Category Archives: e-valimised

Valimiste turvamudelist

Anto Veldre, RIA analüütik

Tisklaimer – alljärgnev on katse kokku koondada suurem pilt, mis seondub Eesti i-hääletusega ja selle erilise kohaga maailmas. Infot olen koondanud siit ja sealt, tänud kõigile korrespondentidele. Võimalikud vead on sellegipoolest minu omad ja palun neist lahkesti teada anda.

Ühtlasi ütlen kohe ausalt ära, et minust sai e-hääletuse pooldaja mais 2004 (nähes eelist, mida teistel riikidel pole) ning et lisaks olen paberhääletuse (kui mustkunsti ja sotsiaalse sõltuvuse kaudu manipuleeritava traditsiooni) leige vastane. Kindlasti olen erapoolik – jätan paar tugevat argumenti käsitlemata pelgalt seepärast, et i-valimiste elukutselistele vastastele järamiseks lisakonte hambusse mitte anda.

Kiirkokkuvõte

  • Eesti i-hääletus vs e-hääletus (kiosk, DRE) mujal on täiesti erinevad asjad.
  • Esitan valimiste senisest globaalsema mudeli, kiidan Eestit, nimetan eri riikide arenguid e-/i-hääletuse valdkonnas.
  • e- ning i-hääletuskatsed eri riikides on valimisaktiivsust alati märgatavalt suurendanud. Kas on võimalik, et traditsiooniline valimiskord ei arvestagi elukiiruse drastilise tõusuga?
  • Püstitan irratsionaalse i-valimiskartuse hüpoteesi – see on alalhoidlik vastureaktsioon suutmatusele kaasuda uute distsipliinidega (küber, infosõda, memeetika).
  • Väidan, et Eesti suutlikkus oma e-riigi ja i-hääletuse mehhanisme iseendalegi, saati siis rahvusvahelisel areenil võrreldavalt selgitada, võiks olla parem.

Tegu on mahuka analüüsiga ehk nagu millenniumlased ütlevad: TL;DR (too long, don’t read). Kahjuks pole nii keerulise materjali lühikäsitlus 7 +/– 2 lihtfaktoidi abil mõeldav.

Esitatud viited on võimalusel ingliskeelsed, aitamaks selgitada e-hääletust ka rahvusvahelise auditooriumi ees.

Sissejuhatus

Valimistele esitatakse enamasti normitehnilisi nõudeid (hääleõigus, ühetaolisus) ja siis veel ka protseduurilisi nõudeid (kes ja kuidas viib hääletuse läbi või auditeerib tulemusi). Ent vahepeal on maailm muutunud, inforuumi ja küberruumi küpsemine on hägustanud riigipiirid kohati vaid virtuaalseks jooneks. Kontrollküsimus: kas mõne teise riigi luureteenistus osaleb meie valimistel?

Meie elanikkonda mõjutavad meie naabrite ja vastaste küberneetilised ning memeetilised relvad kindla peale, mistõttu vaade valimistele kui lokaalse iseloomuga sündmusele tänapäeval enam ei päde. Westfaali nägemus rahvusriiklusest eeldab kindlat territooriumi ning selle piires toimivat bürokraatiat, mõlemad mõisted on globaliseerumise tingimustes paraku hägustumas.

Ühtlasi pole maailma ajaloo kogu eelnenud perioodil tekkinud vajadustki vaadelda valimisi nn täiusliku mänguteoreetilise operatiivtervikuna, milles konsolideeritaks korralduslikud ja tehnilised aspektid, ründevektorid ning võimeka oponendi võimalikud tehnoloogilised vastukäigud globaalses vaates. Tänaseks on see vajadus tekkimas.

Tänapäeva riskihaldusnõuetele vastavat valimiste üldmudelit saab mingilgi kujul ette näidata vaid Eesti ning see kätkeb endas järgmisi elemente:

  1. Õigusriigile omane juriidiline režiim, tagamaks kandidaatide füüsilist ning psühholoogilist ohutust. Globaalne turvaolukord on halvenenud, mistõttu võib täna demokraatia tingimustes vabalt juhtuda, et Alt-Right tiiva kandidaadi näiv või (suisa tegelik) julgeolek õigusriigis osutub täna nudituks. Olgu ühtlasi hästi selge, et see fenomen asetub kusagile eetika ja kultuuri vahepeale, väljapoole valimiskorralduse konteksti, illustreerides ometigi mõningaid moodsaid mõjusid, mida valimistel arvestamata jätta ei saa.
  2. Õigusriigile omane juriidiline režiim, mis tagaks lihtsa ja kerge võimaluse valimistel osalemiseks (kas siis kandidaadi või valijana) igaühele, kellel on selleks soov ja seadusekohane õigus. Probleemiks on ilmsed ja mitteilmsed tsensused, sealhulgas elanikkonna vaesematele kihtidele ebamõistlikult kalliks osutuv isikut tõendava dokumendi nõue. Sellest vaatevinklist, isegi riikides, kus e- või i-hääletus on ebaõnnestunud, märgitakse osaluse märgatavat elavnemist, rääkimata EU ametlikust poliitikast osalusprotsendi sihipäraseks tõstmiseks.
  3. Õigusriigi vääriline olukord, kus puudub praktiline võimalus (eriti just lokaalsete) valimiskomisjonide liikmete üksikult või grupikaupa mõjutamiseks sõltuvuse vms kaudu. Tegemist on demokraatia piinliku kitsaskohaga, mida maailm seni tunnistada ei soovi ning mida Eesti tajub üksnes tänu Nõukogude Eesti aegse valimisfarsi nn 99,9% kogemusele.
  4. Usaldusväärne valijate register, seal sisalduva info autentsus, terviklus ja salgamatus. Maailmas on Eesti kõrval vähe riike, kus säärane keskne elektrooniline register a) eksisteerib, b) on volitatud süsteemile online‘is kättesaadav ning c) osutub küberrünnakule vastupidavaks.
  5. Usaldusväärne kandidaatide register, seal sisalduva info autentsus, terviklus ja salgamatus.
  6. Inforuumi, sh globaalse inforuumi või ka mõne lihtsalt vaenuliku inforuumi mõju valijatele. Tegemist on seni suuresti alahinnatud psühholoogilise kaitse distsipliiniga, mille mõju valimistulemustele (eriti multikultuurses riigis) pole paraku võimalik alahinnata – meenutagem näiteks Eurovisiooni hääletusi. Ühtlasi ei saa välistada, et suurandmete ajastul on tekkimas tõhusad psühhomeetrilised tehnoloogiad laiade valijakihtide järkjärguliseks mõõdistamiseks ja mõjutamiseks läbi sotsiaalvõrgustike.
  7. Küberruumi artefaktide mõju valimisprotseduuridele, eelkõige käideldavuse ja tervikluse osas (küberrünnaku alamliigid: DDoS, pahavara). Küberruum olgu siinkohal defineeritud suhtlusvõimeliste infotöötlusseadmete hulgana, vt MKMi terminoloogiadokumenti). Eesti i-hääletuse riskidokument käsitleb küberriske avatult.
  8. Valimiste mistahes etapil kasutatud infotehnoloogia turvalisus – olgu siis eeldatud või sätestatud tasemel (konfidentsiaalsus, terviklus, käideldavus). Hillary Clintoni ja DNC meiliserveritele tehtud vanamoodne küberrünnak andis näiteks USAs tagasilöögi hoopis valimiste infosüsteemidele. Kuid: tegelikku turvalisust tuleb kindlasti eristada avalikult aktsepteeritud vaatest – rünnata võidakse nii tehnoloogiat kui hoopis selle kuvandit, vt ka p 10). Kontrollküsimus: mis kasu võiks varas loota Valimiskomisjoni arvuti ärapätsamisest?
  9. Valimiste korraldaja ja tema tööprotseduuride usaldusväärsus. Tegemist on interdistsiplinaarse alaga, milles on nii õiguslikke, sotsiaalseid kui PR aspekte. Kuid: tuleb eristada objektiivset usaldusväärsust (võimalik, et võõra inforuumi poolt tüüritavast) avalikust arvamusest ning otsustavalt ning reaalajas juhtida võimalikku lõhet nende vahel (mainekujundus, psühholoogiline kaitse).
  10. Punktide 8 ja 9 puhul tuleb eraldi ning spetsiifilise ründevektorina käsitleda valimisprotsessi kuvandit. Küber- ja inforuumis toimiva tiheda seostatuse ja positiivse tagasiside tõttu (Norbert Wiener, “Küberneetika”; Charles Perrow, “Normal Accidents”) on sündmustele tekkiv tagasiside sageli ülevõimendatud või -kriitiline (füüsika, mitte hinnangu mõttes), selle kogus ja mõju on sageli ennustamatud.
  11. Lõpuks, isetekkeline või sihilike memeetiliste jõupingutuste abil kujundatud (alternatiivne) sõnumi- ja kultuuriruum (memeetiline ruum), kus mingid valimisviisid või konkreetsed valimistavad sihilikult kängitsetakse religioosse tabu staatusse. Näitena olgu esitatud kiipkaart=666 meem, ja sihilikult kujundatud “Saatan valib Internetis” meem, milliste nähtuste tõrjumine intellektuaalsete argumentide abil osutub sama võimatuks kui katoliiklase ümberveenmine armulaua või pihi tähenduses.

Eesti i-hääletuse olulised iseärasused

Tuginen nüüd eespool esitatud 11-punktilisele mudelile ning toon esile Eesti valimiste, eriti ja eelkõige i-hääletuse olulised erisused (idiosünkraasiad), mis on meil Eestis e-hääletust võimaldanud ning mis on enamjaolt needsamad, mis mujal seda ei pigem ei võimalda.

A) Eesti kodanikud usaldavad oma riiki (või valitsust, oleneb tõlkenüansist) ning ei taju neid kumbagi nuhi, külakurnaja või vaenlasena. Tegemist on isegi Lääne tsivilisatsioonis (Idast rääkimata) küllaltki haruldase fenomeniga (excl CH, FI, NO ja ehk veel mõned üksikud riigid).

B) Eestis on elanikkond lõpliku täpsusega loetletud ning reaalaja lähedaselt peegeldatud riiklikesse registritesse (sünnid, surmad, elukohavahetused). Isikusamasuse kontrolliks vajalikud ressursid (LDAP) on avalikud (mõnes teises riigis tajutaks säärast ülesehitust kirjeldamatu tabuna). Ent manipulatsioonid nimekirjadega (valijad, kandidaadid) pole Eestis keskse reaalajalise registri tõttu põhimõtteliselt võimalikud. Lahenduse hinnaks on Lääne-Euroopale kultuuriliselt sobimatud kompromissid elanikkonna “näiva” privaatsuse osas.

