Securitatea sistemelor de vot electronic

Votul electronic este o propunere încă din anii 1960, gândită inițial pentru a diminua posibilitatea fraudării unui proces electoral, iar apoi, datorită creșterii accesului la Internet, și pentru a crește numărul cetățenilor cu drept de vot care participă la alegeri, respectiv pentru a permite cetățenilor din Diaspora unei țări, sau cetățenilor ce nu se pot deplasa la secții, să își exprime votul. Totuși, implementarea unui sistem de exprimare a votului pe internet pare să fie o provocare peste măsura capacității tehnologiei actuale. Scopul inițial, numărarea manuală a voturilor, un proces minuțios și vulnerabil, rămâne un candidat ideal pentru procesul de digitalizare. 

31875

Aceste idei au stat la baza inițiativei de a adopta votul electronic în mai multe țări. Unele din ele au organizat alegeri în cadrul cărora au fost folosite sisteme de vot electronic, iar altele au desfășurat proiecte de cercetare și testare a sistemelor de vot electronic, fără a le folosi, însă, în alegeri reale. Majoritatea acestor experimente au determinat decizii de a nu folosi votul electronic online sau votul electronic exprimat în secțiile de vot. Numărarea electronică a voturilor este văzută ca singur candidat rezonabil pentru procesul de digitalizare. 

În comunitatea științifică există un consens exprimat și asumat, la nivel internațional, asupra faptului că sistemele de vot electronic (exprimat pe internet sau în secțiile de votare) nu sunt reziliente la fraudă sistemică și sunt vulnerabile atacurilor cibernetice. Consensul e bazat atât pe considerente de securitate, cât și pe o analiză de cost a implementării. 

Oricare ar fi sistemul de vot folosit pentru exprimarea alegerii unui votant, acesta trebuie să adere unui set de principii:

  1. Procesul de votare trebuie să fie accesibil și utilizabil pentru toate persoanele cu drept de vot.
  2. Procesul de votare trebuie să prevină, în orice moment, asocierea unui vot exprimat cu identitatea votantului. 
  3. Procesul de votare trebuie să permită votantului să verifice că votul lor exprimat a fost înregistrat corect de sistem (sau marcat corect pe buletinul de vot), și să permită auditarea voturilor exprimate.
  4. Secretul votului și funcționarea corectă a procesului de votare nu trebuie să depindă de dispozitivul prin care votantul își exprimă votul.
  5. Un votant trebuie să poată exprima un singur vot.
  6. Procesul de numărare a voturilor trebuie să ia în considerare doar voturile exprimate de către persoane cu drept de vot. 
  7. Procesul de vot, dispozitivele și tehnologiile folosite trebuie să fie documentate public. Acestea trebuie să permită auditul și evaluarea de către orice persoană. În cazul unor erori de funcționare, trebuie să existe procedure clar definite pentru analiză și remediere. 
  8. Serviciul de votare trebuie să fie disponibil pe întreaga durată alocată alegerilor. 
  9. Procesul de vot trebuie să asigure verificarea identității unui votant, precum și a faptului că acesta are dreptul de a vota.

Votul electronic, atât cel folosit în cadrul unor alegeri, cât și cel studiat în sesiuni de testare, poate lua una dintre următoarele forme de implementare:


1. Un sistem centralizat de numărare a voturilor


  • Scopul acestui sistem este de a număra voturile exprimate. Nu joacă un rol în exprimarea lor. 
  • Voturile numărate sunt exprimate pe buletine de hârtie, sau au fost exprimate pe terminalul unui calculator și apoi imprimate pe un buletin de hârtie.
  • Acest sistem trebuie să fie total izolat, aflat sub controlul autorităților electorale sau al serviciului local de transmisiuni speciale.

