IT-spetsialist e-valimistest: ühe koodijupi avalikustamine ei ole turvalisuse tõestamine

Hääl läks arvesse, aga kas ka õigesse kohta? Pilt on illustratiivne.

Uute Uudiste poole pöördus üks IT-spetsialist, kes kirjeldab, kuidas e-hääletuse protsess on sisuliselt kontrollimatu.

“Pikalt IT köögipoolel (üle 20 aasta infoturbe alal) olnuna, ehk näinud kuidas vorsti tehakse, soovisin saada Vabariigi valimiskomisjoni e-hääletuse süsteemidest tervikliku pilti. Mind huvitasid mitte üksikud koodijupid, vaid täielik terviklik süsteem.

Saatsin siis VVK-le mitmeid teabenõudeid (terviklik kirjavahetus olemas) soovides saada kogu süsteemi detailselt arhitektuuri pilti ja peale pikka kirjavahetust selgus, et neil see puudub. VVK viitas, et tellib teenust Riigi Infosüsteemide Ametilt ja selgus, et ja RIA-l samuti selline info puudub.

Jääb arusaamatuks, millise dokumentatsiooni alusel üldse süsteem koostatakse ja seda auditeeritakse. Samuti selgus, et audiitorite raportites puuduvad tehnilised skeemid ja kogu audiitori raporti tehniline osa oli vaid erinevate pitserite loetelu. Selgus ka, et uus valimiste infosüsteemi arendus ei sisalda hääletaja kontrolli antud hääle teekonna kohta.

Ühesõnaga, nad trollisid täiega ja selline käitumine vaid kinnitas fakti, et avatusest on e-hääletus väga kaugel. Ühe koodijupi avalikustamine ei ole turvalisuse tõestamine. Sest piltlikult öeldes, kui auditeeritud koodijupp jookseb arvutis, mille enda operatsioonisüsteem ei ole auditeeritud ja arvuti ise füüsiliselt ei ole turvatud, kas siis süsteem on turvaline või mitte? Ja kuna kogu häältelugemisprotsessi, erinevalt paberhääletusest, ei ole võimalik korrata, st süsteem ja protsess ei ole läbipaistev, siis kas see on taotluslik?

Niikaua kui kõik ei ole terviklikuna läbinähtav ja kogu protsess ei ole korratav, jääbki kogu e-valmiste protsess mustaks auguks. Kuidas me saame olla kindlad, et seda väidetavat süsteemi ja tarkvara tegelikkuses üldse kasutatakse jne?”

Siit selguvad need momendid, millele on ka EKRE tähelepanu juhtinud – e-valimiste terviksüsteem on kontrollimatu ja turvalisuse rääkides viidatakse ainult pitseeritud kohtadele.

Kommentaarid