Monthly Archives: November 2016

Valimised võitsid robotid

sirbi-pilt

Riigi Infosüsteemi Ameti analüütik Anto Veldre kirjutas 25.11.2016 Sirbis nukujuhtide mõjust Ameerika presidendivalimistele.

Kognitiivne dissonants loob tüdinute ja solvunute seltskonna, keda ei seo ühiskondliku lepinguga enam miski ja kelle edasised sammud pole ennustatavad.

USA presidendivalimiste järel tabas inimeste maailmataju kognitiivne dissonants: maailmamudeli ja õues kobrutava tegelikkuse vahel haigutas lõhe. Segaduses olid nii arvamusliidrid kui ka lihtkodanikud meil ja mujal, kusjuures osa neist pole oma stabiilset seisundit veel tagasi saanudki. Viimased paarsada aastat on demokraatia osas hardalt kopeeritud kõike USAs saavutatut. Ühtäkki saadi šokk – ilmsesti on see murdekoht, kust vanade arusaamadega enam edasi minna ei saa.

Valimistoiminguid on seni peetud pühaks ja puutumatuks demokraatlikuks protseduuriks, mis asub justkui väljaspool kriitikat. Ka valija autonoomsus ning tema võime teha informeeritud otsuseid on demokraatia puhul olnud väljaspool kahtlust. Me võime kahelda õlle hinnas, palga vähendamine toob kaasa depressiooni, jala peale astumine viha, ent hääletustoiming sooritatakse väidetavalt alati kaine peaga ning pärast tunde kestnud intellektuaalset kaalumist. Tean siiski vanainimest, kes valis Savisaare lihtsal põhjusel – 500 krooni pensionilisa Tallinnalt. Tegemist oli auvõlaga, mille korralik vanainimene loomulikult ka tasus.

Miks valimised on demokraatiale halvad?

Guardianis 29. juunil ilmunud artiklis „Miks on valimised demokraatiale kahjulikud?“ on osutatud valimiste hämmastavale sarnasusele pesupulbri reklaamimisega. Mõlemal juhul on paigas eelarve, meetodid ning spektaakli täideviimise eest vastutav meeskond, tegu on robustse tehnoloogiaga, mille väljund – vähe sellest, et see on ennustatav – on piisava rahasumma korral ka saavutatav. No ei, kes siis laseb end sedasi surnuks rääkida?! Aga pesupulbrit ju ikka ostame, todasama, mille reklaam telekas jookseb? Kui keegi ikka veel kahtleb kvaliteetse ajupesu toimivuses, siis tasub tutvuda Euroopa Parlamendi värske resolutsiooni ettepanekuga, kus on sõna(sta)tud ära Vene propaganda kurjus ja välja pakutud tõhusad vastumeetmed. Nassim Taleb on kirjutanud, et võitluses ja vaidluses ei võida mitte viisakaim ja ausaim, vaid ikka kõige ebatolerantsem.

Tehnosajandil on valimiste võltsimiseks palju peenemaid tehnoloogiaid kui kättpidi hääletuskastis või sala-shell’i pidi valimiskomisjoni keskarvutis ringi sobrada. Infoga manipuleerimiseks on ühisvõrkudes arutu hulk võimalusi, alustades teerulliga lükkamisest ja lõpetades kavalate деза-kampaaniatega. Kui kõik tuttavad laigivad sama kiisupilti, siis kasvab sotsiaalne surve, et ise ka nii teeksid. Inimest pole kuigi keeruline ära petta või lollitada. Meenutame mõjutamise klassikat, Edward Bernaysi teost „Propaganda“ (1928), Niko Tinbergeni ja Deirdre Barreti ülistiimuleid, võltsmälestuste tekitamise tehnoloogiat ning kõiksugu veenmiskunste.

Aastal 1957 sõnastas Leon Festinger ühe olulise tagasisidemehhanismi. Nimelt oleneb veenmise intensiivsusest, kas sihtmärk võtab veenmise rahulikult vastu (see juhtub siis, kui tema enda väärtushinnangud uusväitest väga palju ei erine), või leiab aset kognitiivne dissonants (kui lõhe väärtushinnangutes on märgatav): inimene tajub õudusega manipuleerimist ega lase end üldse milleski veenda. Brian Cugelman on käsitlenud ühes presentatsioonis conversion rate’i ehk veenmise edukuse määra.

