E-valimised - kas mugav digitaalne alternatiiv tavahääletusele või ebaturvaline ja häälte võltsimist võimaldav lahendus (0)

E-valimised – kas mugav digitaalne alternatiiv tavahääletusele või ebaturvaline ja häälte võltsimist võimaldav lahendus? Eesti on esimene riik maailmas, kus võeti üleriigilistel valimistel kasutusele e-hääletamine. E-hääle   andmiseks   on   vajalik   kas   ID-kaart   või   mobiil-ID,   vastava   tarkvara   ning internetiühendusega seade. 92% Eesti elanikest on internetikasutajad (Kantar Emor, 2018), mis tähendab, et e-hääletamine on suurele enamusele ligipääsetav. Elektroonilise hääletamise statistikad näitavad aasta-aastalt üldist kasvutrendi e-hääletajate arvu osas. Valimiskomisjon nimetab   e-valimisi   turvalisteks   (Koppel,   2020).   Samas   on   ka   neid,   kes   e-hääletamise turvalisuses   kahtlevad   ja   leiavad,   et   süsteem   võimaldab   häälte   võltsimist.   Etteheiteid   e- hääletuse turvalisuse kohta on oluline kontrollida, sest hääletustulemustest sõltub, kes esindab Eesti   rahvast   Riigikogus,   Euroopa   Parlamendis   ja   kohalikes   omavalitsustes.   Antud   essee eesmärgiks on võtta vaatluse alla ajakirjanduse vahendusel esitatud väited e-hääletussüsteemi ebaturvalisuse kohta IT-spetsialist Tarmo Kaldma ning infovabaduse aktivist ja IT-spetsialist Märt Põderi poolt. Hindan nende väidete paikapidavust või ümberlükatavust tuginedes 2014. aastal  koostatud analüüsivale  artiklile  “Security Analysis of the Estonian  Internet  Voting System”,   mille   uurimisrühma   kuulusid   arvutiteadlane   ja   tarkvarainsener   Drew   Springall, küberturvalisuse   insener   Travis   Finkenauer,   Stanfordi   Ülikooli   arvutiteadlane   Zakir Durumeric,   digitaalsete   transformatsioonide   spetsialist   Jason   Kitcat,   Soome internetiturvalisuse   uurija   Harri   Hursti,   valimiste   auditeerimise   spetsialist   ja   süsteemide testimise tehnoloog Margaret MacAlpine ja Michigani Ülikooli arvutiteadlane ja insener J. Alex Halderman. 


Riigi Infosüsteemi Ameti sõnul on e-hääletamise protsesse väga lihtne. E-hääle andmiseks tuleb valimiste veebilehel viidatud e-hääletamise rakendusse PIN1-koodi abil sisse logida, pärast seda saab juba kandidaatide valikuga tutvuda. Pärast sobiva kandidaadi juures “valin” nupu vajutamist kuvab rakendus eraldi ekraanivaates tehtud valiku, mis tuleb PIN2-koodi kasutades digitaalselt allkirjastada. Lisaks mugavusele nimetab RIA e-hääletamist eriliseks ka seetõttu, et e-hääletamise perioodil on võimalik oma meelt muuta: hääletada võib nii mitu korda,   kui   valija   seda   teha   soovib   ning   arvesse   läheb   viimasena   tehtud   valik.   E-häälte lugemise   protsess   on   avalik   ja   selle   juures   viibivad   nii   vaatlejad   kui   ka   Vabariigi Valimiskomisjoni   liikmed.   