Vårt IT-stöd

Valmyndigheten tillhandahåller ett valadministrativt IT-stöd för genomförandet av allmänna val och val till Sametinget.

IT-stödet används bland annat av:

• partier för att beställa valsedlar
• tryckerier för att ta emot beställningar
• kommuner och utlandsmyndigheter för att skriva ut röstkort
• kommuner och länsstyrelser för att rapportera det preliminära och slutliga valresultatet.

När kommuner och länsstyrelser rapporterat valresultatet kommunicerar Valmyndigheten det till allmänheten samt beslutar om valresultaten för valen till Riksdagen och EU-parlamentet.

Alla fysiska valsedlar räknas och protokollförs på papper. Inget IT-stöd används för att räkna eller protokollföra röster.

IT-stödet används enbart som ett stöd för att sammanställa och kommunicera valresultatet på valkvällen, såväl som under den slutliga rösträkningen. Det vill säga efter att rösterna räknats och resultatet protokollförts läggs resultatet in i Valmyndighetens IT-stöd för att sammanställas och kommuniceras till allmänheten.

Tidigare har Valmyndighetens IT-stöd utvecklats och underhållits av Valmyndigheten. Sedan början av 2020 ansvarar Skatteverket, i egenskap av värdmyndighet till Valmyndigheten, för drift, förvaltning och utveckling av Valmyndighetens IT.

I samarbete med Skatteverket pågår just nu en omfattande modernisering av Valmyndighetens IT-stöd. Inför valet 2022 kommer det att finnas ett nytt moderniserat IT-stöd. Skatteverket kommer att ansvara för drift och övervakning av det nya IT-stödet på uppdrag av Valmyndigheten.

Databasen är en standardiserad databasprodukt från Oracle, plattformen är Redhat. Programvaran är egenutvecklad i Java och i Oracles medföljande programmeringsspråk PL/SQL.

IT-stödet är egenutvecklat av Valmyndigheten i samarbete med Skatteverket.

Valmyndigheten kan av sekretesskäl inte redogöra för detaljer kring IT-stödet. Enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen (2009:400), gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.

Av förarbetena till bestämmelsen framgår bland annat att ett exempel på sådana uppgifter när det gäller operativsystem är vilken typ och version av operativsystem som används.

Valmyndigheten kan av sekretesskäl inte redogöra för var IT-stödet är placerat.

Enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen (2009:400), gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.

På valkvällen den 9 september 2018 genomfördes en överbelastningsattack mot Valmyndighetens webbplats (val.se) som gjorde att den blev otillgänglig för allmänheten.

Angreppet mot Valmyndighetens webbplats påbörjades 20.30 och pågick till ca 01.30. Efter 01.30 var webbplatsen tillgänglig för allmänheten igen. Inledningsvis fanns inga tecken på att det var ett angrepp eftersom den pågående felsökningen inte visade några tecken på det.

Efter valdagen fortsatte felsökningen. Först några dagar senare blev det tydligt för Valmyndigheten att webbplatsen drabbats av en Denial-of-Service attack där en eller flera angripare lyckades blockera andra användare från att besöka webbplatsen under fem timmar.

Angreppet genomfördes genom att en illvillig begäran skickades till webbplatsen som medförde att den inte hann med att svara på normala förfrågningar och därmed inte var tillgänglig för besökarna. Denna form av attacker är tyvärr svåra att helt skydda sig mot men efter genomförd felsökning vidtogs kompenserande åtgärder som hindrar att en liknande attack skulle ha samma effekt.

Den konsekvens som uppstod var således att allmänheten under fem timmar inte hade möjlighet att följa rösträkningen på webbplatsen val.se. Valmyndighetens alternativa kommunikationsvägar mot media var dock opåverkade och allmänheten kunde således följa rösträkningen genom dessa.

Eftersom webbplatsen är helt skild från Valmyndighetens valadministrativa IT-stöd påverkades aldrig inregistreringen av röster och inte heller det preliminära valresultatet. Allmänheten och andra intresserade kunde hela tiden följa rösträkningen i realtid via media eftersom Valmyndigheten löpande levererade valresultatet till flera nationella medier via en annan kanal än val.se.

Valmyndigheten bedömde inledningsvis att det inte rörde sig om en överbelastningsattack, vilket Valmyndigheten också kommunicerade ut. Det tog tid innan omfattningen av störningen blev helt utredd och känd av Valmyndigheten och Valmyndigheten kunde därefter fastslå att det rörde sig om ett medvetet angrepp.