Kunstmuru termini (astroturfing) müntis aastal 1985 Texase senaator Lloyd Bentson, et eristada korporatsioonide kinni makstud algatusi tõelistest rohujuuretasandi ettevõtmistest. Demokraatlikus ühiskonnas saab rahvahulgaga liputamise abil teatavasti suisa seadusi muuta, järelikult taandub kõik tehnoloogiale, kuidas (ja mis hinnaga) panna lambakari üht jalga käima. Seni suurimaks kunstmuruürituseks on hinnatud aastal 2008 Hiina poolt käima lükatud 280 000 pseudodissidenti, teise nimega Poole Jüaani Partei, kelle lojaalsete karjatuste vahele tegelike dissidentide hääl sumbuski. Toimib! Ka kurikuulus Peterburi trollivabrik töötab kunstmurunduse jõul, ent arvutite ajastul saab kunstmurunduse ka automatiseerida.

Nukujuhtimise süsteemid

Twitterboti (suhtlusroboti) ehitamiseks tuleb mõnekümne euro eest osta Raspberry Pi karbike ja paigaldada sinna vastav olmetarkvara. Profid võivad pruukida vabavaralist lahendust BirdWatcher, et seirata korraga tuhandeid kasutajaid. Twitterboti ehitamine ongi nii lihtne ja aastal 2013 hinnati bot’ide arvuks Twitteris 13 miljonit ja aastal 2014 juba 23 miljonit ehk 8,5% kasutajaskonnast. Kui sama tendents pädeb praegugi, siis moodustavad kümnendiku Twitterist tont teab kelle juhitud meemiputukad. Juba on saadaval ka vastumeetmed, mis leiab näiteks kirjutisest „10 juhist Twitteri varikonto tuvastamiseks“.

Facebooki kaudu kunstmurundamine tundub keerulisem: sõpruskonna ja ajaloota tegelane paistaks kohe silma, kuid 1,7miljardine sihtgrupp on küünlaid väärt mäng ning müügirobotid juba tegutsevad. On osutatud digiökosüsteemi muudelegi pisipuudustele, näiteks Google’i käes on võim valimisperioodil otsitulemusi mõjutada. Ent isegi traditsiooniliste valimiste puhul kasutatakse tänapäeval arvuteid, kui mitte muuks, siis tulemuste kokkulugemiseks. Aastal 2014 häkiti Ukrainas sisse keskvalimiskomisjoni ning vahetati ära numbrid presidendivalimiste failis. Asi korraldati sedasi, et diktor loeks televisioonis „tulemused“ ka kohe ette. Kas panite tähele: valimisi ei võltsitud, polnud ei e- ega i-valimisi, mida võltsida, aga keskvalimiskomisjoni arvutisse krati sokutamisega saavutati kõlapind ikkagi.

Sotsiaalvõrgu-eelsel ajastul oli inimese n-ö programmeerimine sama lihtne, ent see töömahukas tegevus ei eskaleerunud kuigivõrd. Tänapäeval on paraku olemas ka täpselt mõõdetav tagasiside. Tung end teistega võrrelda ja suhestada ajab indiviidi sotsvõrku, too paik on aga Mark Andrejevici digitaalse aediku kontsepti kohaselt varustatud täpsete mõõdikutega. Igast kohaleloivanud indiviidist jääb konkreetne jälg ning, mis veel hullem, ka igast tema psühholoogilisest reaktsioonist. Mõjutuspindu, -koefitsiente ja edutegureid saab nüüd reaalajas mõõta ning ebaedu korral stiimuleid kohemaid varieerida. Sotsvõrgu andmestik on sageli avalik ning põhineb reaalsete inimeste reaalsetel psühholoogilistel reaktsioonidel, mis võimaldab mõjutusroboti täpselt kalibreerida.

Nukujuhtimissüsteemide tormiline areng jääb tegelikult juba aastatesse 2010–2012, kui Vene välisluure koosseisu kuuluv sõjaväeosa nr 54939 tellis salajase riigihankega kolm süsteemi: need olid ühisvõrgustikes luuramiseks mõeldud Disput, hangitu analüüsimiseks Monitor-3 ning sotsiaalvõrku valeinfo paiskamiseks mõeldud Štorm-12. USA nukuhalduse (persona management) riigihanke võitis firma NTrepid aastal 2011. Demokraatlikule riigile kohaselt lubati igal nukujuhil kantseldada vaid 10 persona’t ning süsteemi tohtis pruukida vaid USA piirest väljas, nt ekstremismiga võitlemiseks araabia, urdu ja farsi keeles. Reaalses internetis on riigipiire tõmmata keerulisem, ka muudeti USAs aastal 2013 NDAA-nimelise seadusega ära 1948. aastast kehtinud keeld kodumaal propagandat teha.

Nüüdseks on nukujuhtimissüsteemid küpsed ja täiesti salongikõlbulikud, ühtlasi tundub, et ka kuluefektiivsed ja hästi varjatud. Filipiini presidendi paigaldamist Twitteri vahendite toel märtsikuus ei soovinud üldsus märgata, seega saabus šokk alles nüüd, kui rünnati pühamast pühamat – USA presidendivalimisi.

