( Lisainfoks,Tartu Ülikooli dotsent doktor Jan Villemson on istunud Tartu vanglas pedofiiliasüüdistusega juba läinud suvest saati. : http://TV3: ülikooli dotsent mõisteti süüdi pedofiilias )
Valimiste küberturvalisus
E-valimiste töörühm
Murekohtade loetelu
Siin dokumendis saate kommenteerida ja täpsustada murekohtade teksti. Selguse mõttes on kõik murekohad lisatud eraldi lehele. Eesmärk on saada paika murekoha pealkirja täpne sõnastus ning probleemi kirjeldus. Seejärel liigume edasi lahenduste juurde.
Pöörake tähelepanu:
pealkirja sõnastusele – lõpliku sõnastuse õigus jääb murekoha esitajale, kuid teised saavad kommenteerida ja teha ettepanekuid.
selgitusele – kas tegemist on murekohaga ning kas probleemi kirjeldus on arusaadav ja piisav. Kui teie arvates ei ole tegemist murekohaga, siis palun esitage oma argumendid.
Kui murekohal on mitu esitajat, siis tuleks sõnastuse osas omavahel suhelda ja kokku leppida.
NB! Palun kasutage võimalikult täpset ja konkreetset sõnastust – sellist, millega julgeksite ka ise avalikkuse ette minna ning mille saaksime kasutada töörühma lõpparuandes.
Eriarvamuste ja muude kommentaaride lisamisel palun kirjutage juurde ka oma nimi.
Lühendid:
mrk – murekoht
HVS- Heldur-Valdek Seeder (eraisik)
JW – Jan Willemson (PhD, AS Cybernetica krüptograaf)
TM – Tarvi Martens (riigi e-hääletuse endine juht)
Alo – Alo Heinla (RIA osakonnajuhataja)
T.Tammet – Tanel Tammet (TTÜ professor)
Murekoht nr 1: Süsteemi hoolduse ja arenduse jaoks on liiga vähe ressursse
Esitajad: T. Tammet, RIA
Selgitus: e-hääletuse süsteemi jooksvale hooldusele ja arendusele eraldaks süsteemi olulisust arvestades liiga vähe ressursse, mis omakorda takistab muude vajalike sammude astumist. E-hääletuse korraldusele eraldatav rahastus on võrreldes riigi muude IT-kulutustega suhteliselt väike, arendusi tehakse n-ö projektipõhiselt, sest puudub stabiilne finantseerimismehhanism.
Kommentaarid:
JW: Diskussiooni käigus on selgunud, et täiendavat raha vajaksid näiteks dokumentatsiooni täiendamine ja laiema audiitorite/vaatlejate/testijate ringi kaasamine, aga ka edasised teadusuuringud näiteks postkvant-kindlate krüptoalgoritmide vallas.
Martti Allingu: Kõik süsteemi osad seal hulgas valimiste Infosüsteem (VIS) veebirakendus jne peaksid saama pideva rahastuse ja olema valmis vähemalt 6 kuud enne valimisi. Tuleb ette näha ka kohe vahendid võimalike vigade parandamiseks. Peab olema ette nähtud rahad, et vähemalt 6 kuud enne valimisi oleks tehtud turvatestid kõigile süsteemi osadele ja samuti süsteem pandud välja nö häkkimiseks. Vigade parandamiseks peab jääma vähemalt 5 kuud.
Kui süsteemi on vahepeal vaja uuendada/patchida siis tuleb üle testida.
Kui süsteemi uuendatakse põhjalikult, peaks leidma vahendid, et viia läbi enne nö proovivalimised koos vaatlejatega. St vaatlejad saavad enne valimisi aru millest nad aru ei saa ja saavad juba enne küsida, oma küsimusi.
Alo Einla: nähes IT arenduste köögipoolt, RIA täielikult nõustub Taneli tõstatatud murekohaga ja Martti lisatud täiendusega.
Esiteks, oluline on siin rõhutada, et tuleb tagada ka infosüsteemide (IS) jätkusuutlikkus. Isegi, kui arendusteks leitakse investeeringute rahasid (nt struktuurifond), siis IS-de ülevalhoidmiseks (haldus) ja edasiarenduseks ressursse ei ole. Lisaks ei ole perspektiiv SF rahastuse jätkumise osas kuigi roosiline. Tegemist on riigis IT arenduste rahastuse jätkusuutlikkuse laiema probleemiga, aga siin tuleb see teravalt lauda kui me räägime Elektroonilise hääletuse süsteemi (EHS) ja Valimiste infosüsteemi (VIS) tuleviksut. RIA-l ja RVT-l ei ole aastal 2021 valimiste ajal vahendeid, et teha KOV valimiste eel vajalikud arendused ja tagada majutus.
Teiseks, ei ole hetkel RIA baaseelarves olemas raha valmiste jätkusuutlikuks korraldamiseks arvestades muutuva maailma küberohtudega (Ddos kaitse, tulemüüride ajakohasus, serverite/ühenduste jõudlus, klienditugi, turvatestid). 2019 valimiste eel eraldati RIA-le selleks VV reservfondist 300 000€, mis ei ole jätkusuutlik rahastuse viis.
Kolmandaks, arutelust käis läbi, et arendatavale uuele VIS3 süsteemile võiks aastal 2021 enne live minekut korraldada nn avaliku häkkimise (bug hunting), aga selle korralduseks ja auhinna rahaks (bounty) puudub ressurss.
Eriarvamused:
H.V.Seeder: Ei poolda küsimuse arutamist töögrupis. Ootusteks töögrupile on olemasoleva i-hääletuse korralduse tehniliste, organisatsiooniliste, seadusandlikte ja sotsiaalpsühholoogiliste kitsaskohtade tuvastamine ja lahendatavuse alternatiivide väljapakkumine. Olemasoleval süsteemil on rida olulisi puudusi, mis nõuavad muudatuste ellukutsumist (v.t ka mrk 10, 12, 14, 15, 20 jne). Alles siis, kui murekohtade kirjeldamise etapp läbi käidud, on võimalik igale alternatiivile määrata maksumus, vajalik rahastuse iseloom ning teha otsustused.
Seega isegi juhul, kui midagi on jäänud seni i-hääletuse süsteemi suhtes teostamata raha puudusel ja teostamata asi kahjustab süsteemi usaldusväärsust, oleks vaja teostamata asi formuleerida (tehnilise) murekoha kaudu.
Lahendused:
Edasised sammud:
Murekoht nr 2: Süsteemi arusaadavust vaatlejatele ja avalikkusele saab parandada
Esitajad: E. Maaten, T. Tammet
Selgitus: Murekoha fookuses olemasoleva süsteemi senisest parem tutvustamine, mitte e-hääletamise põhimõtete või kontrolli muutmine. E-hääletamise süsteemi veebisaidilt on keeruline leida küsimustele vastuseid. Dokumentatsioon on olemas, kuid selle keerukuse aste on erinev – on nii lihtsasti arusaadavaid (nt video https://www.valimised.ee/et/e-hääletamine/e-hääletamise-tutvustus) kui ka keerukaid dokumente (nt tehnilised juhendid süsteemi opereerimiseks) ning vaatlemise käigus tuleb korraga jälgida rohkem kui ühte tehnilist dokumenti.
Kommentaarid:
Epp Maaten: Probleemi saaks lahendada juhendiga, mis aitaks vaatlejatel jt huvilistel orienteeruda olemasolevas tehnilises dokumentatsioonis ajalises järjestuse, kirjeldaks vaadeldavaid protseduure ning viitaks olemasolevale tehnilisele dokumentatsioonile. Oluline on leida juhendi koostamiseks lisaressurss. Tasub käsitleda koos murekohti 2 ja 3.
Liia Hänni: Probleemi tõstatamisega olen nõus, kuid esitatud murekoha võiks esitada 2 eraldi teemana/murekohana:
– e-hääletamise põhimõtete, protsessi ja IT-süsteemide arusaadavus ja läbipaistvus avalikkusele;
– e-hääletamise õigusliku ja tehnilise dokumentatsiooni täiustamise vajadus.