2. Cabine de vot electronic


  • Scopul acestor sisteme este să permită unui alegător să își valideze dreptul de a participa la procesul de votare și, apoi, să își exprime votul. 
  • Acest dispozitiv verifica identitatea votantului în timp real, prin scanarea cărții de identitate, permisului de conducere, al pașaportului sau al oricărui act de identitate cu machine readable zone) și captarea câtorva cadre cu portretul votantului.
  • Voturile exprimate la o astfel de cabină pot fi mai întâi marcate pe un buletin de vot de către votant (în cazul unui echipament VVPAT cu funcție de scanare optică) sau exprimate direct pe interfața aparatului (în cazul unui echipament DRE). În cazul în care se folosește interfața aparatului, voturile pot să fie, de asemenea, printate pe buletine de vot pe care alegătorul le poate verifica (în cazul echipamentului BMD). În oricare caz, voturile sunt stocate pe o memorie externă a dispozitivului, care este folosită pentru numărătoarea electronică. 
  • În ziua alegerilor, aceste dispozitive pot fi folosite în secțiile de votare.


3. Vot electronic la distanță


  • Votantul își exprimă votul folosind fie o aplicație mobilă, fie o pagină web, după ce identitatea sa a fost verificată, precum în cazul cabinelor de vot electronic, și după ce a fost validat faptul că această persoană poate vota. 
  • Votul exprimat este transmis prin internet către un server. Acest sistem nu produce un buletin de vot fizic.
103

Votul electronic la nivel mondial


Statele Unite ale Americii

  • au cea mai vastă experiență cu sisteme de vot electronic. Acestea au fost introduse, inițial, cu scopul de a permite personalului militar activ să voteze. Fiecare stat în parte are o doză de libertate în a decide sistemul de vot pe care îl folosește, fiind liber să aleagă echipamentul sau modul de exprimare al votului electronic. În momentul de față, peste două treimi din state folosesc dispozitive de vot electronic care au o vechime de peste un deceniu - un termen la limita duratei de viață a unui dispozitiv electronic. O parte din acestea folosesc un sistem de operare care a fost scos din uz.

Estonia

  • este singura țară care oferă în continuare posibilitatea votului electronic tuturor cetățenilor. Dintr-o populație totală de 1,3 milioane, majoritatea estonienilor aleg să-și exprime votul folosind buletine pe hârtie. La alegerile pentru parlamentul estonian din 2019, doar 247.232 de cetățeni și-au exprimat alegerea prin vot electronic. 

Norvegia

  • a derulat sesiuni de test pentru votul electronic în 2011 și 2013. Această modalitate de exprimare a votului nu a crescut participarea la vot, nici chiar în cazul cetățenilor cei mai tineri. Un raport privind securitatea acestor sisteme amintește de faptul că expunerea sistemului de vot către întreaga lume, atunci când acesta este adus online, crește dramatic numărul vectorilor de atac asupra sistemului. Norvegia a încheiat sesiunile de testare în 2014.

Australia

  • a decis, în 2013, să renunțe la a implementa votul electronic și să continue să exprime votul folosind buletine fizice. 

Finlanda

  • a analizat votul electronic într-un studiu derulat între februarie și noiembrie 2017, ale cărui rezultate au apărut în decembrie. Acest studiu a concluzionat că votul electronic prezintă riscuri mult mai mari decât beneficiile pe care le-ar aduce. 

Lituania

  • a decis să nu implementeze votul electronic în 2018. 

Olanda

  • a anunțat, în 2017, că va continua să folosească buletine de vot numărate manual. Din cauza pericolelor prezentate de atacurile cibernetice, s-a propus eliminarea aproape totală a calculatoarelor din procesul de vot. 

Elveția

  • este un caz aparte, dat fiind că sistemul de vot este decis la nivelul cantoanelor. Unele dintre acestea au experimentat cu votul electronic, dar acesta nu a fost adoptat niciodată la nivelul întregii țări. Numărul voturilor exprimate electronic, în unele dintre aceste cantoane, era în jur de 250 000. De asemenea, există o obligație legală ca sistemele să fie testate, iar rigorile impuse acestui proces cresc pe măsură ce crește procentul de populație care și-ar putea exprima votul online. 

