Gruppal ile Tatile kn
 
Makaleler
Türkçe English
Blackbox Oy Kullanma Sistemi Ne Kadar Güvenilir ?
20 Ağustos 2004

Kasım 2004'te yapılacak şeçimlerde 32 milyon seçmen delikli kartlar ile oylarını kullanırken yaklaşık 50 milyon seçmen de bilişim teknolojilerinden yararlanarak kağıtsız oy kullanacak. Bu işlem sırasında izlenecek yöntem dokunmatik ekranı olan bir kiosk üzerinden seçmenlerin tercihlerini lokal bir bilgisayara aktarmaları ve sonraki aşamada da lokal verilerin merkezi bir bilgisayara elektronik ortamda transfer edilerek sayımını içermektedir.

Kağıt kullanılmadan yapılacak bu oylama sürecinin güvenirliğini aşağıda ki 3 temel unsur üzerinden incelemek yerinde olacaktır:

1. Yukarıda ana hatları ile tanıtılan bu oylama sürecinin kendisi ne kadar güvenilirdir ?

Oylamanın tamamen elektronik ortamda ve kağıt kullanılmadan yapılacağını gözönünde bulundurduğumuzda akla ilk gelen güvenlik açığı işlerin ters gitmesi durumunda oyların tekrar sayılamayacağı gerçeğidir. Elimizde fiziksel olarak tekrar sayımı mümkün olan bir oy pusulası bulunmamaktadır. Düzgün yazılmış bir bilgisayar programı aynı girişlere her zaman aynı çıkışı vereceği için oy sayım programının birden fazla çalıştırılması sonucu değiştirmeyecektir.

Kağıt kullanılmamasının getirdiği bir diğer dezavantaj da oy veren kişinin verdiği oyun bilgisayar tarafından gerçekten olması gerektiği gibi kabul edilip edilmediğini asla bilemeyecek olmasıdır. Bilgisayar sürecin sonunda seçmene oyunu A kişisi için kullandığını belirtirken aslında pekala B kişisi lehine kullanmış olabilir. Seçmenin elinde yazılı bir doküman olmadığı için bunu teyid etmesi mümkün değildir.

Burada daha güvenli bir yöntem olarak şöyle bir süreç izlenebilir:

  • Seçmen dokunmatik ekranda oyunu kullanır
  • Sistem kendisine camlı ve kapalı bir bölmede yazılı olarak kullandığı oyu gösterir ve gereken durumda fiziki olarak başvurulmak üzere saklı tutar
  • Bir optik okuyucu önceki adımda basılmış olan oy bilgilerini okuyarak tekrar elektronik ortama aktarır


  • Böyle bir yapıda seçmen oyunun kime gittiğini basılı bir şekilde görebilmektedir. Oyların yeniden sayılması gerektiği durumda ise fiziksel olarak bir kopyası bulunduğu için elle sayılması da mümkündür. Aynı zamanda, yapılan sayımların optik okuyucu üzerinden elektronik ortama aktarılmış değerler ile de karşılaştırılması yapılabilir.

    2. Sürecin kendisini bu şekilde ele aldıktan sonra güvenlik ile ilgili olarak incelenmesi gereken ikinci husus ise oy girişi ve sayımı için hazırlanmış olan yazılımların ne kadar güvenilir ve tutarlı olduğudur.

    Amerika'da iki firma blackbox oy kullanma sistemlerinde %80'lik pazar payını ellerinde tutmaktadırlar.

    Yazılımları inceleme şansı olmuş bilişim ve bilgi güvenliği uzmanları tarafından sıklıkla yapılan açıklamalarda programların iyi test edilmedikleri, tutarsız olabildikleri ve çok ciddi güvenlik açıkları bulunduğu ifade edilmiştir. Indiana'da 2003 yılında yapılan bir seçimde benzer bir sistem kullanılmıştır ve 19,000 kayıtlı kullanıcı olmasına rağmen 144,000 oy sayılmıştır.

    Kullanılan yazılımları test etme imkanım bulunmadığı için yukarıdaki iddiaların ne kadar doğru olduğu noktasına değinmeyeceğim. Ancak, aşağıdaki tespitleri yapabilirim:

  • Bu programları yazan kişilerin politik bağlantıları var mıdır yoksa tamamen tarafsız mıdırlar ?


  • Pazarın büyük kısmını elinde tutan iki firmadan birisinin kurucusunun geçen yıl Başkan Bush için mali kampanya yürüttüğü ve daha önce bilgisayar sistemlerine sızmak suçundan gözetim altında tutulduğu bilinmektedir.

    Hal böyle olunca, bu firmanın yazdığı elektronik oy kullanma programları ne kadar güvenilir olabilir ve insanlar buna ne kadar inanabilir ?

