13.12.2020
Raul Siem
IT- ja väliskaubandusministri Raul Siemi eestvedamisel tellib riik e-valimistele rahvusvahelise auditi ja kavatseb anda valimiste järelevalve üle korraldajast sõltumatule ametkonnale.
Siemi sõnul on vaja e-valimistele tähelepanu pöörata, sest need on saanud valimiste oluliseks osaks. 2005. aastal oli e-hääletajate osakaal alla 2% kõigist valijatest, ent viimastel valimistel kasutas e-hääletuse võimalust peaaegu pool valijaskonnast. Teisisõnu, algselt marginaalne e-hääletuse võimalus on muutunud oluliseks rakenduseks.
„Vabad, ausad, läbipaistvad ja turvalised valimised on demokraatliku riigi vundament,“ tõdeb Siem. „Valimiste kaudu teostab kõrgeim riigivõimu kandja ehk rahvas oma võimu. Seega ei tohiks tekitada vaidlust ka küsimus, kas valimised, kui demokraatliku riigi põhialused ja väärtused, kuuluvad kõige olulisemate riiklike kaitseobjektide hulka. Valimiste, sealhulgas e-valimiste näol ei ole minu hinnangul tegemist millegi vähemaga kui riikliku julgeoleku küsimusega.“
Kas e-valimised on ebaturvalised?
Siem ütleb, et kübermaailmas täielikku turvalisust ei eksisteeri, on vaid olemas niinimetatud aktsepteeritav turvalisus. Aspekte on palju: protsessid, kood, serverid, krüptograafia.
„Täna puudub e-valmiste turvalisuse osas lõplik selgus, aga selgus on vajalik. Fakt on see, et riigi valimisteenistusel puudub küberturbealane sisuline kompetents, protseduurid on puudulikud ja läbipaistmatud, valimistega seonduvaid rakendusi arendatakse episoodiliselt, erinevatele rakendusmoodulitele tehakse küll turbeanalüüse aga terviklikku analüüsi pole siiani tehtud. Tellitud pole ka turvalisust käsitlevat rahvusvahelist auditit,“ nendib Siem.
Seni on kaardistatud on 25 erinevat e-valimistega seonduvat murekohta, millest enamik puudutab läbipaistmatuid protseduure. OSCE vaatlejad on korduvalt viidanud puudustele Eesti e-valimiste dokumentatsioonis, siseturvalisuse korraldamisel jne, jne.
Siemi sõnul on küsimus e-valimiste turvalisuse osas igati asjakohane, aga õnneks saab olukorda parandada.
„Vabariigi valimiskomisjoni (VVK), riigi valimisteenistuse (RVT) ja Majandus- ja kommunikatsiooniministeeriumi (MKM) inimesed on korduvalt kohtunud ning mõistavad selgelt küberturvalisuse riski ja sellega tegelemise vajadust. Seetõttu oleme asunud tegema koostööd e-valimiste turvalisemaks muutmiseks. Küsimus ei ole üksnes valimistes, vaid riigi julgeolekus ja seda on kõik osapooled mõistnud,“ kõneleb Siem.
Kuidas minnakse edasi?
Koalitsioon on kokku leppinud sõltumatu rahvusvahelise auditi läbiviimises. Koostoos RIA ja RVT-ga tellitakse rahvusvahelistelt ekspertidelt kõrgeimale tasemele vastav turvalisuse hindamine.
„Selle raames hinnatakse valimiste protsesse, programmide koodi ning üritatakse süsteemi ja protsesse murda. Hinnatakse ka süsteemi vastavust erinevatele rahvusvahelistele standarditele ning lõpuks soovime muidugi saada paranduste plaani. Auditi ja riskianalüüsi tööülesanne on koostamisel ja audit peaks valmima 2021. aasta alguses. Tahame, et kogu süsteem oleks KOV-i valimiste ajaks hindamise läbinud,“ kõneleb Siem.
Ta lisab, et varasemate analüüside tulemusel on töös mitmesugused uuendused. Uued versioonid tarkvarast arendatakse korraliku dokumentatsiooniga ja uuemaid turvalisuse standardeid jälgides.
Turvatestimine tehakse põhjalikumaks, serverite majutus ja haldus tuuakse uuele tasemele, suurendatakse riigivõrgu DDoS rünnaku kaitset ning võrguliikluse ja logide seiret teostatakse põhjalikumalt. Sätestatakse üksikasjalikud protseduurid ja nendest kinnipidamise järelevalvefunktsioonid.
„Vaatame üle kõik organisatoorsed, protseduurilised ja tehnoloogilised riskid. Rakendame kaugtõestamise, et e-hääletaja isik oleks tuvastatud ja protsess toimiks samadel alustel pabervalimisega,“ ütleb Siem.
Samuti on kavas muuta valimisseadusi nii, et küberturvalisusega tegeleks mitte valimiste korraldaja, vaid korraldajast sõltumatu ametkond.
„Eesmärk on vähendada võimalike manipulatsioonide tõenäosust. Praegu on ilmne, et nii VVK-l kui ka RVT-l on väga piiratud suutlikkus korraldada valimistel küberturvet ja järelevalvet,“ märgib Siem.
IT-ministri nägemuse kohaselt peaks hakkama e-hääletuse süsteemi küberturvet korraldama RIA. MKM annaks omakorda enne igat valimist oma ekspertarvamuse süsteemi turvalisuse kohta. See hinnang on vabariigi valimiskomisjonile sisendiks, mille põhjal otsustatakse e-valimiste korraldamine.
„RIA on MKM-i haldusalas ja kui RIA korraldab, siis MKM katusorganisatsioonina teeb pidevat järelevalvet ja annab mainitud hinnanguid,“ täpsustab Siem.
Seadus on planeeritud jõustuma 1. jaanuaril 2022. 2021. aasta valimiste täiendavad meetmed on plaanis panna paika koostöölepingu alusel MKM-i, RIA ja RVT vahel.
Kas e-hääletusest võidakse loobuda?
Mis saab aga siis, kui rahvusvaheline audit leiab meie valimissüsteemist puudujääke, mida pole võimalik valimiste ajaks kõrvaldada? Kas see võib kaasa tuua e-hääletamisest loobumise?
„Audit ja riskianalüüs, aga ka RIA küberturbeekspertide hinnangud on vabariigi valimiskomisjonile sisendiks,“ selgitab Siem. „Kas e-hääletamine toimub või mitte, sõltub vabariigi valimiskomisjoni otsusest. On ilmne, et kui audit ja riskihinnang tuvastab selliseid puudusi, mida ei ole võimalik valimiste ajaks kõrvaldada, ei ole e-hääletamise toimumise lubamine julgeolekuaspektist vaadatuna mõeldav.“