Marea Britanie

  • a studiat votul electronic și numărarea voturilor folosind un calculator în 2005 și 2007. În momentul de față, Regatul Unit folosește în continuare buletine de vot marcate și numărate manual. 


Crește votul electronic participarea alegătorilor în procesul de votare?

Între septembrie 2012 și octombrie 2013, în British Columbia, s-a întrunit un grup de lucru independent pentru a analiza beneficiile și provocările implementării unui sistem de vot electronic.

Raportul prezentat de acest grup de lucru subliniază faptul că, deși votul electronic prin Internet face procesul de votare mai accesibil, totuși, nu s-a înregistrat o creștere semnificativă a participării la procesul de vot după introducerea votului electronic. 

Această concluzie este contrară unuia dintre cele mai puternice argumente pro-votul electronic, acela că acesta ar facilita procesul de vot pentru o parte mare din populația care nu își exprimă, în mod consecvent, votul în alegeri. Totuși, raportul indică faptul că proporția de alegători care votează e influențată de tipul de alegeri, și de loialitățile alegătorilor față de candidați, nu de prezența sau absența votului electronic. 

Votul electronic, conform acestui raport, este o unealtă care ușurează procesul de votare pentru acei alegători care ar fi participat oricum la procesul de vot. 

Același fenomen, al efectului votului electronic asupra numărului de alegători care votează, a fost analizat în august 2009 și în alegerile din Estonia. Din agregarea rezultatelor a 234 municipalități din Estonia, împreună cu răspunsurile de chestionar a 1000 de cetățeni, reiese faptul că votul electronic substituie votul tradițional și atrage aceleași categorii de votanți. Această tehnologie favorizează grupurile etnice deja reprezentate în politică, adâncind discrepanța între aceștia și grupurile sub-reprezentate. 

În Elveția, un studiu publicat în 2017 a analizat participarea la vot în două cantoane: Geneva și Zurich. Aici, votul prin Internet a fost introdus în unele municipalități, dar nu în toate, ceea ce a creat contextul propice urmăririi influenței asupra numărului de alegători care au votat. Concluzia studiului a fost că introducerea votului prin Internet nu a crescut numărul de alegători care și-au exprimat votul.


Securitatea votului electronic

Indiferent de tipul de vot electronic ales pentru implementare, există trei zone principale în care se grupează vectorii de atac asupra sa:

  1. Nivelul hardware, al dispozitivelor fizice sau componentelor acestora;
  2. Nivelul software, al sistemului de operare care rulează pe dispozitiv sau al aplicației de vot;
  3. Nivelul protocoalelor de routing, care guvernează cum sunt transferate datele pe Internet sau între dispozitive. 
18907

Securitate hardware

O cabină de vot electronic, la nivel fizic, este construită din componente ale căror origine este ne-omogenă. Deși aplicațiile care rulează pe aceste dispozitive trec, adeseori, prin audituri de securitate, componentele individuale sunt mult mai rar auditate în mod temeinic. În oricare punct, din momentul în care componentele ies din fabrică, până în momentul în care sunt montate în dispozitivele de vot electronic, componentele pot fi alterate. Un defect introdus cu rea-voință poate să se manifeste doar după un anumit număr de ore de funcționare, și poate părea aleator. Dacă aceste defecte ar fi introduse în mod sistematic în dispozitive de vot, ar putea compromite buna desfășurare a procesului de vot, sau ar putea preveni funcționarea corectă a echipamentului. 

Un exemplu de atac asupra componentelor fizice ale unui sistem de vot electronic a fost demonstrat folosind modelul Dominion AVC Edge, în uz în Statele Unite ale Americii. Acest dispozitiv permite votul exprimat folosind un touchscreen, iar voturile sunt înregistrate pe o memorie de tip flash. Sistemul de operare și aplicația de vot, însă, sunt stocate pe o unitate de memorie separată, care poate fi extrasă din carcasa dispozitivului (după ce sunt desfăcute șuruburile care o țin închisă). Carcasa care protejează unitatea de memorie nu prezintă elemente de siguranță și, deși ea ar putea fi sigilată în ziua alegerilor, aceste dispozitive de vot sunt livrate, de obicei, cu o săptămână înainte de alegeri în secții și nu sunt menținute sub observație. Un atacator poate crea o replică identică a aplicației de vot, care, însă, să exprime voturi false folosind identități reale, și să atașeze această aplicație la o mașină de vot înainte de ziua alegerilor. Dispozitivul Dominion AVC Edge nu prezintă nici mecanisme de a verifica semnăturile componentelor înainte de a lansa sistemul de operare. 

