Taavi Aas: Euroopa eksperdid leidsid Eesti e-valimiste juures tõsiseid puudujääke

 (149)
Taavi Aas: Euroopa eksperdid leidsid Eesti e-valimiste juures tõsiseid puudujääke
Raepress

Euroopa Julgeoleku- ja Koostööorganisatsiooni (OSCE) missioon jälgis tänavusi riigikogu valimisi Eestis. Erilist tähelepanu pööras OSCE e-valimiste korraldusele. Vaatlejad tuvastasid e-valimiste korralduses mitu tõsist puudust.

Need kajastusid ka OSCE poolt koostatud raportis, mis kahetsusväärsel kombel ei ole leidnud Eesti avalikkuses laiemat kajastust.

Meedial peaks olema ju demokraatia valvekoera amet, mistõttu jääbki arusaamatuks, miks nimetatud raportile pole üldse tähelepanu pööratud. Aga mina, avaliku võimu kandjana, teen omalt poolt otsa lahti ning toon sellest raportist märkimisväärsemad murekohad lugejani.

Alustame e-valimiste õiguslikust poolest. Valimisseadus sätestab internetihääletamise ja interneti teel antud häälte lugemise õigusliku aluse ning seda täiendavad Vabariigi Valimiskomisjon (VVK) määrus ja tegevusjuhised. Selliseid aspekte nagu krüptografeerimismeetodite kasutamine, katsetamine, auditeerimine või operatiivsete kohustuste ja vastutusalade määramine olemasolevates õigusaktides aga ei ole. Kuigi valimisseaduses on öeldud, et VVK võib internetihääletuse tulemused tühistada, ei ole selles täpsustatud, mille alusel ja millistel tingimustel tuleb internetihääletuse tulemused tühiseks tunnistada. Lisaks ei ole seal ka määratud, kuidas ja milliste vahenditega tuleks valijatele teatada, et nad peavad valimispäeval oma hääle uuesti paberil andma.

OSCE vaatlejad panid tähele, et kuna ükski VVK liige ega sekretariaadi töötaja ei olnud IT-ala asjatundja, sõltus VVK riigikogu IT-osakonnast, mis pidi korraldama avaliku pakkumise audiitorite leidmiseks, internetihääletamise protseduuride filmimiseks ja väljastpoolt värvatud projektijuhi palkamiseks. Samuti täheldas OSCE, et VVK kaldus nõustuma riigikogu IT-osakonna selgitustega küsimusi esitamata. Enamik interneti teel hääletamise protsessiga tegelenutest olid sellega olnud seotud ka eelmiste valimiste ajal, mis aga tekitas õhkkonna, kus kriitilisi küsimusi enam ei esitatud ja kus tegevuse üksikasjalik protokollimine praktiliselt puudus.

Katsetamine on elulise tähtsusega, mille eesmärk on leida süsteemi kõikvõimalikud vead, kuid tehtud katseid käsitlev aruandlus oli mitteametlik või hoiti saladuses. OSCE soovitab, et VVK koostaks ametlikud aruanded internetihääletuse süsteemi testimise kohta ja avalikustaks need oma veebilehel, et protsess oleks kontrollitav ja läbipaistev. OSCE-le teatati, et e-valimiste projektijuhil oli võimalik viimased muudatused internetihääletuse süsteemi viidi sisse veidi enne valimiste algust ja selleks polnud vaja VVK ametlikku nõusolekut. Seda tehti ilma igasuguse ametliku protseduuri või tarkvara lähtekoodi dokumenteeritud vastuvõtmiseta VVK poolt, mis piiras teavet selle kohta, millist tarkvara versiooni lõpuks kasutati. See on aga väga tõsine turvalisusrisk, millele pööras tähelepanu ka juulis Tallinna külastanud USA IT- ja e-valimiste turvalisusekspert dr Barbara Simons.

OSCE sai teada programmist, mis e-hääletaja arvutis käivitatuna võiks muuta e-häält, ilma et e-hääletajal oleks võimalik sellest aru saada. Sellele juhtumile juhiti projektijuhi tähelepanu, kes hindas selle ohu teoreetiliselt võimalikuks. Programmi autor Paavo Pihelgas esitas VVK-le kaebuse, mis lükati tagasi ja saadeti seejärel edasi riigikohtusse. E-hääletajale võimaluse andmine kontrollida, kas tema hääl anti ja salvestati sellisel kujul, nagu oli kavatsetud, leevendaks seda riski. OSCE soovitabki, et VVK moodustaks avatud töörühma, et kaaluda võimalust võtta kasutusele kontrollitav internetihääletusskeem või samaväärselt usaldusväärne mehhanism, mille abil valija saaks kontrollida, ega tema e-häält pahavara abil või muul moel muudetud ei ole.

Enne testimist ei kehtestatud Eestis üleüldisi tehnilisi nõudeid ja testimise üle teostas järelevalvet ainult internetihääletuse projektijuht. Nagu 2007. aastalgi, otsustas VVK ka sellel korral mitte lasta internetihääletuse süsteemi sõltumatul kolmandal osapoolel sertifitseerida. OSCE leidis puudujääke ka e-hääletuse süsteemi auditeerimise juurest. VVK sõlmis lepingu audiitoriga, kelle lepingus kirjeldatud kohustus oli, et audiitor pidi olema protseduuride läbiviimise juures kohal ja kontrollima, et need tehti vastavalt juhistele. OSCE täheldas, et nii audiitor kui ka VVK tegid harva põhjalikke märkmeid juhistest kõrvalekaldumise kohta, piirates sel viisil võimalusi jälgida võimalikke puudusi. See teeb terve auditeerimise ebausaldusväärseks.

Muide, kõiki e-hääletusega seotud protseduure küll filmiti, aga on küsitav, kas kõiki tegevusi saab ühe kaameraga dokumenteerida. Igal juhul ei saa selline videosalvestus asendada tavapärast paberkandjal dokumenteerimist. Seetõttu soovitab OSCE, et ühte dokumenti koondatud tegevusjuhise alusel toimuva internetihääletuse protsessi nõuetele vastamise auditi läbiviimiseks määrataks sõltumatu avalik organ.

Järgnevaid valimisi silmas pidades on ülioluline neid soovitusi järgida, olgugi et Eesti valitsus on ülbelt jätnud OSCE mitmed varasemad soovitused siiani arvesse võtmata. Siinkohal loodan sõltumatu ja kallutamatu Eesti meedia abile ja toele, kes võiks e-valimiste teemat üleval hoida. See võib panna tänast valitsust oma meelt ja senist käitumist muutma.

Autor on Tallinna abilinnapea (KE).