Hübriidsõda

Kindlasti oli tegemist hübriidsõjaga, kus psühholoogilisi, meemilisi ja küberrelvi tarvitati risti-rästi. Alustuseks murti sisse demokraatide ülinirusti turvatud meiliserverisse, siis valimiskioskeid valmistavasse firmasse. Kandidaatide esimese televäitluse järel tekkis Twitterisse võtmesõna „#TrumpWon“, mille juured viisid otseteed Peterburi trollivabrikusse.

Lõpuks, kaheksa päeva enne valimisi, helistasid USA ametiisikud Kremlisse ja palusid venelastel häkkimise lõpetada. Küsimusele, kas valimiste võitjal on ehk otsesuhted mõne Vene trollivabrikuga, ei oska netitehnik paraku vastata.

Häbijärgne maailm

Aasta 2016 tunnussõnaks on saanud „tõejärgne“ (post-truth). Koletu mõte: kas nüüd ongi nii, et mõned nukujuhid suudavad ühisvõrgustikke pidi analüüsida ning väikeste muudatuste najal juhtida iga inimese väärtushinnanguid? Kas meil ongi kujunemas avalikult häkitav maailm, kus iga indiviid allutatakse digianalüüsile, et seejärel tema väärtushinnangud sobivamaks lihvida? Kui nii, siis on vaja ju veel üht terminit: häbijärgne maailm on säärane, kus saladused, mõjutamistehnoloogiad ning whataboutism kasvab kõrgele üle lihtkodaniku pea. Inimestele kindlasti meeldib populistlik selgitus, et vale eriomadused tagavad talle internetis müütilise võimenduse ning et võltsmeeme levitavad isikud saab mõne eritunnuse järgi välja selgitada. Firma Cambridge Research aga väidab, et neil on andmelaos 4000 andmepunkti iga 230 miljoni USA täiskasvanu kohta. Äkki saavutab võimenduse hoopis see vale, mille eest nukujuhile parasjagu maksti? Ehk saab ka nakkuse kandjad valida vastavalt mahamüüdavale kaubale?

Mis tegelikult juhtus? Ei enamat, kui et taas sai üks tehnoloogia küpseks ning pääses relvalaborist kommertskasutusse. Tehnoloogilisi mõjutamisnippe harrastas ühisvõrgustikes mitu jõudu korraga, mistõttu veenmiseks kasutatud kanalid ja võtted astusid omavahel ristkorrutisse, kasutegurit kohati võimendades, kohati mõjutatavaid ärritades. Ent kognitiivne dissonants maailmavaatega astendatult loob tüdinute ja solvunute seltskonna, keda ei seo ühiskondliku lepinguga enam miski, kelle edasised sammud pole ennustatavad isegi süsteemi Disput abil … hmm, või siiski on? Usalduse kadumine ühiskonnas võib osutuda palju hullemaks, kui seda on kaua kardetud robotite mäss.

Nii et 2017. aasta KOVi valimiste tulemusi ei mõjuta mitte niivõrd internetihääletuse olemasolu või puudumine*, vaid meemide [Google: „ocaa accreditation covert“] kontrollimatu levik.

* Ühiskonnas napib arusaamist, mille poolest ikkagi erineb e-valimine i-valimisest. Mõlemal juhul tarvitatakse arvuteid, kuid võtmeküsimus on, kas riigil on kasutada mingi süsteem, et kodanik (valija) distantsilt kindlalt ja turvaliselt tuvastada. Eestil on see olemas ID-kaardi ökosüsteemi näol. Kui internetihääletust ameeriklastele selgitada, siis pole asi ei kaardis ega kiibis (neid võib väljastada iga vorstipood), vaid muus:

1) kogu kari on nummerdatud, kedagi ei saa samanimelisega segi ajada;

2) isikule on kaardi peale väljastatud krüptograafiliselt kange tõend, mis haakub teiste omataolistega ühtses PKI (public key infrastructure ’avaliku võtme taristu’) süsteemis;

3) elanikkond suudab kasutada internetti, arvuteid ja identiteedikandjaid.

Eestis on ID-kaardi lahendusi uurimas käinud mitu laialipillutatud diasporaaga rahvast. Internetihääletus sobiks neile suurepäraselt, kuid paraku on neil sooritamata eelsammud: rahvas on loendamata ja arvuti selgeks õpetamata.

Alguses oli meil Eestis e-hääletus ja nii pandi see sõna ka seadustesse. Kui välismaalased ei suutnud kuidagi aru saada PKIst ja isikukoodist, hakkasime eristama i-valimisi e-valimistest. I-valimised saavad turvaliselt üle interneti toimuda üksnes eeldusel, et rahvas on loetud ja avaliku võtme taristu toimib. E-hääletus seevastu tähendab suvalist kioski- või kasiinotüüpi värki, kus inimene saab valimiskomisjoni ruumides aparaadil vänta keerata ja nuppe litsuda ning lõpuks (ehk) väljastatakse kusagile (pilve, kettale, mälukaardile) ka tulemus. Olen väga päri kõigi kioskivalimise vastastega –toda süsteemi on ilmvõimatu turvaliseks teha. Vahetult enne USA valimisi murti taas sisse Sequoia tüüpi valimismasinasse. Tehtagu asju Eesti moodi ja sääraseid probleeme ei teki.