Securitate software

Sistemul de operare și aplicațiile încărcate, care alcătuiesc un sistem de vot electronic se supun unor considerente de securitate similare, indiferent dacă sistemul de vot este online sau este încărcat pe un dispozitiv, amplasat în secția de votare. Aceleași considerente sunt valabile și pentru dispozitivele de numărare a voturilor. 

În cazul oricărui dispozitiv electronic, prima componentă software de interes este sistemul de operare. Unele dispozitive folosesc sisteme de operare simple, care oferă strictul de funcționalitate necesară scopului pentru care a fost construit, în timp ce altele rulează aceleași sisteme de operare cu care cetățenii sunt deja familiari: Microsoft Windows, Linux etc. Pe durata de viață a unui sistem de operare, se pot descoperi defecte sau vulnerabilități, pe care firmele producătoare le adresează prin scrierea unor update-uri sau patch-uri, cod menit să protejeze sistemul de operare sau să rezolve un defect. Firmele producătoare de dispozitive de vot electronice trebuie să monitorizeze și să instaleze aceste patch-uri.

Acest lucru nu se întâmplă întotdeauna. În 2018, firma Elections Systems and Software a oferit un model al dispozitivelor sale de vot electronic unei comisii din California, pentru audit. Analiza a scos la suprafață faptul că sistemul de operare al acestui dispozitiv nu era la zi cu actualizările de sistem (update-uri). Sistemul Windows, folosit pe aceste dispozitive, era vulnerabil atacului de securitate WannaCry, unul dintre cele mai cunoscute și distructive atacuri cibernetice, care criptează toate fișierele de pe un dispozitiv. În momentul auditului, Microsoft a scos deja un update care rezolvă această vulnerabilitate, însă Elections Systems and Software nu a prioritizat instalarea acestuia. 

În cazul cabinelor de vot din secții, sau al dispozitivelor de numărare automată, întreg ecosistemul software este izolat înăuntrul dispozitivului. O cabină de vot electronic nu va conține alte programe software, în afara celor destinate votului. Acest lucru reduce suprafața de atac. Înainte de perioada alegerilor, este necesar ca orice astfel de dispozitiv să fie testat, auditat și să pună la dispoziția publicului codul sursă în mod deschis, și documentația. Elveția are un set de termeni și condiții, aplicabili oricărui audit de echipament de vot. Dezvoltarea unei aplicații de vot care să asigure securitatea votului este extrem de costisitor. În Geneva, după ce primul astfel de sistem, CHVote, a fost suspendat, munca de dezvoltare a succesorului său, CHVote 2.0 a fost sistată datorită analizei de cost. 

În cazul aplicațiilor de vot online, însă, nu există separarea dintre acest software critic și ecosistemul software de pe dispozitivul unui cetățean (cum ar fi un calculator sau un telefon mobil). În acest caz, aplicația de vot trebuie să se dovedească a fi capabilă să păstreze secretul și corectitudinea votului inclusiv în condiții în care rulează pe un dispozitiv infectat. Acest lucru este extrem de dificil de realizat, chiar și cu tehnologiile de criptare moderne. 

