Kui turvalised on e-valimised?
Tallinna TV-st tehakse neil päevil tihti e-valimistest juttu. Reeglina negatiivses võtmes. Keskerakondliku taustaga konverentsidele on kohale toodud kriitilised välismaised tegelased, näiteks IT-spetsialist Harri Hursti, kes – Eesti e-ID eripära tundmata – e-valimised maapõhja materdavad. Teiselt poolt: Riigi Infosüsteemi Ameti (RIA) infoturbe ekspert Anto Veldre ütles hiljutisel EENeti konverentsil, et e-valimised on täna tema hinnangul turvalisemad kui tavavalimised.
Ekspress otsustas asjas selgust saada. Meie lugu sündis nii, et kutsusime toimetusse e-valimiste turvalisuse ja ID-kaardi teemal laiemalt arutlema ekspertide paneeli: Riigi Infosüsteemide ameti peadirektori Jaan Priisalu, majandus- ja kommunikatsiooniministeeriumi asekantsleri Taavi Kotka, siseministeeriumi migratsiooni- ja piirivalvepoliitika osakonna juhataja Ruth Annuse, andmeturbeeksperdi Renee Trisbergi, Eesti Interneti Kogukonna esindaja Jaagup Irve ja IT-ajakirjaniku Veiko Tamme. Jätame lugeja otsustada, kas asi saab selgemaks.
E-valimiste mõiste on ära solgitud
Tegelikult on e-valimised e-ID marginaalne kasutusvõimalus. RIA peadirektori Jaan Priisalu sõnul on Eestis tänaseks antud 130 miljonit digiallkirja ja kiirus, millega neid hetkel antakse, on 35 miljonit aastas.
„Mis on ühe digiallkirja mõju? Kui lähed allkirja andma, seisad järjekorras, raiskad teise inimese aega, tuled tagasi, sul kulub jämedalt kaks tundi. Klapid ka kuidagi, et annad kaks allkirja korraga. Siis see jämedalt teebki, et tund on ühe digiallkirja hind. Et aastas antakse Eestis 35 miljonit digiallkirja ja tööealist elanikkonda on ca 625 000, säästab see inimese kohta 56 tundi ehk 7 tööpäeva aastas. See on väga korralik võit,“ selgitab Priisalu.
Andmeturbeekspert Renee Trisberg ütleb, et valimised on küll märgilised, kuid olulisem on vaadata, kui palju kütuseliitreid ja inimelusid on digiallkiri säästnud.
Igapäevane ID-kaardi kasutusvõimalus on internetipanka sisse logimine. „Miks ei tõstetud siis kisa, kui hakati elektrooniliselt panka logima, ega nõutud, et kodanik läheks ikka oma passi ja sõrmejälgedega panka, kus tal silma võrkkesta uuritaks, enne kui talle kopkas kätte antaks?“ imestab IT-ajakirjanik Veiko Tamm.
Keskerakonna visa võitlus e-valimiste vastu on seda hämmastavam, et uuringu järgi reaalselt eelist ükski erakond e-valimiste tõttu ei saa.
Trisbergi sõnul on e-valimiste mõiste maailmas ära solgitud. „On mingid ameeriklaste ja inglaste valimismasinad, kes elektrooniliselt püüavad häälte lugemist automatiseerida. Ja siis on valija ülesandeks seda musta kasti usaldada. Kui seal on turvaviga, siis sa saad muuta hääletustulemust. Nii palju, kui ma Eesti hääletust olen vaadanud – kui ma ründajana murran sinna sisse, siis hääli ma tekitada ei saa. Ainuke, mis ma saan teha, on hääli eemaldada. Aga ma ei tea, kelle poolt nad on. See on vahe. Teistes riikides, kui sa oled kasti kuningas, võid kirjutada sinna mida iganes tahad,“ selgitab Trisberg.
Isegi valimikomisjoni serverite võtmete teadmine ei annaks ründajale mingit eelist, kuigi valimiste salajasus võib saada löögi.
Realistlik oht oleks Eesti e-valimistel Trisbergi sõnul pigem see, et mingi osa valimiskomisjonist on kellegi poole kallutatud, ent siis peaks ka valimiste vaatlejad kallutatud olema.