Mariko Jõeorg-Jurtšenko: süsteemi selgitamine on vajalik usaldusväärsuse tagamise ja kahtlustuste vähendamise eesmärgil. Valimiste korraldamise (sh korraldamisel kasutatavate IT- süsteemide jms) läbipaistvus ja kogu riigi toimimise läbipaisvus laiemas mõttes on demokraatliku riigikorralduse lahutamatu osa, mida ei tohi alahinnata.
Õigusakti tekst on juba oma olemuselt spetsiifilise keelekasutusega ning erialatermineid kasutav, seega see formaat ei ole lihtsustatud selgituste koostamiseks tõenäoliselt sobilik. Pigem tulevad kõne alla juhendid, käsiraamatud vms formaat, mille keelekasutus võiks olla laiemale lugejaskonnale mõistetav.
H.V.Seeder: kõnealust probleemi oleks hea jaotada kolmeks: 1)Tehniline jälgitavus (kasutades Meelis Kaldalu mõttekäiku oleks ka pangad ebausaldusväärsed, kui kliendil oma raha liikumist oma kontol jälgida ei lubataks). 2)Professor Tammeti poolt varem markeeritud probleem, et riigis puudub kriitiline hulk kasutatavat tehnoloogiat mõista suutvaid inimesi, mis tekitaks laiema usalduse fooni ühiskonnas. 3)Käesolevas punktis algselt markeeritud juhendmaterjalide ebapiisavus.
Eriarvamused:
H.V.Seeder: kui süsteem ei ole ühiskonnale arusaadav, siis esimese valikuna peaksime kaaluma võimalusi süsteemi enda lihtsustamiseks. Ja alles seejärel valijaskonna väljaõpetamist olemasolevat (s.t põhjendamatult keerulist) süsteemi mõistma.
Näiteks olen punktis 15 välja pakkunud, et krüptotehnoloogial põhineva miksija võiks asendada lihtsa juhuarvudele ümbersorteerimise skriptiga, mille kood on lakooniline ja mõistetav isegi I kursuse üliõpilastele.
Alo Einla: igasugune süsteemi lihtsustamine ainult selleks, et inimene aru saaks, ei ole hea plaan.
Jan Willemson: Miksija asendamisel lihtsa ümbersorteerimisega muutuksid süsteemi turvaomadused pahatahtliku audiitori vastu tunduvalt nõrgemaks. Miksija sisseviimisel on kindel põhjus ja seda põhjust ei saa niisama lihtsalt eirata. Küll aga saab seda põhjust avalikkusele paremini selgitada.
Lahendused:
Edasised sammud:
Murekoht nr 3: valikute põhjendamine avalikkusele süsteemi dokumentatsiooni täiendamine, infomaterjalide loomine
Esitajad: J. Willemson, RIA
Selgitus: valimistele esitatavad nõuded on osaliselt vastuolulised – ühest küljest tahame täielikku verifitseeritavust, ideaalis iga ühiskonnaliikme poolt, aga teisalt nõuame valimisvabaduse tagamiseks hääle salajasust. Selliste vastuoluliste nõuete tingimustes tuleb teha kompromisse ja süsteemidisainiotsuseid. Kui pabervalimiste korral on need valikud paika loksunud sajandite jooksul katse-eksituse meetodil, siis elektroonilise hääletamise puhul on palju otsuseid tehtud süsteemi arenduse käigus. Kõigil neil on omad põhjendused, aga ei ole ühte allikat, kust põhjendusi lugeda võiks. Selgitamine on üsna ressursimahukas ning seetõttu oleks hea, kui valikute põhjendused oleksid koondatud ühte kohta.
Kommentaarid:
JW: Diskussiooni käigus on seda punkti tunduvalt laiendatud. Siia alla lähevad nüüd ka näiteks olemasoleva süsteemidokumentatsiooni täiendamine, sõltumatute auditirakenduste loomise jaoks vajalike juhendite kirjutamine, laiemale avalikkusele suunatud infomaterjalide (brošüürid, videod jne) tootmine ning väärinfo kummutamine.
Liia Hänni: Murekohad 2 ja 3 võiks koondada üheks.
JW: Põhimõtteliselt miks mitte.
Mariko Jõeorg-Jurtšenko – nõus L. Hänniga, osaliselt kattub murekohaga nr 2.
Alo: Toetame ideed, aga siin ei tohi unustada, et kui tahame toota head dokumentatsiooni, siis selleks peab ressursi ette planeerima.
Liia Hänni: Seaduse tasemel tehtud õiguslikud valikud e-hääletamise rakendamiseks on olemas Riigikogu stenogrammides ja Riigikohtu vastavates otsustes. Neid valikuid tuleks arusaadavalt selgitada e-hääletamist tutvustavates infomaterjalides. Milliseid valikuid peab H.V. Seeder silmas?
Eriarvamused:
H.V.Seeder: Murekoht 2 ja 3 peaks eraldi jääma. Nn valikute põhjendamine töötab usaldustloovana ainult siis, kui on esitatud valikute tegemisel toimunud diskussiooni vormis või stenogrammina. Näiteks põhiseaduse tõlgendamiseks loetakse uuesti üle Põhiseaduse Assemblee ajaloolisi stenogramme. Nii saame ka meie pakkuda valikute põhjendamiseks välja käesoleva gdoc dokumendi nii nagu see lõppseisus enne tsensorit jääb. Mure, selgitused, kommentaarid, eriarvamused. Sealt näeb huviline valija mõttekäiku ja saab teha ise otsustused, kas mingi põhjendus oli pädev ja kas hiljem poliitikute tehtud valik oli ka kooskõlas tehniliste põhjendustega. Kui me aga originaaldokumendi asemel pakume n.ö ülalt-alla selgitavat dokumenti, siis kasutegur on väiksem. Me võiksime jääda mrk nr 2 mõistma nii, et see on suunatud süsteemi lihtsustamisele ja täiendavate juhendmaterjalide tootmisele. Mrk nr 3 – siia all koondaks valikute põhjendamised (käesolev töödokument, varasemad diskussioonid, selgituskirjad, kohtuotsused).
Lahendused:
Edasised sammud:
Murekoht nr 4: e-hääletamisega seotud valeinfo tõkestamine
- sept koosolekul otsustati loetelust eemaldada, kuid dialoogi avalikkusega käsitletakse murekoha nr 3 all
Murekoht nr 5: e-hääletamisega on seotud liiga väike grupp inimesi
Esitajad: T. Tammet
Selgitus: e-hääletamise avalik usaldusväärsus kannatab, kuna hääletamise projekteerimise, realisatsiooni ja eeskätt tehnilise läbiviimisega on seotud liiga väike grupp inimesi. See omakorda tekitab kolm negatiivset efekti:
- spetsialistide arv Eestis, kes on hästi tuttavad e-hääletamisega, on väike, seega nemad ja nende tuttavad ei ole väga usaldavad ning usaldus ei kiirgu ka laiemale avalikkusele;
- uute spetsialistide võimalik hulk, keda saaks kiirelt kaasata, on liiga väike;
- väikese hulga läbiviijate puhul on objektiivselt suur risk nii vigade tegemiseks kui otseseks spetsialistide korrumpeerumiseks → langetab ka avalikku usaldusväärsuse tunnetust.
Kommentaarid:
Mariko Jõeorg-Jurtšenko: seda infot, kui suur (kui väike) grupp inimesi on seotud e-hääletamisega teavad need samad inimesed ise. Avalikkuse silmis ei mõjuta e-hääletamise usaldusväärsust mitte nii väga sellega seonduvate isikute grupi suurus, kuivõrd süsteemi läbipaistvus ja tõrgeteta toimimine üldisemalt.
Kas murekoht seisneb ehk parimate rahvusvaheliste praktikate puudumises ja välisekspertide väheses kaasamises ?
H.V.Seeder: Mina mõistan murekohta natuke haakuvat murekohaga nr 2. Asjassepühendatud spetsialistide ringi laiendamine toob eesmärgile ainult kasu, mõte väärib edasi arendamist. Võiks välja olla pakutud konkreetne visioon teostuseks.
