Valimiste turvamudelist

Anto Veldre, RIA analüütik

Tisklaimer – alljärgnev on katse kokku koondada suurem pilt, mis seondub Eesti i-hääletusega ja selle erilise kohaga maailmas. Infot olen koondanud siit ja sealt, tänud kõigile korrespondentidele. Võimalikud vead on sellegipoolest minu omad ja palun neist lahkesti teada anda.

Ühtlasi ütlen kohe ausalt ära, et minust sai e-hääletuse pooldaja mais 2004 (nähes eelist, mida teistel riikidel pole) ning et lisaks olen paberhääletuse (kui mustkunsti ja sotsiaalse sõltuvuse kaudu manipuleeritava traditsiooni) leige vastane. Kindlasti olen erapoolik – jätan paar tugevat argumenti käsitlemata pelgalt seepärast, et i-valimiste elukutselistele vastastele järamiseks lisakonte hambusse mitte anda.

Kiirkokkuvõte

  • Eesti i-hääletus vs e-hääletus (kiosk, DRE) mujal on täiesti erinevad asjad.
  • Esitan valimiste senisest globaalsema mudeli, kiidan Eestit, nimetan eri riikide arenguid e-/i-hääletuse valdkonnas.
  • e- ning i-hääletuskatsed eri riikides on valimisaktiivsust alati märgatavalt suurendanud. Kas on võimalik, et traditsiooniline valimiskord ei arvestagi elukiiruse drastilise tõusuga?
  • Püstitan irratsionaalse i-valimiskartuse hüpoteesi – see on alalhoidlik vastureaktsioon suutmatusele kaasuda uute distsipliinidega (küber, infosõda, memeetika).
  • Väidan, et Eesti suutlikkus oma e-riigi ja i-hääletuse mehhanisme iseendalegi, saati siis rahvusvahelisel areenil võrreldavalt selgitada, võiks olla parem.

Tegu on mahuka analüüsiga ehk nagu millenniumlased ütlevad: TL;DR (too long, don’t read). Kahjuks pole nii keerulise materjali lühikäsitlus 7 +/– 2 lihtfaktoidi abil mõeldav.

Esitatud viited on võimalusel ingliskeelsed, aitamaks selgitada e-hääletust ka rahvusvahelise auditooriumi ees.

Sissejuhatus

Valimistele esitatakse enamasti normitehnilisi nõudeid (hääleõigus, ühetaolisus) ja siis veel ka protseduurilisi nõudeid (kes ja kuidas viib hääletuse läbi või auditeerib tulemusi). Ent vahepeal on maailm muutunud, inforuumi ja küberruumi küpsemine on hägustanud riigipiirid kohati vaid virtuaalseks jooneks. Kontrollküsimus: kas mõne teise riigi luureteenistus osaleb meie valimistel?

Meie elanikkonda mõjutavad meie naabrite ja vastaste küberneetilised ning memeetilised relvad kindla peale, mistõttu vaade valimistele kui lokaalse iseloomuga sündmusele tänapäeval enam ei päde. Westfaali nägemus rahvusriiklusest eeldab kindlat territooriumi ning selle piires toimivat bürokraatiat, mõlemad mõisted on globaliseerumise tingimustes paraku hägustumas.

Ühtlasi pole maailma ajaloo kogu eelnenud perioodil tekkinud vajadustki vaadelda valimisi nn täiusliku mänguteoreetilise operatiivtervikuna, milles konsolideeritaks korralduslikud ja tehnilised aspektid, ründevektorid ning võimeka oponendi võimalikud tehnoloogilised vastukäigud globaalses vaates. Tänaseks on see vajadus tekkimas.

Tänapäeva riskihaldusnõuetele vastavat valimiste üldmudelit saab mingilgi kujul ette näidata vaid Eesti ning see kätkeb endas järgmisi elemente:

  1. Õigusriigile omane juriidiline režiim, tagamaks kandidaatide füüsilist ning psühholoogilist ohutust. Globaalne turvaolukord on halvenenud, mistõttu võib täna demokraatia tingimustes vabalt juhtuda, et Alt-Right tiiva kandidaadi näiv või (suisa tegelik) julgeolek õigusriigis osutub täna nudituks. Olgu ühtlasi hästi selge, et see fenomen asetub kusagile eetika ja kultuuri vahepeale, väljapoole valimiskorralduse konteksti, illustreerides ometigi mõningaid moodsaid mõjusid, mida valimistel arvestamata jätta ei saa.
  2. Õigusriigile omane juriidiline režiim, mis tagaks lihtsa ja kerge võimaluse valimistel osalemiseks (kas siis kandidaadi või valijana) igaühele, kellel on selleks soov ja seadusekohane õigus. Probleemiks on ilmsed ja mitteilmsed tsensused, sealhulgas elanikkonna vaesematele kihtidele ebamõistlikult kalliks osutuv isikut tõendava dokumendi nõue. Sellest vaatevinklist, isegi riikides, kus e- või i-hääletus on ebaõnnestunud, märgitakse osaluse märgatavat elavnemist, rääkimata EU ametlikust poliitikast osalusprotsendi sihipäraseks tõstmiseks.
  3. Õigusriigi vääriline olukord, kus puudub praktiline võimalus (eriti just lokaalsete) valimiskomisjonide liikmete üksikult või grupikaupa mõjutamiseks sõltuvuse vms kaudu. Tegemist on demokraatia piinliku kitsaskohaga, mida maailm seni tunnistada ei soovi ning mida Eesti tajub üksnes tänu Nõukogude Eesti aegse valimisfarsi nn 99,9% kogemusele.
  4. Usaldusväärne valijate register, seal sisalduva info autentsus, terviklus ja salgamatus. Maailmas on Eesti kõrval vähe riike, kus säärane keskne elektrooniline register a) eksisteerib, b) on volitatud süsteemile online‘is kättesaadav ning c) osutub küberrünnakule vastupidavaks.
  5. Usaldusväärne kandidaatide register, seal sisalduva info autentsus, terviklus ja salgamatus.
  6. Inforuumi, sh globaalse inforuumi või ka mõne lihtsalt vaenuliku inforuumi mõju valijatele. Tegemist on seni suuresti alahinnatud psühholoogilise kaitse distsipliiniga, mille mõju valimistulemustele (eriti multikultuurses riigis) pole paraku võimalik alahinnata – meenutagem näiteks Eurovisiooni hääletusi. Ühtlasi ei saa välistada, et suurandmete ajastul on tekkimas tõhusad psühhomeetrilised tehnoloogiad laiade valijakihtide järkjärguliseks mõõdistamiseks ja mõjutamiseks läbi sotsiaalvõrgustike.
  7. Küberruumi artefaktide mõju valimisprotseduuridele, eelkõige käideldavuse ja tervikluse osas (küberrünnaku alamliigid: DDoS, pahavara). Küberruum olgu siinkohal defineeritud suhtlusvõimeliste infotöötlusseadmete hulgana, vt MKMi terminoloogiadokumenti). Eesti i-hääletuse riskidokument käsitleb küberriske avatult.
  8. Valimiste mistahes etapil kasutatud infotehnoloogia turvalisus – olgu siis eeldatud või sätestatud tasemel (konfidentsiaalsus, terviklus, käideldavus). Hillary Clintoni ja DNC meiliserveritele tehtud vanamoodne küberrünnak andis näiteks USAs tagasilöögi hoopis valimiste infosüsteemidele. Kuid: tegelikku turvalisust tuleb kindlasti eristada avalikult aktsepteeritud vaatest – rünnata võidakse nii tehnoloogiat kui hoopis selle kuvandit, vt ka p 10). Kontrollküsimus: mis kasu võiks varas loota Valimiskomisjoni arvuti ärapätsamisest?
  9. Valimiste korraldaja ja tema tööprotseduuride usaldusväärsus. Tegemist on interdistsiplinaarse alaga, milles on nii õiguslikke, sotsiaalseid kui PR aspekte. Kuid: tuleb eristada objektiivset usaldusväärsust (võimalik, et võõra inforuumi poolt tüüritavast) avalikust arvamusest ning otsustavalt ning reaalajas juhtida võimalikku lõhet nende vahel (mainekujundus, psühholoogiline kaitse).
  10. Punktide 8 ja 9 puhul tuleb eraldi ning spetsiifilise ründevektorina käsitleda valimisprotsessi kuvandit. Küber- ja inforuumis toimiva tiheda seostatuse ja positiivse tagasiside tõttu (Norbert Wiener, “Küberneetika”; Charles Perrow, “Normal Accidents”) on sündmustele tekkiv tagasiside sageli ülevõimendatud või -kriitiline (füüsika, mitte hinnangu mõttes), selle kogus ja mõju on sageli ennustamatud.
  11. Lõpuks, isetekkeline või sihilike memeetiliste jõupingutuste abil kujundatud (alternatiivne) sõnumi- ja kultuuriruum (memeetiline ruum), kus mingid valimisviisid või konkreetsed valimistavad sihilikult kängitsetakse religioosse tabu staatusse. Näitena olgu esitatud kiipkaart=666 meem, ja sihilikult kujundatud “Saatan valib Internetis” meem, milliste nähtuste tõrjumine intellektuaalsete argumentide abil osutub sama võimatuks kui katoliiklase ümberveenmine armulaua või pihi tähenduses.