  • Helios Voting este un exemplu de aplicație de vot online, care a fost auditată și testată de către experți independenți. Deși creatorii aplicației au adresat unele dintre vulnerabilitățile raportate, au decis să clarifice faptul că aplicația nu poate garanta funcționarea corectă pe un dispozitiv infectat. Există cel puțin un model de atac documentat și valid asupra sistemului, în momentul de față, care permite unui atacator să modifice votul alegătorului. Sistemul Helios presupune implicit existența unui administrator complet integru. Sistemul nu poate garanta că o persoană cu drepturi depline de administrare nu va vicia lista electorală, iar un audit asupra acțiunilor administratorului necesită cooperarea acestuia. 
  • Aplicația de vot online Voatz, folosită în statul West Virginia în 2018, permite militarilor detașați în misiuni în afara țării să își exprime votul pe telefonul mobil. Compania care a realizat aplicația a ales să nu pună la dispoziția publicului codul sursă sau o documentație detaliată. În februarie 2020 a fost publicat un raport extins al vulnerabilităților de care suferă această aplicație, care au fost descoperite fără acces la codul sursă. Aplicația este vulnerabilă unor atacuri de securitate care permit alterarea alegerii făcute de votant sau citirea acestei opțiuni exprimate. Compania creatoare indică faptul că un sistem de tip blockchain a fost folosit pentru a asigura corectitudinea înregistrării voturilor, însă analiza din raport indică faptul că un votant nu poate folosi acest sistem pentru a verifica dacă votul său a fost înregistrat în mod corect. Validarea și identificarea alegătorului, în această aplicație, se fac folosind un sistem software extern, astfel încât adresa de e-mail, adresa de rezidență, ziua de naștere și o fotografie a utilizatorului constituie un set de informații trimise unei companii terțe, fără a preciza care sunt condițiile și perioada de stocare a acestora. Această companie terță nu a fost subiectul raportului de vulnerabilitate. 

Tehnologia de tip blockchain este una din cele mai des-întâlnite sugestii la rezolvarea problemei securizării componentei software a votului electronic. Detalierea funcționării blockchain nu face subiectul acestui raport. Simplificat, un blockchain este o bază de date distribuită, fără o autoritate centrală care să o guverneze. Participanții la o rețea blockchain generează blocuri (echivalentul intrărilor într-o bază de date), care au proprietatea că, o dată generate, nu pot fi alterate. Toate operațiile din această rețea sunt publice și fiecare participant deține o copie a întregii rețele și poate verifica orice operație efectuată. 

Blockchain, în sine, nu poate adresa toate principiile de funcționare ale votului. Spre exemplu, nu poate garanta secretul votului, din moment ce fiecare tranzacție este semnată de participantul la rețea care a efectuat-o. Dacă identitatea se dorește a fi anonimizată, atunci participanții își pun încrederea într-o autoritate centrală, iar aceasta trebuie să garanteze că va decorela în mod corect identitatea cetățeanului cu alegerea făcută. O ultimă problemă menționată este cunoscută sub numele de 50% + 1: o tranzacție este corectă dacă 50% + 1 dintre participanți o recunosc ca atare. Un atac asupra sistemului ar putea consta în generarea de identități false de participanți, pentru a avea o majoritate garantată și a valida tranzacții false. 

O rețea blockchain întâmpină probleme în a garanta faptul că serviciul de vot va fi accesibil și utilizabil pe întreaga durată a alegerilor. Distribuția cheilor (secretelor) de participare la procesul de a vota folosind o rețea blockchain, un act echivalent cu validarea faptului că cetățeanul are drept de vot, este tehnic foarte dificilă. De asemenea, verificarea și sincronizarea tuturor cererilor de modificare a blockchain-ului, act echivalent cu votul exprimat, sunt foarte dificil de operat pentru un număr mare de participanți. 

Securitatea protocoalelor de routing

Un protocol de routing este un set de reguli care definesc modul de transmitere a informației între dispozitive, sau pe Internet. Securitatea acestor protocoale este periclitată de două tipuri diferite de evenimente: atacuri și funcționare imprevizibilă a protocolului în sine. 