Eriarvamused:
Alo Einla: see, et läbiviijate grupp on väike, on natuke liiga üldiselt sõnastatud mure. Teeme siin üleskutse, et IT õppeasutused võiks teha lõputöid valimiste infosüsteemide kohta
Epp Maaten: E-hääletamise läbiviimisega tegelevate spetsialistide arv on pidevalt kasvanud. Riigi valimisteenistus on suurenenud, samuti on suurenenud valimistega tegelevate isikute arv RIAs, kus on loodud eraldi osakond selleks. Lisaks neile tegelevad RIA spetsialistid valimiste perioodil seadmete majutusega. Seega ei nõustu, et läbiviijate gruppi tuleks pelgalt tema suuruse pärast suurendada. Kui murekohaks peetakse tarkvara loomise etappi, siis nõustun, et arendusprotsessi saab kaasata rohkem spetsialiste, teha seminare ülikoolis vmt. Siinkohal viide murekohale 1 – kaasamine eeldab, et selleks on planeeritud ressursse (aeg, inimesed, raha).
Lahendused:
Edasised sammud:
Murekoht nr 6: sõltumatu kontrolliga tegelevaid audiitoreid on liiga vähe
Esitajad: T. Tammet
Selgitus: e-hääletamise sõltumatu kontrolliga tegelevaid audiitoreid on vähe ja nende reaalne tegevus ja raportid on liiga vähe läbipaistvad. Samas ei anna ka audiitorite töö parem dokumenteerimine piisavat usaldust. Samuti on ebapiisav vaatlejate kaasamine: neil ei ole piisavalt infot ega ligipääsu süsteemi kriitiliste detailide kontrollimiseks. Ainus usaldusväärne viis kriitiliste süsteemide talitluskindluse tõstmiseks on alamsüsteemide duplitseerimine. Süsteem on hetkel küllalt keeruline ja risk, et pahatahtlik süsteemi läbiviija suudab välise abi olemasolul tulemusi võltsida, on reaalne.
Kommentaarid:
H.V.Seeder: Toetan murekoha püstitust. Tegelikult tuleb mõttekäik selgitusest paremini välja kui seda kajastab liiga kitsas sõnastuses pealkiri. Ka saab vaatlejate ja audiitorite tööd kergendada, kui süsteemi keerulised lülid asendada lihtsamal tehnoloogial põhinevatega.
Auditeerimise suhtes tundub turvariskina asjaolu, et audiitorid palkab valimiste korraldaja ise ja audiitorid on aruandekohustuslased valimiste korraldajale. Siit tekib küsimus, et kuivõrd sõltumatu siis audiitor on? Kui ta esitab teravas toonis raporti vastavalt oma südametunnistusele, siis korraldaja järgmisel korral teda ega tema bürood enam ei palka ja ka oma tööandja juures satub audiitor kliendi kaotamise tõttu ebasoosingusse. Seega i-hääletuse audiitorite deklaratiivne sõltumatus ei ole praegu tagatud organisatsiooniliste abinõudega. Siin tasuks jätkuvalt otsida paremaid lahendusi – kes võiks olla selline sõltumatu ja kompetentne organ, milline oleks sobivaim i-hääletuse audiitoreid palkama või ise audiitor olema.
Eriarvamused:
JW, TM: Ettepanekust ei selgu, milliseid süsteeme täpselt duplitseerida tahetakse. Samuti on ettepanekus välja toomata riskid, mis kaasnevad süsteemi keerukuse veelgi suurema tõusu ning vastutuse hajumisega. Ei ole õige, et alamsüsteemide duplitseerimine on süsteemi usaldusväärsuse tõstmise ainus meede. IVXV on ehitatud nii, et kõigist kriitilistest operatsioonidest tekib krüptograafiline jälg, mida saab sõltumatult verifitseerida. Nende verifitseerimiste duplitseerimine on tõepoolest oluline.
Mariko Jõeorg-Jurtšenko – murekoha selgitus jääb kahjuks ebaselgeks. Kui selgituses öeldakse, et ainus usaldusväärne viis on alamsüsteemide duplitseerimine ( ei oska kinnitada, kas see väide vastab tõele või ei), siis kuidas selle mure lahendamisele aitab kaasa audiitorite ja/või vaatlejate hulga suurendamine.
Alo: nõus JW, TM. Lisaks nt häälte kogumisel mitmes kohas saavad probleemiks: isikuandmed, füüsiline turve ja infoturve, samuti vastutus hakkab hajuma. Senini on RIA-s häälte kogumine hajutatud kolme lokatsiooni.
Liia Hänni: Murekoha pealkiri ja sisu kirjeldus ei ole kooskõlas. Selgitusest võib välja lugeda, et tegelikuks murekohaks on süsteemi auditeeritavus ja töökindlus. Kui need on murekohad, siis tuleks need sellisena sõnastada.
Epp Maaten: Ei nõustu süsteemide duplitseerimisega kui ainsa meetmega. Parandada tuleb hoopis praeguses süsteemis loodud verifitseerimise mehhanismide laialdasemat kasutamist. Lisaks VVK palgatud auditiitoritele saaks verifitseerimisega tegeleda ka teised spetsialistid või pädevad vaatlejad. Vaatlejaid on võimalik kaasata verifitseerimisse, kuid see eeldab huvitatud vaatlejate olemasolu ning senisest suuremat ressurssi nende koolitamiseks ja töövahendite tutvustamiseks.
Lahendused:
Edasised sammud:
Murekoht nr 7: pädevaid vaatlejaid on liiga vähe
Esitajad:
Selgitus: antud murekoha juures tuleks mõelda, mida saab valimiste korraldaja teha selleks, et vaatlejaid oleks rohkem.
Kommentaarid:
JW: Selle murekoha pakkus vist välja Tanel Tammet. Diskussioonide käigus oleme minu meelest jõudnud arusaamisele, et kuna protokolli krüptograafiliste detailide verifitseerimine ei ole kõigile vaatlejatele jõukohane, on siin punkti all oluline tegeleda ka piisava kriitilise hulga tehniliste audiitorite olemasolu tagamisega. Ma näen siin kahte võimalikku (ja sugugi mitte teineteist välistavat) stsenaariumi — koolitada ise või pingutada rohkem selle nimel, et rahvusvahelisest kogukonnast enam andmeaudiitoreid siia saada.
Mulle tundub, et see punkt on mõtet integreerida teistega (sh 5, 6, 9, 12, 15).
Mariko Jõeorg-Jurtšenko – tundub pigem praktilise korraldusliku küsimusena, kui et juriidika teema. Valimisseaduste kohaselt on igaühel (sõltumata tema teadmistest) võimalus olla valimiste vaatleja. Meie ühiskonnas on kahjuks üleüldiselt suhteliselt madal kodanikuühiskonna aktiivsus, ning see kandub kahjuks ka praegusesse protsessi üle. Kõik mõtted, kuidas seda aktiivsust suurendada on teretulnud. Teavitustegevus eelkõige.
HVS: Vaatlejatel peaks olema täpselt sama roll ja õigused, mis on audiitoritel. Audiitor on palgatud omaniku poolt ja audiitor tagab omaniku ülesannete täitmise (Venetsueela audiitor siis Maduro antud ülesannete täitmise, näiteks). Vaatleja ei ole ametkondade palgatud ja tema idee poolest esindab rahvast. Seega vaatlejate suutlikkuse tagamine on kindlasti üks usalduse loomise küsimustest ja las ta olla eraldi punktiks, kui kord nii on tekitatud. Oma sisult võiks ta muidugi olla ühendatud punktiga 6.
Alo: siin võiks kajastada ka töögrupist läbi käinud ideed, et julgustada IT õpet pakkuvaid asutusi koolitama nn vaatlejaid nt anda õppuritele ainepunkte vaatlemisel osalemise ja tagasiside eest.
Martti Allingu: Toetan siin Alo mõtet. Võimalikele audiitorite/vaatlejate hulka saab mõjutada piitsa või präänikuga. Ülikoolide kaasamine ja ainepunktide pakkumine präänikuks kõlab päris hästi.
Epp: murekoht kattub punktis 2, 3 ja 6 tõstatud probleemidega. Ettepanek see murekoht liita punktiga 6.
