E-valimiste süsteem läheb täielikule auditeerimisele (15)
16. november 2020, 10:57
E-valimiste süsteemile pole tänaseni tehtud terviklikku auditit ega ka turvalisuse hindamist. Nüüd on tulekul sõltumatu audit ja turbeanalüüs ning mitu turvalisust tõstvat uuendust juba järgmise aasta kohalike omavalitsuste valimiste ajaks.
Algatamisel on ka valimisseaduste muutmise eelnõu, millega määratletakse täpsemalt majandus- ja kommunikatsiooniministeeriumi (MKM) valitsemisala kohustused seoses valimiste korraldamise ja küberturvalisuse tagamisega.
Väliskaubandus- ja infotehnoloogiaminister Raul Siem (EKRE) rõhutab, et valimised kui demokraatliku riigi põhialus kuuluvad kõige olulisemate riiklike kaitseobjektide hulka. «Valimised, sealhulgas e-valimised ei ole midagi vähemat kui riikliku julgeoleku küsimus,» selgitas ta. Kuna riik võimaldab e-valimisi, siis peab tema sõnul riik ka tagama, et e-rakendusi kaitstakse kõige kõrgemal küberturvalisuse tasemel.
Riigikogu Isamaa fraktsiooni kuuluv Sven Sester möönis hiljuti sotsiaalmeedias, et tal ei ole probleemi arutleda selle üle, et e-häälte protokolle tuleks säilitada kauem, kuna vaidluste ja küsimuste korral võib olla vajadus tõde tuvastada. «Mul ei ole probleemi arutleda ka selle üle, et hääleõiguslikule kodanikule oleks arusaadav, kuidas liigub tema hääl ning kas hääl jõuab ikka tema poolt valitud isiku häälekontole,» selgitas Sester.
«Küll aga on minu jaoks probleem, kui e-hääletus tervikuna seatakse kahtluse alla ja alustatakse järjekordse paranoilise vandenõuteooriaga,» kirjutas Isamaalane. «Jah, Reformierakond sai kõige rohkem e-hääli. Ja mis siis? Vaid see fakt iseenesest ei anna alust hääletussüsteemi kahtluse alla seada,» märkis Sester.
Ta meenutas, et kunagi oli e-hääletusega seonduva vastustamine Keskerakonna üks lipukirjasid, kuid tänaseks tundub, et peaministri partei ei sea enam kahtluse alla e-hääletusega seonduvat.
«Ja nüüd EKRE oma konspiratsiooniteooriatega. Halloo, te olete juba poolteist aastat koalitsioonis. Kas liiga lühike aeg? Teil on mitmeid võtmeministreid ja ligipääsud infole. Kasutage seda võimalust ja tehke endale e-hääletusega seonduvad asjad selgeks,» kritiseeris Sester.
Riigi küberturvalisuse juhi Raul Rikki sõnul on valimiste infosüsteemide küberturvalisus ülioluline. «Arvestades, et valimistega seotud infosüsteemide turvalisus on riigi julgeoleku küsimus, ei ole nende küberturvalisus korraldatud parimal võimalikul viisil,» tõdes Rikki.
Ta tõi näiteks, et riigi valimisteenistusel (RVT) ei ole piisavalt rahastust, et kõiki küberturbefunktsioone ellu viia. Ka puudub RVT-l küberturbe juht ja vajalikud eksperdid, kelle põhiülesandeks oleks valimiste küberturvalisuse tagamise korraldamine.
Kui 2005. aastal oli e-hääletajate osakaal kogu valijate hulgast alla 1,9 protsendi, siis viimastel valimistel kasutasid e-hääletamise võimalust pea pooled valijatest.
«Kuna RVT võimekus valimiste küberturvalisust tagada on väga väike, tellib RVT teatud küberturbe funktsioone lepingu alusel asutustelt (Riigi Infosüsteemide Amet) ja ettevõtetelt. See ei ole iseenesest halb, kuid tekib küsimus, kes haldab küberturbe riske terviklikult ning hoolitseb selle eest, et kõik valimistega seotud küberturvalisuse meetmed oleksid adekvaatselt rakendatud,» põhjendas Rikk.
Lisaks on Riki sõnul küsimus küberturbe tagamise järelevalves, mille eest vastutab valimiskomisjon (VVK). «See on koht, kus majandusministeerium riigi küberturvalisuse juhtministeeriumina saaks toetada VVK-d oma hinnanguga,» ütles Rikk.
Praegu on väliskaubandus- ja infotehnoloogiaministri kohustus küll e-valimiste turvalisuse ja läbipaistvuse küsimustega tegelemine, kuid õiguslikult puudub selleks alus, sest e-valimiste ettevalmistamise ja korraldamisega tegeleb seaduse järgi ainult RVT.