Elektroonilise demokraatia ragin

Riigi Infosüsteemi Ameti peadirektor Taimar Peterkop kirjutas 19. novembri Postimehe lisas ARVAMUS/KULTUUR võimalustest valimisi ja hääletamist mõjutatada.

peterkop

USAs äsja lõppenud presidendivalimised tõstatasid taas küsimuse – kas ja kuidas on valimised “häkitavad”. Kuidas on võimalik valimisi instrumenteerida (ingl rigging) ja tulemusi ebaseaduslikult muuta, kallutada või modifitseerida?

Demokraatlikus ühiskonnas mõjutab antava mandaadi legitiimsust ka valimiste protsessi usaldusväärsus, sh tehniline, sisuline ning ka näiline usaldusväärsus. Seda viimast on lihtne hävitada, kuid raske taastada.

Ausad valimised on demokraatliku ühiskonnakorra olulisim, kanoniseeritud element – leides sellisena kajastust näiteks 1948. aastal vastu võetud ÜRO inimõiguste deklaratsioonis.

Tehnoloogia areng on oluliselt muutnud nii demokraatiat kui valimiste toimumise keskkonda. Isegi riikides, kus pole Interneti-põhiseid valimisi, sõltub valimisprotsess üha rohkem infosüsteemidest: valijate registrid, elektroonilised hääletamismasinad, häälte kokkulugemise meetodid ning häälte talletamise ja edastamise vahendid.

Suur osa inimkonnast on globaalse suhtlusvõrgustiku liikmed ja edastuv infotulv muudab tõe, pooltõe, pisut-tõe jms eristamise väärast ja vaenulikust teabest ilmakodanikele aeganõudvaks ja raskeks. Samal ajal kuulutatakse, et absoluutset tõde polegi, kõik sõltuvat vaatenurgast.

Nii tekkiv memeetiline relv on tihedalt seotud whataboutism‘iks nimetatava nähtusega, kus sotsiaal- ja muu meedia küllastatakse alternatiivsete seisukohtadega – näe, nemad tegid ka!. Näiteks võib tuua MH-17 allatulistamise libastsenaariumid või USA presidendivalimiste lekkeskandaalid. Seeläbi saavutatakse olukord, kus sootsiumi liikmed ei suuda enam valida, keda või mida uskuda. Inimene jätab selles olukorras mõtlemise ning valib mõne endale sobiva tõe. Näiteks NTV, RT, Daeshi või mõne populistliku presidendikandidaadi tõe.

Sellise tegevuse eesmärk on õõnestada demokraatlikku ühiskonnakorda, hävitada õhtumaa kodanike usaldus oma riigi vastu. Euroopas on usalduse lõhkumine edukalt toiminud mitu aastat, ameeriklasi tabas see nüüd pisut ootamatult.

Eesti riigi taastamine on meil värskelt meeles, sealt ka meie e-ühiskonna üks alustingimusi – kodanikkonna usaldus riigi suhtes. Me tajume, et riik ja selle infosüsteem on meie endi oma, hoolega tehtud ja usaldust väärt. Selline kodanike usaldus on luksus, mida enamikel riikidel reeglina pole.

Nii saab näiteks Eesti internetivalimiste vastu suunatud memeetiliste rünnete abil lõhkuda kesksete riiklike protsesside usaldusväärsust ja rahvusriigi püsimise aluseks olevat usaldust. Viimaseta pole aga meie nanoriigi ülalpidamine võimalik. Erinevalt suurematest riikidest, kus rohkem ressurssi.

Lisaks tajutavale turvalisusele, mille mainet on meilgi rünnatud, on kriitiliselt tähtis valimisi teenindava infosüsteemi tehniline turvalisus. Paradoksaalselt on reaalsete süsteemide kaitsmine lihtsam kui tajutava turvalisuse, usalduse hoidmine.

Tegelike nõrkuste leidmiseks peame mõistma valimisprotsessi kõiki osi, auditeerima neid nagu iga teist keerukat süsteemi ning määratlema riskid samadel alustel kui näiteks äriprotsesside riske hinnates. Sealhulgas peame tundma nii küber- kui psühholoogiliste ründevektorite olemust.