Eesti i-hääletuse olulised iseärasused

Tuginen nüüd eespool esitatud 11-punktilisele mudelile ning toon esile Eesti valimiste, eriti ja eelkõige i-hääletuse olulised erisused (idiosünkraasiad), mis on meil Eestis e-hääletust võimaldanud ning mis on enamjaolt needsamad, mis mujal seda ei pigem ei võimalda.

A) Eesti kodanikud usaldavad oma riiki (või valitsust, oleneb tõlkenüansist) ning ei taju neid kumbagi nuhi, külakurnaja või vaenlasena. Tegemist on isegi Lääne tsivilisatsioonis (Idast rääkimata) küllaltki haruldase fenomeniga (excl CH, FI, NO ja ehk veel mõned üksikud riigid).

B) Eestis on elanikkond lõpliku täpsusega loetletud ning reaalaja lähedaselt peegeldatud riiklikesse registritesse (sünnid, surmad, elukohavahetused). Isikusamasuse kontrolliks vajalikud ressursid (LDAP) on avalikud (mõnes teises riigis tajutaks säärast ülesehitust kirjeldamatu tabuna). Ent manipulatsioonid nimekirjadega (valijad, kandidaadid) pole Eestis keskse reaalajalise registri tõttu põhimõtteliselt võimalikud. Lahenduse hinnaks on Lääne-Euroopale kultuuriliselt sobimatud kompromissid elanikkonna “näiva” privaatsuse osas.

C) Eelmisele asjaolule toetudes ning USA päritolu tugevale krüptograafiale tuginedes on loodud isikute kaugtuvastamise (remote identification) süsteem (PKI), milles riik garanteerib baasidentiteedi tõsikindluse, ning see süsteem hõlmab ka omakäelise allkirjaga võrdsustatud e-allkirjastamise lahendust. Teisisõnu, peale Eesti polegi ühtki riiki, kus I tehnoloogiline baas ning II selle levik üheskoos võimaldaksid sooritada üleriigilist turvalist i-hääletust (igaühe kodusest arvutist). Esineb riike, kus tuvastussüsteem eksisteerib (FI), kuid kus tuvastusvahendite levik üldvalimisi paraku ei võimalda. On riike, kus internetihääletus on eelistatud või katsejärgus (CH, FR), kuid kus puudub turvaline tuvastussüsteem, sestap eksperimenteeritakse nende tuvastusviisidega, mis on olemas. Puudustest: meie lahenduse tagajärjeks ehk memeetiliseks hinnaks on suuresti põhjendamatu “vanaema sundimise” ja “vanadekodude/sõjaväeosade” (Granny Farming) kriitika, mis kuulub eetika, kultuuri või sotsiaalvaldkonda ning üldsegi mitte valimistehnoloogia skoopi.

D) Eesti on tõestanud, et ta suudab oma riiklikult olulisi infosüsteeme Internetis jätkusuutlikult pidada viisil, et neid pole võimalik distantsilt kübervahenditega kompromiteerida, ei tegelikkuses ega ka kuritahtlikult konstrueeritud alternatiivses reaalsuses. Selle omaduse vältimatuks eelduseks, vähemalt meie tingimusis, on olnud X-tee koos eID kaugtuvastuse / allkirjastamisega (p A, B ja C ).

E) Eesti i-hääletus on unikaalne ja pidevalt arenev (tagasisidet ja kriitikat arvesse võttev) tehniline lahendus, mis suudab piisavalt hästi tagada vastuolulisi nõudeid hääle salajasusele ning hääletuse terviklusele (põhjustel p A, B, C ja D). Puudustest: meie itimeeste ja krüptoloogide seas leidub siseopositsioon, kes arvavad, et süsteemi täiustamine võiks toimuda veel märkimisväärselt kiiremini.

F) internetihääletuse keskne infrastruktuur on süsteem, mis püstitatakse vaid hääletuse hetkeks, mille lähtekood on põhiosas avalik, mis on korduvalt auditeeritud ning mille serverid paiknevad riigi/valitsuse täieliku (!!!) kontrolli all asuvas võrgusegmendis. Selle ja mõne teise riskihaldusmeetmega (pidev modifitseerimine, valimisäpi publitseerimine alles vahetult enne sündmust) on reaalse oponendi jaoks reaalne rünnak muudetud heidutavalt keerukaks. Meie lahenduse hinnaks on võimalik kultuuriline sobimatus näiteks USA oludega (kompromissidekohad, mida suurriik ei kordaks, vaid maksaks suurusjärgu-kahe võrra üle).