Taavi Kotka, majandus- ja kommunikatsiooniministeeriumi asekantsler, näeb e-valimistega seoses vaid üht tähtsamat probleemi – lohakust. „Kui rahakoti tänavale unustad ja sul on PIN-id sinna kraabitud, siis ei kaitse sind Euroopa Komisjon ka mitte. E-hääletuse probleemid on pigem lohakusest tulenevad,“ ütleb Kotka.
Tamm paneb samasse ritta ka viimase Digidoci turvaaugu juhtumi. „Kui saad mingi nakatatud digidokumendi ja selle avad, siis sai arvuti üle võtta. Aga see on sama hea, kui saad Nigeeriast mingi failikese, et siin on väga tore porno.exe, ja kui selle siis avad, siis on rohkem küsimus selles tihendis, mis on seljatoe ja ekraani vahel,“ arvab Tamm.
Kotka märgib, et isegi siis, kui häkker masina üle võtab, ei anna see võimalust e-hääletamiseks, sest kõigele lisaks on vaja, et ID-kaart oleks arvutis. Nii ei ole kasu ka wifi kaudu arvutisse häkkimisest.
Oodata võib provokaatoreid
Esmakordselt tekib tulevastel valimistel võimalus saada kinnitus, et sinu antud hääl läks ikka sellele inimesele, kellele sa selle andsid.
Trisberg arvab, et reaalselt piisaks sellest, kui 3-4% hääletajatest verifitseeriks oma hääle ära – selle protsendi juures peaks võimalikud probleemid ilmnema. Rohkem teevad talle muret võimalikud valehäired. „Mis saab siis, kui inimene ütleb, et ma siin hääletasin, aga masin ütleb mulle, et hääletasin kellegi teise poolt. Kas saadetakse politsei inimese juurde? Jääb sõna-sõna vastu,“ küsib Trisberg.
Pole raske teha kaks ekraanipilti - kuidas hääletatakse kandidaat A poolt, ja kuidas hääl on läinud B poolt. Vahepeal on aga puudu pilt sellest, kuidas valik muudeti ümber B poolt.
Tamme sõnul võib oodata, et välja ilmuvad palgalised provokaatorid.
Võimalik on küberrünnak e-hääletuse saidi vastu. Trisberg siin probleemi ei näe. „Kui mõneks tunniks on e-hääletus rikkis, mis sellest siis hullu on? Samal ajal võib terves Eestis elekter ära minna. Siis ka e-hääletust ei toimu. Kui ma võtan ründaja seisukohast – teha rünne terve nädala aja peale – siis see on üsna tüütu ja kallis. Meil on pankade kogemused erinevate DDOS rünnetega, saame hakkama, küsimus on tundides,“ ütleb Trisberg. Ta soovitab mitte jätta oma e-hääletamine viimase 30 minuti peale.
Otsast peale tehes saab parema tarkvara
Kui e-hääletamise tarkvara kood avalikustati, kulutas Trisberg poolteist nädalat, et anda oma panus koodi parendamisse. „See on paljude aastate jooksul kasvanud projekt. Meil on tulnud ajapikku funktsionaalsust juurde, m-id-ga valimised, hääle verifitseerimise võimalus, erinevad valimised - KOV, Riigikogu, Euroopa parlament… Kõik see teeb rakenduse väga keeruliseks,“ ütleb ta.
Priisalu ja Trisberg arvavad, et e-hääletamise rakenduse saaks paremaks teha küll, kui see nullist uuesti kirjutada.
„Kui võtta valge leht ette ja otsast peale teha, saaks paremini. Aga fundamentaalselt jääb ta samaks, pole mõtet hakata seal kogu krüptosüsteemi ümber tegema - pole sel häda midagi,“ ütleb Trisberg.
Taavi Kotka sõnul ongi e-hääletuse süsteem plaanis tulevikus nullist uuesti teha. „Finants on kokku lepitud. Lihtsalt praegusteks valimisteks ei jõua,“ ütleb Kotka.