E-hääletajate   arv   on   aasta-aastalt   nii   kohalike   omavalitsuste, Riigikogu   kui   ka   Euroopa   Parlamendi   valimistel   kasvanud   (Vabariigi   Valimiskomisjon, 2019). E-häälte statistika läbi aastate Vabariigi valimiskomisjoni liige ja õiguskantsleri kantselei direktor Olari Koppel (2020) on öelnud, et siiani ei ole teada ühtegi tõestatud juhtumit, mil antud e-häält oleks õnnetunud tagantjärele muuta, kustutada või lisada viisil, mis pole valimisseadustega ja muude avalike kordadega reguleeritud. Koppel selgitab ülevaatlikult, kuidas e-hääli loetakse. Nimelt saab iga valimiskomisjoni liige valimiste eel krediitkaarti meenutava isikustatud krüptovõtme, mis väljastatakse ja isikustatakse vaatlejate nähes. Toiming protokollitakse ja salvestatakse nii helis kui pildis, antud võti on kogu aeg valimiskomisjoni liikme valduses. E-hääle lugemine saab toimuda vaid siis, kui lugejasse sisestatakse viis võtit – need viis valimiskomisjoni liiget, kelle   võtit   häältelugemisel   kasutatakse,   selguvad   vahetult   enne   häältelugemise   algust. Valimiskomisjoni liikmeid on kokku seitse ja häältevõltsimise soovijatel tuleks antud juhul


kuritegelikule   teele   meelitada   kõik   neist.   E-häälte   lugemine   toimub   vaatlejate   silme   all suletud   ruumis,   selleks   et   vältida   e-häälte   lugemisel   saadud   tulemuse   lekitamist   enne valimisjaoskondade   sulgemist.   E-häälte   lugemise   tulemus   kontrollitakse   üle   –   kõik   read peavad   klappima   ja   vaidlusruumi   seal   ei   ole.   Koppeli   sõnul   ei   ole   süsteemi   tagantjärele võimalik ühtegi häält lisada, ära võtta või muuta. Ta kinnitab, et häältelugemist kontrollivad koha peal vaatlejad, sealhulgas ka valimistel kandideerivate erakondade esindajad.  Hoolimata positiivsetest omadustest, nagu mugav kasutajakeskkond, kerge ligipääsetavus ja valimiskomisjoni poolt kinnitatud turvalisus, on mitmed spetsialistid turvalisuse osas siiski skeptilised. IT-spetsialist Tarmo Kaldma (2017) sõnul on e-valimiste tehniline lahendus küll mugav   ja   ilus,   kuid   suureks   probleemiks   nimetab   ta   asjaolu,   et   valimiskomisjoni   IT- spetsialistist serveri haldaja võib teha kõike, mida ise tahab, ja selle tegevuse üle puudub kontroll. Kaldma ei usu, et see server on erapooletult hallatud. Kusjuures tagantjärele ei ole Kaldma sõnul võimalik enam võimalikku häälte muutmist kontrollida. “Security Analysis of the   Estonian   Internet   Voting   System”   artikli   vaatlustulemustest   selgub,   et   süsteemile   on rakendatud   mitmeid   “läbipaistvust”   loovaid   omadusi,   näiteks   on   võimaldatud   süsteemi haldamist   avalikult   ja   isiklikult   kõrvalt   jälgida,   operaatori   tegevus   ekraanil   salvestatakse videona ja suur osa serveri lähtekoodist on avalik. Kuigi kasutusel olevad meetmed näivad olevat   hästi   kavandatud,   leiab   uurimisrühm,   et   need   on   siiski   puudulikud   ja   ebapiisavad valimistulemuste  täieliku  aususe  kindlakstegemiseks.  Näiteks  ei saa  nende meetmete  abil veenduda,   et   serverites   või   kõvaketastel   ei   ole   juba   enne   tegevuse   pealtvaatamist   või salvestamist   pahatahtlikke   toiminguid   tehtud.   Vaatlusel   selgus   ka,   et   mitmel   juhul   oli süsteemi jälgimiseks kasutusel mitu arvutit või ekraani, kuid videosalvestuse tegemiseks vaid üks   kaamera,   mis   toimingut   täielikult   ei   salvestanud.   