Seejuures peab mõistma, et infotehnoloogilised vahendid on kasutatavad kõigi valimisprotsessi osade ründamisel. USA seekordsetel valimistel kasutasid ühe riigi luureteenistused avaliku arvamuse mõjutamiseks ja ühiskonnakorralduse destabiliseerimiseks väga loovaid meetodeid. Ka Saksamaa on mures, et nende 2017. aasta valimisi võidakse välisriigi poolt mõjutada.

Kuigi valijate meelte ja väärtushinnangute ründamist tajutakse pigem pehme meetmena, on selle tarnevahendiks ikkagi internetis toimiv sotsiaal- ja muu meedia ent laskemoonaks elektrooniliste vahendite abil varastatud ja võltsitud teave.

Valimiste mõjutamine teiste riikide poolt pole midagi uut. Valitsused pole varemgi suutnud kiusatusele vastu seista ning demokraatlike valimiste tulemusi on sobivas suunas kallutanud. USA Luure Keskagentuur on tunnistanud sekkumist Tšiili valimistesse aastatel 1962–1974, ehk umbes ajal, mil tollane Nõukogude Liit tegeles sama riigi ühiskonnakorra muutmisega. Venemaa viimase aja tegevust Euroopa riikide poliitika mõjutamisel on ajakirjandus üsna põhjalikult kajastanud. Eesti ajaloost on teada juulis 1940 läbiviidud „valimised“.

Küberneetilised vahendid on uus relv arsenalis, mida riigid oma huvide kaitseks ja eesmärkide saavutamiseks kasutavad.

Kaks aastat tagasi sekkus Ukrainas end CyberBerkutiks nimetanud rühmitus keskvalimisvalimiskomisjoni infosüsteemi töösse. Nad häirisid valimistulemuste arvutamist, et viivitada valimistulemuste väljakuulutamist ning diskrediteerida Ukraina vabariiki. Tegemist on klassikalise näitega, kus valimiste protseduuri ei kahjustatud, kuid püüti tekitada kahtlust valimiste usaldusväärsuses.

Ka USA seekordne presidendivalimiste aasta möödus ärevalt – lekitati USA presidendikandidaadi e-kirju, meenutati vanu ja tutvustati uusi haavatavusi USA valimismasinates, rünnati osariikide valimiskomisjonide infosüsteeme ja nii edasi. USA deklareeris esmakordselt avalikult, et Venemaa eriteenistused (mitmuses) on püüdnud mõjutada USA valimiste kulgu. Sotsiaalteadlased saavad põhjalikult analüüsida Interneti rolli USA valimistulemuste mõjutamisel.

Kas võrguühiskonna liikmete meeled ongi desinformatsioonile rohkem valla kui näiteks eelmise sajandi kuuekümnendate aastate inimestel? Ei, kuid neid mõjutatakse enamatel viisidel. Oluline on määratleda, mida tähendab valimistesse sekkumine.

Mittetäielik loetelu valimistulemuste mõjutamise meetodeist

Segadus valijate nimekirjadega. Probleemid tekivad riikides, kus puudub täpne ülevaade kodanikest. Nendes riikides võib valija väisata mitut valimisjaoskonda ja hääletada igas neist. Päris mitmes riigis on elukutselisi hääletajaid sõidutatud ühest valimisjaoskonnast teise bussiga.

Segadus dokumentidega. On riike, kus mingil osal elanikest pole isikut tõendavaid dokumente. Näiteks ühest Aafrika riigist on teada juhtum, kus pärast sõrmejälgede kasutuselevõttu valijate identifitseerimisel vähenes unikaalsete valijate hulk tunduvalt. Näiteks Ameerika Ühendriikides kipuvad vaesemad inimesed eelistama demokraate, ühtlasi aga napib vaesematel ühiskonnakihtidel raha isikut tõendava dokumendi muretsemiseks. Küsimusest, kas hääletusele lubada dokumendiga või ilma, on seega saanud parteidevahelise võitluse objekt.

Siit ka juurpõhjus, miks ühe USA ülikooli õpetlased meie internetivalimisi ei salli – meie süsteemi terviklus on neile talumatu, sest Eestis, kus isikutunnistus on kohustuslik ning kõigil kodanikel on unikaalne isikukood, pole mainitud kategooria pettused lihtsalt võimalikud. Maailmas on vähe riike, kus elanikkond on arvel Eesti täpsusega. Seda täpsust peab taotlema iga riik, mis soovib korraldada valimisi meiega sarnasel moel.

Kandidaadifilter. Näiteks Eesti 1940. aasta “valimistel” kinnitati kandidaatide nimekirjad Moskvas. Ebasobivaid kandidaate süüdistati mõnes kriminaalkuriteos või sugulaste pattudes ning nad eemaldati valimistelt.

„Karussell“. Saabub bussitäis hääletajaid. Esimene inimene väljub valimiskabiinist puhta sedeliga, mis täidetakse bussis ja antakse kaasa järgmisele hääletajale, kes toob omakorda välja järgmise täitmata sedeli. Kõik selleks, et sedeli „korrektset“ täitmist kontrollida.