Trisbergi sõnul pole meil veel olnud sellist „turvalaksu“, mille puhul tuleks mõtlema hakata, et võiks ID-kaardist või e-valimistest loobuda. Kotka sõnul peaks selleks juba praegu valmistuma. „Aga mina ei kujuta endise ärimehena ette, et läheksin digiallkirja eelsesse aega,“ ütleb Kotka.
Ning autodest ei ole inimkond õnnetustele vaatamata loobunud.
Eestist võib saada väga suur e-residentidega riik
Kotka märgib, et e-valimiste osas jälgib Eestit kogu maailm. „E-valimised annavad võimaluse isegi siis, kui elan Jaapanis, olla osa ühiskonnast. Üle tuhande ettevõte on asutatud Soome ID-kaardiga meie e-lahenduste abil – osad Soome kodanikud on nagu e-residendid meie jaoks. Praegu kujutame ette, et „e“ on ainult ID-kaart ja digiallkiri, aga saame oma „e“-ga kaugemale kui füüsiline maailm on ette seadnud. Väikesest Eestist võib saada väga suur e-residentidega riik. See ei ole mingi utoopia, see on valitsusprogrammis ja me pole isegi poole tee peal,“ räägib Kotka.
Siseministeeriumi migratsiooni- ja piirivalvepoliitika osakonna juhataja Ruth Annuse sõnul võiksimegi loobuda riigi territooriumi kesksest vaatest. „Tugev identiteedihaldus võimaldab meil teha e-riigi suuremaks kui on riigi füüsiline territoorium. Siduda kõik Eestiga kokku puutunud välismaalased meie keskkonda. Kohe, kui lõpetame territooriumikeskse mõtlemise ja hakkame välja andma digitaalset isikutunnistust mitteresidentidele, potentsiaalselt kogu ülejäänud maailma kodanikele, kes on Eestist huvitatud, siis tekivad palju suuremaid võimalused ka Eesti majandusele,“ ütleb Annus.
Annuse sõnul ei pea inimesed, kes on võimelised panustama Eesti ühiskonda, ilmtingimata füüsiliselt siia kohale tulema, vaid peaksid saama panustada ka e-riigi kaudu. „Isiku füüsiline kohalolek muutub üha vähem tähtsaks.“
Kotka lisab: „“Minu riik on minuga kaasas“ on kontseptsioon, mis tuleks mõelda sellele globaalsele kodanikule.“
Annuse sõnul peab kogu e-teenuste süsteem mitte ainult olema, vaid ka näima turvaline. „Teised riigid pole jõudnud sinnamaani, et oleks täidetud kaks tingimust a) dokumendi laialdane levik b) teenuste usaldamine,“ ütleb Annus.
Näiteks Inglismaal ei ole ID-kaart läbi läinud. Priisalu sõnul oli seal kaarti tutvustav kommunikatsioon vale rõhuasetusega. „Nad põhjendasid, et kaarti on vaja terroristidega võitlemiseks. Ja kodanikud ütlesid ei.“
Ja e-valimisi ei ole mujal muidugi sellepärast, et seal ei ole turvalist e-ID-kaarti laialdaselt kasutusel.
Mobiil-ID-d saab petukõnega rünnata
Populaarsust on võitnud ka m-ID. Kas see on turvalisem kui ID-kaart? Trisbergi sõnul võib loetleda teoreetilisi ohte, ja üks on ühtede, teine teiste suhtes immuunsem. „Tegelik turvalisus, mis tänases keskkonnas võib juhtuda, m-ID on koha pealt isegi parem,“ arvab ta.
M-ID-ga tuleb Trisbergi sõnul kasutajatel pähe raiuda: ära kunagi sisesta PINi sessiooni ajal, mida sa ise ei ole algatanud. „Näiterünne võib olla selline: helistatakse sulle kell kolm öösel, tere sinu pank räägib siin, avastasime mingi kahtlase tehingu Hiinaga, kas te olete nõus, et peatame tehingu? Mis sa kell kolm ütled, loomulikult peatame. Isiku identifitseerimiseks tuleb teile kohe sõnum, lööge palun oma kood sinna sisse. Aga kui sa ise pole algatanud sessiooni, ärge lööge oma PINi kuhugi. Kõhutundega ütlen, et kui teeksime katse saja inimesega, siis vähemalt viis tükki lööks oma PINi sisse,“ ütleb Trisberg.
