Monthly Archives: March 2017

Milline on meie küberturvalisuse terviseseisund?

Kadri Kaska, RIA küberturvalisuse teenistuse juhtivanalüütik

Riigi Infosüsteemi Ameti küberturvalisuse aastakokkuvõte analüüsib Eesti küberruumi tervist ja rünnatavust 2016. aastal ning hindab eesseisvaid väljakutseid.

RIA küberturvalisuse teenistus teeb küberruumis toimuvast regulaarselt kokkuvõtteid, mis annavad võimaluse vaadata hetkeolukorda laiemas perspektiivis. Mis aasta jooksul juhtus? Mis ja kes meid ohustab? Mis on kujunevad suundumused ja missugused toimijate käitumismustrid? Kui kaitstud või haavatav on meie harjumuspärane digitaalne eluviis? Äsja valminud ülevaade aastast 2016 annab vastused just nendele küsimustele.

Rekordaasta 2016

Eestis registreeritud küberturbejuhtumite arv lõi mullu taas rekordi. CERT-EE – RIA infoturbeintsidentide käsitlemise osakond ehk Eesti küberturvalisuse eesliin – käsitles kokku 9135 juhtumit. Põhjused registreeritud juhtumite taga on väga erinevad – seadmeriketest ja inimlikest eksimustest pahatahtliku tegevuseni. Kaugeltki iga juhtumi taga pole küberrünne ning paljud ründekatsed ka peatatakse. Ligikaudu neljandik (2248) kõigist registreeritud juhtumitest oli mullu selliseid, mis mõjutasid kasutajat otseselt, tuues kaasa infosüsteemi tõrke, andmekao või teabelekke, ehk erialakeeli mõjutasid teabe või süsteemi käideldavust, terviklust või konfidentsiaalsust.

Mullused sagedaimad küberüberturbejuhtumid olid seotud kõikvõimalikku pahavara levitavate e-kirjade ja veebidomeenidega. Väga levinud olid ka nn õngitsemisründed ehk andmepüük, kus väga erinevatel ettekäänetel püüti inimestelt saada kätte salasõnu, krediitkaardiandmeid, aga ka juurdepääsu ametialasele tundlikule teabele. Need on kõik küberründed, mille edukus sõltub ennekõike kasutajate teadlikkusest ja käitumisest ehk sellest, kas kasutaja mõtleb, enne kui kahtlase e-kirjaga saabunud failile klõpsab, ja hoidub oma andmeid kergekäeliselt välja jagamast.

Lunavara, mis RIA eelmises küberturvalisuse aastakokkuvõttes palju kõneainet andis, levis üliaktiivselt mullu kevadel. Aasta lõpuks levik stabiliseerus, aga lunavara pole kadunud kuhugi ja ründeid tuleb ette igal kuul. Ohtlik suundumus on lunavara spetsialiseerumine valdkondadele, mis on aegkriitilistest andmetest enim sõltuvad ja kus küberturvalisust pole traditsiooniliselt oluliseks peetud – eriti paistab siin silma tervishoid. Eesti pole kuidagi erandlik, sama suundumus on ka teistes arenenud riikides, kus just tervishoiuteenuste osutajad satuvad väljapressimise ohvriks.

Umbes iga kolmekümnes ehk 348 mullust küberintsidenti puudutasid otseselt mõne Eestile olulise teenuse toimimist. Elutähtsatest teenustest olid mõjutatud näiteks telekommunikatsioon, elektrivarustus ja pangateenused ning sisejulgeoleku infosüsteemide töö. Selliste kõrge reageerimisprioriteediga küberintsidentide puhul oli valdavalt tegu seadmeriketest tingitud teenusekatkestustega, mille mõju jäi lühiajaliseks. Ühtki sedavõrd tõsist kübersündmust, mis oleks seadnud ohtu kellegi elu või tervise, möödunud aastal ei registreeritud.

Vastaseks nii riigid kui kurjategijad

Eesti inimeste ja riigi jaoks on olulisemateks küberohtudeks endiselt küberkuritegevus ning vaenulike välisriikide mõjutustegevus küberruumi kaudu, kinnitab aastaülevaade. Küberkuritegevus on üleilmne „tööstusharu“ ning kurjategijatele kõlbab sihtmärgiks iga internetiga ühendatud seadme kasutaja.

Hooletult kasutajalt saab raha välja petta või kasutada tema turvamata seadet hüppelauana teiste ründamiseks. Halvemal juhul võib arvutikasutaja teadmatus või hooletus kombineerituna teenuse või asutuse turvanõrkustega luua võimaluse ka mõne elutähtsa teenuse või demokraatliku riigikorralduse ründamiseks. Et kumbki viimane stsenaarium pole enam fiktsioon, kinnitavad mullu oktoobris USA domeeninimeteenuse pakkuja vastu suunatud ülisuured teenusetõkestusründed ja Vene eriteenistuste sissemurdmine USA parteide meiliserverisse, mis andis sobivat ainest propagandakampaaniaks, et mõjutada kandidaatide väljavaateid presidendivalimisi võita.

Tihti pole lihtne vahet teha, kas ründaja on kurjategija või vaenulik välisriik. Eesti suhtes vaenulike eriteenistuste koostöö küberaktivistide ja küberkurjategijatega pole uudis ning sellisest „avaliku ja erasektori koostööst“ saavad kasu mõlemad. See muudab Eesti jaoks olukorra järjest keerukamaks, kuna selgeid vastuseid peaaegu ei ole: enam ei saa kindel olla, kas Eesti elutähtsa infosüsteemi vastu justkui rahalise kasu eesmärgil suunatud rünnak pole tegelikult kurjategijatelt tellitud mingi hoopis muu kriteeriumi alusel.

