדידה. "המכונות יכולות לעזור לפקח, אבל לא להחליף את הפיקוח האנושי".
"בישראל, יש לכם שאלה אחת שאתם שואלים את הבוחר, ויש לכם, תיאורטית, לא יותר משלוש או ארבע שפות בפתקים. זה עדיין לא מורכב במידה שמצדיקה מחשב. ויש את עניין המחיר שאנשים שוכחים – זה יותר יקר מנייר. יש תחזוקה, טכנאים. עם נייר, אתה יכול לשים בקלות עשר עמדות הצבעה. בהצבעה אלקטרונית – אתה צריך
לרכוש עשר מכונות".
"במערכות הנוכחיות שלכם, שהן באופן בסיסי, לקחת את התהליך הקיים ולמחשב אותו – אני לא רואה יתרון", הוא חורץ.
אקדח מוצמד לרקה
באותו יום עיון, הכריז בועז דולב, המנהל את הפרויקט כי בעתיד נוכל להצביע גם דרך האינטרנט. אך אדידה ממהר לשפוך דלי של מים צוננים על החזון של הצבעה באמצעות העכבר מפרטיות הבית, כשרק פיג'מה לגופנו.
"כל הבעיות שקיימות עם הצבעה אלקטרונית (מקומית – נ.ל.) קיימות גם כאן. שנית, אתה מקבל גם וירוסים, תולעים וכל מה שמסתובב ברשת. ואם 'האנשים הרעים' מנסים לגנוב את מספר כרטיס האשראי שלך, הם ינסו גם לדעת איך הצבעת", הוא קובע בחיוך.
"אבל בוא נגיד שהצלחת לבנות מערכת שקופה ונקיה מווירוסים, וגם אם התגברת על שתי הבעיות הראשונות – מה אם מישהו מצמיד לך אקדח לראש ומכריח אותך להצביע בדרך מסוימת? מה אם אשתך עומדת לידך ומכריחה אותך להצביע כך? זה עוד לא פתיר ברמה המעשית. יש פתרונות תיאורטיים, כמו לשנות את ההצבעה שלך במועד מאוחר יותר. אבל אז, איך נדע איזה מההצבעות היא ה"נכונה"? האם בזו איימו עליך, או בשניה?" הוא שואל בחיוך.
הכירו את "בקרה פתוחה"
אבל לא הכל שחור בעתיד של הבחירות האלקטרוניות. יש תקווה, וקוראים לה "ביקורת פתוחה" (Open Audit). מדובר בשיטת הצבעה נסיונית, שהגיעה לשלב הזה אחרי
שנים ארוכות של מחקר בנושא ומבוססת על הצפנה מתקדמת.
"ישראל דווקא תהיה מקום מאוד טוב לנסות אותה. יש לכם את הרקע הטכנולוגי, את היכולת המחקרית ובחירות פשוטות שהופכות אתכם למועמדים טובים".
ואיך השיטה הזו עובדת? דבר ראשון, התיעוד בנייר לא נעלם. הבוחר מקבל קבלה, שמכילה תיעוד של ההצבעה – אבל לא רישום פשוט שלה, אלא מוצפן. אדידה מסביר שהדבר דומה למספר מעקב בדואר חבילות: אתה יכול מהמחשב שלך בבית, לעקוב אחרי ההצבעה ולראות שהיא נקלטה כראוי.
ומה עם אימות התוצאות ובדיקה שאף אחד לא גנב את הבחירות? אדידה מסביר: "מה שעומד לקרות אצלכם, הוא שרק נציגי הממשלה ואלה שעיצבו את המערכת יוכלו לאמת את התוצאות. אם אתה לא האדם שזכה במכרז ועיצב את המערכת – אתה אבוד.
עם מערכת ביקורת פתוחה, כל אחד יכול, עם קצת מאמץ לרכוש את הידע המתאים כדי לאמת את תוצאות הבחירות בעצמו".
לבחור את הרופא שלך
העיקרון הוא פשוט: הממשלה תשתמש במערכת כדי לאסוף את ההצבעות. יופק דו"ח עם כל ההצבעות המוצפנות, שלכל אחת מהן יש "ספרת ביקורת" – שמאמתת האם התוצאות הרשמיות שנספרו תואמות את הדו"ח שהופק והופץ לציבור. את המתמטיקה שמאחורי ההצפנה, יכול לבדוק כל גוף חיצוני שמעוניין בכך: אוניברסיטאות, המפלגות או גופי פיקוח עצמאיים. כל אחד עם קצת רקע בהצפנה יכול לבדוק את ההצבעה, וכך גם מושגת אי התלות ברכיבי התוכנה עצמה, מה שאדידה מכנה "עצמאות מתוכנה".
בשיטה הזו, כל בוחר, גם בלי שום ידע במתמטיקה או בהצפנה יכול להעביר את הבחירה שלו לבדיקה בידי איש הצפנה שעליו הוא סומך. אדידה משווה זאת לבחירה של רופא. "כשאתה צריך רופא, אתה בוחר את הרופא שלך, לא הממשלה. אותו דבר צריך להיות כאן: כדי לאמת את תוצאות הבחירה שלך, אתה מוסר את זה בידי מומחה שעליו אתה סומך".
עוד יתרון מעניין של השיטה הזו, שניתן לתקן איתה הצבעה – במקרה והתחרטת או שגית בבחירה. "בגלל ההצפנה המתקדמת, אתה יכול פשוט להצביע שוב, אפשר לאסוף את ההצבעות מחדש – ולא קרה כלום. אתה לא יכול לעשות את זה עם נייר", מתלהב אדידה.
צניעות, זהירות ואיטיות
והוא יודע על מה הוא מדבר. הליוס, מערכת הצבעה שהוא עיצב, המבוססת על עקרונות הביקורת הפתוחה, שימשה לאחרונה באוניברסיטה בבלגיה בבחירות לנשיאות המוסד. אבל אדידה נזהר: "היא לא מיועדת לבחירות שלטוניות. אלא לבחירות פנימיות, היכן שיש פחות סיכוי לשחיתות. היא גם לא מתאימה לבחירות מקדימות (פריימריס). שם אנשים עדיין מנסים לקנות את ההצבעה שלך".
"צריך להיות מאוד צנועים עם העניין הזה. צריך להיזהר ולעשות את זה באיטיות".