Võtteid, mille abil valimistulemusi suunata, on veel. Valimiskasti konstruktsioon võimaldas sisu asendada. Komisjon teadis, millal kõrvaltoas teed juua. Nõukogude ajal kasutati komisjoniliikmete mõjutamiseks vajadusel ka sotsiaalset sõltuvust.

Jõuame ohtlikuma sekkumiseni – võõrriigi rahaline toetus parteile ning hästirahastatud propaganda võivad elanikkonna eelistusi märgatavalt muuta. Varem oli välisriikidel teiste riikide kodanike meelsuse mõjutamine kulukas. Sotsiaalmeedia on selle piirangu kõrvaldanud. Eestil on oma kogemus – meemiga “Saatan valib Internetis” püüti tekitada lõhet suhtumises internetivalimistesse.

Ohud arvutite kasutamisel hääletusprotsessis

Võib eristada kaht täiesti erinevat tüüpi elektroonilisi valimisi: kioskitüüpi e-valimisi (kus inimene hääletab valimisjaoskonnas paikneva aparaadi kaudu) ning internetivalimisi ehk i-valimisi. Viimast meetodit kasutab ka Eesti.

Absoluutne enamus riikidest pole täna võimelised i-valimisi korraldama – sel lihtsal põhjusel, et neil pole oma kodanikest ülevaadet ning kodanikel pole vahendeid enda kaugtuvastamiseks. Internetivalimisteks on vaja mõlemat.

Ameerikas kasutatud kioskitüüpi valimiste põhirisk ilmutab end kahel moel. Kõigepealt, valimiskabiinis seadmega üksi jäädes on ettevalmistunud isikul võimalus riistvara rünnata. Teine risk seisneb auditeerimatuses – nii näiteks on programmeerija Clint Curtis Esindajatekojas vande all kinnitanud, et temalt telliti valimistarkvara, mis kallutab valimistulemuse soovitud poolele. Pole oluline, kas hr Curtis valetab või mitte – tema väide on e-valimiste ründamiseks hästi sobiv meem. Küll aga rõhutab hr Curtise tunnistus vajadust hääletamistarkvara avalikustamiseks, mida Eesti on teinud.

Elektroonilise hääletusega kaasneb veel riske. Sõltumata sellest, kas on kasutusel kioskid või internetihääletus, vajatakse tulemuste edastamiseks ja tabuleerimiseks töötavat taristut (side, elekter). Seega peab riik kriitilise infotaristu osi rünnete eest kaitsma. Eestis on valimiste perioodil rakkes kümned IT-inimesed just selle eesmärgi nimel, et tagada valimiste turvaline ja aus toimimine.

Tavakodanik ei erista häälte lugemise süsteemi häälte näitamise süsteemist. See tähendab, et isegi kui hääled on regioonides ausalt ja vigadeta kokku loetud, põhjustab viivitus või viga teleekraanil usaldamatust valimiste vastu. Eesti vääratas aastal 2011, kui visualiseerimissüsteem mõneks tunniks tardus. Valimised peavad olema õiglased ja ausad. Lisaks aga ka õiglased ja ausad välja nägema.

Eelneva põhjal võib teha järgmised soovitused ja järeldused:

  1. Internetivalimisi ei tohiks kasutada riigid, millel puudub turvaline elektroonilise identiteedi tagamise taristu (PKI – avaliku võtme taristu), mis võimaldaks valijate kaugtuvastamist ja dokumentide digitaalset allkirjastamist.
  2. Aeg on jätta kanoniseeritud käsitlus, justkui pabervalimised saaksid olla digitaalseist valimistest turvalisemad. Eesti rahvas nägi nõukogude ajal pidevalt, kuidas seadusvälise sekkumisega hoiti poolthääletanute protsenti ülikõrgel tasemel. Pigem on turvaline just internetihääletus, kus risk koondub ühte-kahte ruumi ja väga piiritletud tehnoloogiakogumisse ning on sellisena hoomatav ja auditeeritav. Jah, e- ning i-valimistel on oma ohud, riigid peavad need läbi analüüsima ja ohud maandama.
  3. Ründeid valimiste tehnilise teostuse vastu tuleb selgelt eristada rünnakutest valimiste usaldusväärsuse vastu. Kuna infotehnoloogia on keerukas, siis sageli rünnatakse pahatahtlike meemidega just infotehnoloogial põhineva protsessi usaldusväärsust.
  4. Valimiste perioodil vajab riik kõrgendatud küberkaitsemeetmeid. Riik peab suutma kriitilist (info)taristut kaitsta.
  5. Viiendaks ja viimaseks – internetihääletus pole kivistunud süsteem, vaid seda uuendatakse pidevalt – ka vastavalt kolmandate osapoolte tähelepanekutele selle kohta, “kuidas meie valimised välja nägid”. Eesti on uuendamas internetihääletuse tehnilist teostust. Selle tulemusel saavad i-valimiste komponendid välistele osapooltele paremini mõistetavaks.