C) Eelmisele asjaolule toetudes ning USA päritolu tugevale krüptograafiale tuginedes on loodud isikute kaugtuvastamise (remote identification) süsteem (PKI), milles riik garanteerib baasidentiteedi tõsikindluse, ning see süsteem hõlmab ka omakäelise allkirjaga võrdsustatud e-allkirjastamise lahendust. Teisisõnu, peale Eesti polegi ühtki riiki, kus I tehnoloogiline baas ning II selle levik üheskoos võimaldaksid sooritada üleriigilist turvalist i-hääletust (igaühe kodusest arvutist). Esineb riike, kus tuvastussüsteem eksisteerib (FI), kuid kus tuvastusvahendite levik üldvalimisi paraku ei võimalda. On riike, kus internetihääletus on eelistatud või katsejärgus (CH, FR), kuid kus puudub turvaline tuvastussüsteem, sestap eksperimenteeritakse nende tuvastusviisidega, mis on olemas. Puudustest: meie lahenduse tagajärjeks ehk memeetiliseks hinnaks on suuresti põhjendamatu “vanaema sundimise” ja “vanadekodude/sõjaväeosade” (Granny Farming) kriitika, mis kuulub eetika, kultuuri või sotsiaalvaldkonda ning üldsegi mitte valimistehnoloogia skoopi.

D) Eesti on tõestanud, et ta suudab oma riiklikult olulisi infosüsteeme Internetis jätkusuutlikult pidada viisil, et neid pole võimalik distantsilt kübervahenditega kompromiteerida, ei tegelikkuses ega ka kuritahtlikult konstrueeritud alternatiivses reaalsuses. Selle omaduse vältimatuks eelduseks, vähemalt meie tingimusis, on olnud X-tee koos eID kaugtuvastuse / allkirjastamisega (p A, B ja C ).

E) Eesti i-hääletus on unikaalne ja pidevalt arenev (tagasisidet ja kriitikat arvesse võttev) tehniline lahendus, mis suudab piisavalt hästi tagada vastuolulisi nõudeid hääle salajasusele ning hääletuse terviklusele (põhjustel p A, B, C ja D). Puudustest: meie itimeeste ja krüptoloogide seas leidub siseopositsioon, kes arvavad, et süsteemi täiustamine võiks toimuda veel märkimisväärselt kiiremini.

F) internetihääletuse keskne infrastruktuur on süsteem, mis püstitatakse vaid hääletuse hetkeks, mille lähtekood on põhiosas avalik, mis on korduvalt auditeeritud ning mille serverid paiknevad riigi/valitsuse täieliku (!!!) kontrolli all asuvas võrgusegmendis. Selle ja mõne teise riskihaldusmeetmega (pidev modifitseerimine, valimisäpi publitseerimine alles vahetult enne sündmust) on reaalse oponendi jaoks reaalne rünnak muudetud heidutavalt keerukaks. Meie lahenduse hinnaks on võimalik kultuuriline sobimatus näiteks USA oludega (kompromissidekohad, mida suurriik ei kordaks, vaid maksaks suurusjärgu-kahe võrra üle).

G) Eesti i-hääletuse turvalisus on suuresti tagatud asjaoluga, et selle toimimiseks vajalik kliendipoolne infrastruktuur (kaardid, lugerid, tarkvara) pole mitte spetsiaalselt i-hääletuse jaoks üles seatav laadapalagan, vaid miski, mis on igapäevaselt käigus tööprotseduurides, panganduses jne (jooksvaid numbreid vt ID.ee kodulehelt). Kui Eesti e-eluviis eviks olulisi tehnilisi turvaauke, võimaldanuks see ammu põhja lasta kogu meie panganduse, rääkimata riigi üleüldisest toimimisest – meil teatavasti polegi enam piisavalt palju teeninduslette. E-hääletus on Eestis lihtsalt üks paljudest riiklikest e-teenustest omasuguste pikas reas. Seetõttu saame eeldada, et võimalikud tehnoloogilised vead tulevad välja juba põhikasutuse käigus, milleks e-hääletus kindlasti ei ole. Siit omakorda tuleneb kindlustunne, et operatiivolukorra muutus valimiste perioodil on ühtlasi nii monitooritav kui märgatav.

Q) Mõned ülimalt tehnilised kaitsevõtted, näiteks SSL/TLS (https) veebisessiooni initsieerimine kaardil leiduva krüptomaterjali, mitte lambist genereeritud tokeni baasil, mis automaatselt nurjab terve hulga MitM ründeid. Infoturblased teavad, millest jutt, Läänele pole me seda kaitsemeedet veel eriti reklaaminud.

W) Muud põnevad tähelepanekud, näiteks heuristiline eeldus, et “elanikkond suudab tõhusalt kasutada internetti, arvuteid ja identiteedikandjaid” (olen mitmel konverentsil näinud, kuidas kujund “kiipkaarti hoidev tädi Maali” tekitab siirast hämmastust). Või siis läänemaailma šokeeriv asjaolu, et ka paberhääletamise puhul on teada hulganisti riske ja rünnakuid valimisprotseduurile (valimiskasti terviklus, karusell jne). Lääne ühiskondades on demokraatlikud valimised ära kanoniseeritud ning petutehnoloogiatest vestlemine on tabu (see paraku põhjustab võltsturvalisuse tunde).

X) Eesti mudelil on ka märkimisväärseid puudusi, keerukus ja erinevused eelkõige. Olulised semantilised erinevused enamikest lääneriikidest ei võimaldada siinseid lahendusi üks-ühele lääne mudelile üle kanda ega arusaadavalt selgitada. See komplitseerib omavahelist võrreldavust ning soosib memeetilisi ja semantilisi ründeid meie internetihääletusele. Mark Twaini tsiteerides, kui moslem peab nelja naist, siis “see on ju peaaegu nagu kahenaisepidamine”. Nii saab oponent omaenda mõistesüsteemi kasutades panna samasse patta Hollandis aastal 2009 keelustatud valimismasinad (kioskid, DRE) ja meie internetihääletuse, labasel põhjusel, et mõlemi tähistamiseks kasutatakse sama terminit – e-hääletus. Keskmine heasoovlik kõrgharitud väliskülaline oma taustateadmistega ei ole võimeline Eesti i-hääletust endale adekvaatselt visualiseerima, tal puudub terve komplekt vajalikke taustateadmisi. Ka kõrgharidusega inimese puhul on vaja tundide või päevade pikkust selgitusvälpa, see aga pole juhusuhtluses kuigi realistlik suhtlusperiood.