Eriarvamused:
Lahendused:
Edasised sammud:
Murekoht nr 8: krüptosüsteemide jätkusuutlikkuse tagamine
Esitajad: J. Willemson
Selgitus: hetkel tuginetakse n-ö klassikalisele asümmeetrilisele krüptograafiale – elliptkõverate või RSA põhine autentimine ja signatuurid, ElGamali krüptosüsteem. Kvantarvuti tuleku korral jääb asümmeetriline krüptosüsteem liiga nõrgaks ning selle asemele tuleks valida midagi muud. Standardiorganisatsioonide poolt loodavad lahendused ei pruugi toimida plug-in stiilis alternatiivina meil kasutuses olevale süsteemile, nt ei pruugi olla tagatud homomorfsuse omadus, mida kasutatakse täna miksimise juures. Antud teemal tuleks Eestis teha aktiivset teadustööd, uurimaks võimalusi praeguse krüptosüsteemi arendamiseks kvantarvuti loomise perspektiivis. Tuleb arvestada, et teadusvõimekuse arendamine on ajakulukas.
- sept koosolekul leiti, et töörühma skoopi arvestades on tegemist liiga mahuka teemaga. Lepiti kokku, et edaspidi vaadatakse, millises formaadis oleks kõige õigem seda murekohta adresseerida ning kuhu vastav ettepanek edastada.
Küsimus (JW): Kes ja millal seda küsimust siis vaatab?
TH kommentaar: RIA tellib perioodiliselt temaatilisi krüptouuringuid, et hoida EID teenustega seonduvalt “näppu pulsil”. Vt. (https://www.ria.ee/et/ametist/uuringud-analuusid-ulevaated.html#kruptouuringud).
Seda tegevust EI TOHI kuidagi segi ajada sihtotstarbelise teadusrahastusega. Teadusrahastuse suunamise osas tuleb kindlasti kasutada mingeid muid kanaleid (nt tõstatada teema ministrite tasemel valitsuskabinetis).
Eriarvamused:
HVS: See teema ei haaku töögrupi ülesannetega. I-hääletuse süsteemi tuleks katsuda lihtsustada. Vajalikud krüpteeringud püüda läbi viia võimalikult standardsete ja mujal kasutust leidnud lahendustega.
JW: Postkvant-krüptograafia probleem ongi hetkel selles, et vastvaid standardeid alles töötatakse välja. Mida meie praegu teha saame, on uurida tulevase standardi kandidaate ja anda oma sisendit standardimisprotsessi meie vajadustest lähtuvalt. Seda tegevust antud murekoht katta püüabki.
Murekoht nr 9: Erinevate tehnoloogiate kasutamine häälte kokkulugemise protsessis
Esitajad: esimeselt koosolekult (minu mälu järgi oli esitaja hr Tammet-HVS).
Selgitus: erinevate tehnoloogiate kasutamine vähendab vigase või tagaustega tarkvara ohtu.
Kommentaarid:
H.V.Seeder: toetan ettepanekut, kuna igasugu ristkontrolli meetodite kasutamine põhimõtteliselt alati suurendab süsteemide turvalisust.
Eriarvamused:
JW: siin tuleb eristada häälte dekrüpteerimist ja kokkulugemist. Dekrüpteerimisrakendus väljastab dekrüpteerimistõendid ja tõepoolest, erinevate tehnoloogiate rakendamine nende tõendite kontrollimiseks on oluline. Dekrüpteeritud häälte kokkulugemine ja kokkulugemise kontrollimine on minu meelest juba väljaspool e-hääletamise süsteemi toimuv protsess.
TM: Häälte kokkulugemine toimub homomorfse krüptoloogia meetodite abil, mis võimaldab väljastada “lugemistõendi”. Sõltumatu rakenduse abil saab iga vaatleja/audiitor kontrollida, kas kokkulugemine oli korrektne, samas ohustamata süsteemi privaatvõtme (“häälte avamise võtme”) salajasust.
Neid kontrollijaid ja vastavat tarkvara võiks muidugi rohkem olla.
Lahendused:
Edasised sammud:
Murekoht nr 10: Valija arvutis oleva tarkvara kompromiteerimise oht
Esitajad: H. V. Seeder, T.Tammet
Selgitus: i-hääletaja arvutis oleva tarkvara ründamise/kompromiteerimise korral võib see anda valehääli, jätta hääled edastamata või “varastada” hääletamissaladuse. Samas on i-hääletajal võimalus oma hääle mobiilseks serverisse jõudmise kontrolliks, mis teeb välise märkamatu mastaapse rünnaku paljudel juhtudel avastatavaks. Murekoht tekkis varasema kahe erineva murekoha (nr 15 ja nr 16) tõstmisel üheks, mistõttu kahe autori nägemused kattuvad probleemi nägemisel, kuid erinevad lahenduste pakkumisel.
- Tammet on pakkunud lahenduseks, et i-hääle mobiilse järelkontrolli võimalusest tuleb rohkem inimesi teavitada või see muuta koguni kohustuslikuks.
H.V.Seederi nägemus on mobiilse kontrolli asendamine individuaalse kontrollkoodi süsteemiga ja mobiili enda kasutuselevõtt hääletusseadmena. Mistõttu mobiilsele kontrollile panustada ei saa, mobiilne kontroll tuleb üldse asendada individuaalse kontrollkoodiga.
I-hääletaja arvutile on üheks peamiseks ohuks hüpoteetiline hääletama asumine nn libaserveris, mitte õiges. Näiteks võidakse talle saata meiliga eksitavaid linke, mis suunavad valele lehele. Või suunata i-hääletaja muude vahenditega valele veebilehele. Kuigi mitte ükski riigipoolne lahendus ei saa tagada i-hääletaja arvuti suhtes absoluutset turvalisust, on võimalik rakendada turvalisust suurendavaid abinõusid:
Valijarakendused tehakse allalaaditavaks operatsioonitootjate veebikaupluste kaudu (Google Play, AppStore, Microsoft Store jne).
Valijarakenduse käivitamisel kuvatakse tema enda isikukoodiga tehtud päring mõnda riigi xTee andmekogusse, või võimaldatakse kasutajal selline päring valijarakendusest ise soovi korral käivitada (tehakse kättesaadavaks vastava päringu käivitamine nupukese kaudu valijarakenduse avakuval). Näiteks KMA päring “Isiku dokumendid”.
Alternatiivina on pakutud veel, et valijarakendusse sisselogimine viia www.eesti.ee portaali alla, mis suurendaks turvalisust. Siiski ei tekiks nii kolmanda, sõltumatu osapoole kontrolli valijarakenduse enda üle – mistõttu võib seda lugeda paremaks küll tänasest olukorrast, kuid mitte eelistatud valikuks.
DISKUSSIOON
Valijarakenduse veebikaupluse kaudu allalaadimise pakkus välja Jan Willemson, kes selle samas ise ka maha laitis. Jani põhjendust toetas ka Tarmo Hanga: “Kui me viime valijarakenduse ametlike repode/rakendustepoodide tiiva alla, siis positiivne on see, et meil tekib kindlasti kolmas usaldusväärne osapool levituskanali näol juurde. Tõsisem probleem saab olema vast see kui niisuguses olekus on päriselt vaja mõnd kriitilist turvaparandust teha”. HVS autorina on arvamusel, et valijarakenduse allalaadimise koha viimine veebipoodi tekitab turvatunde, et rakendust ei paku mitte insiderid vaid sõltumatu ja kompetentne kolmas osapool peale mõningast ülekontrollimist. Nn hotfixide vajadust ei tohiks reeglina tekkida – veebipoodi saadetav soft peaks olema kontrollitud ja testitud. Kuid kui tekib ja parandatud versiooni pole võimalik piisava kiirusega teha kättesaadavaks veebipoe kaudu, siis erandkorras on alati võimalik vigane versioon veebipoest momentselt maha võtta ja parandatu teha kättesaadavaks VVK lehel, kuni veebipood selle kättesaadavaks teeb. Seega tegelikult toodud vastuväited ei tööta ja idee töötab.
