דוח אמון
2019
הנקראות ביותר

הצבעה ברגליים: למה בבחירות הבאות לא תצביעו בסלולר?

החסרונות של הקלפי מתבלטים בכל יום בחירות מחדש: מקשיי נגישות ועד לעלויות הגבוהות. אז למה, בעידן שבו הנייד מספיק מאובטח בשביל לשמש כארנק דיגיטלי, ההצבעה לכנסת נעשית בדיוק כמו לפני 70 שנה? • ומדוע, אפילו שהטכנולוגיה זמינה וכבר יש מי שמשתמשים בה, גם בבחירות הקרובות תעמדו בתור ותשלשלו פתק? • דוח G

מצביעים ברגליים  / איור: גיא אבין
מצביעים ברגליים / איור: גיא אבין

קשה לומר שתחילת ההרשמה לבחירות המקדימות של "זהות" - מפלגתו של הח"כ לשעבר משה פייגלין - מיקדה אליה תשומת לב משמעותית לפני כמה שבועות. ידיעות על תחילת ההליך פורסמו בכמה מאתרי המגזר הדתי-לאומי, אבל יש להניח שרוב-רובו של הציבור כלל לא היה מודע לו, או אפילו לקיומה של המפלגה עצמה. אם, לעומת זאת, היו יודעים בציבור הרחב כיצד בדיוק יתקיימו הבחירות המקדימות, ושלחברה שנשכרה לערוך אותן יש תוכניות ליישם את המודל בעתיד גם ברמה הארצית, יש להניח שהם היו מתעניינים בחגיגת הדמוקרטיה של "זהות" מעט יותר.

המערכת שבה יתנהלו הבחירות המקדימות של מפלגת "זהות" בחודשים הקרובים נקראת eVote. היא הוקמה כבר ב-2012 על-ידי יניב בן יוחנה וירון לוי, ומדובר רק במערכת אחת מבין כמה מערכות אלקטרוניות שמשמשות לבחירות ממוחשבות בישראל.

בישראל, שבה נערכות בחירות ארציות בתדירות גבוהה יותר מאשר ברוב המדינות, ההליך לא השתנה בהרבה מאז קום המדינה. האזרח בעל זכות הבחירה מגיע אל הקלפי, מזדהה באמצעות תעודה מוכרת, מקבל לידיו מעטפה ריקה ונשלח אחר כבוד אל מאחורי הפרגוד. הוא עומד מול מגש עמוס פתקים, בוחר במה שבוחר, מכניס את פיסת הנייר לתוך המעטפה ומשלשל אותה לתוך הקלפי. בדיוק כפי שדורות של מצביעים עשו - ועדיין עושים - ברוב העולם. לואו-טק שכמעט דוקר את העין במאה ה-21 המקוונת.

החסרונות של שיטת ההצבעה המסורתית ברורים. כדי לקיים אותה יש צורך להפקיע או לשכור את השטחים שבהם מוצבים הקלפיות; להעסיק אינספור מאבטחים, מפקחים ונהגים וכמובן לספור את הקולות באופן ידני. בנוסף לכך, הצורך להגיע אל הקלפי מקשה על נכים, קשישים וחולים להשתתף ולקבל ייצוג הולם. אם רוצים ללכת עד הסוף עם הקשיים, אפשר גם לטעון שלא רק כל הלוגיסטיקה שבעניין עולה למדינה מיליונים רבים, אלא גם להוסיף לחישוב את העלות האסטרונומית של יום השבתון שקבוע בחוק הבחירות הישראלי.

בן יוחנה ולוי מספרים כי מדי שנה משמשות המערכות שלהם לקיום עשרות בחירות ממוחשבות בישראל. eVote מציעה ללקוחותיה גם מערכת שמאפשרת הצבעה מרחוק - באמצעות מחשב או טלפון חכם. ואכן, מתחת לרדאר כבר מתקיימות כיום לא מעט בחירות ממוחשבות: מאיגוד האינטרנט הישראלי, דרך ארגון הפרמדיקים ועד העמותה לקידום הפיזיותרפיה. וכאמור, גם מפלגות כמו "זהות", שכל מי שירצה להשתתף בבחירות המקדימות שלה יוכל לעשות זאת מכל מקום מבלי להטריח את עצמו לנקודת הצבעה פיזית. העלות לארגונים, אגב, מתומחרת לפי 8 שקלים למצביע.