„Ja siis saaksime kohe lugeda, et e-valimised on ebaturvalised, sest nägite, kuidas saadi sisse pankadesse. Pettusi tehakse ja ükski asi pole lõpuni turvaline,“ nendib Tamm.
Annuse sõnul on inimlik, et inimesed pole kõigist petuskeemidest teadlikud. „Terve mõistus ütleb, et nii need asjad ei käi, aga ometigi langevad inimesed pettuste ohvriks. Inimesed on niivõrd harjunud oma riiki ja koostööpartnereid, panka ja teisi inimesi, usaldama,“ nendib Annus.
ID-kaarti kui digitaalset dokumenti ega ka digiallkirja pole Annuse sõnul võltsitud. Füüsilise kaardi primitiivseid järgitegemise katseid on olnud, kuid need on lihtsalt tuvastatavad. Annuse sõnul pole teada ka ründeid, millega keegi oleks ID-kaardi või m-ID kasutamisel rahast ilma jäänud.
Oht vanast Euroopast
Annuse sõnul võiks Eesti e-ID-d kasutada mitte ainult Euroopas, vaid kogu maailmas.
„Meil on maailmas ainus toimiv e-riigi kontseptsioon. Oma e-riigi arusaamaga ja tugeval e-identiteedil põhineva isikutuvastusega oleme teistest riikidest palju ees. Ja mitte vaid riigi ja üksikisiku suhetes, väga suur potentsiaal on ka eraisikute vahelistes suhetes, näiteks lepingute sõlmimine,“ ütleb Annus.
Trisbergi sõnul peitub suurim risk Eesti e-ID-le vanas Euroopas. „EL otsustab ära, jah meil on vaja e-ID-d. Erinevad riigid istuvad kokku ja räägivad, läbi, üks on ühele vastu, teine teisele, võetakse üks asi ühelt ja teine teiselt ja lepitakse kokku mingi poolik lahendus, mis on Eesti omast kehvem, kuid meie oma peab siis ära kaduma,“ selgitab Trisberg.
Trisbergi sõnul on meil end tõestanud kahe PIN-koodiga lahendus. „Meil on autentimine ja allkirjastamine, kaks eri toimingut. Aga kui teeme Euroopa ID-kaarti ja paneme sinna kolm sertifikaati, nagu soomlastel. Või poolakad ütlesid kümme, paneme kümme – teine on sul pangas käimiseks, kolmas maksuameti jaoks, ja siis sul on selline koodileht. No see ei lenda. Aga kui paneme vaid ühe, hakkavad pangad ütlema, et praktiline turva läheb käest ära. Võtmeküsimus on, kas eestlased suudavad oma lahenduse maha müüa või mitte,“ selgitab Trisberg.
Annuse sõnul käib selles suunas pidev töö.
„On näha, et Euroopas on olemas vajadus e-ID järele. Õnneks on Eesti alati olnud kaasatud. Esialgu toimuvad kohtumised ekspertide tasandil,“ ütleb Annus.
Väga suure tõenäosusega ei tule Annuse sõnul siiski suurt üle-euroopalist rahvastikuregistrit, sest suurte riikide peamine huvi on maksupettuste efektiivsem tõkestamine. „Küll aga on Eestil väga suur töö teha, et vältida poolikuid lahendusi,“ ütleb Annus.
Sakslaste e-ID lahendus erineb tema sõnul Eesti omast dramaatiliselt. „Kõik andmed on sisuliselt dokumendil endal. Ja inimene, kes soovib mõnda avalikku või eraõiguslikku e-teenust kasutada, identifitseerib end, ja teenusepakkujal on juurdepääs ainult teatud andmetele kaardi kiibil,“ ütleb Annus.
Trisbergi sõnul on see nii vale tee andmeturbe aspektist kui üldse olla saab.
„Eesti ID-kaardi ilu on selles, et kaardil pole midagi peale sinu isikukoodi ja nime ja kahe sertifikaadi, mis on nii abstraktne asi, et sellest ei saa keegi aru, see on maagia keskmise inimese jaoks. Aga me usaldame, et see maagia toimib,“ ütleb Trisberg.