Näiteks   juhtus   uurimisrühm   pealt nägema  mittefilmitavale  ekraanile  ilmuvat  veateadet,  mille  serverioperaator  kiirelt  sulges. Teisel juhul, kui veateade ekraanile ilmus, palus töötaja uurimisrühmal ruumist lahkuda, et uued vaatlejad ruumi lasta – see aga jättis operaatorile ajal, mil ühtegi vaatlejat ruumis ei viibinud. Uurimisrühma vaatlustulemuste põhjal ei saa Tarmo Kaldma kartust, et “serveri haldaja võib teha kõike, mida ise tahab” ümber lükata.  IT-spetsialist   Märt   Põder   (2017)   peab   e-valimiste   suurimaks   probleemiks   kontrollitavuse puudumist – inimene, kes andis hääle, peaks saama vaadata, kas see ka reaalselt loetud sai. Põder nimetab praegust e-valimiste süsteemi poolikuks, sest e-hääli on võimalik muuta nii, et sellest   ei   saa   mitte   keegi   aru.   Põder   mainib,   et   olenemata   OSCE   raportitele   ja   teadlaste rühmade   arvamustele,   et   Eesti   e-hääletus   ei   ole   turvaline,   kinnitavad   Eesti   e-hääletuse


korraldajad siiski, et kõik on turvaline ja maailmatasemel. E-valimisi jälginud uurimisrühma sõnul   soovitavad   enamik   teaduskirjanduses   leiduvad   e-hääletuse   skeemid   kasutada krüpteerimistehnikaid, mille abil on võimalik süsteemi otsast lõpuni kontrollitavus (E2E). See tähendab, et igaüks saab kontrollida, et hääletussedelid on täpselt loetud ning ei pea vaid arvutite ja ametnike ausale käitumisele lootma. Uurimisrühm kinnitab, et Eesti süsteem ei sisalda E2E kontrollitavust, selle asemel sisaldab see keerulisi menetluskontrollide komplete ning   need   protseduurid   ei   ole   turvalisuse   või   läbipaistuvse   saavutamiseks   piisavad. Uurimisrühma kirjeldus häälte kontrollimise süsteemi kohta toetab Märt Põderi välja toodud probleemi, et e-hääli ei ole võimalik tagantjärele kontrollida.  Seitsmest spetsialistist koosnev uurimisrühm võttis vaatluse alla ka kliendipoolsete rünnakute võimaluse.   Eesti   seadused   lubavad   valimisametnikel   e-hääletuspettuse   tuvastamise   korral veebipõhise hääletamise katkestada – e-hääled tühistatakse ja valijad peavad valimispäeval valimispunkti   valima   minema.   Uurimisrühm   hindas   selle   kasulikuks   erakorraliseks meetmeks, kuid see eeldab rünnaku avastamist ja selle tõsiduse korral kohest otsustamist. Oletades, et ründaja “nakatas” vähese hulga valijate häältest vastava pahavaraga, lasi osa neist tuvastada ja kavandas rünnaku nii, et “nakatunud” hääletajate suurust on raske kindlaks teha, oleks ametnikud sunnitud valimistel kogutud e-hääled tühistama; ründaja vajaks sellise olukorra tekitamiseks üsna väheseid ressursse ja kogu e-hääletus oleks rikutud. Uurimisrühm viis katseliselt läbi kaks edukat kliendipoolset rünnakut. Esimeses katses töötasid nad välja demonstratiivse   kliendipoolse   pahavara,   mis   salvestab   valija   ID-kaardi   PIN-koodid   ning asendab vaikimisi valija hääle mõne muu häälega. Protseduuriliselt näeb see välja nii, et valija annab oma e-hääle ära ning esialgu jääb see hääl korrektseks. Kui aga valija oma ID- kaardi lugejasse jätab või hiljem uuesti sisestab, avab pahavara taustal uue varjatud seansi, kus   antud   hääl   üle   kirjutatakse.   