Valmyndigheten valde att inte informera om orsaken i ett tidigt skede eftersom det samtidigt pågick en polisutredning. Fokus för oss låg i det skedet på att åtgärda de brister som vi funnit.

Valmyndigheten informerade om belastningsattacken när myndigheten lämnade sin rapport med erfarenheter från valen 2018 till regeringen i februari 2019.

Valmyndigheten polisanmälde inte angreppet mot val.se eftersom Myndigheten för samhällsskydd och beredskap, MSB, redan hade gjort en anmälan efter att de hade mottagit information om ett möjligt angrepp mot val.se.

Polismyndigheten genomförde därefter en förundersökning om olaga dataintrång. Bland annat har Polismyndigheten förhört ansvariga vid Valmyndigheten samt genomfört en teknisk undersökning av Valmyndighetens webbplats. Förundersökningen lades ner av åklagare i mars 2019.

Valmyndigheten anmälde händelsen till MSB, enligt den rutin för IT-incidentrapportering som omfattar statliga myndigheter.

Det är Polismyndigheten som är ansvarig för att utreda angreppet mot val.se och åklagare har bedömt att det inte funnits förutsättningar för åtal.

Valmyndigheten har således inte tagit del av någon information om vem som genomförde angreppet på valnatten.

Valmyndigheten har vidtagit en rad åtgärder för att säkerställa att den typ av angrepp som skedde under valkvällen 2018 inte ska kunna inträffa igen.

Samtidigt bedömer Valmyndigheten att den tekniska utvecklingen är sådan att det är omöjligt att garantera att Valmyndighetens webbplats inte kommer kunna påverkas av ett omfattande angrepp även i framtiden. Valmyndigheten har sedan en lång tid tillbaka ett etablerat samarbete med ett antal medier för att säkerställa att allmänheten kan få tillgång till det preliminära valresultatet även om Valmyndighetens webbplats inte fungerar. Det samarbetet fungerade väl under valnatten 2018 och allmänheten kunde därför följa rösträkningen trots att Valmyndighetens webbplats inte var tillgänglig.

Inför valet 2022 har Valmyndigheten begärt medel för att vidta ytterligare åtgärder i syfte att öka skyddet av Valmyndighetens webbplats, men ännu inte beviljats några resurser för ändamålet.

För att stärka skyddet av Valmyndighetens webbplats, såväl som övriga IT-system, har myndigheten ökat samarbetet med värdmyndigheten. Under valen 2022 kommer Skatteverket att sköta drift och övervakning av Valmyndighetens webbplats såväl som myndighetens övriga IT-system.

Efter att vallokalerna stängt på valdagen klockan 20.00 påbörjas preliminär rösträkning i de 6004 valdistrikt som fanns 2018. Så fort ett valdistrikt har räknat klart alla röster protokollförs resultatet och rapporteras via telefon till länsstyrelserna.

Länsstyrelserna lägger därefter in det preliminära valresultatet i Valmyndighetens IT-stöd där det sänds ut till val.se och ett antal mediehus (såsom SVT och SR).

Det tar olika lång tid för valdistrikten att räkna och rapportera in det preliminära valresultatet, vilket innebär att resultaten inkommer vid olika tillfällen. Detta beror bland annat på att antalet individer som röstar i olika vallokaler skiljer sig åt.

Endast två valdistrikt rapporterade in resultatet före kl. 20.30. Historiskt sett skiljer sig resultatet väsentligt mellan de små valdistrikt som blir färdigräknade först och de större valdistrikt som blir klara senare under kvällen. När webbplatsen återigen började fungera hade nästan alla valdistrikt rapporterat in det preliminära valresultatet.

Rent matematiskt blir det därför så att det inrapporterade valresultatet skiljer sig åt mellan två tidpunkter när två respektive 5980 vallokaler rapporterat in det preliminära resultatet.

Valresultatet på val.se är en digital återgivning av en manuell sammanräkning och protokollföring. Därför går det att kontrollera de siffror som rapporteras på val.se genom att jämföra siffrorna med de protokoll som upprättas i vallokalerna under sammanräkningen samt med länsstyrelsernas protokoll från den slutliga sammanräkningen. Alla röster sparas även hos länsstyrelserna fram till dess att nästa val genomförts och vunnit laga kraft.

Valmyndigheten bedömer att det svenska valsystemet är robust och rättssäkert. För att ytterligare stärka transparensen i valsystemet vill Valmyndigheten utveckla en lösning där alla protokollen (resultatbilagor till protokollen från de preliminära rösträkningarna) ska skannas in och redovisas digitalt så att de enkelt går att jämföra med det slutliga resultatet.