Y) Kättesaadavaid analoogiaid teadmussiirdeks on aja jooksul siiski leitud. Näiteks “isikukoodi” on tark selgitada “Sinu digitaalse nimena” ning abstrahheeruda lääne-eurooplasele kultuuriusundiliselt vastuvõetamatust inimeste nummerdamise ajaloost. On hea teada, et i-hääletuse selgitamiseks kasutatav kahekordse ümbriku süsteem on üks-üheses vastavuses Saksamaa tigupostise eelhääletussüsteemiga, mille resulteeriv turvalisus on kaheldamatult RSA krüptograafiast madalam. Sääraste mõisteliste analoogiate otsimine ja leidmine on sõprade ja vastastega vestlemisel üha olulisem.

i-valimishirmude analüüs riigiti

CH

Šveitsi eripäraks on kodanike erakordselt kõrge usaldus oma riigi ja valitsuse vastu (p 1). See on võimaldanud eri kantonites korduvalt eksperimenteerida e/i-hääletuse erinevate tehnoloogiatega. Tänaseks on riik sisuliselt asendanud ülimalt levinud (80% kasutatava) meilitsi eelhääletussüsteemi i-hääletussüsteemiga. Autentimismaterjal ja verifitseerimismaterjal saadetakse inimestele igakordselt paberposti teel.

Šveitsi kodanike kultuuriline resistentsus irratsionaalse mõju suhtes (p 11) näib olevat piisavalt kõrge, seda tingimustes, kus rünnakud CH valimissüsteemile pole üldse lakanud.

Šveits arendab üldkasutatavat e-identiteeti, kaasatud on näiteks Kaspar Korjus Eestist. Üks Šveitsis kasutatavatest süsteemidest on katsetatava demona kättesaadaval siin.

Šveitsi arvukatele hääletussüsteemidele on määratud maksimaalselt kaasatava valijaskonna piir (protsentides), olenevalt verifitseeritavuse tasemest.

DE

Saksamaa puhul on i-hääletuseks vajalik tehnoloogiline baas (tuvastusvahendid) peaasjalikult olemas (küll killustatud kujul), kuid puudu on kultuurilisest julgusest ajalooliste tabude ületamisel. Valimismasinaid on edukalt katsetatud perioodil 1998–2005.

DE iseärasus: kahe valija kaebuse põhjal konstitutsioonikohus keelustas igasuguse e-hääletamise kuni „kõik valijad sellest aru ei saa nii, et igaüks suudaks vaadelda“. Küsimus oli just valimismasinate turvalisuses, i-hääletuse osas ametlikku seisukohta pole.

Saksamaa konservatiivse suurriigina ning potentsiaalse regionaalse hegemoonina on väga häiritud punktidest 1, 6, 7, 8, 10 ja 11, mida ta ei suuda avalikkusele rahuldavalt selgitada, osalt on põhjuseks adekvaatse ohumudeli puudumine ja suurriiklik inerts nagu ka USA puhul.

Saksamaa puhul on hea võrrelda meie ja nende eelhääletust kirja teel kuivõrd meie i-hääletus on nende eelhääletuse digitaalne teisend. Isegi osad VVK juhendmaterjalid on muutusteta kasutatavad. Sakslastele on kasulik selgitada, et meil käib eelhääletamas 1/3 valijaid.

FI

Soomes on e-hääletust piiratud ulatuses katsetatud aastal 2008. Saadi vastuolulised tulemused, kuivõrd “summa ei läinud kokku” ning täpsuse puudumine on sealses kultuuriruumis kolepaha asjaolu. I-hääletuse üle käib Soomes hetkel tihe arutelu, just käivitati teostatavusuuring. I-hääletuseks vajalik tehniline infrastruktuur on Soomes tegelikult täiesti olemas (PKI + ID-kaart + Palveluväylä), kuid riikliku identiteedikandja levik madalam kui meil. Soome ajakirjandus on seni takerdunud i-/e- termini lahtimõtestamisse.

Hinnang: Eesti pole suutnud oma interneti-hääletuse semantilist tähendust üle kanda isegi suhteliselt lähedasse kultuuriruumi.

FR

Prantsusmaa on i-hääletust kasutanud aastast 2007 ning seal tähendab see turvalist https veebisaiti, mille kasutajatunnuseid ja paroole paraku levitati kodanikele meili ja SMSi vahendusel. Sellise lahenduse turvariskid on teada juba 2004. aasta USA sõjaväe kaughääletustest nimega SERVE ning säärastena ka hästi dokumenteeritud. Meilirünnete ja GSM SS7 turvaaukude valguses ei ole Prantsusmaal ju tegelikult kasutaja tõsikindla kaugtuvastamise protseduuri, mistõttu otsus määramatuse tingimusis need hääletusviisid peatada tundub igati asjalik. Samas tuleb kiita prantslaste julgust moodstate hääletusviisidega eksperimenteerimisel.