Seesugune   rünnak   tooks   siiski   kaasa   kahtlaselt   palju asendushääli. Teise katse puhul sihitakse otse kontrollrakendust: kuna inimeste arvutite ja nutitelefonide   vahel   toimib   tavaliselt   regulaarne   suhtlus   (nt   telefoni   laadimiseks   arvutiga ühendamine;   pilveteenuste   sünkroniseerimine),   võimaldab   see   ründajal   telefoni   e-hääle kontrollrakenduse pahavaraga asendamist. Pahavara näeb välja ja toimib täpselt samamoodi, nagu toimiks õige kontrollrakendus. Arvutis olev pahavara muudab meelevaldselt kasutaja hääle ära ning nutitelefoni kontrollrakendus kuvab pildi, nagu oleks hääletatud valija poolt soovitud kandidaadi poolt.  2014. aastal läbiviidud Eesti e-valimiste analüüsist selgus, et süsteemi on rakendatud mitmeid turvameetmeid.   Näiteks   on   võimaldatud   süsteemi   haldamist   avalikult   ja   isiklikult   kõrvalt


jälgida, operaatori tegevus ekraanil salvestatakse videona ja suur osa serveri lähtekoodist on avalik. Siiski leiti ka suuri puudujääke: hoolimata läbipaistvust loovatele meetmetele ei ole süsteem siiski piisavalt läbipaistev; süsteemil puudub otsast-otsani kontrollitavus; süsteemi on võimalik pahavaraga nakatada. Nimetatud puudujäägid vastavad IT-spetsialistide Tarmo Kaldma   ja   Märt   Põderi   poolt   tõstatatud   probleemidele.   Näiteks   nimetati   probleemideks serveri   haldaja  võimalust  märkamatult   süsteemimuudatusi   teha  ja  asjaolu,   et  hääli   ei  ole võimalik tagantjärele kontrollida. Kusjuures seitsme valdkonnaspetsialisti poolt läbi viidud analüüs   on  avaldatud  kolm   aastat   enne  Kaldma  ja   Põderi  sõnavõtte  –  võib  järeldada,  et hoolimata   spetsialistide   arvamusest,   ei   olnud   suurimad   turvalisuse   probleemid   selle   aja jooksul  lahendatud.  Spetsialistid  tõid ohuna  välja  ka kliendipoolsed  rünnakud:  tehti  kaks katset,   mille   käigus   loodi   demonstratiivne   pahavara   ründamaks   valimisrakenduse kasutajapoolset   liidest.   Kuigi   Eesti   Vabariigi   seadusandlus   lubab   valimisametnikel   e- hääletuspettuse   tuvastamise   korral   veebipõhise   hääletamise   katkestada,   –   ja   uurimisrühm hindas selle heaks erakorraliseks meetmeks, – eeldab see, et pettus tõepoolest avastatakse. Eesti on küll digilahenduste kasutamise poolest maailma esirinnas ning e-valimistel osalejate arv näiteb  pidevat tõusu, kuid e-hääletussüsteemi  turvalisuses võib antud analüüsi  põhjal tõdeda tugevaid puudujääke. 


Kasutatud kirjandus: Riigi   Infosüsteemi   Amet   (2019).   E-hääletamine   ja   e-valimised.   Võrgulehel:: https://www.id.ee/rubriik/e-haaletamine/ (22.11.2020). Olari Koppel (2020). Eesti Rahvusringhääling. Olari Koppel: valimiskomisjon ei võltsi Eesti valimistulemusi.   Võrgulehel:  https://www.err.ee/1156886/olari-koppel-valimiskomisjon-ei- voltsi-eestis-valimistulemusi (22.11.2020). Springall,   D.,   Finkenauer,   T.,   Durumeric,   Z.,   Kitcat,   J.,   Hursti,   H.,   MacAlpine,   M., Halderman,   J.   A.   (2014).   Security   Analysis   of   the   Estonian   Internet   Voting   System. University of Michigan. Lepassalu, V. (2007). IT-eksperdid ülistatud e-hääletusest: Valijate hääli saab võltsida ühe näpuliigutusega,   süsteem   on   kui   katkine   linnamüür!   Pealinn.ee.   Võrgulehel: http://www.pealinn.ee/tagid/koik/it-eksperdid-ulistatud-e-haaletusest-valijate-haali-saab- voltsida-n191310     (22.11.2020). Vabariigi Valimiskomisjon (2019). Elektroonilise hääletamise statistika.