G) Eesti i-hääletuse turvalisus on suuresti tagatud asjaoluga, et selle toimimiseks vajalik kliendipoolne infrastruktuur (kaardid, lugerid, tarkvara) pole mitte spetsiaalselt i-hääletuse jaoks üles seatav laadapalagan, vaid miski, mis on igapäevaselt käigus tööprotseduurides, panganduses jne (jooksvaid numbreid vt ID.ee kodulehelt). Kui Eesti e-eluviis eviks olulisi tehnilisi turvaauke, võimaldanuks see ammu põhja lasta kogu meie panganduse, rääkimata riigi üleüldisest toimimisest – meil teatavasti polegi enam piisavalt palju teeninduslette. E-hääletus on Eestis lihtsalt üks paljudest riiklikest e-teenustest omasuguste pikas reas. Seetõttu saame eeldada, et võimalikud tehnoloogilised vead tulevad välja juba põhikasutuse käigus, milleks e-hääletus kindlasti ei ole. Siit omakorda tuleneb kindlustunne, et operatiivolukorra muutus valimiste perioodil on ühtlasi nii monitooritav kui märgatav.

Q) Mõned ülimalt tehnilised kaitsevõtted, näiteks SSL/TLS (https) veebisessiooni initsieerimine kaardil leiduva krüptomaterjali, mitte lambist genereeritud tokeni baasil, mis automaatselt nurjab terve hulga MitM ründeid. Infoturblased teavad, millest jutt, Läänele pole me seda kaitsemeedet veel eriti reklaaminud.

W) Muud põnevad tähelepanekud, näiteks heuristiline eeldus, et “elanikkond suudab tõhusalt kasutada internetti, arvuteid ja identiteedikandjaid” (olen mitmel konverentsil näinud, kuidas kujund “kiipkaarti hoidev tädi Maali” tekitab siirast hämmastust). Või siis läänemaailma šokeeriv asjaolu, et ka paberhääletamise puhul on teada hulganisti riske ja rünnakuid valimisprotseduurile (valimiskasti terviklus, karusell jne). Lääne ühiskondades on demokraatlikud valimised ära kanoniseeritud ning petutehnoloogiatest vestlemine on tabu (see paraku põhjustab võltsturvalisuse tunde).

X) Eesti mudelil on ka märkimisväärseid puudusi, keerukus ja erinevused eelkõige. Olulised semantilised erinevused enamikest lääneriikidest ei võimaldada siinseid lahendusi üks-ühele lääne mudelile üle kanda ega arusaadavalt selgitada. See komplitseerib omavahelist võrreldavust ning soosib memeetilisi ja semantilisi ründeid meie internetihääletusele. Mark Twaini tsiteerides, kui moslem peab nelja naist, siis “see on ju peaaegu nagu kahenaisepidamine”. Nii saab oponent omaenda mõistesüsteemi kasutades panna samasse patta Hollandis aastal 2009 keelustatud valimismasinad (kioskid, DRE) ja meie internetihääletuse, labasel põhjusel, et mõlemi tähistamiseks kasutatakse sama terminit – e-hääletus. Keskmine heasoovlik kõrgharitud väliskülaline oma taustateadmistega ei ole võimeline Eesti i-hääletust endale adekvaatselt visualiseerima, tal puudub terve komplekt vajalikke taustateadmisi. Ka kõrgharidusega inimese puhul on vaja tundide või päevade pikkust selgitusvälpa, see aga pole juhusuhtluses kuigi realistlik suhtlusperiood.

Y) Kättesaadavaid analoogiaid teadmussiirdeks on aja jooksul siiski leitud. Näiteks “isikukoodi” on tark selgitada “Sinu digitaalse nimena” ning abstrahheeruda lääne-eurooplasele kultuuriusundiliselt vastuvõetamatust inimeste nummerdamise ajaloost. On hea teada, et i-hääletuse selgitamiseks kasutatav kahekordse ümbriku süsteem on üks-üheses vastavuses Saksamaa tigupostise eelhääletussüsteemiga, mille resulteeriv turvalisus on kaheldamatult RSA krüptograafiast madalam. Sääraste mõisteliste analoogiate otsimine ja leidmine on sõprade ja vastastega vestlemisel üha olulisem.

i-valimishirmude analüüs riigiti

CH

Šveitsi eripäraks on kodanike erakordselt kõrge usaldus oma riigi ja valitsuse vastu (p 1). See on võimaldanud eri kantonites korduvalt eksperimenteerida e/i-hääletuse erinevate tehnoloogiatega. Tänaseks on riik sisuliselt asendanud ülimalt levinud (80% kasutatava) meilitsi eelhääletussüsteemi i-hääletussüsteemiga. Autentimismaterjal ja verifitseerimismaterjal saadetakse inimestele igakordselt paberposti teel.

Šveitsi kodanike kultuuriline resistentsus irratsionaalse mõju suhtes (p 11) näib olevat piisavalt kõrge, seda tingimustes, kus rünnakud CH valimissüsteemile pole üldse lakanud.

Šveits arendab üldkasutatavat e-identiteeti, kaasatud on näiteks Kaspar Korjus Eestist. Üks Šveitsis kasutatavatest süsteemidest on katsetatava demona kättesaadaval siin.

Šveitsi arvukatele hääletussüsteemidele on määratud maksimaalselt kaasatava valijaskonna piir (protsentides), olenevalt verifitseeritavuse tasemest.

DE

Saksamaa puhul on i-hääletuseks vajalik tehnoloogiline baas (tuvastusvahendid) peaasjalikult olemas (küll killustatud kujul), kuid puudu on kultuurilisest julgusest ajalooliste tabude ületamisel. Valimismasinaid on edukalt katsetatud perioodil 1998–2005.

DE iseärasus: kahe valija kaebuse põhjal konstitutsioonikohus keelustas igasuguse e-hääletamise kuni „kõik valijad sellest aru ei saa nii, et igaüks suudaks vaadelda“. Küsimus oli just valimismasinate turvalisuses, i-hääletuse osas ametlikku seisukohta pole.

Saksamaa konservatiivse suurriigina ning potentsiaalse regionaalse hegemoonina on väga häiritud punktidest 1, 6, 7, 8, 10 ja 11, mida ta ei suuda avalikkusele rahuldavalt selgitada, osalt on põhjuseks adekvaatse ohumudeli puudumine ja suurriiklik inerts nagu ka USA puhul.

Saksamaa puhul on hea võrrelda meie ja nende eelhääletust kirja teel kuivõrd meie i-hääletus on nende eelhääletuse digitaalne teisend. Isegi osad VVK juhendmaterjalid on muutusteta kasutatavad. Sakslastele on kasulik selgitada, et meil käib eelhääletamas 1/3 valijaid.

FI

Soomes on e-hääletust piiratud ulatuses katsetatud aastal 2008. Saadi vastuolulised tulemused, kuivõrd “summa ei läinud kokku” ning täpsuse puudumine on sealses kultuuriruumis kolepaha asjaolu. I-hääletuse üle käib Soomes hetkel tihe arutelu, just käivitati teostatavusuuring. I-hääletuseks vajalik tehniline infrastruktuur on Soomes tegelikult täiesti olemas (PKI + ID-kaart + Palveluväylä), kuid riikliku identiteedikandja levik madalam kui meil. Soome ajakirjandus on seni takerdunud i-/e- termini lahtimõtestamisse.