בן יוחנה ולוי אומנם צנועים מספיק, כדי שלא לטעון שמערכות בחירות ארציות עומדות לבצע בשנים הקרובות את קפיצת הראש הגדולה אל הלא נודע ולאפשר לכל אחד להצביע מהספה, הבריכה, המשרד או מיטת בית החולים שלו. אבל הם בהחלט חושבים שיום אחד, רגע כזה יגיע. באופן טבעי, הם גם מעוניינים להיות ערוכים לקראתו, ומשום כך החברה שלהם נמצאת כיום על סף חתימת הסכם שיתוף פעולה בתחום עם מלם תים, אחת מספקיות השירותים הממוחשבים הגדולים בארץ.

פייגלין עצמו אומר שהסיבה להחלטה שלו להשתמש במערכת בחירות אלקטרונית ואינטרנטית היא כספית. "היה ברור לנו שבשלב השני של הבחירות, שבו אנחנו מאפשרים לכל אזרחי המדינה להשתתף, אין לנו סכומי העתק שנדרשים כדי להציב קלפיות בכל בית ספר. הטכנולוגיה מתקדמת ובגדול באמת אפשר לומר שאין צורך בקלפיות. מעבר לזה, זה מאפשר גם לישראלים שנמצאים בחו"ל להצביע".

אבל כשהוא נשאל אם המסקנה היא שאפשר להעביר גם את הבחירות הארציות לפורמט כזה, גם הוא נרתע: "אומנם למפתחי המערכת יש תשובות לכל השאלות, אבל אני עדיין זהיר ולא אומר 'בואו נעביר את הבחירות הכלליות למערכת שכזו'. זה מפחיד קצת. תראה, אצלנו אנחנו נותנים חצי מפתח הצפנה לבוחר וחצי לעורך הדין שמפקח על הבחירות, וכל מי שחושב שרימו אותו יכול לדרוש את חצי המפתח שלו ולראות את תוצאות ההצבעה שלו. לעשות את זה ברמה ארצית? אני לא יודע אם אפשר, אבל העולם כנראה צועד לקראת זה".

בן יוחנה ולוי מדברים, כמובן, על החזון, בהרבה יותר ביטחון, ולדבריהם הם מתכוננים לכך כבר כיום. "אם אנחנו יודעים ליצור מערכת טובה ובטוחה, שעובדת ברמה של אלפי או עשרות אלפי אנשים, זה בקלות יכול לשכפל את עצמו. אין כאן שאלה בכלל", אומר לוי. בתשובה לשאלה כיצד יכולים הבוחרים להיות בטוחים ב-100% שהתוצאות שיתקבלו בסופו של יום מהמערכות האלקטרוניות השונות אכן ישקפו את רצון הבוחרים, מתאר בן יוחנה כמה שיטות אבטחה סבוכות להבנה, שמטרתן לצמצם את הסיכון למינימום, אבל מודה שתמיד קיימת אפשרות לבצע מניפולציות על המערכות.

האתגר הפשוט התגלה כמסובך

מה שנחשב כנקודת המפנה בכל הנוגע לתחום ההצבעה הממוחשבת, התרחש כבר לפני כמעט 18 שנה בבחירות לנשיאות ארצות הברית, שבהן התמודדו ג'ורג' בוש ואל גור. אלפי קולות בפלורידה נפסלו בגלל ליקויים במכונות ניקוב הכרטיסים המיושנות, והאמריקאים, שלא העלו בדעתם שמשהו עשוי להשתבש בשיטת הבחירות שלהם, נכנסו לטראומה. כשתם החודש המביך שבו ארצות הברית לא ידעה מי יהיה הנשיא הבא שלה, החל לחץ ציבורי לבחון חלופות לשיטות ההצבעה הישנות. כך, כבר ב-2001 העביר הקונגרס את חוק "עזרו לאמריקה להצביע", שמטרתו הייתה למנוע מהפיאסקו של פלורידה להישנות, וגם להגדיל את שיעור השתתפותם של אזרחים במשחק הדמוקרטי ולחסוך כסף רב בתפוקה אבודה ובכוח האדם הנדרש להפעלת הקלפיות או מכונות ההצבעה המסורתיות.