NL

90ndate lõpuks kasutas Hollandis kioskitüüpi (DRE) hääletusmasinaid kuni 90% elanikkonnast. Aastatel 2006–2007 läbi viidud poliitilise kampaaniaga viidi NEDAP hääletusmasinad käigust ja e-hääletus lõpetati 2009.

NL olukorda komplitseerivateks teguriks on veel ka aastal 2011 aset leidnud DigiNotar skandaal, mis oluliselt häiris NL e-riigi toimimist ning mis senimaani mõjutab NL IT riskihinnanguid.

Ei e- ega i-valimist Hollandis hetkel ei ole ega paista tulevat. Aasta 2017 probleemiks said hoopis turvavead tavavalimiste tulemusi konsolideerivas tarkvaras, need avastati kõigest kuu aega enne eelseisvaid valimisi. Asjakohane audit koos vigade parandusega tähendanuks valimiste edasilükkamist, mis aga poliitiliselt laetud situatsioonis ei osutunud võimalikuks. Mistõttu NL valitsuse otsust – lugeda hääled kokku käsitsi – tuleb tuntava välismõju tingimustes (sealne viide [0] (p 11)) ning Alt-Right olukorras (p 1) , lugeda täiesti mõistetavaks ja adekvaatseks.

NO

Norras on e-hääletust piiratud ulatuses edukalt katsetatud. Eksperimendid lõppesid, sest valimised võitis e-valimisi vastustav partei. Lõpetamise ettekäändeks kasutati mõningaid tehnilisi viperusi – suhe tavahääletusega ei olnud arvesse võetud ning osadel isikutel õnnestus hääletada kahekordselt (Eesti vaatevinklist on tegu elementaarse disainiveaga). Norra seega põrkus tavapärastele esmaraskustele olukorras, kus Vassili ja Solvaku kohaselt näiteks i-hääletussüsteem vajab stabiliseerumiseks 3–4 toimumiskorda. Kahju, sest tegu oli lootustandvate arengutega, millest isegi Eestil oli õppust võtta.

UA

Ukraina presidendivalimistel 2014 tehti õpikurünnak valimisprotseduuride ning valimiskomisjoni mainele, kasutades punktides 6, 7, 8, 9 ja 10 kirjeldatud printsiipe ning ülevõimendades olukorda oponeeriva meediaga (punkt 11). Rünnaku sooritamise algne vektor (küber, p 6 ja 7) pole saavutatud tulemuse kontekstis isegi mitte oluline.

Ühtlasi on Ukrainas käivitatud Eesti ID-kaardi taoline PKI süsteem, mis annab väga hea tehnilise algme tulevikuks.

US

USA valimiste parim omakriitika (neljaosaline kirjutis) on saadaval siin. USA oludes on puudu praktiliselt kõik edukaks i-hääletuseks vajalikud eeldused, eelkõige aga toimiv kaugtuvastus ja turvaline valijate register [vt SERVE, 2004]. Ühtlasi ilmnes viimaste presidendivalimiste ajal lisaks teadaolevatele riskidele (2 ja 4) ka komplekt USA-le seni tundmatuid riske nagu 1, 6, 7, 8 ja 10. Lisandus valimisteväline mõju – pr Clintoni ning DNC meiliserverite madal turvalisus, mis kübervaatekohast oli tegelikult vanamoeline ründeoperatsioon (Eesti läbis sama ohufaasi u 3–5 aastat tagasi) ning millel USA valimissüsteemidega otsene seos puudus.

USA põhiprobleemiks hetkel on ajakohase ning pädeva globaalmudeli puudumine, riskide kaardistamatus, suurriigi puhul paratamatu tehno-organisatoorne inerts koos sellest johtuvate irratsionaalsete poliitiliste hirmudega (loe: muudatused on hakanud toimuma suurte riikide jaoks talumatult kiiresti).

Lõppsõna asemel

Riike, kus e- või isegi i-hääletust on planeeritud või pruugitud, leidub oluliselt rohkem, vt näiteks IE, KE jpt. Laiem ülevaade on saadaval Wikipedias. Lugemisel tuleb arvestada, et sealne terminoloogia ei erista e-hääletust i-hääletusest. Kohati kasutatakse i-hääletuse sünonüümina väljendit “online voting“, mis on Eesti i-hääletuse selgitamiseks siiski vaid poolpiisav, kuivõrd ei selgita turvalise kaugtuvastuse olemust.

Alles jõuti küber viiendaks sõjapidamisdomeeniks kinnitada, kui selgus, et interneti ja küberi seljas ratsutades on saanud megaventilaatori seljale sõjaväelaste vana tuttav – infosõda. Infosõda elab praegu üle täielikku renessanssi ning ei imestaks, kui see varsti kehtestatakse eraldi (nullinda) sõjapidamisdomeenina. Ent infosõda peab siiski silmas vaenlase lühiajalist eksitamist – üksnes senikaua, kuni on taktikaliste eesmärkide saavutamiseks vaja.

Moodsaimad ründed ründavad inimolemust, püüdes alt ära lüüa semiootilisi, kultuurilisi ja religioosseid tõekspidamisi ning väärtusi. Memeetiline sõda võib olla väga pika vinnaga, ettevalmistus konfliktiks võib kesta mitu põlvkonda ja isegi ületada ühe põlvkonna eluea.

Nüüdisaegsed valimised peavad kõiki neid uusi reaalsusi arvesse võtma. Selleks on vaja valimiste adekvaatset mudelit (saamaks aru, mis valimisi üldse ohustab või mõjutab) ning reaalajas toimetavaid spetsialiste kõigi nimetatud ohtudega toimetulemiseks. Nüüdisaegne e-riik kindlasti suudab moodsa aja ohud valimistele nii üles loetleda kui ära tõrjuda, kuid selleks on vaja mõtlemise muutust. Suurriikide pealt juba paistab, et “šokeeritud olemise” ja irratsionaalse hirmuga kaugele ei jõua – heal juhul ehk tagasi vanade ebaturvaliste pabervalimiste juurde.