Hinnang: Eesti pole suutnud oma interneti-hääletuse semantilist tähendust üle kanda isegi suhteliselt lähedasse kultuuriruumi.

FR

Prantsusmaa on i-hääletust kasutanud aastast 2007 ning seal tähendab see turvalist https veebisaiti, mille kasutajatunnuseid ja paroole paraku levitati kodanikele meili ja SMSi vahendusel. Sellise lahenduse turvariskid on teada juba 2004. aasta USA sõjaväe kaughääletustest nimega SERVE ning säärastena ka hästi dokumenteeritud. Meilirünnete ja GSM SS7 turvaaukude valguses ei ole Prantsusmaal ju tegelikult kasutaja tõsikindla kaugtuvastamise protseduuri, mistõttu otsus määramatuse tingimusis need hääletusviisid peatada tundub igati asjalik. Samas tuleb kiita prantslaste julgust moodstate hääletusviisidega eksperimenteerimisel.

NL

90ndate lõpuks kasutas Hollandis kioskitüüpi (DRE) hääletusmasinaid kuni 90% elanikkonnast. Aastatel 2006–2007 läbi viidud poliitilise kampaaniaga viidi NEDAP hääletusmasinad käigust ja e-hääletus lõpetati 2009.

NL olukorda komplitseerivateks teguriks on veel ka aastal 2011 aset leidnud DigiNotar skandaal, mis oluliselt häiris NL e-riigi toimimist ning mis senimaani mõjutab NL IT riskihinnanguid.

Ei e- ega i-valimist Hollandis hetkel ei ole ega paista tulevat. Aasta 2017 probleemiks said hoopis turvavead tavavalimiste tulemusi konsolideerivas tarkvaras, need avastati kõigest kuu aega enne eelseisvaid valimisi. Asjakohane audit koos vigade parandusega tähendanuks valimiste edasilükkamist, mis aga poliitiliselt laetud situatsioonis ei osutunud võimalikuks. Mistõttu NL valitsuse otsust – lugeda hääled kokku käsitsi – tuleb tuntava välismõju tingimustes (sealne viide [0] (p 11)) ning Alt-Right olukorras (p 1) , lugeda täiesti mõistetavaks ja adekvaatseks.

NO

Norras on e-hääletust piiratud ulatuses edukalt katsetatud. Eksperimendid lõppesid, sest valimised võitis e-valimisi vastustav partei. Lõpetamise ettekäändeks kasutati mõningaid tehnilisi viperusi – suhe tavahääletusega ei olnud arvesse võetud ning osadel isikutel õnnestus hääletada kahekordselt (Eesti vaatevinklist on tegu elementaarse disainiveaga). Norra seega põrkus tavapärastele esmaraskustele olukorras, kus Vassili ja Solvaku kohaselt näiteks i-hääletussüsteem vajab stabiliseerumiseks 3–4 toimumiskorda. Kahju, sest tegu oli lootustandvate arengutega, millest isegi Eestil oli õppust võtta.

UA

Ukraina presidendivalimistel 2014 tehti õpikurünnak valimisprotseduuride ning valimiskomisjoni mainele, kasutades punktides 6, 7, 8, 9 ja 10 kirjeldatud printsiipe ning ülevõimendades olukorda oponeeriva meediaga (punkt 11). Rünnaku sooritamise algne vektor (küber, p 6 ja 7) pole saavutatud tulemuse kontekstis isegi mitte oluline.

Ühtlasi on Ukrainas käivitatud Eesti ID-kaardi taoline PKI süsteem, mis annab väga hea tehnilise algme tulevikuks.

US

USA valimiste parim omakriitika (neljaosaline kirjutis) on saadaval siin. USA oludes on puudu praktiliselt kõik edukaks i-hääletuseks vajalikud eeldused, eelkõige aga toimiv kaugtuvastus ja turvaline valijate register [vt SERVE, 2004]. Ühtlasi ilmnes viimaste presidendivalimiste ajal lisaks teadaolevatele riskidele (2 ja 4) ka komplekt USA-le seni tundmatuid riske nagu 1, 6, 7, 8 ja 10. Lisandus valimisteväline mõju – pr Clintoni ning DNC meiliserverite madal turvalisus, mis kübervaatekohast oli tegelikult vanamoeline ründeoperatsioon (Eesti läbis sama ohufaasi u 3–5 aastat tagasi) ning millel USA valimissüsteemidega otsene seos puudus.

USA põhiprobleemiks hetkel on ajakohase ning pädeva globaalmudeli puudumine, riskide kaardistamatus, suurriigi puhul paratamatu tehno-organisatoorne inerts koos sellest johtuvate irratsionaalsete poliitiliste hirmudega (loe: muudatused on hakanud toimuma suurte riikide jaoks talumatult kiiresti).

Lõppsõna asemel

Riike, kus e- või isegi i-hääletust on planeeritud või pruugitud, leidub oluliselt rohkem, vt näiteks IE, KE jpt. Laiem ülevaade on saadaval Wikipedias. Lugemisel tuleb arvestada, et sealne terminoloogia ei erista e-hääletust i-hääletusest. Kohati kasutatakse i-hääletuse sünonüümina väljendit “online voting“, mis on Eesti i-hääletuse selgitamiseks siiski vaid poolpiisav, kuivõrd ei selgita turvalise kaugtuvastuse olemust.

Alles jõuti küber viiendaks sõjapidamisdomeeniks kinnitada, kui selgus, et interneti ja küberi seljas ratsutades on saanud megaventilaatori seljale sõjaväelaste vana tuttav – infosõda. Infosõda elab praegu üle täielikku renessanssi ning ei imestaks, kui see varsti kehtestatakse eraldi (nullinda) sõjapidamisdomeenina. Ent infosõda peab siiski silmas vaenlase lühiajalist eksitamist – üksnes senikaua, kuni on taktikaliste eesmärkide saavutamiseks vaja.

Moodsaimad ründed ründavad inimolemust, püüdes alt ära lüüa semiootilisi, kultuurilisi ja religioosseid tõekspidamisi ning väärtusi. Memeetiline sõda võib olla väga pika vinnaga, ettevalmistus konfliktiks võib kesta mitu põlvkonda ja isegi ületada ühe põlvkonna eluea.

Nüüdisaegsed valimised peavad kõiki neid uusi reaalsusi arvesse võtma. Selleks on vaja valimiste adekvaatset mudelit (saamaks aru, mis valimisi üldse ohustab või mõjutab) ning reaalajas toimetavaid spetsialiste kõigi nimetatud ohtudega toimetulemiseks. Nüüdisaegne e-riik kindlasti suudab moodsa aja ohud valimistele nii üles loetleda kui ära tõrjuda, kuid selleks on vaja mõtlemise muutust. Suurriikide pealt juba paistab, et “šokeeritud olemise” ja irratsionaalse hirmuga kaugele ei jõua – heal juhul ehk tagasi vanade ebaturvaliste pabervalimiste juurde.