„Inimesed eeldavad, et meil on ID-kaardi peal asjad. Tegelikult ei ole. Ja see on õnnistus, et pole midagi rohkemat. Niipea, kui hakkad sinna midagi muud panema, tekib tahtmine häkkida seda, mida kaart ütleb arvutile,“ ütleb ta.
Annuse sõnul näitab see, et Euroopas pole ühtset arusaama e-ID-st.
ID-kaart 2.0
Trisbergi hinnangul ei tee suured poeketid ID-kaardi põhist kliendikaarti, sest see ei tööta psühholoogiliselt. Samuti ei usu ta, et pangakaardid lähevad ID-kaardi peale, kuigi see on pankades arutuse all olnud. „Pangakaart peab olema kas AmEx, Visa või MasterCard, ja neil on kõikidel omad reeglid. Kui nad saavad Eestiga kaubale, et kõigil Eesti ID-kaartidel on VISA hologramm ja magnetkood ka taga, siis oleks see peaaegu võimalik,“ arvab ta.
Võimalik on lähiväljaside NFC toe lisandumine ID-kaardile, mis võimaldab kaarti arvutiga siduda seda kuhugi pistmata.
Perspektiivis võib oma osa olla biomeetrial – sõrmejälgede ja näobiomeetria kandmisel ID-kaardile isiku tuvastamiseks.
Annuse sõnul on küsimus lisandväärtuses. „Kui mõttekas on teha palju erinevaid lahendusi ja siis neid kõiki üleval pidada ja tagada pidevalt nende turvalisus? See on arutelu koht,“ ütleb Annus.
Trisbergi sõnul soovitaks ta NFC-st hoiduda, sest see avab uusi rünnaku võimalusi.
„NFC-töötab nii, et kui läheduses on magnetväli, siis ärkab ta üles ja karjub välja, kes tema on. Kui mul see ID-kaart hakkab rahakotis iga kord, kui natuke särtsu saab, seda tegema, siis TTÜ esimese kursuse poisid panevad kohe kokku ägeda pisikese seadme. Kui nad näevad trollis ilusat tüdrukut, panevad selle tema käekoti juurde ja vaatavad – ahhaa, Mari Mets, ja automaatselt saadavad Facebookis ka sõbrakutse talle. See on see, mida me ei taha, keskmine inimene ei saa sellest riskist algul aru. Hiljem, kui tuleb Tõnu Samuel ja seda „Pealtnägijas“ näitab, siis hakkavad kõik küsima, kas e-valimised on ohus,“ selgitab Trisberg.
Tamme sõnul võib see ID-kaardi väärtuse ära lörtsida.
Unistada võiks ehk kaardi kiibile kantud e-viisast, aga see pole Annuse sõnul praegu tõenäoline arengutee, sest riigid eelistavad oma dokumente ise hallata.
Trisberg näeks meeleldi teenuste arengut, näiteks Outlooki e-kirja haldusprogrammis võiks olla ID-kaardiga allkirjastamise ja krüpteerimise nupud. „Riik pakub meil riik ka DigiDoci portaali, aga selle kasutusmugavus on eelmisest sajandist. Krüpteerimise saaks sellega lihtsaks ja mugavaks teha ja massidesse tuua. Aga praegu pead sa poolenisti ekspert olema,“ kritiseerib Trisberg.
Trisbergi sõnul ei tohiks me nüüd jääda ID-kaardi ja m-ID peale istuma. „Maailm on vahepeal edasi läinud. On võimalus ka pakkuda virtuaalset ID-kaarti. Moodsates arvutites on samasuguste turvaomadustega kaart nagu ID-kaart. Firmamaastikul seda juba kasutatakse. See võib olla üks järgmisi suuri ronge, millest ei tohiks maha jääda,“ ütleb Trisberg.
Viis põhjust, miks ma ei osale e-valimistel:
Siret Kotka, MTÜ Ausad Valimised juhatuse liige (Keskerakond)
Esiteks, kui valimisjaoskonnas pabersedelil antud häält saab pärast valimisi üle lugeda, siis e-häält ei ole enam võimalik hiljem üle lugeda selleks, et veenduda, kas kõik läks ikka õigesti ja iga antud hääl jõudis muutmata kujul pärale. Eestis on nimelt tavaks kohe pärast e-valimisi e-hääled hävitada, justkui tahetakse kaotada juhtunud kuriteo jäljed ja tõestusmaterjal.