Interneti kaudu toimiv hääletamine ehk i-valimised on PKI toega ID-kaardi ning X-tee kõrval Eesti saavutus, mida jagada maailmaga.

Kuhu heidame usaldusankru?

Riigi Infosüsteemi Ameti analüütik Anto Veldre kirjutab usaldusnimekirjade aegumisest.

5_500

Allikas: http://oceanexplorer.noaa.gov/history/readings/gulf/media/5_500.jpg

Internetis leidub üks ressurss, mida tavainimene otseselt ei vaja – nimelt TLTrusted List. Küll aga vajab seda ressurssi ID-kaardi baastarkvara, eriti ja eelkõige siis DigiDoc3 klient (programm). Ehk siis – sama programm, mida kasutatakse oma arvutis digiallkirja andmiseks.

Tegelikult – DigiDoc3 klientprogramm küsib kohe käivitudes netist järele, keda ta allkirjade küsimuses üldse peaks usaldama. Teistpidi sõnastades, TL on Euroopa poolt heaks kiidetud, sertifitseeritud ja muidu toredate teenusepakkujate nimekiri (list), ilma milleta on arvutis pea võimatu digiallkirju anda või verifitseerida.

Peatselt aga seisab meil ees sündmus, kus TL vana versiooni (v30) kehtivusaeg saab ümber, mistõttu digiallkirjadega toimetavad programmid peavad endale hankima Trusted Listi uue versiooni. Kõige uuem ja praegu kehtiv TL kannab muide versiooninumbrit 32.

Mis seal salata, vahepeal õppisid kontorite itimehed usaldusankrut pisut “sättima”. Selmet kogu kontoris tarkvara ära uuendada, trikitasid nad oma ankru merre TL vana versiooni kohal. Ent nagu öeldud, detsembris saab see epohh läbi, sest TL v30 lihtsalt aegub, lõpetab kehtivuse.

Ja nüüd asub kontorisündmusi juhtima pisuke “lisamure”. Vahepeal nimelt uuendati kogu Euroopas TL vormingut. Kui Trusted List v30 avalikustati veel vanas vormingus (v4), siis praegu kehtiv TL on sõnastatud juba järgmises, v5 vormingus. Seega, iga programm, mis soovib digiallkirjadega toimetada (koduarvutis, tööarvutis, teenuseserveris), peab suutma TL v5 vormingut lugeda.

Mäletatavasti juulist ajaarvamine muutus ning pärast usaldusteenuste üleminekut eIDASele saame üle-euroopalises kontekstis vaid ülejäänud Euroopaga sama jalga käia. Trikitamisvõimalused on otsas.

Kodukasutaja

Klientide pool jookseb piir baastarkvara v 3.12.4 juurest. Teisisõnu, usaldusteenuse pakkujate nimekirja uut vormingut suudab töödelda ID-kaardi tarkvara alates versiooninumbrist 3.12.4. Kõik eelmised versioonid jäävad uue vormingu lugemisega hätta.

tarkvara-klient

Allikas: id.ee

Kodukasutajal pole vaja teha suurt muud, kui tuua aadressilt installer.id.ee endale ID-kaardi tarkvara uusim versioon ning see paigaldada. Uuendamine toimub kiiresti ning juba viie minuti pärast töötab kõik taas. Versiooninumbrid… nende teadmine kahju ei tee, kuid kaasajal saab ka ilma mõtlemata – uusim tarkvara töötab kõige paremini.

Kui kristalselt aus olla, siis võiks kasutaja veel üle vaadata, ega mõni brauseriplugin järsku sättimist ei vaja… sirvikutootjad on läinud väga täpseks ja võib juhtuda, et sirviku pluginates vajab mõni linnuke tegemist.

Ent Vista ja XP? See rong on läinud, neid operatsioonisüsteeme ei toetata juba poolteist aastat. Põhjus lihtne – pole mõtet maksumaksja raha surnud hobusesesse pumbata.

Teekide ajaloost

Kogu edasine jutt on mõeldud asutuste ja firmade asjapulkadele – kodukasutajale pole järgnev info ülearu põnev. Et siis millal täpselt tekkis vajadus jDigiDoc välja vahetada DigiDoc4j vastu?