Eestis toimuvad kohalike omavalitsuste valimised tänavu oktoobris. Vahepealset aega tuleks kasutada meie e-hääletuse (ja selle eeliste) selgitamiseks meile sarnanevate väärtustega välisriikides.

Viited

Välisriikide esindajatele väljajagamiseks sobib järgmine e-hääletuse teemaline lingikomplekt (mostly in English):

  1. An overview of voting methods in Estonia: http://vvk.ee/voting-methods-in-estonia/
  2. E-voting concept security: http://www.vvk.ee/public/dok/E-voting_concept_security_analysis_and_measures_2010.pdf
  3. Practical Security Analysis: http://cyber.ee/uploads/2013/05/Buldas_practical_e_voting_final.pdf
  4. E-voting in Estonia: technological diffusion: http://skytte.ut.ee/sites/default/files/skytte/e_voting_in_estonia_vassil_solvak_a5_web.pdf
  5. Bias Report: http://www.ut.ee/kristjan.vassil/wp-content/uploads/Bias_report.pdf
  6. Log Analysis of Estonian Internet Voting 2013/2015: https://eprint.iacr.org/2015/1211.pdf
  7. Elections at Soviet times: http://www.mnemosyne.ee/wordpress/wp-content/uploads/2011/06/Olev_Liivik_-_Supreme_Soviet.pdf
  8. RIA – as an organization (Authority/Amet): https://www.ria.ee/en/about-estonian-information-system-authority.html
  9. Short description of i-voting (An answer to OSCE/Serve criticism): http://research.cyber.ee/~jan/publ/evote2011.pdf
  10. Criticism by Haldermann and Kitkat: https://www.verifiedvoting.org/wp-content/uploads/2014/10/Estonia_2014_IVotingReport.pdf
  11. General statistics about Estonian elections – (nice infographics but in Estonian only): http://www.vvk.ee/valijale/e-haaletamine/e-statistika/
  12. An independent blog describes 2015 elections nuances (nice pics but in Estonian only): http://www.evalimised.ee/e-valimiste-statistika/
  13. Tanel Torn, Master Thesis: https://digi.lib.ttu.ee/services/copycat-pdf.php?ID=1781

Küülikukasvatusest e-riigis

Anto Veldre, analüütik

Allikas: fanpop.com

Veebruari lõpus avaldas Google värske uurimuse vanadusnõdra SHA-1 protokolli peatsest surmast. Kulutati 110 000 dollarit, üüriti Amazoni pilveressurssi ning suudeti tekitada kaks erineva sisuga, kuid sama räsiga PDF-faili.

Misjärel keegi küsis minult, mis on SHA-1 “probleemipuntra” tähendus Eesti e-riigile või äraseletatult – kas see ongi e-riigi lõpp? Edasise mõistmiseks vajalikku krüptograafia algkursust ei suuda mina maha pidada, kuid mõned alustõed kordan ikkagi üle.

Kogu digitaalne allkirjastamine põhineb eeldusel, et dokumendist saab räsi arvutada ja on üsna loomulik, et eri dokumentide räsi on erinev. Sellegipoolest, vastus küsimusele, kas e-riik ja kogu digitaalne majandus kukuvadki nüüd päevapealt kokku, on ka täna kindel EI! Elu planeedil Maa kestab kenasti edasi, nagu ka e-riik.

Sest ega keegi pole ju kunagi arvanudki, et kui keskmine 5MB DOC-fail “kokku suruda” 160 bitiks (ehk 20 baidiks), siis “teisikuid” ei leidu. Otse loomulikult teisikuid leidub, iseasi, kui keeruline on selliseid arvutada või kui mõistliku sisuga need on – kas need üldse DOC-failiks kvalifitseeruvad.

Räsialgoritmide erikavalus seisneb teatavasti asjaolus, et vaid üheainsa baidi muutumisel sisendis muutuvad väljundis ära kõik baidid. Räsist ja räsimisest on meil siin varemgi juttu olnud ja SHA-1 peatset surma on ka juba päris mitu oraaklit ennustanud.

Mustkunstist

Seevastu, kui suudetakse kaabust välja tirida kaks ERINEVAT faili, millel ometigi on sama räsi, siis teadlased ütlevad, et nüüd on tegu kollisiooniga. Google suutis sellised kaks (kollideeruvat) faili SHA-1 jaoks ära tekitada. See siin on esimene fail ja see on teine. Vaatle neid faile hardunult ja mõtiskle!

Ent nagu iga kena maagia puhul, kõvema paugu tegemiseks jäetakse üht-teist ka rääkimata.

Eelkõige – miks ikkagi toimub norimine just PDF-faili kallal? Sest läänemaailma tädi Maalile on digiallkirja kandva *.pdf faili narrimine oluliselt arusaadavam, kui mõistujutt e-Narnia failivormingutest. Kui kübaratrikki lähemalt uurida, siis PDF on üksnes kest, tegelikult trikitatakse seal sees paikneva *.jpeg pildifailiga, veel täpsemini aga sinise ja punase taustavärviga. PDF kesta otstarve antud juhtumis pigem on suitsu massiivsem peegeldamine…

Allikas: https://i.stack.imgur.com/aTuEO.png

Jänestest

Muide, kollisioone on erinevaid. Üks kaval nipp kaabust samatriibulisi jäneseid välja tõmmata on omada jänesekasvatusi kusagil Ketsemani või Amazoni aedades. Aia ühest otsast üha visatakse sisse porgandeid ja kapsaid (näiteks 110 000 dollari eest), teisest otsast veetakse käruga põlluväetist välja, ent keskel sigineb karjakaupa mitmevärvilisi jänkupoisse. Kutsutakse fotograaf, kes otsib saja-tuhande-pealise küülikukarja seest kaks enam-vähem sarnase naeratusega jänkut välja ja pistab need kaabusse, kust fakiir nad tund hiljem laval kaabust ühekorraga välja tõmbab. Done.

Säärast luksust Amazoni aias muidugi ei juhtu, et korraga sünniksid kaksikud jänkupoisid, kellest ühel on hambus (või triipkoodiga karvastikku kodeeritud) majamüügileping 56 794 eurole ja teisel sama maja sama müügileping juba 97 257 eurole. Samaräsilisi, kuid erisisulisi jänkukaksikuid võib korraga sündida mitmeid; kui hästi otsida, siis ehk kolmikuidki, kuid keegi pole veel näinud juba sündinud jäneseid konkreetseks dokumendivõltsinguks vajaliku triipkoodi või rahanumbriga.

Küll aga teeks e-riigile lõpu originaalirünne (aitäh, kallis AS Cybernetica, et lõpuks ometi kohtan IT-uudist, mille edasiandmiseks vajalikud sõnad on eesti keeles juba eelnevalt olemas!).