Eestis toimuvad kohalike omavalitsuste valimised tänavu oktoobris. Vahepealset aega tuleks kasutada meie e-hääletuse (ja selle eeliste) selgitamiseks meile sarnanevate väärtustega välisriikides.

Viited

Välisriikide esindajatele väljajagamiseks sobib järgmine e-hääletuse teemaline lingikomplekt (mostly in English):

  1. An overview of voting methods in Estonia: http://vvk.ee/voting-methods-in-estonia/
  2. E-voting concept security: http://www.vvk.ee/public/dok/E-voting_concept_security_analysis_and_measures_2010.pdf
  3. Practical Security Analysis: http://cyber.ee/uploads/2013/05/Buldas_practical_e_voting_final.pdf
  4. E-voting in Estonia: technological diffusion: http://skytte.ut.ee/sites/default/files/skytte/e_voting_in_estonia_vassil_solvak_a5_web.pdf
  5. Bias Report: http://www.ut.ee/kristjan.vassil/wp-content/uploads/Bias_report.pdf
  6. Log Analysis of Estonian Internet Voting 2013/2015: https://eprint.iacr.org/2015/1211.pdf
  7. Elections at Soviet times: http://www.mnemosyne.ee/wordpress/wp-content/uploads/2011/06/Olev_Liivik_-_Supreme_Soviet.pdf
  8. RIA – as an organization (Authority/Amet): https://www.ria.ee/en/about-estonian-information-system-authority.html
  9. Short description of i-voting (An answer to OSCE/Serve criticism): http://research.cyber.ee/~jan/publ/evote2011.pdf
  10. Criticism by Haldermann and Kitkat: https://www.verifiedvoting.org/wp-content/uploads/2014/10/Estonia_2014_IVotingReport.pdf
  11. General statistics about Estonian elections – (nice infographics but in Estonian only): http://www.vvk.ee/valijale/e-haaletamine/e-statistika/
  12. An independent blog describes 2015 elections nuances (nice pics but in Estonian only): http://www.evalimised.ee/e-valimiste-statistika/
  13. Tanel Torn, Master Thesis: https://digi.lib.ttu.ee/services/copycat-pdf.php?ID=1781

Elektroonilise demokraatia ragin

Riigi Infosüsteemi Ameti peadirektor Taimar Peterkop kirjutas 19. novembri Postimehe lisas ARVAMUS/KULTUUR võimalustest valimisi ja hääletamist mõjutatada.

peterkop

USAs äsja lõppenud presidendivalimised tõstatasid taas küsimuse – kas ja kuidas on valimised “häkitavad”. Kuidas on võimalik valimisi instrumenteerida (ingl rigging) ja tulemusi ebaseaduslikult muuta, kallutada või modifitseerida?

Demokraatlikus ühiskonnas mõjutab antava mandaadi legitiimsust ka valimiste protsessi usaldusväärsus, sh tehniline, sisuline ning ka näiline usaldusväärsus. Seda viimast on lihtne hävitada, kuid raske taastada.

Ausad valimised on demokraatliku ühiskonnakorra olulisim, kanoniseeritud element – leides sellisena kajastust näiteks 1948. aastal vastu võetud ÜRO inimõiguste deklaratsioonis.

Tehnoloogia areng on oluliselt muutnud nii demokraatiat kui valimiste toimumise keskkonda. Isegi riikides, kus pole Interneti-põhiseid valimisi, sõltub valimisprotsess üha rohkem infosüsteemidest: valijate registrid, elektroonilised hääletamismasinad, häälte kokkulugemise meetodid ning häälte talletamise ja edastamise vahendid.

Suur osa inimkonnast on globaalse suhtlusvõrgustiku liikmed ja edastuv infotulv muudab tõe, pooltõe, pisut-tõe jms eristamise väärast ja vaenulikust teabest ilmakodanikele aeganõudvaks ja raskeks. Samal ajal kuulutatakse, et absoluutset tõde polegi, kõik sõltuvat vaatenurgast.

Nii tekkiv memeetiline relv on tihedalt seotud whataboutism‘iks nimetatava nähtusega, kus sotsiaal- ja muu meedia küllastatakse alternatiivsete seisukohtadega – näe, nemad tegid ka!. Näiteks võib tuua MH-17 allatulistamise libastsenaariumid või USA presidendivalimiste lekkeskandaalid. Seeläbi saavutatakse olukord, kus sootsiumi liikmed ei suuda enam valida, keda või mida uskuda. Inimene jätab selles olukorras mõtlemise ning valib mõne endale sobiva tõe. Näiteks NTV, RT, Daeshi või mõne populistliku presidendikandidaadi tõe.

Sellise tegevuse eesmärk on õõnestada demokraatlikku ühiskonnakorda, hävitada õhtumaa kodanike usaldus oma riigi vastu. Euroopas on usalduse lõhkumine edukalt toiminud mitu aastat, ameeriklasi tabas see nüüd pisut ootamatult.

Eesti riigi taastamine on meil värskelt meeles, sealt ka meie e-ühiskonna üks alustingimusi – kodanikkonna usaldus riigi suhtes. Me tajume, et riik ja selle infosüsteem on meie endi oma, hoolega tehtud ja usaldust väärt. Selline kodanike usaldus on luksus, mida enamikel riikidel reeglina pole.

