Oslo kommune

Departementet foreslår å forskriftsfeste krav til kommunene og fylkeskommunene ved bruk av det elektroniske valggjennomføringssystemet.

Departementet foreslår at ny § 4-2 skal lyde:

(1) Valgstyret, fylkesvalgstyret og distriktsvalgstyret skal sørge for tilgangsstyring og å begrense datatrafikk og funksjonalitet på maskinene som benyttes for å få tilgang til det elektroniske valggjennomføringssystemet.

(2) Hvis kommunene eller fylkeskommunene benytter systemet til å telle stemmesedlene maskinelt, skal i tillegg programvare for monitorering av operativsystemet som Valgdirektoratet stiller til rådighet, være installert på maskinene som benyttes.

I høringsnotatet utdyper departementet bestemmelsen i første ledd.

Direktoratet viser til at tilgangsstyring er i tråd med NSMs Grunnprinsipper for IKT-sikkerhet, jf. punkt 2.6.1 bokstav c, som slår fast at «[a]lle kontoer bør kunne spores til en ansvarlig bruker (også upersonlige kontoer uten personnavn)». Det er ikke nødvendig at enhver som skal benytte systemet har sin egen datamaskin. Departementet foreslår på den bakgrunn at det tas inn i forskriften at valgstyret skal sørge for tilgangsstyring på maskiner som brukes til det elektroniske valggjennomføringssystemet. Det innebærer at valgstyret må sørge for at det opprettes slike personlige brukere og at disse brukes av valgmedarbeiderne. Det må ikke opprettes brukere som kan benyttes av flere personer.

Oslo kommune støtter departementets intensjon om at det bør settes krav ved bruk av det elektroniske valggjennomføringssystemet (EVA). Vi støtter ikke høringsnotatets formuleringer om krav til personlige brukere. Vi presiserer at NSMs Grunnprinsipper for IKT-sikkerhet, jf. punkt 2.6.1 bokstav c heller ikke setter krav til at brukere skal være personlige.

Unike operativsystembrukere medfører flere risikoøkende elementer som etter vårt syn ikke bidrar til en mer sikker og effektiv valggjennomføring. Det er viktig å understreke at alle valgmedarbeidere har unike brukere i EVA, og at pålogging til EVA gjøres sikkert via ID-porten.

Oslo kommune er ferdig med å klargjøre oppsettet for PC-er som skal brukes ute på valglokalene til årets valg. Sikkerhetstesting av løsningen er allerede gjennomført og vi forbereder installasjon på alle PC-ene. For Oslo kommunes del er det for sent å komme med krav til endringer i oppsettet som skal gjelde ved årets valg. Tidligstemmegivningen begynner 1. juli og pakking av utstyr til forhåndsstemmelokalene og valglokalene pågår i juli.

Den største risikoen forbundet med unike operativsystembrukere knytter seg til avhengigheter som oppstår for pålogging og autentisering av brukerne. For Oslo kommunes del vil unike operativsystembrukere innebære autentisering mot Microsoft. Skulle Microsoft ha problemer på valgdagen vil ingen valgmedarbeidere få logget på datamaskinen for å krysse av velgere i manntallet. Dette vil potensielt kunne føre til en beredskapssituasjon på alle valglokalene i Oslo.

Oslo kommune opplevde slike problemer ved det konstituerende bystyremøtet i 2023. Dette medførte at nye representanter ikke hadde mulighet til å sette opp iPaden de fikk utdelt som arbeidsverktøy. Dette skyldtes en global feil hos Microsoft som vedvarte i flere dager.

Oslo kommune har rundt 1500 valgmedarbeidere på valgdagene. Disse blir ansatt i juni, men frem mot valget gjøres det endringer flere ganger i uken som følge av forfall som må erstattes. Vi har som regel også mellom 100 og 150 endringer på valgdagen som følge av sykdom og annet forfall.

Mange brukere utgjør i seg selv en sikkerhetsrisiko fordi det øker kompleksiteten og logistikken rundt tilgangsadministrasjon. I Grunnprinsipper for IKT-sikkerhet kap. 2.6 understreker NSM at målet med tilgangsstyringen er at «Virksomheten har oversikt over identiteter og kontoer i informasjonssystemene og styrer tilgang til ressurser effektivt og i henhold til virksomhetens retningslinjer».

Videre slås det fast at manglende kontroll på ubrukte kontoer er et vedvarende problem. Det finnes mange eksempler på at kontoer til leverandører og tidligere ansatte har blitt misbrukt av en angriper eller utro tjener.