Originaalirünne on see, kui ostad Amazoni aia turult triibulise jänese (originaali) ning siis lähed Ketsemani aiast otsima tema peegeltriipudes kaksikut. Teooria nii koledat juhust päriselt ei välista, ent väidetavalt Fortuuna 110 000 dollari eest veel (kaksikut) kätte ei anna.

Ning lõpuks, kui õnnestub SHA-1 õigeaegselt välja vahetada, näiteks SHA-256 vastu (ja hiljem järjest järgmise räsialgoritmi vastu), siis kestab e-riik igavesti edasi tükkis oma rõõmudega. Ainuke lahendamist väärt mure on kõigi triibuliste jäneste igakordne ületembeldamine enne järjekordse originaaliründe leiutamist.

Tänase teadmise kohaselt saab TeRa nimeline üleallkirjastamislahendus (vt 2016-04-20 arhitektuurinõukogu, slaidid 22, 23) RIAs valmis juba kuu või kahe pärast ning loodetavasti ei valmi SHA-1 originaalirünne enne seda. Ah jah, nagu iga programmiga, riik siiski kasutaja arvutis peremehetsema ei hakka, ikka kasutajal endal tuleb kõik oma USB-pulgad ja välised kõvakettad arvutile külge võtta ning seejärel ületembeldi käima käsutada. Hetkel võiks mõelda sedasi, et hiljemalt aasta 2018 lõpuks tuleks oma vanade *.ddoc failide ümbertembeldus ära sooritada.

TeRa protsessi voog arhitektuurinõukogu slaidilt

Asjadest, mis kohe täna kokku kukuvad

Siiski kaks teemat, kus pirrud põlevad Google’i uudise valguses heleda leegiga ning kus SHA-1 tapmisega tuleb tegeleda KOHE ja viivitamatult.

  1. umbes 10 000 m-ID SIM-kaarti, mille sertifikaadid juba kutsutigi PPA otsusega tagasi. Teade ise näeb välja selline ja mulle koju saabus juba ka ümbrik uue SIM-kaardiga:

Allikas: kuvatõmmis

2. ja siis need mahajäänud ITga küülikuaretuskontorid, mis jätkuvalt toodavad muldvanu *.ddoc faile. DDOC mäletatavasti kasutas SHA-1 räsialgoritmi ja üksnes seda. Üks räpane saladus on veel – nimelt ka *.bdoc allkirjavormingu kõige esmasem versioon kasutas SHA-1 algoritmi. Mis paraku tähendab, et pelgalt BDOC nimetus audiitori eest ei päästa, ikka tuleb versiooninumbrit ka kaeda.

Kui oleks minu ainuisikuline otsus, siis mina (juba mainitud) 1. aprillist 2017 enam selliseid DDOC-faile vastu ei võtaks, millel täiendavat ajatemplit küljes pole. Kõige kindlam oleks täna ikkagi juba ASiC-E (a.k.a. BDOC-TS vorming) suunas vaadata, see on hetkel kõige pikema elueaga ning täiesti eurokõlbulik allkirjavorming.

Moraal: kallid infosüsteemiomanikud, lugege ülaltpoolt, et/miks lihtkollisiooni tekitada on oluliselt lihtsam kui originaalirünnakut! Kui te ei soovi häkkereid oma süsteemi küülikuid paaritama, siis palun visake DDOC oma infosüsteemist ülikiiresti välja, tegelikult pidite te seda ju tegema juba aasta eest!.

Tembeldamisest

Siinkohal kiirkursus tembeldamisest ja sertifikaadiahelatest. (Muide, sertifikaadipuu hargneb ülalt alla nagu parsil rippuv potilill.)

Kõige tipus on juursertifikaat. Tema puhul pole vahet, kust ta saadi või mis algoritmiga ta ära räsiti, sest juur lihtsalt leiutatakse ja publitseeritakse. Ja kõik teavad, et see on juur. Nii lihtne ongi. Juurelt mingit tõupuhtust ei nõuta – võib täitsa olla SHA-1 kasutusel – peaasi, et mingi kindel ankur oleks, kuhu alla usaldusteenust sedasi aretada.

Juurikale allub vahesertifikaat, mille puhul räsiprotokolli valik on juba vägagi tähtis. Meenutame – originaalirünnet on oluliselt keerulisem teostada kui kollisioonrünnet.

Vahesertifikaadist rääkides, Eestis tembeldati isikusertifikaate pikka aega asjandusega, mil nimeks ESTEID-SK 2011. Ja sinna juurde käis lahutamatu osana SHA-1 abil räsimine. Alles aasta 2015 lõpus tekitati uus asjandus nimega ESTEID-SK 2015, mille puhul räsimine hakkas toimuma SHA-256 abil (ning kasutusele võeti see veelgi hiljem).

Äraseletatult: kui inimestele väljastatavat kola tembeldataks endiselt SHA-1 abil, siis tänase teadmisega saaksid templile ligipääsevad isikud küülikuid sobitada (hinnaklass 110 000 dollarit). Ent kuivõrd Eestis isikusertifikaate juba mõnda aega väljastatakse SHA-256 abil, siis küülikurünne templi asupaigas enam läbi ei lähe. Ja originaalirünne SHA-1-le pole, nagu krüptograafid seda eufemistlikult väljenduvad, täna veel praktiline. Teisisõnu – võimalikul oponendil ei jätku arvutusvõimsuse ostmiseks pappi, mistõttu lambist uusi isikusertifikaate kloonida ei saa (eraldi küsimuse – kui saaks, siis kuidas need ID-kaardi sisse satuksid? – jätame lugejale vastamiseks).

Sestap, kui soovime, et meie isikusertifikaadid oleksid kristallpuhtad ehk pärineksid täiesti patuvabast ahelast (keel ei keerdu ütlema: rassipuhtast), siis sääraseid sertifikaate hakati tõepoolest väljastama alles 2015 teises pooles (need õnnelikud 300 000 sertifikaati, kel pole ei patust esivanemat ega „negatiivset“ moodulit).

Koletu mass isikusertifikaate vahemikus 2011–2015 (600 000) aga omab tänases uustõlgenduses “kahtlast” SHA-1 esivanemat. Puristliku esteetika huvides võiks säärastest sertifikaatidest lõpuks lahti saada. Ja isegi kui neist päris lahti ei saa, siis ei ID-kaardi tarkvaraga ega DigiDoc portaalis ei õnnestu DDOC-vormingus (ning seetõttu) SHA-1 räsitud allkirju anda juba ammu.

Seega, järelejäänud ohtudest kõige koledam ongi, kui allkirjastatavat dokumenti ennast SHA-1 abil räsitaks. Siis saaks küülikuid sobitada igaüks omaenda kodus omaenda koduarvutiga. Igalt poolt mujalt on see sõjakoledus tänaseks välja viidud, v.a eespool mainitud *.ddoc faile tootvad pärandsüsteemid.