Teiseks, ma ei poolda valimisvõimalust, kus valija võib olla valimise hetkel olla purjus või narkojoobes, mis valimisjaoskonnas on välistatud.
Kolmandaks, internetis valija ei pruugi olla üldse see konkreetne valija ise, sest oma ID-kaarti ja paroole saab anda ju edasi teistele inimestele. Püüa sa valimisjaoskonnas hääletada võõra passiga kellegi teise eest!
Neljandaks, valimispropaganda on valimispäeval keelatud, aga internetis olemas ööpäevaringselt. Seega, e-valimised ja jaoskonnas valimised ei ole ühetaolised. Seda nõuab aga Eesti põhiseadus!
Viiendaks, meie põhiseadus nõuab, et riik vastutaks valimiste aususe eest, aga e-valimiste puhul on see kohustus pandud valijale endale. Tema ise peab olema kindel selles, et tema arvuti on puhas ja et sealt tuleb välja ka aus ning võltsimata e-hääl. Samas teame, et viirusetõrje, mis peaks arvutit internetis levivate viiruste ja pahavara vastu kaitsma ei suuda olla alati tõhus, mille tulemusena ei hääletagi enam valija, vaid hoopis viirus.
E-hääletamise tulemused võidakse tõsise ründe puhul tühistada
Karina Loi, Vabariigi Valimiskomisjoni meedianõunik
Mis saab e-valimistel valehäirete puhul? Näiteks, kui keegi hakkab väitma, et hääletas kandidaat A poolt, aga tagasiside ütleb talle, et hääl läks kandidaadile B? Kas on paigas mingid protseduurireeglid?
Tänavustel valimistel on valijal võimalik esmakordselt katsetada häälekontrolli ehk verifitseerimist.
Kontrolli käigus saab hääletaja veenduda, kas tema hääl jõudis ikka õige kandidaadini. Verifitseerimine annab elektrooniliselt hääletanule võimaluse Android-süsteemil põhineva nutitelefoniga kontrollida oma hääle korrektset jõudmist valimiste kesksüsteemi.
Elektroonilise Hääletamise Komisjoni poolt koolitatud ja maavalitsuste juures tegutsevad IT-spetsialistid on vajadusel valmis minema ka kohapeale reaalset olukorda kontrollima. Samas on elektroonilise hääletamise alternatiivina valijal alati võimalus minna hääletama pabersedeliga.
Kas ja millisel juhul võidakse kõik e-hääled tühistada?
E-hääletamise tulemuste tühistamise aluseks on sellise ründe avastamine, mis mõjutab oluliselt hääletamistulemusi. Arvestades, et elektrooniline hääletamine toimub eelhääletamisega samaaegselt, siis on alati võimalus minna jaoskonda pabersedeliga hääletama.
Mis juhtub ddos-rünnaku puhul? Kuidas ollakse valmis?
DDoS rünnaku ohuga on mõistagi arvestatud, kuid reageerimine sõltub rünnaku asjaoludest.
Kas ja millised IT-eksperdid on valimiskomisjon kaasanud, nagu OSCE aruanne soovitab?
OSCE soovitustele vastavalt loodi e-hääletamise läbiviimiseks IT-spetsialistidest koosnev Elektroonilise Hääletamise Komisjon.
Lisaks tugevdati Riigikogu valimiste osakonna IT-valdkonna peaspetsialisti ametikoha loomisega.
Lisaks on IT-eksperdid kaasatud elektroonilise hääletamise serveritarkvara lähtekoodi analüüsimisse (kood avalikustati tänavu juulis) ja hiljaaegu avalikustatud hääle kontrollimise rakenduse lähtekoodi analüüsimisse.
Kas e-hääletamine on turvalisem kui traditsiooniline hääletusviis?
Elektrooniline hääletamine on üks paljudest võimalikest hääletusviisidest. Valijal on vabadus valida tema jaoks sobivaim ja usaldusväärseim viis valimistest osa võtta.