Järgmise aasta uuenduste ja auditi osas on ministeeriumil põhimõtteline kokkulepe RVT-ga ja sõlmimisel koostööleping, ent alates 2022. aastast tahetakse määratleda seaduse tasemel täpsemalt ministeeriumi õigused ja kohustused seoses valimiste korraldamise ning küberturvalisuse tagamisega. «Nii tekib ka selgem vastutuse jaotus ja IT-ministril on võimalik e-valimiste küberturvalisust tugevamalt kindlustada,» selgitas Siem.
Oktoobri keskel kommenteeris sotsiaalmeedias riigikogu Keskerakonna fraktsiooni liige Siret Kotka, et Siemi juhitav ministeerium pole ühtegi sammu astunud, et e-valimised oleksid turvalised.
/nginx/o/2020/01/22/12887920t1h48c2.jpg)
«Juba aasta pärast on kohalike omavalitsuste valimised, kus igaühel on võimalik hääletada elektrooniliselt, kodust lahkumata,» kirjutas Kotka.
Ta meenutas, et Keskerakonna-EKRE-Isamaa koalitsioonileppes on kirjas, et e-valimiste süsteem muudetakse paremini kontrollitavamaks, turvalisemaks ja läbipaistvamaks. «Järgmised valimised on juba ukse ees – aeg oleks anda viimastest arengutest ülevaade,» märkis Kotka.
Kotka meenutab, et eelmisele väliskaubandus- ja IT-ministrile Kaimar Karule sai just saatuslikuks see, et ta ei tegutsenud piisavalt e-valimiste süsteemi parandamisel. «EKRE poolt areenile toodud Raul Siemist pidi saama mees, kes viib teemat jõuliselt edasi, paraku sobib olukorra ilmestamiseks vaid üks sõna – vaikus,» kirjutas Kotka. «Riigikogu liikmena olen hämmingus, et minister Siem, kelle sõnade kohaselt on e-valimiste teema selgelt laual, pole oma mõtetega veel riigikogusse jõudnud.»
Kotka sõnul on tähtis, et kui Eesti valimissüsteemi üks osa on e-valimised, siis see oleks maksimaalselt turvaline. «Kui uus väliskaubandus- ja IT-minister ei suuda lähiajal tulla välja vajalike ettepanekutega, siis tekib avalikkusel paratamatult õigustatud küsimus – miks EKRE minister asjaga venitab,» kirjutas Kotka.
Raul Rikki täpsustuse kohaselt pannakse kavandatavate muudatustega RIA-le ülesanne korraldada valimiste küberturvet. «Turbe korraldus hakkab olema kaheastmeline – RIA korraldab küberturvet ning MKM kontrollib protsessi küberturvalisust ja annab valimiskomisjonile arvamuse, kas küberturvalisus on korraldatud piisaval tasemel elektrooniliste süsteemide kasutamiseks valimiste läbiviimiseks,» ütles Rikk.
IKT asekantsler Siim Sikkuti sõnul on e-valimiste turvalisuse ja usalduse teema ministeeriumil prioriteetne. «Meie digiriigi toimimise ja kasu aluseks on inimeste usaldus digiteenuste ja -keskkonna vastu. Seni pole e-valimiste süsteemile tehtud ei terviklikku auditit ega ka süstemaatilist turvalisuse hindamist,» märkis Sikkut.
Asekantsleri sõnul on audit ja riskianalüüs plaanis korraldada piisava ajavaruga enne järgmisi kohaliku omavalitsuse valimisi, et oleks aega kasutusele võtta ka vajalikud organisatoorsed, protseduurilised ja tehnoloogilised turbemeetmed.
Riigi valimisteenistuse juhi Arne Koitmäe sõnul on tervitatav, et majandus- ja kommunikatsiooniministeerium riigi valimisteenistusega sama seisukohta jagab ja soovib elektroonilise hääletamise turvalisuse tugevamat kindlustamist toetada.
«E-hääletamise ja nende infosüsteemide turvalisuse tagamine, usaldusväärsus ning läbipaistvus on riigi valimisteenistuse ja Vabariigi Valimiskomisjoni jaoks esmatähtsad. Tegeleme e-hääletuse turvalisuse tagamisega pidevalt kõige kõrgemal tasemel,» rääkis Koitmäe.
Ta selgitab, et valimisteenistuse koostöölepinguline partner on selles Riigi Infosüsteemi Amet (RIA), ning muu hulgas on RIA valimistel majutanud e-häälte kogumislahendust, korraldanud küberturvalisuse tegevusi ja osutanud e-valimiste ajal kliendituge. «2017. aasta valimisteks valminud e-hääletamise süsteemi auditeeriti enne kasutuselevõtmist ja seda on turvatestitud enne kõiki valimisi. Turvatestimine viiakse läbi ka enne 2021. aasta rahvahääletust ning oktoobris toimuvaid kohalikke valimisi,» sõnas Koitmäe.
«Toetame täiendavalt auditi, turbeanalüüsi ja riskianalüüsi läbiviimist, kui see kinnitab senisest enam süsteemi turvalisust ja läbipaistvust.»