Olenemata ründe päritolust on selge võrkude kaitsjate töö: esmane ülesanne on oma teenused ja andmed turvata, rünne võimalikult kiiresti avastada ja sellele vastu astuda.

Arvestades eelmise aasta suundumusi, on selge, et küberohtude tõrjumine pole võimalik ilma kasutajate mõistliku käitumiseta. Eesti küberturvalisus sõltub meist kõigist. Tõhus küberkaitse saab olla ainult totaalkaitse – sellesse peab panustama igaüks.
Kuidas digikeskkonnas oma turvalisust parandada? Lihtne soovitus: tee üks samm rohkem kui seni. Kui su senine universaalparool, mida kõigis keskkondades kasutad, on 12345, vaheta see raskemini äraarvatava vastu. Kui juba kasutad tugevat parooli, lülita sisse kaheastmeline autentimine (nt Gmailis, Facebookis).

Mõtle läbi, kui olulised on sulle andmed, mida arvutis või võrgus hoiad, või su ettevõtte pakutava teenuse kättesaadavus kliendile interneti kaudu. Mis on su plaan B, kui ettevõte saab lunavaranakkuse ja failid lukustuvad? Kas sa tead, kellele su ärikriitiline teave või veebilehe hingeelu internetis valla on? Kuidas ettevõte mõne olulise seadme rikke korral toime tuleb? Tee varukoopiaid ja uuenda viirustõrjet. Uuenda oma nutiseadme tarkvara niipea, kui uus versioon saadaval – sageli keskenduvad sellised süsteemiuuendused just võimalike turvariskide maandamisele. Küsi internetiteenuse osutajalt, kuidas su andmed ja ühendus kaitstud on. Mõtle järele, kas on ikka vaja, et külmkapp, pulsikell või kasvõi lapse hambahari internetiga ühenduses oleks ja andmeid edastaks.

Sissevaate kõrval aasta jooksul küberruumis aset leidnud sündmustesse pakub RIA küberturvalisuse aastaraamat hulga soovitusi levinud ohtudega toimetulekuks.

9 asja, mida aastal 2017 Eesti küberturvalisusest teada

Kadri Kaska, RIA küberturvalisuse teenistuse juhtivanalüütik

Täna avalikustatud Riigi Infosüsteemi Ameti küberturvalisuse aastaraamat analüüsib Eesti küberruumi tervist ja rünnatavust aastal 2016 ning annab hulga soovitusi levinud ohtudega toimetulekuks. Mulluste riskide ja rünnete mustrist joonistuvad selgelt välja nii ohud kui ka viisid nendega toimetulekuks. Sealjuures ei ole kahtlustki, et igapäevase mugava digitaalse eluviisi kaitse on igaühe enese kätes ning riik on ennekõike ohtude seiraja, suurte rünnete ennetaja, taristu kaitsja.

1. Elutähtsate teenuste kübersõltuvus kasvab. Kasvav arv elutähtsate teenuste osutajaid sõltub kriitilisel määral digitaalse taristu toimimisest ja paljudel juhtudel on need sõltuvused väljaspool ettevõtja enda kontrolli või lausa väljaspool riigipiire. Katkestuste mõju ühiskonna ja majanduse toimimisele ning riigi julgeolekule on üha olulisem. Ennekõike tähendab see, et elutähtsate teenuste omanikud – olgu see riik või erasektor – ei tohi näha küberturvalisust või oma võrkude kaitset kui oma isiklikku muret, vaid peavad vaatama laiemat konteksti. Mida avatumalt ollakse valmis riskidest ja juhtumitest rääkima, seda suurema tõenäosusega on võimalik ka teistelt õppida.

2. Avalik sektor on nii juhuslike kui suunatud rünnete sihtmärk. Avaliku sektori peamised küberriskid on seotud teenusekatkestustega süsteemides, mille toimimisest sõltub riigi julgeolek, ning suunatud rünnetega rahalisel, poliitilisel või ideoloogilisel motiivil. Iseäranis kohalikel omavalitsustel napib nii teadmisi kui ressursse küberohtude ennetamiseks. Riigiasutuste osutavate kriitiliste teenuste toimepidevuse tagamine vajab tõsist tähelepanu ning investeeringuid, et kindlustada teenuse käideldavus, ent vähem tähtis ei ole töötajate harimine ja infoturbe tähtsustamine juhtimistasandil.

3. Erasektori teadlikkus küberriskidest on lünklik – see käib nii üksikisikute kui ettevõtjate kohta. Üksikute kõrge turvateadlikkusega ettevõtjate ja valdkondade kõrval paistab silma, et üldiselt peetakse küberturvalisust või selle puudumist jätkuvalt „tehniliseks probleemiks“, mitte ettevõtte põhitegevuse riskiks. Iseäranis väikeettevõtjad ja vabaühendused ei pea end küberohtude sihtmärgiks ning turvalisusse ei investeeri. Digitaalne ühiskond nagu me oleme, peame õppima mõistma, et IT-teenus ei ole üheski valdkonnas enam pelgalt tugiteenus, vaid selle toimimiseta ei saa enam ka organisatsiooni põhitegevuses kindel olla.

4. Küberkuritegevus on üha professionaalsem. Pahavara levitamisviisid on üha viimistletumad ning näha on keskendumist aegkriitilistest andmetest sõltuvatele valdkondadele, kus küberturvalisust pole seni oluliseks peetud (tervishoid). Suunatud ründed võivad olla äärmiselt usutavaks viimistletud. Ka ei ole küberkuritegevus enam üksnes väheste valitute pärusmaa, vaid soovitud „teenust“ on võimalik kurjategijatelt osta ka neil, kel endal vajalikke oskusi ei ole.