Kauguuendamisest

Olukord, kus pool käigusolevast dokumendimassist vajaks uuendamist, võtaks käpuli iga riigi, v.a muidugi Eesti, kuivõrd meil siin on olemas mehhanism ID-kaardi sertifikaatide kauguuendamiseks. Uutmisest endast on varem korduvalt juttu olnud. 1,29-miljonilisest kaardimassist on kauguuendatavaid kaarte kokku 900 000 (loe: 390 000 kaarti pole kauguuendatavad niikuinii). Asjal on siiski juures ka pisike konks, omakorda 600 000 kaarti saab kauguuendada üksnes juhul, kui uuendada enne 1. juulit 2017.

Kust tuleb ajapiirang?

Ühest küljest, kui isikusertifikaadil on ahelas sees mõni “ebapuhas” esivanem”, siis oleks omanikul kaval see sertifikaat vahetada (et sirvikutootjatele mitte hambusse jääda). Põhjusi, miks sertifikaate uuendada ja IT-maailma vägevaid seapraega mitte ärritada, on tegelikult rohkemgi, sealhulgas kurikuulus “negatiivne moodul”. Täpset kuupäeva, millal IT-maailma vägevad sirvikutes “kahtlasi” sertifikaate kimbutama kavatsevad hakata, ei oska keegi ette ennustada.

Teisalt, usaldusteenuste eurostandardid lähevad järjest karmimaks. Euroopa keeras hiljuti kõvemaks nõudeid selles osas, mida kõike peab üks koššer sertifikaat sisaldama. Kaarditooriku ühele teatud mudelile aastast 2011, mida me siin Eestis massiliselt kasutame, ei mahu viimastele euronõuetele vastav sertifikaat lihtsalt enam ära. Kuupäev, millest alates EL hakkab liikmesriiki peksma, on 1. juuli 2017. Sealt alates tohime väljastada vaid sertifikaate, mis oleksid koššer ja halal ühekorraga.

Mis juhtub, kui need 600 000 kaardiomanikku kohe uuendama ei tõtta? Kohe täna ei juhtugi midagi. Ometigi on tegutsemiseks jäänud vaid neli kuud. Kell kukub 1. juuliks 2017. Kui kauguuendamise väärtuslik mõte peaks pähe torkama pärast seda kuupäeva, siis tuleb juba teeninduspunkti minna ja sealt üldse uus kaart saada, mis tähendab aja- ning rahakulu.

Tänaseks on ID-kaarte kauguuendatud pisut üle 100 000. Arvutame uutmistempo: Üksteist kuud ja sada tuhat …  ehk siis senine uutmismaht on olnud keskmiselt 300 kaarti päevas.

Eelpool mainisime toredat numbrit 600 000. Et 1. juuliks valmis jõuda, peaks uuendamistempo olema 5000 kaarti päevas. Mis tähendab uuendamistempo 16-kordset tõusu.

Mis saab neist 300 000 kaardist, mis jäävad kauguuendusvõimelise 900 000 ja euroaeguva 600 000 vahele? Neid saab (vajaduse tekkides) kauguuendada ka pärast 1. juulit – tegemist on uuema toorikumudeliga, kuhu kõik euronõuded kenasti peale ära mahuvad.

Mis juhtub sertifikaatidega, mis jäeti 1. juuliks uuendamata? Mainitud 600 000 kaarti töötavad kenasti edasi – kuniks sertifikaadi kuupäev täis tiksub või kuniks sirvikutootjad kasutajaid ahistama asuvad (st kui ikka on põhjust ahistada). Kõige suurem risk ongi see, et Google, Microsoft või keegi IT-maailma suurtegijatest läheb purismiga liiale ning keelab oma sirvikutes mitte üksnes otseselt SHA-1 pruukinud sertifikaadid, vaid takistab ka olulisemalt suuremat hulka sertifikaate – selliseid,  mille vanemate hulgas esineb ebatõupuhtust (ehk SHA-1 vahesertifikaat).

Kuna Eesti olukord on unikaalne, meil on iga tädi Maali käsutusse antud rohkem isikusertifikaate, kui mistahes teises riigis, kus paanika käib põhiliselt serverisertifikaatide ümber, siis pole võimalik ennustada, missuguse meetodiga suured tootjad kavatsevad SHA-1 välja rookida. Kuniks rookimisele lähevad vaid serverisertifikaadid, siis meil siin ohtu pole.

Kuid kui IT-maailma vägevatel peaks X-kuupäeval tekkima kiusatus kogu SHA-1 tugi tervikuna sirvikust välja visata, siis satub sekundipealt hätta tänane kuuesajatuhandeline kogus ID-kaarte. Sest kui sirvikust SHA-1 tugi puudu, siis pole enam tehniliselt võimalik tollase EstEID-2011 vahesertifikaadi õigsust kontrollida. Tõenäosus, et see lollus ära tehakse on väike, kuid välistada seda paraku ei saa.

Kala jälg vees

Anto Veldre, analüütik

Allikas: http://www.rarewallpapers.com/

Isikuandmete kaitse seadus lähtub seisukohast, et oma isikuandmete omanikuks on isik ise. Isikuandmetel on otsene puude isiku privaatsusega ning digiühiskonnas leidub ühtlasi ka hulk viise andmete kuritarvitamiseks. Mistõttu hea omanik ikka kontrollib aeg-ajalt üle, kuidas on tema isiku­andmetega ringi käidud – kes täpselt on andmeid vaadanud, mis otstarbel, kui sageli, mis põhjusel või kas need andmed riiklikes registrites on üldse õiged.

Eestis loovad X-tee ja ID-kaart üheskoos sääraseks kontrolliks tehnilise võimaluse. Puhuti levib rahvusvaheline müüt, justkui oleks meil andmekasutuse kontroll totaalne, võimalik Eesti kõigis riiklikes registrites. Tegelikult on seda omadust pakkuvate andmekogude nimekiri täna veel üpris lühike:

  1. Rahvastikuregister – riigiportaalis eesti.ee sisestame otsinguauku “isikuandmete kasutamine,” valime “Isikuandmete kasutamine Rahvastikuregistris” või liigume otse päringulingile. Sellelt aadressilt paistab andmekasutus notarite, terviseportaali, riigiportaali jms poolt. Isegi Tallinna ühistranspordi piletirobot on käinud mu elukohaandmeid küsimas –arvatagi!
  2. Isikut tõendavate dokumentide register – tegu pole küll otseselt teenusega stiilis “vaadata neid, kes vaatavad mind”, kuid vähemasti saab värskendada oma mälu dokumentide kehtivuse ja passipiltide osas (ikkagi täpsed isikuandmed või sedasi). Ja siis on veel üks pisut laiema skoobiga teenus, kust näeb, milline institutsioon on Sinu kohta pärinud andmeid politsei- ja piirivalveameti kodakondsus- ja migratsioonivaldkonna andmekogudest. Leidsin sealt oma isikuandmete vaatamisi vahemikus 2007–2017.
  3. Karistusregister; sealtkaudu e-toimikusse. Saab vaadata omi karistusi, kui neid juhtub olema. Näha on ka iseenda poolt just tehtud päring, usutavasti paistaks välja ka naabrimehe või tulevase tööandja tellitud 4 eurot maksev päring.
  4. Digilugu. Saab vaadata arsti juures käimisi (selgitus: arst oma arvutis ei saa kodaniku andmetele muidu ligi, kui peab olema külastusjuhtum). Minu hiljutine käik töötervishoiuarsti juurde oli kenasti näha koos arsti nime, nägemiskontrolli ja muu säärasega.
  5. Digiretsept. Ehk teisisõnu – ei pea apteeki minema, et näha, kas perearst on retsepti välja kirjutanud. NB! Olenevalt tõve iseloomust võib tegu olla erakordselt delikaatse isikuandmega. Lisainfo nägemiseks klikime retsepti numbril. Näha on näiteks ravimi väljastanud apteekri nimi ja litsentsinumber, arsti omadest rääkimata. Kirss tordil asub all paremal nurgas – kerime lõppu ja vajutame menüüpunktile “Kes on retsepti vaadanud”. Proviisoritädi isikukood igatahes paistis.
  6. SK toimingulogi – teisisõnu: ID-kaardi vms eID vahendiga toimepandud toimingute soorituslogi kuupäeva ja kellaaja kaupa (selgituseks: naljakad IP-aadressid selles logis on kesksed teenuseportaalid).