עד מהרה קמו חברות רבות שהתכוונו להשתלט על נתחים בשוק הבחירות העצום. פרנסה הייתה בשפע, שהרי לא רק מדינות מנהלות בחירות, אלא גם מגוון כמעט אינסופי של ארגונים - מוועדי עובדים ועד מפלגות. ההתחלה הייתה עם מכונות הצבעה אלקטרוניות: המכונות מצוידות במסכי מגע, ואמורות מצד אחד ליצור למצביע סביבה ידידותית ולא מבלבלת, ומצד שני להעביר בצורה מאובטחת את המידע על הבחירה לשרת מרכזי, שיסכם את התוצאות ויוכל להציג אותן בתוך שניות, מיד לאחר תום מועד ההצבעה.

אלא שהאתגר שנראה בתחילה פשוט, התברר כמסובך למדי: קודם כול, כך גילו העוסקים בפרויקטים, הם צריכים להתמודד עם הסכנות הרגילות האורבות למערכות ממוחשבות - הפסקות חשמל, באגים, וירוסים והאקרים פנימיים וחיצוניים. כך, למשל, מומחי האבטחה שבדקו לפני בחירות 2004 את מכונות ההצבעה של חברת Diebold, גילו כי לכל הכרטיסים החכמים שבהם היו אמורים להשתמש אנשי ועדת הקלפי היו סיסמאות זהות, וכי אנשים בעלי ידע טכני, מחשב כף יד (כן, פעם קראו לזה כך) וקורא כרטיסים חכמים יוכלו בקלות לקבל הרשאות של מנהלי רשת ולהתערב במידע שמאוחסן על מכונת ההצבעה.

בעיות מסוג זה אמורות היו לעבור מן העולם, אבל בינתיים צצו בעיות אחרות. לא רק שאיש לא מצא עדיין פתרון מניח את הדעת לאפשרות שהאנשים שכתבו את התוכנות, בנו את המכונות או אחראים עליהן בשטח יבצעו מניפולציות שישבשו את ההצבעה מבלי שניתן יהיה לדעת על כך דבר, אלא שלפעמים דווקא הרצון להיות עדכני ובטוח במיוחד ערער את האמון בטכנולוגיה.

רק לאחרונה הודתה ES&S, יצרנית מכונות ההצבעה המובילה בארצות הברית, שבין השנים 2000 ל-2006 שווקו חלק מהמכונות שלה כשמותקנת עליהן תוכנה לשליטה מרחוק. המשמעות היא שבעוד שהגופים המוסמכים מאשרים את הטכנולוגיה לפני הבחירות, יכול מפעיל המערכת לשנות את שיטת הפעולה שלה בבוקר הבחירות, ואז לשנות אותה שוב לקראת סוף היום מבלי שלאיש יהיה מושג שמשהו קרה. קול שהמצביע חשב שנתן למועמדת X יכול ללכת למועמד Y מבלי שמישהו יוכל לבדוק את העניין מאוחר יותר.

ב-2006, אגב, גנבו האקרים את הקוד לתוכנה - דבר שהתגלה רק שש שנים לאחר מכן. הסנאטור רון ויידן, שחקר את המקרה, תיאר את מה שעשתה החברה כ"ההחלטה הגרועה ביותר שניתן היה לעשות מלבד להשאיר קלפיות בפינת רחוב במוסקבה".