5. Eesti on jätkuvalt Venemaa mõjutustegevuse sihtmärk. Venemaa kasutab küberoperatsioone käsikäes traditsioonilise mõjutustegevusega vastavalt tehnoloogilisele võimekusele, doktriinile ja välispoliitilistele võimalustele. 2017. aastal eesseisvate oluliste sündmustega seoses tuleb valmis olla küberrünnete hoogustumiseks. RIA on teinud ettevalmistusi ja töötab koos partneritega, et väljakutseteks valmis olla.

6. Arenevad tehnoloogiad ja teenused on haavatavad ning turvalisus ei jõua tehnoloogia arenguga sammu pidada. Nutiseadmete ja esemevõrgu seadmete kasutusala laieneb. Ühes sellega laieneb nende turvalisusriskide mõju, aga ka atraktiivsus küberkurjategijate jaoks. Praegu ei ole täit arusaama, millised riskid kiirelt arenevate digitaalsete toodete, teenuste ja ettevõtlusvormidega kaasnevad. Tõenäoliselt näeme esemevõrgu seadmete rünnete puhul seniste rekordite purustamist nii mahu kui uute ründeviiside mõttes. Suureneb ka surve esemevõrgu seadmete turvalisuse parandamiseks.

7. Enamiku registreeritud küberintsidentide põhjus või seda soodustav tegur on aegunud tarkvara. Aegunud veebihaldustarkvara kasutamine Eestis on epideemiline. Iga veebilehe pidaja võiks oma veebiarendajalt küsida, kas ta on tarkvarauuendustega kursis ning need tema veebilehel rakendanud. Erakasutaja jaoks on olulised väikesed lihtsad asjad nagu esimesel võimalusel tarkvarauuenduste paigaldamine nii oma arvutisse kui nutiseadmesse.

8. Üksnes salasõnadel põhinev autentimine ei ole enam turvaline. Üha suurenev salasõnade hulk ning keerukamad nõuded paroolidele ei ole kasutajatele jõukohased. Kasutajate kohanemismeetodid (sh paroolide ristkasutus) suurendavad haavatavust. Kasvab surve võtta kasutusele turvalisemad isikutuvastusmeetod nagu kaheastmeline autentimine, biomeetrilised autentimismeetodid. Teenusepakkujatel ja riigiasutustel soovitame seadistada kaheastmeline autentimine igal pool, kus võimalik.

9. Õiguskeskkond vajab ajakohastamist. Küberturvalisust tagavate organisatsioonide õigused ja kohustused peavad olema sätestatud seadusega, mitte rakendusaktides või haldusesisestes dokumentides. Praegune küberturvalisuse regulatsioon on killustatud ja adressaatide jaoks läbipaistmatu. On oluline, et väljatöötamisel uus küberturvalisuse seadus neid kitsaskohti leevendaks.

Valimiste turvamudelist

Anto Veldre, RIA analüütik

Tisklaimer – alljärgnev on katse kokku koondada suurem pilt, mis seondub Eesti i-hääletusega ja selle erilise kohaga maailmas. Infot olen koondanud siit ja sealt, tänud kõigile korrespondentidele. Võimalikud vead on sellegipoolest minu omad ja palun neist lahkesti teada anda.

Ühtlasi ütlen kohe ausalt ära, et minust sai e-hääletuse pooldaja mais 2004 (nähes eelist, mida teistel riikidel pole) ning et lisaks olen paberhääletuse (kui mustkunsti ja sotsiaalse sõltuvuse kaudu manipuleeritava traditsiooni) leige vastane. Kindlasti olen erapoolik – jätan paar tugevat argumenti käsitlemata pelgalt seepärast, et i-valimiste elukutselistele vastastele järamiseks lisakonte hambusse mitte anda.

Kiirkokkuvõte

  • Eesti i-hääletus vs e-hääletus (kiosk, DRE) mujal on täiesti erinevad asjad.
  • Esitan valimiste senisest globaalsema mudeli, kiidan Eestit, nimetan eri riikide arenguid e-/i-hääletuse valdkonnas.
  • e- ning i-hääletuskatsed eri riikides on valimisaktiivsust alati märgatavalt suurendanud. Kas on võimalik, et traditsiooniline valimiskord ei arvestagi elukiiruse drastilise tõusuga?
  • Püstitan irratsionaalse i-valimiskartuse hüpoteesi – see on alalhoidlik vastureaktsioon suutmatusele kaasuda uute distsipliinidega (küber, infosõda, memeetika).
  • Väidan, et Eesti suutlikkus oma e-riigi ja i-hääletuse mehhanisme iseendalegi, saati siis rahvusvahelisel areenil võrreldavalt selgitada, võiks olla parem.

Tegu on mahuka analüüsiga ehk nagu millenniumlased ütlevad: TL;DR (too long, don’t read). Kahjuks pole nii keerulise materjali lühikäsitlus 7 +/– 2 lihtfaktoidi abil mõeldav.

Esitatud viited on võimalusel ingliskeelsed, aitamaks selgitada e-hääletust ka rahvusvahelise auditooriumi ees.

Sissejuhatus

Valimistele esitatakse enamasti normitehnilisi nõudeid (hääleõigus, ühetaolisus) ja siis veel ka protseduurilisi nõudeid (kes ja kuidas viib hääletuse läbi või auditeerib tulemusi). Ent vahepeal on maailm muutunud, inforuumi ja küberruumi küpsemine on hägustanud riigipiirid kohati vaid virtuaalseks jooneks. Kontrollküsimus: kas mõne teise riigi luureteenistus osaleb meie valimistel?