X-tee logo

Meie poliitikud ja müügimehed pole oma edukõnedes olnud ülemäära täpsed… vahel on kogemata või nimme jäetud mulje, justnagu oma andmekasutuse järelekaemine oleks mingi Eesti andmekogude või X-tee üleüldine omadus … Ent jah – miks pole? Võiks ju olla!?

Andmejälgija

Eelmisel kevadel hakkas Riigi Infosüsteemi Ameti juures koos käima ekspertgrupp. Arutati, kuidas tagada kodanikule kontroll oma isikuandmete kasutamise üle. Ekspertgrupp pakkus välja lahenduse, et kui kui funktsionaalsus asuks X-tee mõne ehituskivi (näiteks turvaserveri) küljes, siis uue andmekogu ehitamisel tekiks kodanikule kontrolli võimalus peaaegu iseenesest.

Mõeldud, tehtud. Tegelikult toimus kenake hulk kohtumisi, kus pakuti välja hulk erinevaid lahendusi… avalikkus näeb neist seda, mis lõpuks peale hoolikat kaalumist ja turvaanalüüsi pinnale jäi:

Allikas: https://github.com/e-gov/AJ/blob/master/doc/spetsifikatsioonid/Tehniline_kontseptsioon.md

Diagrammi autor: Andres Kütt

Kuidas toimub andmepäring? Sooritatava infopäringu algataja istub Asutuses B (olgu näiteks Politseiametis) ning kasutab selle asutuse infosüsteemi. Muide, patrullpolitseinik kasutab oma Ameti infosüsteemi ka autos – selleks on tal ID-kaart kenasti kaasas. Päring aga esitatakse vastu Asutust A – olgu see meie näites Rahvastikuregister.

Kahe turvaserveri vahendusel, läbi Eraldusfiltri, jõuabki päring Rahvastikuregistrisse (ehk siis Infosüsteemi A). Eraldusfilter tagab, et Andmesalvestajasse satuvad vaid päringu põhifaktid (kes, millal, kelle kohta), mitte aga päringu üleliigsed detailid ega ammugi mitte andmekogust saadav vastus.

Andmesalvestajal on kaks otstarvet. Esiteks, päringuinfo salvestamine asutuses, kust andmeid küsitakse. Teiseks aga, kui hiljem Andmesubjekt ise (näiteks riigiportaalist eesti.ee) soovib teada, kes tema isikuandmeid pruukis, siis just Andmesalvestaja oskab anda vastuse. Seadistuste moodulis saab muuhulgas ära määrata näiteks ajalise kestuse, kui kaua kasutusandmeid alles hoitakse.

Võib juhtuda, et keegi ei taha/saa oma andmekasutuse uurimiseks ID-kaardiga sisse logida. Siis võib ta vastavale asutusele tigupostiga saata käsikirjaliku küsimuse. Sestap võiks igas suuremas asutuses leiduda üks kodanike kaebustele vastav isik, kes pääseks kodaniku jalajäljele ligi … ning otse loomulikult jääb jälg järele ka tema andme­vaatamistest. Sel otstarbel kuulub lahendusse (vt joonis) Sisekontrollija Rakendus, mis samuti saab oma päringutele vastused moodulilt Andmesalvestaja. Sel moel on tagatud, et käsikirjalikud päringud saavad vastuse.

Uuendust võib ette kujutada kui hajutatud andmekogu kõigist sooritatud andme­päringutest. Andmekogu paikneb hajutatult, iga logijupp samas asutuses, kust isikuga seotud andmeid küsiti. Siis ei pea looma keskset superandmebaasi ning ka kasutusinfo jääb asutusse, kus see niikunii on olemas, kuid lisandub kodanikuvaade.

Täiendus X-tee juurde sisaldab ka andmekasutust logivat moodulit. Süsteemilogi oli olemas ka varem, kuid nüüd kogutakse andmekasutuse andmeid suisa kodaniku enda kui andmete omaniku tarbeks. Sundust andmekogupidajatele vähemalt alguses ei tule – kui nad soovivad, võivad nad sama funktsionaalsuse valmis teha ka mõnel muul moel ega pea ilmtingimata kasutama ette valmistehtud standardtükikesi.

Ka pole praeguseks lõplikult ära otsustatud, kuidas kodanik oma digijalajäljele ligi hakkab pääsema. Mõned jalajäljeteenused just said mugava suunamise riigiportaali eesti.ee kaudu. Arendus aga hakkab toimuma avalikult ja moodsas stiilis – GitHubi vahendusel.

Tegemist on millegi väga põhimõttelisega kogu maailma mõõtmes – Eesti e-riik saab oma kodanikele pakkuda e-teenust, millel on demokraatia seisukohast väga oluline väärtus ning mida enamike riikide IT-selgroog üldse ei võimaldagi. Olen ühe Euroopa riigi parlamendiliikmelt kuulnud, et kui tema kodulinna arhiivist paluda naabrimehe kohta tõendit, siis väljastatakse see paberile trükituna ning mitte kusagile ei jää vähimatki märget, kas küsija üldse kunagi on päringu esitanud või vastuse saanud.

Kokkuvõtteks

Projekti nimi: Andmejälgija.

Kirjeldus: Tehniline universaallahendus võimaldamaks kodanikupoolset seiret oma isikuandmete kasutuse üle riigi X-teel (mistahes andmekogu puhul).

Millal tuleb: On juba kohal, realiseeritud X-tee version 6 standardmoodulina. Iga üksik andmekogu muutub andmejälgitavaks siiski alles pärast seda, kui vastav andmekogu on X-tee uuele versioonile üle viidud (ver 6 vs ver 5).

Kuidas ma oma jalajäljele ligi saan: Enamike teenuste puhul ju ikka läbi riigiportaali eesti.ee.

Andmejälgija tehniline lahendus on valminud Euroopa Regionaalarengu Fondi rahastusel.