Ettepanek teha/võimaldada teha valijarakenduse avamisel päring xTee andmekogusse kindlasti ka ei taga absoluutset turvalisust. Kuid oluliselt suurendab turvalisust, kuna kasutaja arvuti kaaperdamine ja xTee päringu turvalisuse murdmine üheaegselt nõuaks ikka päris tugevaid IT-alaseid teadmisi ja soovi ponnistada. Ehk mõeldes majanduslikes dimensioonides muudab kasutaja arvuti “kaaperdamise” ebarentaabliks. Viinapudeliga hääle ostmine maksaks ca 5 eurot hääl. Libaserveri ülesseadmine ja valitud i-hääletajatele libameilide saatmine lingiga libaserverisse on ka lihtne ja odav. Kuid kui kaaperdaja peaks hakkama libalingi meilimise asemel arvutit ennast üle võtma ja veel xTeed häkkima – siis sellise kaaperdamise hind hakkaks olema iga hääle kohta mitmekohaline summa. Seega lahendus 2 töötaks suurepäraselt ka libaserverisse suunamise vastu. Lisaks tekitaks ta i-hääletajale positiivseid emotsioone, näidates riigi hoolt ja usaldust tema isiku vastu (tal võimaldatakse tema enda dokumente riigi andmekogus läbi ajaloo vaadata, mis võib olla päris toredaks meelelahutuseks valimispäeval).
Kommentaarid:
Mariko Jõeorg-Jurtšenko: tavakasutaja jaoks laiema küberhügieeni küsimus – kuidas seda teadlikkust tõsta (nt kampaaniad – ole ITvaatlik jne). Valija arvutis enne hääletamist ekraanile kuvatavad täiendavad teavitused on suhteliselt lihtsasti teostatav meede, kasu sellest võib aga olla väga palju.
Riik peab looma tõrgeteta toimiva töökindla ja läbipaistva süsteemi, seda süsteemi kasutajatele tutvustama ja edasine on kasutajate otsustada – kas nad kasutavad oma arvutites seda süsteemi või lähevad paberil hääletama. Elektroonilise hääletamise kasuks otsustavate valijate hulk on pidevas kasvutrendis, seega järelikult kasutajad usaldavad nii oma arvuteid, kui riigi poolt väljatöötatud elektroonilise hääletamise süsteemi. Usaldavad ka vaatamata sellele, et e -häält ei ole võimalik igavesti üle kontrollida. Need, kes ei usalda, valivad endiselt paberil ja see ongi normaalne.
Eriarvamused:
JW:
Kontrollimist päris kohustuslikuks teha ei saa (siis tuleks kontrollimata hääled tühistada ja ma kardan, et see läheb vastuollu avalikkuse arusaamaga hääletamisprotsessist). Kontrollivõimalusest laiem teavitamine on aga ka minu meelest hea mõte.
Põhimõtteliselt on individuaalse kontrollivõimaluse pikendamine üle i-hääletamise perioodi aja ettepanek, mida saab kaaluda. Praeguseks välja pakutud variandid (vt 12. murekoha diskussioon) ei saavuta minu meelest veel head balanssi verifitseeritavuse, mõjutuskindluse ja kasutatavuse vahel. Tundub, et sellise balansi otsimine peaks olema eraldi töörühma või hanke teema.
Kasutajale tema info näitamine ei aita kuidagi tõendada, et kasutaja suhtleb õige serveriga.
Epp Maaten: Nõustun i-hääle mobiilse järelkontrolli võimalusest teavitamisega senisest suuremas mahus (näiteks kampaania veebis, mis eeldab täiendavate ressursside planeerimist, vt probleem 1). Ei nõustu järelkontrolli kohustusega, kõigil e-hääletajatel ei pruugi olla nutiseadme kasutamise võimalust. Ei nõustu ka HVS pakutud kontrollkoodi süsteemiga (vt Eriarvamus probleem 12 juures).
Martti Allingu: Google, Apple jne poodide kasutamine ei pruugi alati tagada, et valija valib sealt õige rakenduse. Ka enne on olnud juhtumeid kus valijale söödetakse ette sarnase nimega pettur-rakendus. Samuti kas mõne kasutaja usaldus hoopis ei kao seoses sellega, et rakenduse saab alla laadida mitte Eesti kontrolli all olevalt lehelt vaid suure (ja mõnede arvates paga) Google poest?
Mobiiligi kontrolli propageerimine on hea mõte aga selle kohustuslikuks tegemine kindlasti mitte. Muidu tõesti nagu siin eelpool välja toodi et siis teha häältega mida ei kontrollitud? Kui kasutusele võtta hääletamine mobiilist peak kindaslti siis olema võimalik kontrollida häält arvuti kaudu. Viimast on küll raske tagada tegelikult nii et selle salastatud oleks hästi tagatud (kindalti väike eraldi uurimus võiks siin olla).
Tegelikult valimisrakenduse kaudu midagi kasutajale tagastada, mida riik team kohta teab, võib mingi effekti anda. Näiteks dokumendi (ID-kaardi või passi nr?). Või on siin veel ideid? Siis saab kasutajaid koolitada ,et õige valijarakendus tagastab teile alati selle nr ja kui seda ei tule on asi kahtlane. NB! Viimane teeb ründe nati keerulisemaks kuid ei välista seda kuna kui arvuti on päris üle võetud siis saab ründaja ka õige rakenduse taustal käima tõmmata ja kasutajale ka selle nr ette sööta. Igal juhul tasuks vast uurimist/kaalumist natuke see mõte.
IT-vaatlik on hea kampaania. Tänud RIA-le selle eest. Sellised kampaaniad võiks saada püsirahastuse ja neid võiks teha kõikide valimiste eel.
Lahendused:
Edasised sammud:
Murekoht nr 11: Puudub võimalus mobiiliga hääletamiseks ja Smart-ID kasutamiseks
Esitajad: H. V. Seeder, RIA
Selgitus: Nutitelefonid ja -tahvlid on vastupidiselt milleeniumi algusaastatele tänaseks muutunud PC-dest arvukamaks. Ka saab nutiseadmega minna hääletama üksinda pargipingile vms privaatsesse tingimusse, kuhu ei ole võimalik siirduda näiteks asutusele või perekonnapeale kuuluva PC-ga. Seega tekitaks nutiseadmega i-hääletamise võimaldamine i-hääletaja jaoks privaatsema hääletamisvõimaluse lisandumise. Käesoleva ettepaneku sisu on muutustele reageerida ja hakata võimaldama nutiseadmetega i-hääletamist. Rakendused luua ainult enamlevinud Androidi või ka iOS versioonide tarbeks..
Raporti „Digital 2018 Estonia (January 2018)“ andmetel on Eestis 1,84 miljonit kasutuses mobiiliühendust, milledest 79% on 3G või 4G. Kuivõrd broadbandi (3G ja 4G) saavad kasutada ainult nutitelefonid, siis võime teha järelduse – Eestis on aktiivses kasutuses 1,45 miljonit andmeside funktsionaalsusega SIM-kaarti. Sama raporti andmetel on Eestis 720 000 igakuiselt aktiivset Facebooki kasutajat. Nendest 83% kasutab FB-d nutitelefoni kaudu. PC-de arvu kohta Eestis statistikat leida ei õnnestunud.
Individuaalse hääletuse kontrollkoodi (vt murekoht 12) rakendamisel kaob põhimõtteliselt ära vajadus Kogujast oma i-häält mobiilselt kontrollida. Mobiiltelefonid, millede funktsioon seni oli reserveeritud ja neile valijarakendust ei loodud, vabanevad kasutamiseks i-hääletamise seadmena.
Pikemas perspektiivis võiks süsteemi täiendavalt panna i-hääletajale meilima vastuvõtuteatisi. Mis toimiks nii, et kui Kogujas on nõuetekohane hääl vastu võetud ja edukalt salvestatud, siis saadab süsteem sellest teavituse hääletaja meilile. Teavitusele on lisatud süsteemi poolt digiallkirjastatud ümbrikus hääletaja enda hääletusandmestik (s.t hääletaja poolt Kogujasse salvestatud digiallkirja ümbrik koos krüpteeritud sisuga). Eeldades, et krüpteering võimaldab isikul enda häält ID-kaardiga lahti krüpteerida (vastav krüptovõimekus tuleks tekitada), saab iga hääletaja ilma teise seadme vajaduseta ise kontrollida – kas kõik läks Kogujani ok (eeldame, et ka süsteemi digiallkiri pole võltsitav). Seega saavutaksime me olukorra, kus 5% asemel on serverisse salvestamise kontroll 100% hääletajatel ja võimalus ei ole enam 30 minutiga piiratud.