Meie elanikkonda mõjutavad meie naabrite ja vastaste küberneetilised ning memeetilised relvad kindla peale, mistõttu vaade valimistele kui lokaalse iseloomuga sündmusele tänapäeval enam ei päde. Westfaali nägemus rahvusriiklusest eeldab kindlat territooriumi ning selle piires toimivat bürokraatiat, mõlemad mõisted on globaliseerumise tingimustes paraku hägustumas.

Ühtlasi pole maailma ajaloo kogu eelnenud perioodil tekkinud vajadustki vaadelda valimisi nn täiusliku mänguteoreetilise operatiivtervikuna, milles konsolideeritaks korralduslikud ja tehnilised aspektid, ründevektorid ning võimeka oponendi võimalikud tehnoloogilised vastukäigud globaalses vaates. Tänaseks on see vajadus tekkimas.

Tänapäeva riskihaldusnõuetele vastavat valimiste üldmudelit saab mingilgi kujul ette näidata vaid Eesti ning see kätkeb endas järgmisi elemente:

  1. Õigusriigile omane juriidiline režiim, tagamaks kandidaatide füüsilist ning psühholoogilist ohutust. Globaalne turvaolukord on halvenenud, mistõttu võib täna demokraatia tingimustes vabalt juhtuda, et Alt-Right tiiva kandidaadi näiv või (suisa tegelik) julgeolek õigusriigis osutub täna nudituks. Olgu ühtlasi hästi selge, et see fenomen asetub kusagile eetika ja kultuuri vahepeale, väljapoole valimiskorralduse konteksti, illustreerides ometigi mõningaid moodsaid mõjusid, mida valimistel arvestamata jätta ei saa.
  2. Õigusriigile omane juriidiline režiim, mis tagaks lihtsa ja kerge võimaluse valimistel osalemiseks (kas siis kandidaadi või valijana) igaühele, kellel on selleks soov ja seadusekohane õigus. Probleemiks on ilmsed ja mitteilmsed tsensused, sealhulgas elanikkonna vaesematele kihtidele ebamõistlikult kalliks osutuv isikut tõendava dokumendi nõue. Sellest vaatevinklist, isegi riikides, kus e- või i-hääletus on ebaõnnestunud, märgitakse osaluse märgatavat elavnemist, rääkimata EU ametlikust poliitikast osalusprotsendi sihipäraseks tõstmiseks.
  3. Õigusriigi vääriline olukord, kus puudub praktiline võimalus (eriti just lokaalsete) valimiskomisjonide liikmete üksikult või grupikaupa mõjutamiseks sõltuvuse vms kaudu. Tegemist on demokraatia piinliku kitsaskohaga, mida maailm seni tunnistada ei soovi ning mida Eesti tajub üksnes tänu Nõukogude Eesti aegse valimisfarsi nn 99,9% kogemusele.
  4. Usaldusväärne valijate register, seal sisalduva info autentsus, terviklus ja salgamatus. Maailmas on Eesti kõrval vähe riike, kus säärane keskne elektrooniline register a) eksisteerib, b) on volitatud süsteemile online‘is kättesaadav ning c) osutub küberrünnakule vastupidavaks.
  5. Usaldusväärne kandidaatide register, seal sisalduva info autentsus, terviklus ja salgamatus.
  6. Inforuumi, sh globaalse inforuumi või ka mõne lihtsalt vaenuliku inforuumi mõju valijatele. Tegemist on seni suuresti alahinnatud psühholoogilise kaitse distsipliiniga, mille mõju valimistulemustele (eriti multikultuurses riigis) pole paraku võimalik alahinnata – meenutagem näiteks Eurovisiooni hääletusi. Ühtlasi ei saa välistada, et suurandmete ajastul on tekkimas tõhusad psühhomeetrilised tehnoloogiad laiade valijakihtide järkjärguliseks mõõdistamiseks ja mõjutamiseks läbi sotsiaalvõrgustike.
  7. Küberruumi artefaktide mõju valimisprotseduuridele, eelkõige käideldavuse ja tervikluse osas (küberrünnaku alamliigid: DDoS, pahavara). Küberruum olgu siinkohal defineeritud suhtlusvõimeliste infotöötlusseadmete hulgana, vt MKMi terminoloogiadokumenti). Eesti i-hääletuse riskidokument käsitleb küberriske avatult.
  8. Valimiste mistahes etapil kasutatud infotehnoloogia turvalisus – olgu siis eeldatud või sätestatud tasemel (konfidentsiaalsus, terviklus, käideldavus). Hillary Clintoni ja DNC meiliserveritele tehtud vanamoodne küberrünnak andis näiteks USAs tagasilöögi hoopis valimiste infosüsteemidele. Kuid: tegelikku turvalisust tuleb kindlasti eristada avalikult aktsepteeritud vaatest – rünnata võidakse nii tehnoloogiat kui hoopis selle kuvandit, vt ka p 10). Kontrollküsimus: mis kasu võiks varas loota Valimiskomisjoni arvuti ärapätsamisest?
  9. Valimiste korraldaja ja tema tööprotseduuride usaldusväärsus. Tegemist on interdistsiplinaarse alaga, milles on nii õiguslikke, sotsiaalseid kui PR aspekte. Kuid: tuleb eristada objektiivset usaldusväärsust (võimalik, et võõra inforuumi poolt tüüritavast) avalikust arvamusest ning otsustavalt ning reaalajas juhtida võimalikku lõhet nende vahel (mainekujundus, psühholoogiline kaitse).
  10. Punktide 8 ja 9 puhul tuleb eraldi ning spetsiifilise ründevektorina käsitleda valimisprotsessi kuvandit. Küber- ja inforuumis toimiva tiheda seostatuse ja positiivse tagasiside tõttu (Norbert Wiener, “Küberneetika”; Charles Perrow, “Normal Accidents”) on sündmustele tekkiv tagasiside sageli ülevõimendatud või -kriitiline (füüsika, mitte hinnangu mõttes), selle kogus ja mõju on sageli ennustamatud.
  11. Lõpuks, isetekkeline või sihilike memeetiliste jõupingutuste abil kujundatud (alternatiivne) sõnumi- ja kultuuriruum (memeetiline ruum), kus mingid valimisviisid või konkreetsed valimistavad sihilikult kängitsetakse religioosse tabu staatusse. Näitena olgu esitatud kiipkaart=666 meem, ja sihilikult kujundatud “Saatan valib Internetis” meem, milliste nähtuste tõrjumine intellektuaalsete argumentide abil osutub sama võimatuks kui katoliiklase ümberveenmine armulaua või pihi tähenduses.