עוד בעיה שעלתה על הפרק באותה תקופה - ובאופן מדהים עדיין לא טופלה עד היום וטרם הפכה לסטנדרט בכל מכונות ההצבעה האלקטרוניות - היא בעיית הקושי לבצע ספירה חוזרת במקרים של חוסר בהירות או טענות לאי סדרים. בעוד לקוחות של בנקים יודעים שכשהם מבצעים פעולה כלשהי בחשבונם, הם מקבלים תדפיס נייר שיוכל לשמש אותם בעתיד כהוכחה משפטית לכך שהפעולה אכן התבצעה, מערכות ההצבעה עובדות על-פי עיקרון הפוך: בשום מקום, ואצל אף אחד, לא אמור להישאר מידע שיחבר בין אזרח לבין הבחירה שביצע. המשמעות היא שבשם חשאיות ההצבעה, נלקחת ממפעילי המערכת היכולת לבקר את התהליך בצורה מושלמת ולערוב לכך שהתוצאות שיתקבלו בסופו של דבר אכן מייצגות.

היות שבארצות הברית אין סטנדרטים פדרליים מחייבים בכל נושא - והמשמעות היא שמדינות, ואפילו מחוזות, קובעים לעצמם כיצד להתנהל בצורה שיוצרת מיש-מש מבלבל של חוקים ותקנות - נכון לעכשיו, 27 מדינות דורשות שמכונות ההצבעה האלקטרוניות שבהן עושים שימוש בבחירות ינפיקו לבוחר פתק נייר שיאפשר בדיקה חוזרת של ההצבעה. ב-18 מדינות אין דרישה מפורשת כזאת בחוק, אולם בדרך כלל פתק כזה אכן מונפק, ואילו בחמש המדינות הנותרות מכונות ההצבעה לא מנפיקות שום פלט ואין אפשרות לבדוק אותן בדיעבד.

המצב הזה מטריד במיוחד לאור הדיווחים על פריצות של האקרים רוסים למערכות ההצבעה האלקטרוניות של 39 מתוך 50 המדינות בארצות הברית בבחירות 2016. בעוד שהפרטים לגבי מידת הנזק שהם גרמו אינם ברורים ולא ניתן לומר בביטחון שההתערבות הזאת השפיעה על תוצאות הבחירות - פרטי הפריצה למערכת הבחירות של מדינת אילינוי, למשל, שפורסמו בבלומברג ביוני האחרון, שופכים אור על כוונותיהם.

יו"ר הועדה המפקחת על הבחירות במדינה, קן מנזל, סיפר שעובד בוועדה הבחין שמידע נשלח אל מחוץ לרשת המקומית מבלי שהתקבלה לכך הרשאה. מאוחר יותר התברר שאותו מידע כלל את פרטיהם האישיים של 15 מיליון בני אדם, ושמחצית מהם היו כאלו שנרשמו מראש להצביע. מכיוון שעל-פי אותו דיווח, נפרצו באותה תקופה גם מאגרי מידע פיננסיים הקשורים לבחירות - שאפשרו למי שפרצו אותם לקשר בין פרטים אישיים של בוחרים לבין מתן תרומות למועמדים, כלומר, לדעת מי תומך במי - הפורצים היו יכולים, למשל, למחוק מהמערכת מידע אישי של בוחרים שהם לא חפצו ביקרם כדי למנוע מהם או להקשות עליהם להצביע. ולחלופין, אם הם השיגו גישה שם לחלק ממכונות ההצבעה - לגרום לכך שהקולות של אותם אנשים לא ייספרו.

"אין תשתית מספיק טובה"

מה אומרים המומחים העוסקים בתחום? הם, למרבה ההפתעה אולי, לא מתלהבים. פרופ' אמנון תא שמע מהמחלקה למדעי המחשב באוניברסיטת תל אביב וד"ר טל מורן מבית הספר למדעי המחשב במרכז הבינתחומי בהרצליה, סבורים שלמרות שלל הבעיות בשיטת הבחירות הקיימת בישראל, היא בסך הכול מתפקדת היטב. משום כך, הם אומרים, אין בעיניהם סיבה טובה לשנות אותה ולעבור להצבעה ממוחשבת ברמה הארצית.