Vanasti kasutasid asutused ja firmad digitaalallkirjastamiseks ja allkirjade kontrolliks teeki (ingl.k. library) nimega jDigiDoc. DDOC formaadiga sai see teek kenasti hakkama, kuid siis ajad muutusid – saabus BDOC vorming, saabusid euronõuded. Et saada hakkama ka digitaalallkirja uuemate vormingutega, nagu BDOC või suisa ASiC-E, valmis uus teek nimega DigiDoc4j (muide, vahel kasutatakse DigiDoc4j asemel ka lühendit DD4J.)

DD4J tuleku ajalugu (lihtsalt selleks, et keegi ei saaks öelda, et ta pole probleemipüstitusest kunagi varem kuulnud):

versioon-avaldatud

Allikas: id.ee

Vajadusest uuele teegile üle minna hakati rääkima juba päris ammu. Infohommiku materjal märtsist 2015. Novembris 2015 avalikustati DigiDoc4j teegi versioon 1.00. Vajadust vana teek kiiremas korras välja vahetada toonitati veel kord mais 2016. Lõpuks, oktoobris 2016 käib jutt juba üksnes uue teegi uuemast versioonist, eeldatakse, et vana jDigiDoc teek enam kasutuses pole.

Kontoris

Kontorikasutajaga on keerulisem lugu. Teatavasti kontorikasutaja ei saa ise oma tarkvaraversiooni muuta, seda teeb tema eest itimees. Itimehel on aga muresid palju – mõne tarkvara mingi versiooni tõstmine või langetamine pole itimehe jaoks primaarne tegevus, kuni ähvardab otsene oht. Vahel mõjutavad itimehe tööd ka suured ülemused, kes sätivad itimehe prioriteete eelarve kaudu. Ent.

Kontorites leidub kaks olulist tarkvara. Kõigepealt juba seesama eelpoolmainitud ID-kaardi baastarkvara, mis tuleb tõsta versioonile 3.12.4. Paraku on kontoreid, kus ajaloolistel ja eelarvelistel põhjustel on otsustatud jätkuvalt DDOCi küljes rippuda, selmet töövood BDOCi või ASiC-E peale häälestada. Nüüd, novembri lõpus, läheb neil kontoritel ikka väga kiireks. Juhul kui kontoriarvutites pole ID-kaardi tarkvara versiooninumbriga vähemalt 3.12.4, siis Euroopa poolt etteantud usaldusankrute listi lugeda ega lahti parsida ei õnnestu. Mis tähendab, et tööprotsessid lähevad katki.

Asutuste ja firmade serveriruumides leidub veel teinegi huvitav tarkvara, nimelt jubin, millega süsteemid automaatselt allkirju annavad ja kontrollivad. Need kontorid, kes ongi juba üle läinud tarkvarale DigiDoc4j, ei peaks väga muretsema. Kui installeeritud on vähemasti versioon 1.0.3 sellest teegist, siis osatakse 3. detsembril kaelakukkuv uus v5 vormingus usaldusnimekiri kenasti välja lugeda. Kui on installeeritud versioon 1.0.0, siis selle tõstmine versioonile 1.0.3 on ikkagi kordades lihtsam kui infosüsteemi sügavamat putitamist nõudev teegivahetus muldvanalt JDigiDoc teegilt moodsale euroteegile DigiDoc4j.

Pole saladus – osa kontoreid on ikkagi nipitanud ja jätnud vana teegi JDigiDoc pealt uuele teegile DigiDoc4j üle minemata, kuigi ülemineku vajadusest on kõigis meediakanalites pröögatud juba vähemalt poolteist aastat. Miks nad nii teevad? Sest IT arengust loobumine tähendab kokkuhoidu. Ju oli raha vaja kusagil mujal.

Ent nüüd on käes tõesti tagumine hetk. Juhul kui firma serverites ongi kasutusel muldvana jdigidoc, siis hakkab ilmnema üha rohkem probleeme – kodukasutaja (või hoopis välismaalane) saadab asutusse täiesti korrektselt allkirjastatud dokumendi, kuid asutuses pruugitav vana teek ei pruugi seda heaks kiita.“.

Pisut vähem paanikat tekib neis asutustes, kus DigiDoc4J on küll installeeritud ja infosüsteemiga sobitatud, kuid versiooninumber pisut liiga varane (1.0.2 või väiksem). Neis kohtades on olukord soodsam seetõttu, et infosüsteem ise on ju uuele teegile üle viidud ja suuremad juurutustööd sooritatud, jäänud on vaid koera saba pikendamine versiooninumbri või paari võrra, mis reeglina on suhteliselt kiire tegevus. Kahe nädalaga veel jõuab!

Patustajaid otseselt nimetamata tsiteerime üht varasemat blogikirjet (juuni 2016): “Vana ja aegunud JDigiDoc teeki (mille eluiga ja tugi on ammu lõppenud) pruugitakse täna 98% digiallkirjade loomiseks. Uus, euroühtesobiv DD4J teek on seni kasutusel vaid 0,05% digiallkirjade loomisel.”.