Eesti i-hääletuse olulised iseärasused

Tuginen nüüd eespool esitatud 11-punktilisele mudelile ning toon esile Eesti valimiste, eriti ja eelkõige i-hääletuse olulised erisused (idiosünkraasiad), mis on meil Eestis e-hääletust võimaldanud ning mis on enamjaolt needsamad, mis mujal seda ei pigem ei võimalda.

A) Eesti kodanikud usaldavad oma riiki (või valitsust, oleneb tõlkenüansist) ning ei taju neid kumbagi nuhi, külakurnaja või vaenlasena. Tegemist on isegi Lääne tsivilisatsioonis (Idast rääkimata) küllaltki haruldase fenomeniga (excl CH, FI, NO ja ehk veel mõned üksikud riigid).

B) Eestis on elanikkond lõpliku täpsusega loetletud ning reaalaja lähedaselt peegeldatud riiklikesse registritesse (sünnid, surmad, elukohavahetused). Isikusamasuse kontrolliks vajalikud ressursid (LDAP) on avalikud (mõnes teises riigis tajutaks säärast ülesehitust kirjeldamatu tabuna). Ent manipulatsioonid nimekirjadega (valijad, kandidaadid) pole Eestis keskse reaalajalise registri tõttu põhimõtteliselt võimalikud. Lahenduse hinnaks on Lääne-Euroopale kultuuriliselt sobimatud kompromissid elanikkonna “näiva” privaatsuse osas.

C) Eelmisele asjaolule toetudes ning USA päritolu tugevale krüptograafiale tuginedes on loodud isikute kaugtuvastamise (remote identification) süsteem (PKI), milles riik garanteerib baasidentiteedi tõsikindluse, ning see süsteem hõlmab ka omakäelise allkirjaga võrdsustatud e-allkirjastamise lahendust. Teisisõnu, peale Eesti polegi ühtki riiki, kus I tehnoloogiline baas ning II selle levik üheskoos võimaldaksid sooritada üleriigilist turvalist i-hääletust (igaühe kodusest arvutist). Esineb riike, kus tuvastussüsteem eksisteerib (FI), kuid kus tuvastusvahendite levik üldvalimisi paraku ei võimalda. On riike, kus internetihääletus on eelistatud või katsejärgus (CH, FR), kuid kus puudub turvaline tuvastussüsteem, sestap eksperimenteeritakse nende tuvastusviisidega, mis on olemas. Puudustest: meie lahenduse tagajärjeks ehk memeetiliseks hinnaks on suuresti põhjendamatu “vanaema sundimise” ja “vanadekodude/sõjaväeosade” (Granny Farming) kriitika, mis kuulub eetika, kultuuri või sotsiaalvaldkonda ning üldsegi mitte valimistehnoloogia skoopi.

D) Eesti on tõestanud, et ta suudab oma riiklikult olulisi infosüsteeme Internetis jätkusuutlikult pidada viisil, et neid pole võimalik distantsilt kübervahenditega kompromiteerida, ei tegelikkuses ega ka kuritahtlikult konstrueeritud alternatiivses reaalsuses. Selle omaduse vältimatuks eelduseks, vähemalt meie tingimusis, on olnud X-tee koos eID kaugtuvastuse / allkirjastamisega (p A, B ja C ).

E) Eesti i-hääletus on unikaalne ja pidevalt arenev (tagasisidet ja kriitikat arvesse võttev) tehniline lahendus, mis suudab piisavalt hästi tagada vastuolulisi nõudeid hääle salajasusele ning hääletuse terviklusele (põhjustel p A, B, C ja D). Puudustest: meie itimeeste ja krüptoloogide seas leidub siseopositsioon, kes arvavad, et süsteemi täiustamine võiks toimuda veel märkimisväärselt kiiremini.

F) internetihääletuse keskne infrastruktuur on süsteem, mis püstitatakse vaid hääletuse hetkeks, mille lähtekood on põhiosas avalik, mis on korduvalt auditeeritud ning mille serverid paiknevad riigi/valitsuse täieliku (!!!) kontrolli all asuvas võrgusegmendis. Selle ja mõne teise riskihaldusmeetmega (pidev modifitseerimine, valimisäpi publitseerimine alles vahetult enne sündmust) on reaalse oponendi jaoks reaalne rünnak muudetud heidutavalt keerukaks. Meie lahenduse hinnaks on võimalik kultuuriline sobimatus näiteks USA oludega (kompromissidekohad, mida suurriik ei kordaks, vaid maksaks suurusjärgu-kahe võrra üle).