תא שמע אומר כי בעיניו, הסכנה המשמעותית ביותר במעבר לשיטת בחירות אלקטרוניות היא זו שנובעת ממפעילי המערכת. "בוא נחשוב לעצמנו אם אנחנו מוכנים שאמינות מערכת הבחירות תהיה מבוססת על כך שאנחנו מאמינים למי שכתב את התוכנה. כשמעמידים את השאלה ככה, אני חושב שהתשובה מאוד ברורה", הוא קובע. "הסכנה בהצבעות אלקטרוניות היא שאפשר לשלוט גלובלית על התוצאות. כשעושים בחירות באמצעות פתקי נייר, אני מניח שהיו זיופים רבים לאורך השנים, אבל אלו זיופים לוקאליים. אתה צריך שיתוף פעולה של אנשים, ולא תמיד יש לך את זה. אתה לא יכול לשנות את התוצאות בכל המדינה. אנשים נוטים לחשוב על הבעיה המרכזית בבחירות אלקטרוניות ככזאת שנובעת מהתקפות מבחוץ, אבל מה בעצם מונע מהמתכנת של המערכת ליצור מצב שאחת ל-50 הצבעות למועמד א' יעבור קול אחד למועמד ב'?"

כשפרופ' תא שמע מתאר את המידע שנחשף על יכולות העדכון מרחוק של תוכנת מערכות ההצבעה של ES&S האמריקאית, הוא אומר כי "כל מה שמישהו כזה צריך לעשות זה לקחת כמה מדינות שמתנדנדות בין המועמדים, לשנות כמה קולות ולא להשאיר עקבות. זה פשע מושלם".

"מעבר לזה", אומר ד"ר טל מורן, "אם אתה משתמש בהצבעה אלקטרונית מרחוק, אין לנו שום דרך לדעת אם אין מישהו שיושב לידך ורואה בדיוק את מה שאתה עושה. אנחנו גם לא יכולים לדעת אם זה בכלל אתה או אם נתת את הזכות למישהו אחר. כשהסיכון נמוך, אנחנו מוכנים לקחת אותו - נניח במקרה של הצבעות לאגודת סטודנטים - אבל כשמה שעומד על הפרק משמעותי באמת, זה כבר משהו אחר. אנחנו הרי יודעים שבהצבעות ברמת המדינה אנשים מנסים לקנות קולות. זה נראה לי פשוט טעות נוראית".

תא שמע ומורן, חשוב לציין, אינם צמד שמרנים שמתנגדים לטכנולוגיה. המעורבות של השניים בתחום נמשכת כבר עשור. ב-2008 שקל שר הפנים דאז מאיר שטרית (האיש שדחף בכל כוחו את המאגר הביומטרי השנוי במחלוקת) לעבור להצבעה אלקטרונית. שני המדענים התבקשו על-ידי אנשי תהיל"ה (תשתית הממשלה לעידן האינטרנט) לעבור על המערכת שתוכננה אז ולהעיר את הערותיהם לגביה. הם מצאו באותה מערכת כשלים רבים ואותה יוזמה אכן נגנזה.

לאחר אותה חוויה בנו השניים, יחד עם פרופ' אלון רוזן מהמרכז הבינתחומי, מערכת הצבעה אלקטרונית שנועדה להתמודד עם שלל הבעיות שעלו על הפרק ושילבה הצבעה מוצפנת עם הנפקת פתק נייר לבוחר. המערכת פעלה פעמיים בבחירות פנימיות במרכז הבינתחומי ובבחירות המקדימות במרצ ב-2012. בעתיד, אולי, הם יהפכו את המערכת למוצר, אבל כרגע עושה רושם שזה לא בוער להם.

ד"ר תהילה שוורץ-אלטשולר מהמכון הישראלי לדמוקרטיה (שגם עמדה בראש הצוות שכתב את הקוד האתי של "גלובס"), מסכימה עם שני המדענים. שוורץ-אלטשולר, שמשמשת ראשת תחום דמוקרטיה בעידן המידע במכון, אומרת שבעוד שבעיות אבטחת מידע קיימות בכל תחום "האינטרנט של הדברים", הנושא בעייתי במיוחד כשמדובר בבחירות - נשמת אפה של הדמוקרטיה.