Alle personellendringer må følges opp. Vi har en rutine for å gjøre disse endringene i EVA, men det er ikke fullt så enkelt å gjøre endringene for operativsystembrukere som det er i EVA. I tillegg er det viktig å påpeke at ettersom pålogging til EVA gjøres via ID-porten har allerede medarbeiderne brukernavn og passord som er nødvendig for pålogging. For pålogging på PC-ene må medarbeiderne få tilsendt brukernavn og passord fra oss.

De fleste valgmedarbeidere jobber kun på valgdagen. Det må derfor forventes av vi vil få en del brukerstøttehenvendelser som følge av påloggingsproblemer og glemt brukernavn/passord. Slike problemer vil kunne føre til kø på valglokalet i åpningstiden.

Når en valgmedarbeider logger på PC-en for første gang, vil det brukes noe tid på å gjøre klar profilen på datamaskinen. Dette medfører at datamaskinen ikke vil kunne brukes i det tidsrommet den gjøres klar. Anslagsvis vil dette ta ca. 5 minutter, men dette kan variere ut fra trafikk hos Microsoft. Noen kommuner vil også kunne ha løsninger hvor dette kan ta betydelig lenger tid.

Alle medarbeidere rullerer i sine arbeidsoppgaver gjennom dagen. På et gjennomsnittlig valglokale er det 3 – 4 PCer og 12 – 15 medarbeidere. Det innebærer at gjennom dagen vil datamaskinene ikke kunne brukes i det tidsrommet hvor en ny bruker logger inn for første gang. Det vil ta noen timer å få alle medarbeiderne til å logge på alle datamaskinene. Det er derfor vanskelig å forberede dette noe særlig før valglokalet åpner. Dette vil kunne medføre køer i enkelte lokaler hvor en av PC-ene ikke kan benyttes i tidsrommet en valgmedarbeider logger inn for første gang.

Ved første gangs pålogging vil også sertifikatet til EVA måtte bli installert, ettersom det må installeres på brukernivå. Det kan derfor ikke installeres før profilen opprettes på datamaskinen, noe som skjer ved første pålogging. Installasjonen må automatiseres, men skulle det oppstå et problem med installeringen vil ikke brukerne få tilgang til EVA grunnet manglende sertifikat. Dette bidrar til å øke risikoen for en eventuell beredskapssituasjon.

På maskinell opptelling er det unike brukere på hver PC som benyttes, men dette er ikke personlige brukere. Valgmedarbeiderne som jobber med skanning og verifisering av stemmesedler får aldri utdelt et brukernavn og passord, og de har ikke tilgang til å logge på maskinene. Det er vi som skrur på datamaskinene og logger inn, slik at medarbeiderne forholder seg til ID-porten-pålogging i EVA. Vi fordeler medarbeiderne på de ulike stasjonene, og ingen får lov til å bytte stasjon gjennom dagen.

Å sette opp en PC med EVA Skanning er en tidkrevende prosess, ettersom det er programvare som må installeres og konfigureres. Å sette opp en ny PC vil anslagsvis ta et par timer. Med personlige operativsystembrukere vil eventuelt forfall som må erstattes med en ny person også medføre at vi må bruke noen timer på å klargjøre en ny PC til vedkommende.

Oslo kommune har over flere valg benyttet iPader til stemmemottak på sengeposter på institusjon og til ambulerende stemming. iPad har ikke støtte for flere brukere, det er derfor bare mulig å ha en bruker pr. enhet. Bruk av iPad i slike situasjoner bidrar til at flest mulig velgere får anledning til å legge sin stemme rett i urnen uten bruk av konvolutt. iPad er en sikker enhet som er lett å ta med og har innebygd støtte for 5G slik at man ikke er avhengig av ekstern internettilgang via egen ruter.

Alle PC-er som brukes til maskinell opptelling og til mottak av stemmer vil ha monitoreringsverktøyet som Valgdirektoratet stiller til rådighet installert.

Oslo kommune har ved tidligere valg gjennomført sikkerhetstester av enheter som brukes ute på valglokalene og til maskinell opptelling. Sikkerhetstestene har vært gjennomført i samarbeid med selskaper som er med i NSMs kvalitetsordning for leverandører som håndterer IKT-hendelser. I år gjennomføres tilsvarende sikkerhetstester i samarbeid med Helse- og KommuneCERT. Vi har gjennomført del 1 av sikkerhetstestingen som tok for seg PC-ene som brukes i valglokalene. I august vil vi gjennomføre tester i skannersenteret når det har blitt satt opp.

Oslo kommune har på bakgrunn av denne sikkerhetstestingen god erfaring med å finne praktiske og hensiktsmessige løsninger på tilgangsstyring og sikring av enheter som brukes i valggjennomføringen.

Vi anser derfor personlige operativsystembrukere som et risikoøkende tiltak, uten at det bidrar til å øke sikkerheten i vår løsning.