G) Eesti i-hääletuse turvalisus on suuresti tagatud asjaoluga, et selle toimimiseks vajalik kliendipoolne infrastruktuur (kaardid, lugerid, tarkvara) pole mitte spetsiaalselt i-hääletuse jaoks üles seatav laadapalagan, vaid miski, mis on igapäevaselt käigus tööprotseduurides, panganduses jne (jooksvaid numbreid vt ID.ee kodulehelt). Kui Eesti e-eluviis eviks olulisi tehnilisi turvaauke, võimaldanuks see ammu põhja lasta kogu meie panganduse, rääkimata riigi üleüldisest toimimisest – meil teatavasti polegi enam piisavalt palju teeninduslette. E-hääletus on Eestis lihtsalt üks paljudest riiklikest e-teenustest omasuguste pikas reas. Seetõttu saame eeldada, et võimalikud tehnoloogilised vead tulevad välja juba põhikasutuse käigus, milleks e-hääletus kindlasti ei ole. Siit omakorda tuleneb kindlustunne, et operatiivolukorra muutus valimiste perioodil on ühtlasi nii monitooritav kui märgatav.

Q) Mõned ülimalt tehnilised kaitsevõtted, näiteks SSL/TLS (https) veebisessiooni initsieerimine kaardil leiduva krüptomaterjali, mitte lambist genereeritud tokeni baasil, mis automaatselt nurjab terve hulga MitM ründeid. Infoturblased teavad, millest jutt, Läänele pole me seda kaitsemeedet veel eriti reklaaminud.

W) Muud põnevad tähelepanekud, näiteks heuristiline eeldus, et “elanikkond suudab tõhusalt kasutada internetti, arvuteid ja identiteedikandjaid” (olen mitmel konverentsil näinud, kuidas kujund “kiipkaarti hoidev tädi Maali” tekitab siirast hämmastust). Või siis läänemaailma šokeeriv asjaolu, et ka paberhääletamise puhul on teada hulganisti riske ja rünnakuid valimisprotseduurile (valimiskasti terviklus, karusell jne). Lääne ühiskondades on demokraatlikud valimised ära kanoniseeritud ning petutehnoloogiatest vestlemine on tabu (see paraku põhjustab võltsturvalisuse tunde).

X) Eesti mudelil on ka märkimisväärseid puudusi, keerukus ja erinevused eelkõige. Olulised semantilised erinevused enamikest lääneriikidest ei võimaldada siinseid lahendusi üks-ühele lääne mudelile üle kanda ega arusaadavalt selgitada. See komplitseerib omavahelist võrreldavust ning soosib memeetilisi ja semantilisi ründeid meie internetihääletusele. Mark Twaini tsiteerides, kui moslem peab nelja naist, siis “see on ju peaaegu nagu kahenaisepidamine”. Nii saab oponent omaenda mõistesüsteemi kasutades panna samasse patta Hollandis aastal 2009 keelustatud valimismasinad (kioskid, DRE) ja meie internetihääletuse, labasel põhjusel, et mõlemi tähistamiseks kasutatakse sama terminit – e-hääletus. Keskmine heasoovlik kõrgharitud väliskülaline oma taustateadmistega ei ole võimeline Eesti i-hääletust endale adekvaatselt visualiseerima, tal puudub terve komplekt vajalikke taustateadmisi. Ka kõrgharidusega inimese puhul on vaja tundide või päevade pikkust selgitusvälpa, see aga pole juhusuhtluses kuigi realistlik suhtlusperiood.

Y) Kättesaadavaid analoogiaid teadmussiirdeks on aja jooksul siiski leitud. Näiteks “isikukoodi” on tark selgitada “Sinu digitaalse nimena” ning abstrahheeruda lääne-eurooplasele kultuuriusundiliselt vastuvõetamatust inimeste nummerdamise ajaloost. On hea teada, et i-hääletuse selgitamiseks kasutatav kahekordse ümbriku süsteem on üks-üheses vastavuses Saksamaa tigupostise eelhääletussüsteemiga, mille resulteeriv turvalisus on kaheldamatult RSA krüptograafiast madalam. Sääraste mõisteliste analoogiate otsimine ja leidmine on sõprade ja vastastega vestlemisel üha olulisem.

i-valimishirmude analüüs riigiti

CH

Šveitsi eripäraks on kodanike erakordselt kõrge usaldus oma riigi ja valitsuse vastu (p 1). See on võimaldanud eri kantonites korduvalt eksperimenteerida e/i-hääletuse erinevate tehnoloogiatega. Tänaseks on riik sisuliselt asendanud ülimalt levinud (80% kasutatava) meilitsi eelhääletussüsteemi i-hääletussüsteemiga. Autentimismaterjal ja verifitseerimismaterjal saadetakse inimestele igakordselt paberposti teel.

Šveitsi kodanike kultuuriline resistentsus irratsionaalse mõju suhtes (p 11) näib olevat piisavalt kõrge, seda tingimustes, kus rünnakud CH valimissüsteemile pole üldse lakanud.

Šveits arendab üldkasutatavat e-identiteeti, kaasatud on näiteks Kaspar Korjus Eestist. Üks Šveitsis kasutatavatest süsteemidest on katsetatava demona kättesaadaval siin.

Šveitsi arvukatele hääletussüsteemidele on määratud maksimaalselt kaasatava valijaskonna piir (protsentides), olenevalt verifitseeritavuse tasemest.