A doua clasă de evenimente este, poate, cea mai surprinzătoare. La baza transmiterii de date pe internet stă protocolul BGP. Simplificat, acest protocol funcționează în baza interacțiunii dintre echipamente de routing (de transmitere a datelor) care schimbă informații despre cum un pachet poate ajunge la echipamente învecinate. Acest protocol nu are o autoritate centrală, iar fiecare echipament în parte funcționează după politici proprii, care au sens în contextul său izolat, dar care pot fi opuse sau diferit configurate față de politicile echipamentelor vecine. Astfel, informația transmisă pe Internet poate să urmeze o anumită cale într-o zi, respectiv o cale foarte diferită în următoarea.

Un exemplu concret al unui astfel de eveniment a fost ziua de 6 iunie 2019, când o mare parte din datele mobile transmise în Europa au trecut prin echipamente de routing din China, în drum spre destinație. Când informația trece printr-un echipament, acesta poate să aleagă să înregistreze toate informațiile pe care le poate citi, chiar dacă o mare parte a informațiilor sunt criptate. 

Prima clasă de evenimente, cea legată de atacuri asupra protocoalelor de routing, este mai apropiată de un scenariu de atac cibernetic clasic. Atunci când informația este transmisă pe Internet, ea poate fi interceptată și citită. Din acest motiv, trebuie ca informația transmisă să fie criptată; în plus, în scenariu ideal, ea trebuie transmisă folosind conexiuni sigure, nu folosind infrastructura publică a internetului. În cazul unor dispozitive de vot electronic, sau de numărare a voturilor, acest lucru e posibil (dar nu întotdeauna executat), dacă informația e transmisă prin canale ale serviciilor de transmisiuni speciale. Însă, în cazul votului exprimat pe Internet, informația legată de identitatea votantului, validarea sa, și votul exprimat sunt vulnerabile atacurilor care pot fi executate pe Internet. 

Dacă datele transmise, în cazul votului electronic prin Internet, nu sunt criptate corespunzător, atunci secretul votului poate fi compromis.

Într-un raport care analizează securitatea sistemului de vot mobil Voatz, opțiunea exprimată de votant putea să fie dedusă din mărimea pachetului de informație care era trimis de dispozitivul lor, după exprimarea votului. 

Încrederea votantului 

Subminarea încrederii votantului este un eveniment care poate avea efecte similare cu atacurile cibernetice asupra sistemelor de vot electronice. Numărul de cetățeni care își exprimă votul poate descrește în momentul în care aceștia consideră că sistemul care le înregistrează nu mai poate garanta secretul și corectitudinea alegerii făcute. După momentul alegerilor, cetățenii care au pierdut încrederea în procesul alegerilor vor întâmpina dificultăți în a accepta politicile și deciziile aleșilor. 

În Statele Unite ale Americii, în anul 2018, au fost publicate articole succesive care detaliau o situație care a avut acest efect, de a submina încrederea votantului. Election Systems and Software producea dispozitivele folosite pentru a programa dispozitivele de vot electronic care sunt folosite în secții; mai mult, dispozitivele acestei companii erau folosite și pentru numărarea electronică a voturilor. Această firmă a admis faptul că, între 2000 și 2006, a instalat un program care putea controla de la distanță o parte din dispozitivele pe care le-a vândut. Terminalele pe care voturile alegătorilor erau numărate ar fi putut să fie accesate de la distanță, prin intermediul acestui program software. Acest lucru este posibil din lipsa standardelor și bunelor practici în evaluarea acestor echipamente critice - echipamente care ar trebui să fie separate de Internet și inaccesibile oricărui alt calculator. 

Decizia Election Systems and Software de a instala un program software de control la distanță pe o parte din dispozitivele sale a făcut ca aceste dispozitive să devină vulnerabile unor atacuri externe nu asupra lor, ci asupra programului software de control. În 2012, Symantec, firma care producea programul software de control, a înștiințat utilizatorii săi de faptul că întreg codul sursă al acestui program a fost furat și postat online, și a sugerat dezinstalarea temporară a acestui program. 

Un efort de subminare a încrederii votantului poate să aibă ca țintă nu alterarea votului, ci experiența pe care cetățeanul o are atunci când votează. Dacă rezultatele parțiale anunțate în timp real diferă drastic față de rezultatele numărătorilor finale, efectul este unul de subminare a încrederii în proces. 

