07.12.2021
ID-kaart
Probleemid, mis on põhiliselt seotud e-valimiste hääletus-süsteemi ja protsesside läbiviimise turvalisusega, ei ole kuhugi kadunud. Seda kinnitab nii OSCE ekspertide varasem kriitika kui ka EKRE poolt 2021. aasta kohalike valimiste e-hääletust kontrollima saadetud vaatlejad.
Alustasandil ongi probleem selles, et kinnitust kogu e-hääletuse süsteemi turvalisusele ei ole sõltumatu ja laialdaselt heakskiidetud kvalifikatsiooniga hindaja kunagi andnud, kui mitte arvestada 2014. aasta Michigani Ülikooli hinnangut, mis soovitas interneti teel hääletamisest loobuda. Ei avalikkusel ega ka paljudel spetsialistidel ole piisavat kinnitust väidetele, et karta pole midagi.
Näiteks on 2011. aasta OSCE raportis öeldud:
„Üksikasjalikum ja formaalsem tarkvara installeerimine ning aruandlus internetihääletuse testimise kohta suurendaks veelgi protsessi läbipaistvust ja kontrollitavust.“
Asjaolu, et RVT poolt kasutatud arvutite riistvara komplekteerimise ja tarkvara installeerimise juurde vaatlejaid ei kutsutud, on 2021. aasta valimiste EKRE vaatlejate üks suuremaid kriitilisi märkusi möödunud valimiste e-hääletuse osa kohta.
Teine nõrkus, mille EKRE vaatlejad tuvastasid, on see, et tegelikult me ei tea, mis kood täpselt kahte RVT arvutisse häälte töötlemiseks ja lugemiseks installeeriti. Kuigi programmide lähtekood on avalik, ei ole meil kinnitust, et just seda koodi ka kasutati. Põhimõtteliselt sarnane mure oli ka 2011. aasta OSCE aruandes:
„Süsteemi installeerimine. Tarnija, Cybernetica AS, andis internetihääletuse tarkvara VVK-le üle 2010. aasta detsembris. OSCE/ODIHR EAM-le teatati, et projektijuhil oli võimalik ajakohastada internetihääletuse süsteemi kuni valimiste alguseni ja selleks ei olnud vaja VVK ametlikku nõusolekut. Seda tehti ilma ametliku protseduuri või tarkvara lähtekoodi dokumenteeritud vastuvõtmiseta VVK poolt, mis piiras teavet selle kohta, millist tarkvara versiooni lõpuks kasutati.“
Kolmas suurem nõrkus, mida EKRE vaatlejad tunnistasid, on asjaolu, et Sertifitseerimiskeskuses ja RIA-s toimuvad tegevused tehakse ära ilma vaatlejate ja kontrollita, mistõttu jääb liiga palju pimeda usu ja usalduse küsimuseks. Tehnoloogia ja küberturvalisuse maailmas aga arvestatakse, et usaldada ei saa mitte kedagi, protsessid ja tehnoloogia peavad olema sellised, mis ise tagavadki turvalisuse. EKRE 2021. aasta vaatlejate hinnangul on e-hääletuse süsteemi nõrkused olnud teada juba vähemalt kümme aastat ja need on ikka alles.
Lisaks on probleem häälte ülelugemise ajal kogutud andmete turvalisusega. Häälte ülelugemiseks kasutatud arvuti kõvakettalt kustutatakse kõik andmed ära ja ketas ise pitseeritakse ning säilitatakse RVT seifis, et see hävitada 30 päeva peale viimase kaebuse kohta tehtud otsust. Kuid saadud andmed ise on kirjutatud DVD-plaatide peale, mida ei pitseerita ning nende kohta ei ole ka formaalset hävitamise nõuet. Väidetavalt seda siiski tehakse, kuid muret valmistab asjaolu, et plaate ei hoita pitseeritult, järelikult pole ka kindlust, et neid andmeid ei kopeerita.
Tulles tagasi algse probleemi juurde, et sõltumatu osapool ei ole süsteemile hinnangut andnud, siis oleme ikka samal tasemel 2011. aastaga. OSCE raportist:
„…. Nagu ka 2007. aastal, otsustas VVK mitte lasta internetihääletuse süsteemi sertifitseerida sõltumatul kolmandal osapoolel.“
Lisaks soovitab OSCE, et sõltumatu osapool pitseerib (allkirjastab) tarkvara lõppversiooni, et olla kindel kasutatud koodi õigsuses, millest eelpool oli juttu:
„OSCE/ODIHR soovitab delegeerida vastutus internetihääletuse süsteemi sertifitseerimise ees sõltumatule avalikule organile, mis annaks internetihääletuse tarkvarale hinnangu ja allkirjastaks seejärel tarkvara lõppversiooni digitaalselt ning avaldaks avaliku hindamisaruande.“
Samad eesmärgid olid 2019. aastal loodud Jüri Ratase koalitsiooni ning EKRE IT-minister Raul Siemi poolt algatatud e-hääletuse turvalisuse hindamise hankel. Paraku toimus võimuvahetus ja pärast seda on hanke teostamine küllaltki mitteveenvate argumentide põhjal viis korda ebaõnnestunud. Nüüd tehti Kaja Kallase valitsuse ja minister Andres Sutti poolt suunatud pakkumine ettevõttele KPMG Baltics märkimisväärselt vähendatud mahus – 200 000 eurot. EKRE IT-ministril Raul Siemil oli auditi läbiviimiseks planeeritud 600 000 eurot. Nähtavasti puuduvad uuest hankest koodianalüüsi ja sissemurdmistesti osad, seega ei saa me asjast ikka täielikku ülevaadet ega ka koodi pitseerimist.