DE

Saksamaa puhul on i-hääletuseks vajalik tehnoloogiline baas (tuvastusvahendid) peaasjalikult olemas (küll killustatud kujul), kuid puudu on kultuurilisest julgusest ajalooliste tabude ületamisel. Valimismasinaid on edukalt katsetatud perioodil 1998–2005.

DE iseärasus: kahe valija kaebuse põhjal konstitutsioonikohus keelustas igasuguse e-hääletamise kuni „kõik valijad sellest aru ei saa nii, et igaüks suudaks vaadelda“. Küsimus oli just valimismasinate turvalisuses, i-hääletuse osas ametlikku seisukohta pole.

Saksamaa konservatiivse suurriigina ning potentsiaalse regionaalse hegemoonina on väga häiritud punktidest 1, 6, 7, 8, 10 ja 11, mida ta ei suuda avalikkusele rahuldavalt selgitada, osalt on põhjuseks adekvaatse ohumudeli puudumine ja suurriiklik inerts nagu ka USA puhul.

Saksamaa puhul on hea võrrelda meie ja nende eelhääletust kirja teel kuivõrd meie i-hääletus on nende eelhääletuse digitaalne teisend. Isegi osad VVK juhendmaterjalid on muutusteta kasutatavad. Sakslastele on kasulik selgitada, et meil käib eelhääletamas 1/3 valijaid.

FI

Soomes on e-hääletust piiratud ulatuses katsetatud aastal 2008. Saadi vastuolulised tulemused, kuivõrd “summa ei läinud kokku” ning täpsuse puudumine on sealses kultuuriruumis kolepaha asjaolu. I-hääletuse üle käib Soomes hetkel tihe arutelu, just käivitati teostatavusuuring. I-hääletuseks vajalik tehniline infrastruktuur on Soomes tegelikult täiesti olemas (PKI + ID-kaart + Palveluväylä), kuid riikliku identiteedikandja levik madalam kui meil. Soome ajakirjandus on seni takerdunud i-/e- termini lahtimõtestamisse.

Hinnang: Eesti pole suutnud oma interneti-hääletuse semantilist tähendust üle kanda isegi suhteliselt lähedasse kultuuriruumi.

FR

Prantsusmaa on i-hääletust kasutanud aastast 2007 ning seal tähendab see turvalist https veebisaiti, mille kasutajatunnuseid ja paroole paraku levitati kodanikele meili ja SMSi vahendusel. Sellise lahenduse turvariskid on teada juba 2004. aasta USA sõjaväe kaughääletustest nimega SERVE ning säärastena ka hästi dokumenteeritud. Meilirünnete ja GSM SS7 turvaaukude valguses ei ole Prantsusmaal ju tegelikult kasutaja tõsikindla kaugtuvastamise protseduuri, mistõttu otsus määramatuse tingimusis need hääletusviisid peatada tundub igati asjalik. Samas tuleb kiita prantslaste julgust moodstate hääletusviisidega eksperimenteerimisel.

NL

90ndate lõpuks kasutas Hollandis kioskitüüpi (DRE) hääletusmasinaid kuni 90% elanikkonnast. Aastatel 2006–2007 läbi viidud poliitilise kampaaniaga viidi NEDAP hääletusmasinad käigust ja e-hääletus lõpetati 2009.

NL olukorda komplitseerivateks teguriks on veel ka aastal 2011 aset leidnud DigiNotar skandaal, mis oluliselt häiris NL e-riigi toimimist ning mis senimaani mõjutab NL IT riskihinnanguid.

Ei e- ega i-valimist Hollandis hetkel ei ole ega paista tulevat. Aasta 2017 probleemiks said hoopis turvavead tavavalimiste tulemusi konsolideerivas tarkvaras, need avastati kõigest kuu aega enne eelseisvaid valimisi. Asjakohane audit koos vigade parandusega tähendanuks valimiste edasilükkamist, mis aga poliitiliselt laetud situatsioonis ei osutunud võimalikuks. Mistõttu NL valitsuse otsust – lugeda hääled kokku käsitsi – tuleb tuntava välismõju tingimustes (sealne viide [0] (p 11)) ning Alt-Right olukorras (p 1) , lugeda täiesti mõistetavaks ja adekvaatseks.

NO

Norras on e-hääletust piiratud ulatuses edukalt katsetatud. Eksperimendid lõppesid, sest valimised võitis e-valimisi vastustav partei. Lõpetamise ettekäändeks kasutati mõningaid tehnilisi viperusi – suhe tavahääletusega ei olnud arvesse võetud ning osadel isikutel õnnestus hääletada kahekordselt (Eesti vaatevinklist on tegu elementaarse disainiveaga). Norra seega põrkus tavapärastele esmaraskustele olukorras, kus Vassili ja Solvaku kohaselt näiteks i-hääletussüsteem vajab stabiliseerumiseks 3–4 toimumiskorda. Kahju, sest tegu oli lootustandvate arengutega, millest isegi Eestil oli õppust võtta.

UA

Ukraina presidendivalimistel 2014 tehti õpikurünnak valimisprotseduuride ning valimiskomisjoni mainele, kasutades punktides 6, 7, 8, 9 ja 10 kirjeldatud printsiipe ning ülevõimendades olukorda oponeeriva meediaga (punkt 11). Rünnaku sooritamise algne vektor (küber, p 6 ja 7) pole saavutatud tulemuse kontekstis isegi mitte oluline.

Ühtlasi on Ukrainas käivitatud Eesti ID-kaardi taoline PKI süsteem, mis annab väga hea tehnilise algme tulevikuks.