Både kommuner, fylkeskommuner og Valgdirektoratet har behov for å nå EVA fra PC-er som ikke er like nedlåst som de klientene man bruker ute på valglokalene og til maskinell opptelling. Dette gjelder spesielt for personer som jobber administrativt i EVA og må bl.a. laste ned innkomne listeforslag som skal lastes opp i virksomhetens sak-/arkivsystem, importere innkomne vedlegg til listeforslag som er levert i Excel-format, ta ut rapporter over listeforslag som skal legges frem for valgstyret, eksportere og importere brukere og roller i EVA for å sjekke at alle valgmedarbeidere har riktig tilgang, hente ut utleggingsmanntall og manntallsrapporter som partiene har bestilt, hente ut statistikk, rapporter og protokoller m.m. Det gjøres mye administrativt arbeid i EVA hvor man har behov for å flytte data mellom systemer.

I Grunnprinsipper for IKT-sikkerhet kap. 2.5 anbefaler NSM at:

«Det er viktig at dataflyten oppleves som hensiktsmessig. I motsatt fall risikerer virksomheten at sluttbrukere finner sine egne og gjerne usikre løsninger, for eksempel minnepinner eller privat skylagring.»

Forskriften bør ta hensyn til dette behovet slik at det er praktisk mulig for kommunene og fylkene å gjennomføre valget uten bruk av usikre enheter som minnepinner, slik NSM advarer mot.

Departementet viser i høringsnotatet til at det i Prop. 45 L (2022–2023) s. 46 fremgår at departementet vil sørge for at det blir utredet i hvilken grad eksisterende regelverk i tilstrekkelig grad bidrar til sikkerhet i valggjennomføringen og hva det eventuelt er behov for å regulere nærmere. Departementet er i gang med å se på hvordan en slik utredning bør gjøres. Utredningsarbeidet vil imidlertid ikke bli ferdigstilt før stortings- og sametingsvalget i 2025.

Det er viktig at man i dette arbeidet inviterer kommuner og fylkeskommuner slik at man sammen kan komme frem til effektive og hensiktsmessige løsninger som ivaretar kravene til sikkerhet i alle deler av valggjennomføringen. Oslo kommune bidrar gjerne i en arbeidsgruppe som skal se på nevnte problemstillinger frem mot neste valg.

Oslo kommune vil påpeke at tilgangsstyringen i det elektroniske valggjennomføringssystemet kan bli bedre tilpasset store kommuner. Vi har medarbeidere med dedikert ansvar og arbeidsoppgaver i EVA, det er ikke valgansvarlig som gjør alle administrative oppgaver. Slik det er lagt opp i dag ender Oslo opp med flere brukere enn nødvendig som har rollen valgansvarlig.

Dette gjelder spesielt de som har ansvar for å tildele roller i forhåndsstemmeperioden og på valgdagene. Slik det er i dag er det bare rollen valgansvarlig som har tilgang til brukeradministrasjon. Det innebærer at de som er ansvarlig for å sende ut reserve stemmemottakere på valgdagene for å erstatte forfall, har tilgang til resultatet av forhåndsstemmene før det er offentlig kjent. De har tilgang til dette fordi resultatet blir lagt inn i EVA på søndag før valgdagen etter at første telling er gjennomført.

Et annet eksempel er medarbeidere som er ansvarlig for å hente ut rapporter over mottatte forhåndsstemmer og publisere statistikk, de får også tilgang til manntallet og avkryssing av velgere.

I arbeidet som skal gjøres for å utrede sikkerheten i valggjennomføringen bør disse momentene inntas. Tilgangsstyring i EVA er et viktig premiss for å redusere sårbarheten til valget.

Departementet foreslår å gjøre endringer i seddel-ID på partistemmeseddelen for å passe med blindeforbundets trykkeprosess. Det er blindeforbundet som på oppdrag fra Valgdirektoratet trykker partistemmeseddelen med punktskrift.

Departementet foreslår at ny § 3-4 femte og niende ledd skal lyde:

(5) Nederst på stemmeseddelens innside skal det trykkes stemmeseddelnummer med 22 karakterer i font OCRB i skriftstørrelse 10 punkt og en unik stemmeseddel-ID med 7 karakterer i skriftstørrelse 20 punkt.

Oslo kommune støtter departementets forslag.

Departementet legger til grunn at utgiftene som opptellingsvalgstyrene får dekket oppjusteres over tid som følge av generell prisvekst. Departementet viser til at prisstigningen fra mai 2020 til mars 2025 er på 21,6 prosent, og foreslår at beløpet oppjusteres i tråd med dette, fra 36 til 44 kroner.

Oslo kommune støtter departementets forslag.