Vastuvõtuteatisest oleks kasu ka võimalikes õigusvaidlustes tõe väljaselgitamiseks. Näiteks võib hääletaja individuaalse kontrollkoodi mäletamisega eksida või eksis ta kogunisti valikuga (ühte mõtles, teist vajutas). Misjärel hääletaja, nähes lõpptulemuste tabelis oma (või eksliku) individuaalse kontrollkoodi taga “vale” nime, hakkab protestima. Ilma vastuvõtuteatisteta on selliseid vaidlusi tülikas lahendada. Kuid kui on olemas vastuvõtuteatis, siis võib alati paluda hääletajal see kõigepealt ise üle kontrollida. Seega vastuvõtuteatise juurutamise abil saab oluliselt vähendada ka õigusvaidluste kerkimise ohtu.
Vajadus on ka Smarti-ID võimaldada i-hääletamisel allkirjastamiseks. Smart-ID kasutamisest oli pikk ja mahukas diskussioon varem listis (subjekt “Smart-ID e-hääletusel”). Smart-ID on Mobiil-ID kõrval praktiliselt ainuke (mõistlik) võimalus nutiseadmetest digiallkirja anda. Seisuga 18.11.2019 oli www.id.ee andmetel 451 519 aktiivset Smart-ID ja 227 619 aktiivset Mobiil-ID kasutajat.
Mõni aeg peale minu ettepaneku tegemist avaldas RIA pressiteate, et Smart-ID võetakse riigi infosüsteemides kasutusse. Hoolimata toimunud positiivsest arengust on endiselt vajalik sama asi markeerida meie töögrupi raportis soovitusena.
Kommentaarid:
JW: Mobiilse hääletamise uuring on tänase seisuga juba tellitud.
Arne Koitmäe: uuring valmib märts 2020
Eriarvamused:
Martti Allingu: Otseselt vastu ei vaidle mobiili kui hääletusplatvormi asjus. Maailm liigub sinna suunas. Samas siis tuleks luua hääle kontrollitavus teises seadmes ja arvestada kindlasti mobiilit platvormide usaldatusega. Ka mõni NATO jaoks ebasõbralik riik võib välja tulla oma Android mobiiliga ja mobiilist hääletades on kogu isiku autentimiseks vajalik samas mobiilis (Arvuti korral on vaja lisaks arvutile teist eset: ID-kaarti või mobiili, et ennast autentida).
Ei näe vajadust Smart-ID järle otseselt. Mis on põhjenduses, et see kasutusele võtta? Kuigi RIA ta aktsepteeris on ta minu silmis ikkagi natuke nõrgem kui mobiil-ID ja tüki nõrgem kui ID-kaart. Seda kuna ID-kaardi saab vaid Riigiasutustest ja ka mobiil-ID korral peab vähemalt sideoperaatori teenindaja sue isikus veenduma. Smart-ID saab hooldekodu töötajale teha ka hooldekodu juhataja (keda ma siin krame) kui hoolealust mõjutab.
Epp Maaten: E-hääletamise usaldusväärsuse tagamisel on oluline luua kontrollivõimalus. Praegu on hääletajal võimalik oma e-häält kontrollida mobiilseadme abil. Oluline on kontrollimiseks kasutada hääletamiseks kasutatud kanalist (arvuti) erinevat kanalit (mobiilseade). Enne mobiilseadmete kasutuselevõttu hääletamisvahendina tuleb leida lahendus hääletamiskanalist sõltumatu kontrolli teostamiseks. Murekoha 12 all pakutud koodisüsteem ei ole vastuvõetav, sest rikub rahvusvahelisi ja riigisiseseid valimispõhimõtteid.
Lahendused:
Edasised sammud:
Murekoht nr 12: I-hääletajal puudub võimalus kontrollida oma hääle jõudmist lugemisele
Esitajad: H. V. Seeder
Selgitus: I-hääletajal on praegu võimalus kontrollida alvestamist Kogujas ehk „mobiilse kontrolli võimalus“. I-hääletaja ei saa kontrollida, kust süsteem talle kuvatava valiku võtab, lisaks ei saa kontrollida, kas valik läbib korrektselt ka häälte töötlemise ja lugemise etapid. Idee on muuta kontroll andmepõhiseks ning väljastada igale hääletamisele individuaalne kontrollkood. Andmepõhine kontroll toob välja igasugused i-häälega toimunud (lubamatud) muutused, olenemata kas need tekitas hüpoteetiline häkker, insider, või süsteemis esinenud tehniline tõrge. Seetõttu on individuaalse kontrollkoodi kasutamisele üleminek vältimatu, sest ainult nii on võimalik tuvastada kõrgema taseme manipuleerimisi ja käivitada põhjuste uurimised. Tulemusena süsteemi ja organisatsiooni täiustada. Täiendavalt on individuaalse kontrollkoodi kasutamisele üleminek vajalik seetõttu, et oleks nutiseadmeid võimalik tänasest mobiilse kontrolli vahendi rollist vabastada ja hääletusvahendina kasutusele võtta (vt mrk 11).
Protsessi vaates on mõeldud individuaalse kontrollkoodi süsteemi nii, et igakordsel valiku salvestamisel Kogujas genereeritakse süsteemis juhuslikel tähemärkidel põhinev unikaalne kood, mis lisatakse digiallkirjastatavasse ja krüpteeritavasse i-hääle konteinerisse. Ühtlasi kuvatakse sama kood i-hääletajale, kes saab selle omale paberile ümber kirjutada või salvestada nutiseadmesse vastavat nuppu kasutades. Kood on nüüd genereeritud, krüpteerituna hääle konteineris, ning teada ainult i-hääletajale endale.
Kontrollimiseks pakume käesolevas ettepanekus kaks erinevat lahendust, mis vastastikku välistavad teineteist. Soovituslik on esimene, teine on alternatiiv:
Versioon 1) Kokkulugemisele saabunud i-häälte tabel koos igale häälele lisatud individuaalse kontrollkoodiga tehakse avalikult kättesaadavaks VVK veebilehe kaudu. Igal i-hääletajal on võimalus iseseisvalt VVK lehelt tabelist oma kood leida ja veenduda, et koodiga seotud valik on seal olemas. Sama tabeli võib inimene omale ka ise alla laadida ja kontrollida, et ka kokkuarvutamised on tehtud õigesti.
Versioon 2) Individuaalseid kontrollkoode ei tehta avalikult kättesaadavaks, vaid nende kontrollimine võimaldatakse ainult kontrollitud tingimustes. Näiteks ainult igas maakonnakeskuses ja Tallinnas VVK-s. Isikliku kontrollkoodi ja i-hääle õiget seost kontrollida sooviv i-hääletaja siseneb vastavasse ruumi. Kirjutab sisenedes oma kontrollkoodi seal olevale paberilipikule ja läheb sellega korraldaja arvuti juurde, kus on juba koodi ja hääle vastavuse päringuaken avatud. Salvestusseadmeid ei ole lubatud kaasa võtta või kasutada, samuti tohib ta ainult ühte koodi kontrollida, s.t enda oma. Ta kontrollib ise oma koodi ära ja väljub. Üks ja sama inimene korduvalt või mitut koodi kontrollida ei saa.
Diskussioon.
Versioon-1 on autori nägemus, mis võimaldab mugavalt “kõva” kontrolli. Seda ka kaugete talude ja liikumisraskusega hääletajatele. Versioon-2 on alternatiivina välja pakutud, et oleks valikuid.
I-hääle usaldusväärsus ja tõendamatus (uncoercibility) on antagonistlike mõjudega omadused. Ühte tagades kaotame teise, ja vastupidi. Võttes inimestelt ära võimaluse oma hääle liikumist “kõva” meetodiga lõpuni kontrollida (ja seega soovi korral kolmandale ka tõendada), anname insideritele võimaluse kontrollimatult süsteemis tegutseda ja muuta nende manipulatsioonide avastamine riigile võimatuks. Ja vastupidi.