US

USA valimiste parim omakriitika (neljaosaline kirjutis) on saadaval siin. USA oludes on puudu praktiliselt kõik edukaks i-hääletuseks vajalikud eeldused, eelkõige aga toimiv kaugtuvastus ja turvaline valijate register [vt SERVE, 2004]. Ühtlasi ilmnes viimaste presidendivalimiste ajal lisaks teadaolevatele riskidele (2 ja 4) ka komplekt USA-le seni tundmatuid riske nagu 1, 6, 7, 8 ja 10. Lisandus valimisteväline mõju – pr Clintoni ning DNC meiliserverite madal turvalisus, mis kübervaatekohast oli tegelikult vanamoeline ründeoperatsioon (Eesti läbis sama ohufaasi u 3–5 aastat tagasi) ning millel USA valimissüsteemidega otsene seos puudus.

USA põhiprobleemiks hetkel on ajakohase ning pädeva globaalmudeli puudumine, riskide kaardistamatus, suurriigi puhul paratamatu tehno-organisatoorne inerts koos sellest johtuvate irratsionaalsete poliitiliste hirmudega (loe: muudatused on hakanud toimuma suurte riikide jaoks talumatult kiiresti).

Lõppsõna asemel

Riike, kus e- või isegi i-hääletust on planeeritud või pruugitud, leidub oluliselt rohkem, vt näiteks IE, KE jpt. Laiem ülevaade on saadaval Wikipedias. Lugemisel tuleb arvestada, et sealne terminoloogia ei erista e-hääletust i-hääletusest. Kohati kasutatakse i-hääletuse sünonüümina väljendit “online voting“, mis on Eesti i-hääletuse selgitamiseks siiski vaid poolpiisav, kuivõrd ei selgita turvalise kaugtuvastuse olemust.

Alles jõuti küber viiendaks sõjapidamisdomeeniks kinnitada, kui selgus, et interneti ja küberi seljas ratsutades on saanud megaventilaatori seljale sõjaväelaste vana tuttav – infosõda. Infosõda elab praegu üle täielikku renessanssi ning ei imestaks, kui see varsti kehtestatakse eraldi (nullinda) sõjapidamisdomeenina. Ent infosõda peab siiski silmas vaenlase lühiajalist eksitamist – üksnes senikaua, kuni on taktikaliste eesmärkide saavutamiseks vaja.

Moodsaimad ründed ründavad inimolemust, püüdes alt ära lüüa semiootilisi, kultuurilisi ja religioosseid tõekspidamisi ning väärtusi. Memeetiline sõda võib olla väga pika vinnaga, ettevalmistus konfliktiks võib kesta mitu põlvkonda ja isegi ületada ühe põlvkonna eluea.

Nüüdisaegsed valimised peavad kõiki neid uusi reaalsusi arvesse võtma. Selleks on vaja valimiste adekvaatset mudelit (saamaks aru, mis valimisi üldse ohustab või mõjutab) ning reaalajas toimetavaid spetsialiste kõigi nimetatud ohtudega toimetulemiseks. Nüüdisaegne e-riik kindlasti suudab moodsa aja ohud valimistele nii üles loetleda kui ära tõrjuda, kuid selleks on vaja mõtlemise muutust. Suurriikide pealt juba paistab, et “šokeeritud olemise” ja irratsionaalse hirmuga kaugele ei jõua – heal juhul ehk tagasi vanade ebaturvaliste pabervalimiste juurde.

Eestis toimuvad kohalike omavalitsuste valimised tänavu oktoobris. Vahepealset aega tuleks kasutada meie e-hääletuse (ja selle eeliste) selgitamiseks meile sarnanevate väärtustega välisriikides.

Viited

Välisriikide esindajatele väljajagamiseks sobib järgmine e-hääletuse teemaline lingikomplekt (mostly in English):

  1. An overview of voting methods in Estonia: http://vvk.ee/voting-methods-in-estonia/
  2. E-voting concept security: http://www.vvk.ee/public/dok/E-voting_concept_security_analysis_and_measures_2010.pdf
  3. Practical Security Analysis: http://cyber.ee/uploads/2013/05/Buldas_practical_e_voting_final.pdf
  4. E-voting in Estonia: technological diffusion: http://skytte.ut.ee/sites/default/files/skytte/e_voting_in_estonia_vassil_solvak_a5_web.pdf
  5. Bias Report: http://www.ut.ee/kristjan.vassil/wp-content/uploads/Bias_report.pdf
  6. Log Analysis of Estonian Internet Voting 2013/2015: https://eprint.iacr.org/2015/1211.pdf
  7. Elections at Soviet times: http://www.mnemosyne.ee/wordpress/wp-content/uploads/2011/06/Olev_Liivik_-_Supreme_Soviet.pdf
  8. RIA – as an organization (Authority/Amet): https://www.ria.ee/en/about-estonian-information-system-authority.html
  9. Short description of i-voting (An answer to OSCE/Serve criticism): http://research.cyber.ee/~jan/publ/evote2011.pdf
  10. Criticism by Haldermann and Kitkat: https://www.verifiedvoting.org/wp-content/uploads/2014/10/Estonia_2014_IVotingReport.pdf
  11. General statistics about Estonian elections – (nice infographics but in Estonian only): http://www.vvk.ee/valijale/e-haaletamine/e-statistika/
  12. An independent blog describes 2015 elections nuances (nice pics but in Estonian only): http://www.evalimised.ee/e-valimiste-statistika/
  13. Tanel Torn, Master Thesis: https://digi.lib.ttu.ee/services/copycat-pdf.php?ID=1781