Kaheldav on ka KPMG erapooletus, sest teatavasti on e-hääletusel alati olnud audiitor, mida kommenteerib OSCE 2011. aasta järgmiselt:
„VVK sõlmis lepingu audiitoriga, kes pidi hindama internetihääletuse vastavust tehnilistele, õiguslikele ja protseduuri nõuetele. VVK arvates tagab audit vajaliku süsteemi aruandluse, mistõttu osutub ametlik sertifitseerimine ebavajalikuks.“
Teadaolevalt on igal e-hääletusel olnud audiitorfirmaks just KPMG Baltics. Nad on auditeerinud vastavalt kehtivatele nõuetele ja võib vabalt väita, et need auditeerimisnõuded ei ole piisavad, et teada saada täit tõde e-valimiste turvalisusest. Nagu ka öeldi – ametlik sertifitseerimine on ebavajalik.
Ajaloost tasub meenutada ka 2014. aastat, kui e-hääletamisele teostas oma auditi Michigani Ülikooli tiim eesotsas J. Alex Haldermaniga. Põhimõtteliselt jõuti järeldusele, et interneti teel hääletamine tuleks Eestis ära lõpetada, kuni ei ole olemas fundamentaalselt turvalisemat tehnoloogiliat. Tsitaat raportist:
„Nagu oleme täheldanud, ei paku Eestis kehtestatud kord rünnakute eest ega läbipaistvuse tagamiseks piisavat kaitset. Järeldame oma testide põhjal, et riigi tasandi ründaja, kogenud kurjategija või ebaaus sisering võib lüüa nii tehnoloogilist kui ka protseduurilist kontrolli, et valimistulemustega manipuleerida. Peale selle on palju võimalusi, kuidas selline ründaja võib hääletusprotsessi häirida või tulemuste õiguspärasust kahtluse alla seada. Arvestades praegust geopoliitilist olukorda, ei saa me tulevastel valimistel jätta arvestamata süsteemile suunatud võimalikke riigi tasandi rünnakuid. Nende riskide tõttu soovitame Eestil I-hääletamise süsteemi kasutamisest loobuda. Kindlasti võiks konkreetsete rünnakute leevendamiseks lisada täiendavaid kaitsevahendeid (nt [48]), kuid kõigi tõsiselt mõeldavate ründeviiside peatamise katse muudaks süsteemi juhtimise mõeldamatult keerukaks. Kunagi, kui arvutiturbe vallas tehakse põhjapanevaid edusamme, võib riskiprofiil olla Interneti-hääletamiseks soodsam, kuid me ei usu, et I-hääletamise süsteemi saaks täna turvaliseks muuta.“
Teisisõnu jõuti järeldusele, et protsessid ja sisemine turvalisus ei ole piisava tasemega. Nimetatud audit sai Eestis halva kuulsuse ja meediapeksu osaliseks, kuna Haldermani meeskonda kahtlustati koostöös Edgar Savisaare juhitud Keskerakonnaga. Siiski ei lükatud ümber nende sisulisi argumente. Hoopis näeme, et Haldermani tiim ja OSCE vaatlused on jõudnud sarnastele järeldustele. OSCE 2019. aasta valimiste raport sedastas:
„ODIHR EET hinnangul on tehtud olulisi samme selleks, et kaitsta süsteemi turvalisust väliste rünnakute eest, hankides internetihäälte kogumiseks ja kaitsmiseks teenused Riigi Infosüsteemi Ametilt (RIA) ning eraettevõttelt. Siserünnakute tuvastamine ja ennetamine on aga jäetud kahe silma vahele“.
Ja nad soovitavad:
„RVT võiks välja töötada strateegiad, mis aitaksid vältida siserünnakute riski, lasta kolmandatel pooltel teha riskihinnanguid ning avaldada kõik audiitoraruanded aegsasti enne järgmiseid valimisi.“
Põhimõtteliselt samad mured kummitavad tänaseni ja kuni e-hääletuse süsteemile pole antud adekvaatset ja sõltumatut hinnangut, ei ole ka usaldust. Kas Reformierakonna IT-minister Sutti poolt tellitud suunatud hange KPMG-lt on piisav? Olemasolevale infole tuginedes võib väita, et pigem ei ole. Seega peab EKRE või mõni teine vabadust ja läbipaistvust hindav erakond taas võimule saades auditi uuesti tegema, Reformierakonna kulutatud raha läheb aga raisku.
Positiivse poole pealt võib mainida seda, et lootust on kogu auditeerimisprotsessi muutumisel pidevaks ja püsivaks nähtuseks, vähemalt nii väidab riigi küberturvalisuse juht Raul Rikk oma hanget puudutavas kommentaaris. RUP.ee artikkel mainib: „…„Pikemas plaanis soovime, et valimiste ettevalmistamine poleks projektipõhine tegevus, vaid muutuks pidevaks protsessiks,“ ütles Rikk.“.
Aga need auditid peavad olema palju kõikehõlmavamad ja paraku ka kallimad, ilmselt miljoni euro kanti ning kindlasti perioodilised, kuna tarkvara ja protseduurid muutuvad pidevalt. See on hind, mida tehnoloogilise protsessi nimel tuleb maksta. Süsteemne muutus e-hääletuse korraldamisel nõuab ka seadusandlikku muutust, mis oli ka ette valmistatud, kuid jäi võimupöörde tõttu samuti teostamata.
Kui tahame, et elanikkonnal tekiks usaldus e-hääletamise vastu, siis on vaja süsteemi pulkadeks lahtivõtmist ja igakülgset turvalisuse hindamist sõltumatu tegija poolt. Seejärel, olenevalt auditi tulemustest, tuleb vajadusel teha parandusi või loobuda e-hääletusest täielikult.