16.11.2020
Väliskaubandus- ja infotehnoloogiaminister Raul Siem.
IT- ja väliskaubandusministri Raul Siemi eestvedamisel tellib riik e-valimistele rahvusvahelise auditi ja kavatseb anda valimiste järelevalve üle korraldajast sõltumatule ametkonnale. Intervjuus Uutele Uudistele selgitab minister ümberkorralduste tagamaid.
Miks on vaja jätkuvalt tegelda e-valimistega?
E-valimised on saanud valimiste oluliseks osaks. 2005. aastal oli e-hääletajate osakaal alla 2% kõigist valijatest, aga viimastel valimistel kasutas e-hääletuse võimalust peaaegu pool valijaskonnast. See tähendab seda, et e-hääletuse võimalus, mis oli algselt marginaalne, on muutunud oluliseks rakenduseks. Vabad, ausad, läbipaistvad ja turvalised valimised on demokraatliku riigi vundament. Läbi valimiste teostab kõrgeim riigivõimu kandja ehk rahvas oma võimu. Sellest tulenevalt ei tohiks olla vaidlust ka selles, et valimised, kui demokraatliku riigi põhialused ja väärtused, kuuluvad kõige olulisemate riiklike kaitseobjektide hulka. Valimiste, sealhulgas e-valimiste näol ei ole minu hinnangul tegemist millegi vähemaga kui riikliku julgeoleku küsimusega.
Kas e-valimised on praegu ebaturvalised?
Kübermaailmas ei eksisteeri täielikku turvalisust, on olemas niinimetatud aktsepteeritav turvalisus. Aspekte on palju: protsessid, kood, serverid, krüptograafia.
Täna puudub e-valmiste turvalisuse osas lõplik selgus, aga selgus on vajalik. Fakt on see, et Riigi valimisteenistusel puudub küberturbealane sisuline kompetents, protseduurid on puudulikud ja läbipaistmatud, valimistega seonduvaid rakendusi arendatakse episoodiliselt, erinevatele rakendusmoodulistele tehakse küll turbeanalüüsid aga terviklikku analüüsi pole siiani tehtud. Tellitud pole ka turvalisust käsitlevat rahvusvahelist auditit.
Kaardistatud on 25 erinevat e-valimistega seonduvat murekohta, millest enamik puudutavad läbipaistmatuid protseduure. OSCE vaatlejad korduvalt viidanud puudustele Eesti e-valimiste dokumentatsioonis ja siseturvalisuse korraldamisel jne, jne. Seega küsimus e-valimiste turvalisuse osas on igati asjakohane.
Olukord saab aga paremaks minna. Vabariigi valimiskomisjoni (VVK), Riigi Valimisteenistuse (RVT) ja Majandus- ja kommunikatsiooniministeeriumi (MKM) inimesed on korduvalt kohtunud ja selgelt mõistnud küberturvalisuse riski ja sellega tegelemise vajadust. Seetõttu oleme asunud koostööle, et e-valimisi turvalisemaks muuta. Küsimus ei ole täna üksnes valimistes, vaid riigi julgeolekus ja seda on kõik osapooled mõistnud.
Kuidas edasi minnakse?
Koalitsioon on kokku leppinud sõltumatu rahvusvahelise auditi läbiviimise. Tellime koostoos RIA ja RVT-ga rahvusvahelistelt ekspertidelt kõrgeimale tasemele vastava turvalisuse hindamise. Selle raames hinnatakse valimiste protsesse, programmide koodi ning üritatakse süsteemi ja protsesse murda. Hinnatakse ka süsteemi vastavust erinevatele rahvusvahelistele standarditele ning lõpuks soovime muidugi saada paranduste plaani. Auditi ja riskianalüüsi tööülesanne on koostamisel ja audit peaks valmima 2021. aasta alguses. Tahame, et kogu süsteem oleks KOV-i valimiste ajaks hindamise läbinud.
Mida on veel kavas teha e-valimiste turvalisuse tõstmiseks?
Erinevate varasemate analüüside tulemusel on töös mitmed uuendused. Uued versioonid tarkvarast arendatakse korraliku dokumentatsiooniga ja uuemaid turvalisuse standardeid jälgides.
Turvatestimine tehakse põhjalikumalt, serverite majutus ja haldus tuuakse uuele tasemele, suurendatakse riigivõrgu DDoS rünnaku kaitset, võrguliikluse ja logide seiret teostatakse põhjalikumalt. Sätestatakse üksikasjalikud protseduurid ja nendest kinnipidamise järelevalvefuntsioonid. Vaatame üle kõik organisatoorsed, protseduurilised ja tehnoloogilised riskid. Rakendame kaugtõestamise, et e-hääletaja isik oleks tuvastatud ja protsess toimiks samadel alustel pabervalimisega.
Samuti on kavas muuta valimisseadusi nii, et küberturvalisusega tegeleks mitte valimiste korraldaja, vaid korraldajast sõltumatu ametkond. See vähendab võimalike manipulatsioonide tõenäosust. Praegu on ilmne, et nii VVK kui ka RVT-l on väga piiratud suutlikkus korraldada valimistel küberturvet ja järelevalvet.
Me tahame, et e-hääletuse süsteemi küberturvet hakkaks korraldama RIA. MKM annaks omakorda enne igat valimist oma ekspertarvamuse süsteemi turvalisuse kohta. See hinnang on vabariigi valimiskomisjonile sisendiks, et otsustada e-valimiste korraldamine. Täpsustuseks, et RIA on MKM-i haldusalas ja kui RIA korraldab, siis MKM katusorganisatsioonina teeb pidevat järelevalvet ja lisaks annab mainitud hinnanguid. Seadus on planeeritud jõustuma 1. jaanuaril 2022. 2021. aasta valimiste täiendavad meetmed on plaanis paika panna koostöölepingu alusel MKM-i, RIA ja RVT vahel.
Kui selgub, et rahvusvaheline audit leiab meie valimissüsteemist puudujääke, mida pole võimalik valimiste ajaks kõrvaldada, kas see võib kaasa tuua e-hääletamisest loobumise?
Audit ja riskianalüüs, aga ka RIA küberturbeekspertide hinnangud on vabariigi valimiskomisjonile sisendiks. Kas e-hääletamine toimub või mitte, sõltub vabariigi valimiskomisjoni otsusest. On ilmne, kui audit ja riskihinnang tuvastab selliseid puudusi, mida ei ole võimalik valimiste ajaks kõrvaldada, ei ole e-hääletamise toimumise lubamine julgeolekuaspektist vaadatuna mõeldav.