Ekslikult on mõned autorid näinud vastuolu i-hääletamise usaldusväärsuse ja salajasuse vahel. Tegelik vastuolu on usaldusväärsuse ja tõendamatuse (uncoercibility) vahel. Ajal, kui põhiseadus vastu võeti (1992), ei teatud i-hääletamisest veel midagi ja salajasuse all oli tol ajal võimalik mõista ainult hääletaja õigust (ja kohustust) hääle saladuseks jäämisel (kui keegi omab Põhiseaduse Assamblee vastava arutelu stenogramme, võiks jagada). Seega põhiseadusega vastuolu versioon-1 ei tekita. Ka karistusseadustik käsitleb hääletussaladuses hukkamõistetava teona ainult TEISE inimese hääletussaladusega ebaseaduslikku tutvumist ega võimalda sama sanktsiooni rakendada oma hääle ise teisele teatavakstegemisele. Seega tuleks i-hääletuse kontekstis rangelt vahet teha hääletussaladusel ja -tõendamatusel. Hääle ostu-müügi tehingud on käsitletavad ainult valimisvabaduse rikkumisena (KarS § 162), mitte hääletussaladuse rikkumisena (KarS § 166).
Mõned autorid on jällegi püüdnud tekitada mõttekonstruktsioone, et kui mitte tagada tehniliste vahenditega tõendamatust, siis me justkui läheksime vastuollu rahvusvaheliste konventsioonidega. Ka niisugused seisukohad ei pea paika. Maailmas, s.h Euroopa Liidus, on laialt levinud hääletamine paberkirja teel (Postal Voting, v.t ka https://en.m.wikipedia.org/wiki/Postal_voting). Paberkirja teel hääletamine sisaldab veelgi vähem tehnilise kaitse elemente tõendamatuse tagamiseks, kui ülaltoodud Versioon-1. Näiteks on paberkirja teel võimalik mitte ainult oma valikut “häälte ostjale” näidata, vaid lausa anda oma juba täidetud hääletussedel “häälte ostja” enda kätte avatuna, et “ostja” selle ise kinni kleebiks ja postitaks. Aga, ehk ei mõelda arenenud maailmas nii “rikutult”? Paberkirja teel hääletamine on maailmas kasvutrendis.
Mõned autorid on jällegi viidanud Euroopa Nõukogu Ministrite Komitee soovitusele 14.06.2017 CM/Rec(2017)5. Artikkel 23 soovitab, et e-valimiste süsteemid ei pakuks hääletajale tõendit valiku sisust kolmandatele osapooltele kasutamiseks (“An e-voting system shall not provide the voter with proof of the content of the vote cast for use by third parties”). Seda saame mitmeti tõlgendada, ja kas viimase kuue sõnaga lõpus või ilma nendeta. Kuid iga tõlgenduse tekitamise korral peame reserveerima, et e-hääletuse õigus on hetkel väga varajases arengustaadiumis, seda kasutavad vähesed riigid lühikest aega ja i-hääletust ainult Eesti. Näiteks sama soovituse 2004 aasta versioonis Rec(2004)11 oli 112 artiklit, 2017 aasta versioonis on järel ainult 49 artiklit. Mis peegeldab vastava õiguse jätkuvalt kiiret arengut. Mis paneb meile moraalse kohustuse süveneda igakordselt sisusse ja igas konteksti muutuses uuesti. Panustada i-hääletuse õiguse arengusse. Ja ei anna õigustust inkorporeerida kõik tänases seisus soovitused mehhaaniliselt, kontekstiväliselt, pidada i-õiguse arendamisi ainult Justiitsministeeriumi ametnike tegevusvaldkkonnaks (välistades nii vaba ühiskonna ja ka haakuvuse sisuga), ning ise kapselduda olemasolevates raamides. Ei anna õigustust i-hääletuse õiguse arendamine lõpetatuks kuulutada ja iga lisanduv muudatus vastuvõetamatuks kuulutada.
Usaldusväärsuse tekitamine – häkkeritelt, insideritelt, tehnilistelt riketelt võimaluse äravõtmine valimistulemuste salajaseks ja tuvastamatuks võltsimiseks – kaalub üles soovi tagada ainuüksi tehniliste vahenditega absoluutne tõendamatus (uncoercibility).
Rõhumine tehniliselt tagatud tõendamatuse nõudele on KAHJULIK DOGMA. Rahvast tuleb usaldada. Õiguskaitseorganid peavad rakendama vajalikud ennetavad ja reageerivad meetmed, et keegi ei plaaniks hääli osta. Dogma jällegi vajab ümber hindamist ja süsteem kontrollitavaks, turvaliseks ja läbipaistvaks muutmist.
Kommentaarid:
Eriarvamused:
Jan Willemson: Olen jätkuvalt seisukohal, et Versioon 1 teeb massilise häälte ostmise-müümise liiga lihtsaks ning seda varianti ei saa seetõttu kasutada. Just massilise mõjutamise oht on see, mis eristab Versiooni 1 kodus paberil posti teel hääletamisest.
Et pilt oleks täielik, panen siinkohal kirja ka konkreetse ründe. Valimiste eel või valimisperiood alguses annab mõjutaja oma soovist potentsiaalsetele mõjutatavatele teada (pakub raha, ähvardab vms). Kui mõjutatav allub, saadab ta oma koodi kohe pärast hääletamist mõjutajale. Mõjutaja kogub valimiste jooksul kogunenud koodid kokku ja pärast kood-hääl vastavuste publitseerimist veebis jagab mõjutatud valijatele preemiat (raha, poliitilist soosingut vms). Selle ründe vastu ei aita ka ülehääletamine ja just selle pärast, et valijale antud tõend hääle arvessemineku kohta on liiga tugev.
Versioon 2 on selles mõttes lootustandvam, et kui iga inimene saab kontrollida vaid ühte koodi, siis isegi kui see pole tema oma (ja me ei saa kuidagi tõestada, kas on või ei), tuleks massiliseks häälte ostmiseks vähemasti palgata suur kontrollijate armee ja see on tülikas. Samas on mul versiooni 2 kohta mitmeid märkusi ja küsimusi.
Sellise kontrollimehhanismi kasutusmugavus on väga madal — tuleb kuhugi minna päevi pärast hääle andmist ja ma pakun, et valdav enamus inimestest ei hakka seda tegema. Hetkel on meil oma hääle individuaalseid kontrollijaid ca 4% valijatest. Ma kardan, et niisuguse variandi korral langeks see protsent mitu suurusjärku. Kas väljapakutud kontrollimehhanism täidab sel juhul oma eesmärki?
Kui ma õigesti aru saan, siis jääkski see mehhanism ainsaks võimaluseks oma häält kontrollida? See tähendab, et neile, kellel näiteks puudub võimalus etteantud ajavahemikul etteantud kohta minna, ei pakutagi mitte mingit kontrollivõimalust?
Kuidas lahendatakse olukord, kui kontrollija väidab, et tema hääl ei verifitseerunud korrektselt või et seda pole üldse süsteemis? Paneme tähele, et kontrollija võib ka valetada, olla koodi valesti maha kirjutanud, olla kogemata ise hääletanud kandidaadi poolt, keda ta tegelikult ei tahtnud, vms. (See mure kehtib ka muide Versiooni 1 puhul.)
Mulle on segane ka see, milles valija pärast niisugust kontrolli õieti veendub. Ta näeb, et tema kood on koos tema häälega korrektselt dekrüpteeritud, aga ta ju ei veendu kuidagi, et see hääl on lõpptulemuses arvesse võetud? Niisiis ei saavuta kirjeldatud kontrollimehhanism oma deklareeritud eesmärki.