Nii saab näiteks Eesti internetivalimiste vastu suunatud memeetiliste rünnete abil lõhkuda kesksete riiklike protsesside usaldusväärsust ja rahvusriigi püsimise aluseks olevat usaldust. Viimaseta pole aga meie nanoriigi ülalpidamine võimalik. Erinevalt suurematest riikidest, kus rohkem ressurssi.

Lisaks tajutavale turvalisusele, mille mainet on meilgi rünnatud, on kriitiliselt tähtis valimisi teenindava infosüsteemi tehniline turvalisus. Paradoksaalselt on reaalsete süsteemide kaitsmine lihtsam kui tajutava turvalisuse, usalduse hoidmine.

Tegelike nõrkuste leidmiseks peame mõistma valimisprotsessi kõiki osi, auditeerima neid nagu iga teist keerukat süsteemi ning määratlema riskid samadel alustel kui näiteks äriprotsesside riske hinnates. Sealhulgas peame tundma nii küber- kui psühholoogiliste ründevektorite olemust.

Seejuures peab mõistma, et infotehnoloogilised vahendid on kasutatavad kõigi valimisprotsessi osade ründamisel. USA seekordsetel valimistel kasutasid ühe riigi luureteenistused avaliku arvamuse mõjutamiseks ja ühiskonnakorralduse destabiliseerimiseks väga loovaid meetodeid. Ka Saksamaa on mures, et nende 2017. aasta valimisi võidakse välisriigi poolt mõjutada.

Kuigi valijate meelte ja väärtushinnangute ründamist tajutakse pigem pehme meetmena, on selle tarnevahendiks ikkagi internetis toimiv sotsiaal- ja muu meedia ent laskemoonaks elektrooniliste vahendite abil varastatud ja võltsitud teave.

Valimiste mõjutamine teiste riikide poolt pole midagi uut. Valitsused pole varemgi suutnud kiusatusele vastu seista ning demokraatlike valimiste tulemusi on sobivas suunas kallutanud. USA Luure Keskagentuur on tunnistanud sekkumist Tšiili valimistesse aastatel 1962–1974, ehk umbes ajal, mil tollane Nõukogude Liit tegeles sama riigi ühiskonnakorra muutmisega. Venemaa viimase aja tegevust Euroopa riikide poliitika mõjutamisel on ajakirjandus üsna põhjalikult kajastanud. Eesti ajaloost on teada juulis 1940 läbiviidud „valimised“.

Küberneetilised vahendid on uus relv arsenalis, mida riigid oma huvide kaitseks ja eesmärkide saavutamiseks kasutavad.

Kaks aastat tagasi sekkus Ukrainas end CyberBerkutiks nimetanud rühmitus keskvalimisvalimiskomisjoni infosüsteemi töösse. Nad häirisid valimistulemuste arvutamist, et viivitada valimistulemuste väljakuulutamist ning diskrediteerida Ukraina vabariiki. Tegemist on klassikalise näitega, kus valimiste protseduuri ei kahjustatud, kuid püüti tekitada kahtlust valimiste usaldusväärsuses.

Ka USA seekordne presidendivalimiste aasta möödus ärevalt – lekitati USA presidendikandidaadi e-kirju, meenutati vanu ja tutvustati uusi haavatavusi USA valimismasinates, rünnati osariikide valimiskomisjonide infosüsteeme ja nii edasi. USA deklareeris esmakordselt avalikult, et Venemaa eriteenistused (mitmuses) on püüdnud mõjutada USA valimiste kulgu. Sotsiaalteadlased saavad põhjalikult analüüsida Interneti rolli USA valimistulemuste mõjutamisel.

Kas võrguühiskonna liikmete meeled ongi desinformatsioonile rohkem valla kui näiteks eelmise sajandi kuuekümnendate aastate inimestel? Ei, kuid neid mõjutatakse enamatel viisidel. Oluline on määratleda, mida tähendab valimistesse sekkumine.

Mittetäielik loetelu valimistulemuste mõjutamise meetodeist

Segadus valijate nimekirjadega. Probleemid tekivad riikides, kus puudub täpne ülevaade kodanikest. Nendes riikides võib valija väisata mitut valimisjaoskonda ja hääletada igas neist. Päris mitmes riigis on elukutselisi hääletajaid sõidutatud ühest valimisjaoskonnast teise bussiga.

Segadus dokumentidega. On riike, kus mingil osal elanikest pole isikut tõendavaid dokumente. Näiteks ühest Aafrika riigist on teada juhtum, kus pärast sõrmejälgede kasutuselevõttu valijate identifitseerimisel vähenes unikaalsete valijate hulk tunduvalt. Näiteks Ameerika Ühendriikides kipuvad vaesemad inimesed eelistama demokraate, ühtlasi aga napib vaesematel ühiskonnakihtidel raha isikut tõendava dokumendi muretsemiseks. Küsimusest, kas hääletusele lubada dokumendiga või ilma, on seega saanud parteidevahelise võitluse objekt.

Siit ka juurpõhjus, miks ühe USA ülikooli õpetlased meie internetivalimisi ei salli – meie süsteemi terviklus on neile talumatu, sest Eestis, kus isikutunnistus on kohustuslik ning kõigil kodanikel on unikaalne isikukood, pole mainitud kategooria pettused lihtsalt võimalikud. Maailmas on vähe riike, kus elanikkond on arvel Eesti täpsusega. Seda täpsust peab taotlema iga riik, mis soovib korraldada valimisi meiega sarnasel moel.