לדבריה, "ישנם הרבה מקרים שבהם אנחנו יכולים לאבד אמון במוסד מסוים או בנבחר ציבור מסוים, אבל סיפור הבחירות רגיש במיוחד, כי כישלון בתחום הזה יכול לגרום לאיבוד אמון בכל השיטה. אם אף אחד לא יכול לומר אם הייתה או לא הייתה פריצה או אם המערכת חסינה לגמרי למניפולציות או לא, זה סיכון גדול מדי. נכון שיש חברות במגזר הפרטי שרוצות להתפתח ולהרוויח כסף, ואני מברכת על זה, אבל ועדת הבחירות המרכזית אמרה כבר שאין לה תשתית מספיק טובה ומשכנעת לעריכת בחירות אלקטרוניות פה. מעבר לכך, גם בארצות הברית אנחנו רואים מגמה של הליכה אחורה בתחום הזה".

שוורץ-אלטשולר גם מביעה חשש מכך ששיוך ההצבעה למצביע ודליפת המידע בצורה כלשהי תגרום לבוחרים לחשוש להשתתף בבחירות מלכתחילה. לסיום, היא מצביעה על תופעה שהיא מכנה "בורות דיגיטלית".
"זוכר שלפני כמה שנים היו פריימריז בליכוד והמערכת האלקטרונית קרסה להם באמצע? בזמנו, חשבתי שהפוליטיקאים התייחסו לקריסה ההיא כאילו היא נבעה מאיזה פורס-מאז'ור, כוח עליון. הם היו צריכים לשאול את עצמם מי שכר את אותה חברה. מי לא דאג שהמערכות יעבדו כמו שצריך. יש לפוליטיקאים נטייה ללכת אחרי איזו אופוריה של קידמה וטכנולוגיה.

"אני חושבת שנושא הבחירות האלקטרוניות הוא דוגמה טובה למקרה שבו צריך לעצור ולשאול מה הרווח ומה ההפסד. אפשר אולי לשחק את המשחקים הללו בבחירות מקדימות במפלגות, כמו שפייגלין עושה, אבל הסיכוי שהמצב שם יעניין מישהו ברמה שהוא ירצה להתערב בהצבעה אינו מאוד גדול. הסיכון שמישהו ירצה להתערב בתוצאות הבחירות הכלליות במדינה הוא אדיר".


במערב יש חדש
מדינת מערב וירג'יניה תאפשר להצביע בסלולר כבר בבחירות אמצע הקדנציה בנובמבר, ולא כולם מרוצים מכך

הניסיון ראשון להצבעה אינטרנטית בבחירות פדרליות בארצות הברית צפוי להתקיים כבר בנובמבר הקרוב במדינת מערב וירג'יניה, שמונה כ-1.8 מיליון בני אדם. האפשרות להצביע באופן כזה אומנם תינתן רק לחיילים תושבי המדינה שמשרתים מעבר לים, אולם גם כך המהלך הזה כבר מעורר לא מעט ביקורת.

Voats, החברה הבוסטונית שמפתחת את האפליקציה שבאמצעותה תתבצע ההצבעה, טוענת ששימוש בטכנולוגיית בלוקצ'יין תהפוך את ההליך לבטוח מאין כמוהו, אולם לא כולם מאמינים בכך.

"הצבעה באמצעות מכשירים ניידים היא רעיון איום ונורא", אמר ל-CNN ג'וזף לורנצו הול, שמשמש כטכנולוג הראשי במרכז האמריקאי לדמוקרטיה ולטכנולוגיה. "זו הצבעה אינטרנטית על גבי מכשירים אישיים של אנשים, שמאובטחים בצורה איומה, על גבי רשתות איומות, שרתים שקשה מאוד לאבטח וללא פתק פיזי שעליו מופיעה עדות לעצם ההצבעה".

רוצה להשאר מעודכן/ת בנושא הסיפורים הגדולים של השבוע?
נושאים נוספים בהם תוכל/י להתעדכן
הסיפורים הגדולים של היום
נדל"ן
גלובס טק
נתוני מסחר
שוק ההון
נתח שוק
דין וחשבון
מטבעות דיגיטליים
✓ הרישום בוצע בהצלחה!
עקבו אחרינו ברשתות