  • Yazılımları hazırlayan uzmanlar acaba bazı çıkarlar doğrultusunda kodların içine manipülasyon amaçlı eklentiler yapmışlar mıdır ve bağımsız kuruluşların bu kodları incelemesi mümkün müdür ?


  • Sözü edilen yazılımları geliştiren firmalar Amerikan yasalarına göre kodların incelenmesinin ticari sırlarına aykırı olduğunu öne sürerek inceletmeye yanaşmamaktadırlar. Çok baskı altında kaldıkları için kodların bir kısmını denetime açan firmalar olmuştur.

    Manipülasyon amaçlı yapılabilecek eklentilerde sınır yoktur ve tespit edilmeleri de o kadar kolay değildir. Yapılan testlerde durumun hemen fark edilmemesi için seçmenlerin kullanacakları oylara bağlı olarak tetiklenen, örneğin Bush'un aldığı her 50 oydan sonra rakibinden 10 oy silen yada zaman ayarlı olarak belirli bir süre sonra tetiklenen düzenekler kurmak mümkündür.

  • Kodlarda herhangi bir art niyet olmaması durumunda bile en kısasının 20,000 satır içerdiği bilinen bu yazılımlar yeteri kadar iyi test edilmişler midir ?


  • Değişik zamanlarda bağımsız gözlemciler yazılım firmaları tarafından yapılan testlere davet edilmişler ve konunun uzmanı olanlar denetçiler yazılım süreçlerinin tamamının test edilmemesine rağmen kendilerine edildiğine dair belgeler imzalatılmak istendiğini beyan etmişlerdir.

    Blackbox yazılımlarından birinde yapılan incelemede merkezi veritabanı olarak MS Access kullanıldığı, programın oy verme işlemi bittikten sonra verilerin birden fazla kopyasını çıkardığı, bazı raporlamaların bir, bazılarının diğer kopyadan yapıldığı gözlenmiştir. Dışarıdan müdehale ile tutulan oy bilgilerinin rahatlıkla değiştirilebildiği, audit amaçlı tutulan logların silinebildiği ve kullanıcı şifrelerinin değiştirebildiği tespit edilmiştir.

    3. Kağıtsız oy kullanım sistemlerinin güvenilirliğini etkileyen bir diğer husus da yazılımların üzerinde çalıştığı işletim sistemlerinin, donanımların ve iletişim hatlarının güvenliğidir.

    Lokal bilgisayarlar ile merkezi bilgisayar arasında veri transferi için bir bağlantı kurulması gerekmektedir. Böyle bir bağlantının kriptosuz olarak kurulması hattını dinlenmesi, bilgisayarlara sızılması ve manipülasyonu için gereken önkoşulları hazırlamaktadır.

    Gerekli bilgi güvenliği önlemlerinin donanım ve yazılım bazında alınması şarttır.

    Yazılımların üzerinde çalıştığı işletim sistemlerinin yapılarından kaynaklanan zaafları ve güvenlik açıkları sistemin bütünü açısından ciddi tehditler yaratacaktır. Böyle bir uygulama için kullanılacak işletim sistemleri muhakkak surette en son güvenlik yamaları ile onarılmış olarak kullanılmalıdırlar. Daha iyisi, tamamen bu iş için ve minimum sistem servisleri ile çalışacak şekilde yeniden düzenlenmeleridir. Böylelikle yapılarından kaynaklanan zaafların en aza indirgenmesi mümkün olabilecektir.

    Lokal ve merkezi donanımların fiziki güvenliği de önemlidir. Kimlerin ne zaman, ne amaçla ve nereden sisteme eriştikleri takip edilerek yetkisiz kişilerin fiziki olarak sisteme müdahil olmaları engellenmelidir. Merkezi sistemi kullanma yetkisi olan kişilerin ise hangi modülleri hangi yetkiler ile kullanabileceklerinin açık bir şekilde belirlendiği güvenlik politikalar uygunlanmalıdır.

    Seçim bilgileri kriptolanarak saklanmalı ve değiştirilmeleri engellenmelidir. %100 güvenli bir sistem elde edilmesi pratikte hiçbir zaman mümkün olmayacağı için en azından herhangi bir tutarsızlık olduğunda sistemin bunu fark edebilecek bir altyapı üzerine kurulmuş olması yanlış sonuçların doğru gibi kabul edilmesini engelleyecektir.

    Sonuç olarak bana göre öngörülen kağıtsız oy kullanma sistemi belirtildiği şekli ile ciddi riskler içermektedir ve güvenilir değildir. Umarım 2000 yılında yaşanan kaostan sonra 2004'te de benzeri bir durum meydana gelmez.

    © 2004 İlker Atalay

  • Bu yazımın bir kısmı 25 Ağustos 2004 tarihli Aktüel Dergisi'nde yayınlanmıştır.
  • Diğer Makaleler




  • Home
         ICQ #: 7318385