Kandidaadifilter. Näiteks Eesti 1940. aasta “valimistel” kinnitati kandidaatide nimekirjad Moskvas. Ebasobivaid kandidaate süüdistati mõnes kriminaalkuriteos või sugulaste pattudes ning nad eemaldati valimistelt.

„Karussell“. Saabub bussitäis hääletajaid. Esimene inimene väljub valimiskabiinist puhta sedeliga, mis täidetakse bussis ja antakse kaasa järgmisele hääletajale, kes toob omakorda välja järgmise täitmata sedeli. Kõik selleks, et sedeli „korrektset“ täitmist kontrollida.

Võtteid, mille abil valimistulemusi suunata, on veel. Valimiskasti konstruktsioon võimaldas sisu asendada. Komisjon teadis, millal kõrvaltoas teed juua. Nõukogude ajal kasutati komisjoniliikmete mõjutamiseks vajadusel ka sotsiaalset sõltuvust.

Jõuame ohtlikuma sekkumiseni – võõrriigi rahaline toetus parteile ning hästirahastatud propaganda võivad elanikkonna eelistusi märgatavalt muuta. Varem oli välisriikidel teiste riikide kodanike meelsuse mõjutamine kulukas. Sotsiaalmeedia on selle piirangu kõrvaldanud. Eestil on oma kogemus – meemiga “Saatan valib Internetis” püüti tekitada lõhet suhtumises internetivalimistesse.

Ohud arvutite kasutamisel hääletusprotsessis

Võib eristada kaht täiesti erinevat tüüpi elektroonilisi valimisi: kioskitüüpi e-valimisi (kus inimene hääletab valimisjaoskonnas paikneva aparaadi kaudu) ning internetivalimisi ehk i-valimisi. Viimast meetodit kasutab ka Eesti.

Absoluutne enamus riikidest pole täna võimelised i-valimisi korraldama – sel lihtsal põhjusel, et neil pole oma kodanikest ülevaadet ning kodanikel pole vahendeid enda kaugtuvastamiseks. Internetivalimisteks on vaja mõlemat.

Ameerikas kasutatud kioskitüüpi valimiste põhirisk ilmutab end kahel moel. Kõigepealt, valimiskabiinis seadmega üksi jäädes on ettevalmistunud isikul võimalus riistvara rünnata. Teine risk seisneb auditeerimatuses – nii näiteks on programmeerija Clint Curtis Esindajatekojas vande all kinnitanud, et temalt telliti valimistarkvara, mis kallutab valimistulemuse soovitud poolele. Pole oluline, kas hr Curtis valetab või mitte – tema väide on e-valimiste ründamiseks hästi sobiv meem. Küll aga rõhutab hr Curtise tunnistus vajadust hääletamistarkvara avalikustamiseks, mida Eesti on teinud.

Elektroonilise hääletusega kaasneb veel riske. Sõltumata sellest, kas on kasutusel kioskid või internetihääletus, vajatakse tulemuste edastamiseks ja tabuleerimiseks töötavat taristut (side, elekter). Seega peab riik kriitilise infotaristu osi rünnete eest kaitsma. Eestis on valimiste perioodil rakkes kümned IT-inimesed just selle eesmärgi nimel, et tagada valimiste turvaline ja aus toimimine.

Tavakodanik ei erista häälte lugemise süsteemi häälte näitamise süsteemist. See tähendab, et isegi kui hääled on regioonides ausalt ja vigadeta kokku loetud, põhjustab viivitus või viga teleekraanil usaldamatust valimiste vastu. Eesti vääratas aastal 2011, kui visualiseerimissüsteem mõneks tunniks tardus. Valimised peavad olema õiglased ja ausad. Lisaks aga ka õiglased ja ausad välja nägema.

Eelneva põhjal võib teha järgmised soovitused ja järeldused:

  1. Internetivalimisi ei tohiks kasutada riigid, millel puudub turvaline elektroonilise identiteedi tagamise taristu (PKI – avaliku võtme taristu), mis võimaldaks valijate kaugtuvastamist ja dokumentide digitaalset allkirjastamist.
  2. Aeg on jätta kanoniseeritud käsitlus, justkui pabervalimised saaksid olla digitaalseist valimistest turvalisemad. Eesti rahvas nägi nõukogude ajal pidevalt, kuidas seadusvälise sekkumisega hoiti poolthääletanute protsenti ülikõrgel tasemel. Pigem on turvaline just internetihääletus, kus risk koondub ühte-kahte ruumi ja väga piiritletud tehnoloogiakogumisse ning on sellisena hoomatav ja auditeeritav. Jah, e- ning i-valimistel on oma ohud, riigid peavad need läbi analüüsima ja ohud maandama.
  3. Ründeid valimiste tehnilise teostuse vastu tuleb selgelt eristada rünnakutest valimiste usaldusväärsuse vastu. Kuna infotehnoloogia on keerukas, siis sageli rünnatakse pahatahtlike meemidega just infotehnoloogial põhineva protsessi usaldusväärsust.
  4. Valimiste perioodil vajab riik kõrgendatud küberkaitsemeetmeid. Riik peab suutma kriitilist (info)taristut kaitsta.
  5. Viiendaks ja viimaseks – internetihääletus pole kivistunud süsteem, vaid seda uuendatakse pidevalt – ka vastavalt kolmandate osapoolte tähelepanekutele selle kohta, “kuidas meie valimised välja nägid”. Eesti on uuendamas internetihääletuse tehnilist teostust. Selle tulemusel saavad i-valimiste komponendid välistele osapooltele paremini mõistetavaks.

Interneti kaudu toimiv hääletamine ehk i-valimised on PKI toega ID-kaardi ning X-tee kõrval Eesti saavutus, mida jagada maailmaga.