În alegerile prezidențiale din anul 2000, voturile exprimate pentru Al Gore, în Florida, au scăzut, în numărătoarea parțială, cu 16.000 de voturi. Dispozitivul de numărare electronică a voturilor dintr-una din secții a eșuat să transmită voturile exprimate folosind conexiunea modem. Cardul de memorie pe care erau stocate rezultatele a fost, așadar, scos din dispozitiv și adus la biroul electoral central. În mesajele de logare ale calculatorului din birou apare faptul că acest card de memorie a fost introdus de două ori în acea noapte, iar a doua introducere a alterat rezultatele numărătorii. 

Concluzii

În comunitatea științifică, votul electronic pe Internet, folosind o aplicație sau o pagină web, și votul folosind dispozitive electronice în secțiile de votare sunt considerate imposibil de securizat. Academia de Științe din Statele Unite ale Americii a publicat un raport în 2018 ale cărui concluzii sunt că nu există nici un mecanism prin care exprimarea și numărarea voturilor folosind calculatoare să poată fi securizate, iar riscurile asociate cu votul pe Internet sunt, în momentul de față, semnificativ mai multe decât beneficiile.

În prezent, Estonia este singura țară care oferă vot prin Internet, numit i-Voting, pentru întreaga populație. În alegerile sale parlamentare, procentul de participare la alegeri a scăzut de la 64,2% în 2015 la 63,7% în 2019, infirmând, așadar, argumentul legat de creșterea participării prin vot electronic. Procentul din populația cu drept de vot care alege să își exprime votul pe Internet este de 28,1%. 

Numărarea electronică a voturilor, în schimb, poate fi integrată în sistemul de vot, urmând un set de bune practici. Acestea trebuie să ia în considerare și aspectele sociologice, anume capacitatea cetățenilor de a percepe o eroare sau o încercare de fraudă a votului lor. Atâta timp cât dreptul de vot al cetățenilor este validat corect, iar aceștia își exprimă alegerea marcând un buletin de vot, manual, un sistem electronic de numărare a voturilor poate să digitalizeze o parte anevoioasă a procesului. 

Este necesar ca aceste dispozitive de numărare electronică a voturilor, cât și dispozitivele care le programează, să fie deconectate de la Internet. Sistemul de operare al dispozitivelor trebuie menținut la zi, iar structura hardware trebuie atent auditată și testată periodic. Voturile numărate pot fi scrise pe o memorie externă detașabilă, care trebuie protejată de o carcasă și un sigiliu care să facă orice încercare de extragere evidentă. Dispozitivele trebuie stocate într-un mediu sigur în perioadele în care nu sunt folosite și recertificate înainte de folosire. 

Transparența legată de funcționarea și achiziționarea acestor dispozitive trebuie să permită oricărei persoane să consulte atât codul sursă folosit de dispozitive, cât și o documentație detaliată a acestora. Firma producătoare trebuie să permită și să încurajeze auditurile independente și testele efectuate de către cercetători și angajați în domeniul securității cibernetice. 

Pentru a preveni încercări de fraudare, după numărarea voturilor se vor aplica Risk-Limiting Audits. Simplificat, acestea sunt proceduri de renumărare manuală a unei porțiuni a voturilor exprimate, alese conform unor algoritmi. Numărarea manuală și cea electronică trebuie să producă același rezultat. În caz contrar, voturile trebuie renumărate manual, în întregimea lor. 

În ultimul rând, cetățenii țării care adoptă un mecanism electronic de numărare a voturilor trebuie să fie informați de această decizie. Trebuie să își cunoască dreptul de a inspecta funcționarea teoretică a dispozitivelor și proveniența lor. Mecanismele de prevenire a fraudei care vor fi folosite după numărătoarea electronică trebuie, de asemenea, să le fie comunicate, pentru a preveni orice confuzie legată de motivele din spatele renumărării manuale a unui subset de voturi exprimate.