Diskussiooni käigus pakkus H.V.Seeder välja idee, et kontrollijale võiks kontrollimispunktis anda kätte kohapealseks kasutamiseks ette nähtud arvuti, kus oleks sees nt MS Excel, millega saaks tulemuse kokku liita. See lahendus ei rahulda andmeauditile esitatavat tarkvarast sõltumatuse (software independence) nõuet. Probleem sesineb selles, et kontrollijal pole mingit põhjust talle ette tõstetud tarkvara usaldada — ta ei suuda näiteks kontrollida, et Excel pole pahatahtlikult skriptitud näitama “õiget” tulemust vigase andmebaasi pealt. Oma seadmega kontrollimise lubamine tekitab aga automaatselt andmebaasi lekke ohu ning lahendus oleks samaväärne Versiooniga 1.
Kokkuvõttes tundub mulle, et ka see skeem ei tööta.
Tarvi Martens: Hääletaja ei tohi saada tõestada hääle ostjale, et tema poolt antud hääl läks lugemisele. Veenduda selles, et individuaalselt kontrollitud hääled säilivad ja lähevad lugemisele, on võimalik teiste meetoditega. Ettepanek – murekoht eemaldada.
CoE soovitustest (https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=0900001680726f6f):
- An e-voting system shall not provide the voter with proof of the content of the vote cast for use by third parties.
Ja Add(1):
- The aim of this standard is to prevent the breach of vote secrecy as well as vote selling. However, individual verifiability can be implemented provided adequate safeguards exist to prevent coercion or vote-buying.
JW: Nõustun Tarviga — valija ei tohigi saada tugevat tõendit, et tema hääl jõudis lõpptulemusse, sest niisugust tõendit saab kasutada valimisvabaduse rikkumiseks ja valija mõjutamiseks. Sellist tõendit ei paku ka pabervalimised.
Mariko Jõeorg-Jurtšenko – paberil hääletamisel on valija nö “sunnitud” usaldama valimiste korraldajaid (riiki laiemas mõttes) – valija sa saa minna valimiskastist oma hääletussedelit otsima ei vahetult peale sedeli kasti sisestamist ega ka päev hiljem. See usaldus on olemas ja seda ei seata meie riigis kahtluse alla.
Kas me peaksime e-hääletamisel seadma eesmärgiks, et valijal peaks olema justkui ka peale hääletustulemuste selgumist võimalik vaadata, kas tema e-hääl on olemas ja loetud. Ka e-hääletamisel peaks riiki usaldama ja ühest-kahest kontrollimise võimalusest (mis ka praegu olemas on) võiks ehk piisata. Rääkimata sellest, et on olemas täiendavad muud garantiid (ülehääletamine jne). Asjaolu, et e-hääletamise puhul oleks teoreetiliselt ja inforehnoloogilsielt ehk valijal võimalik kontrollida oma hääle olemasolu igavesti, ei peaks meid innustama seda ka reaalsuses võimaldama.
Arne: üldise kommentaarina, et ei pea võimalikuks hakata töögrupi tegevuse raames jooksvalt ümber sõnastama ega mõtestama valimiste põhiprintsiipe, ega seda kuidas me neid rakendame.
Hääle salajasuse kontekstis viitan siinkohal eelkõige kahele soovitusele, esimene neist on n.ö traditsioonilise valimiste õigusliku raamistiku käsitlus, teine käsitleb kitsamalt e-hääletamist:
1) Euroopa Nõukogu komisjoni Democracy through Law (Veneetsia komisjon) soovituslike valimisstandardite kogumik „Code of good practice in electoral matters“.
https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2002)023rev2-cor-e
Hääletamise salajasuse kohta (lk 9, art 4.1):
„For the voter, secrecy of voting is not only a right but also a duty, non-compliance with which must be punishable by disqualification of any ballot paper whose content is disclosed.“
Samuti seletuskirja p 52 (lk 22):
„Secrecy of the ballot is one aspect of voter freedom, its purpose being to shield voters from pressures they might face if others learned how they had voted.“
Ehk siis valimiste vabaduse ja hääle salajasuse kontekstis me ei räägi kitsalt häälte ostmisest-müümisest, vaid laiemalt valija mõjutamisest. Teine oluline põhimõte on, et kindlasti ei ole see valija enda valik, kas ta soovib hääle salajasust säilitada, või mitte. Selle kohta vt ka põhiseaduse kommentaare hääletamise salajasuse kohta (p 44-46): http://www.pohiseadus.ee/index.php?sid=1 HYPERLINK “http://www.pohiseadus.ee/index.php?sid=1&pt=&p=60#c45″& HYPERLINK “http://www.pohiseadus.ee/index.php?sid=1&pt=&p=60#c45″pt= HYPERLINK “http://www.pohiseadus.ee/index.php?sid=1&pt=&p=60#c45″& HYPERLINK “http://www.pohiseadus.ee/index.php?sid=1&pt=&p=60#c45″p=60#c45.
2) Euroopa Nõukogu Ministrite Komitee soovitused e-hääletamise standardite kohta ja selle lisaks olevad e-hääletamise standardid:
https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=0900001680726f6f
Soovitused ei näe üheski osas ette sellist hääle kontrollimise mehhanismi, mis annab valijale personaalse tõestuse tema hääle lugemise kohta. III osas (valimiste vabadus) näeb standard ette, et valijal peab olema võimalik kontrollida hääle andmist:
„15. The voter shall be able to verify that his or her intention is accurately represented in the vote and that the sealed vote has entered the electronic ballot box without being altered. Any undue influence that has modified the vote shall be detectable.“
Standardite IV osa räägib salajasusest:
„23. An e-voting system shall not provide the voter with proof of the content of the vote cast for use by third parties.“
„26. The e-voting process, in particular the counting stage, shall be organised in such a way that it is not possible to reconstruct a link between the unsealed vote and the voter. Votes are, and remain, anonymous.“
Kuna siin omajagu detaile, siis võib lugeda ka p 23 ja 26 kommentaare seletuskirjast:
https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=090000168071bc84
ja ka rakenduslikke soovitusi p 23 ja 26 kohta
https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=0900001680726c0b
3) Samuti viitan veel kord Riigikohtu 2005. a lahendile (eelkõige p 27), kindlasti on seal väljendatud seisukohad endiselt ajakohased. Ka Riigikohus ise on sellele otsusele korduvalt oma järgnevates lahendites viidanud, https://www.riigikohus.ee/et/lahendid?asjaNr=3-4-1-13-05
Epp Maaten: Toetan Jani, Tarvi, Mariko ja Arne arvamusi. Iga valija võimalus kontrollida, kas tema hääl loeti korrektselt, looks demonstreeritava seose valija antud hääle ja loetud hääle vahel, mis läheb aga vastuollu hääletamise salajasuse põhimõttega. Hääletamise salajasuse põhimõte võimaldab vältida mh olukorda, et hääletajat mõjutatakse (coercibility nagu HVS sõnastas).
Martti Allingu: Ma tegin väikese eksperimendi ja rääkisin Valdeku siin punktis pakutud variantidest IT ja e-valimiste köögipoolt mitte tundvatele inimestele ja seda nii neutraalses võtmes kui võimalik. Tulemus oli, et kõik arvasid, et igasugune selline kontroll teeb valimised ebaturvalisemaks, sest kui inimene ise saab pikalt oma valikut kontrollida saab ka keegi kolmas nende arvates siis veenduda kelle poolt nad hääletasid. Igasugused sõltumatud koodid ja krüptovärgid neid ei kõigutanud. Kõik küsisid aga kuidas pabervalmistel käib? Kui ma ütlesin, et sedelid hävitatakse küsiti minult miks i-häältega peaks teisiti käituma? Lisaks sain küsimusi, et kuidas saab hääletaja veenduda, et see nr mis tallevalimise hetkel antakse ikka õige on ja mitte kellegi teise oma või mingi muu x nr mis midagi tegelikult ei näita? Või kuidas see nr ikka garanteerib, et hääl läks arvesse. St minu arus kumbki Valdeku pakutud variant ei aita tavainimeste silmis usaldust, mis tegelikult niigi kõrge kui uuringuid vaadata, suurednada. Pigem aitab häälte müümisele juurde nagu siin juba juttu on olnud.
Liia Hänni: kiuslikult võib ju küsida edasi – aga mis siis, kui kontrollkoodiga varustatud häält kuvatakse hääletajale “nii nagu vaja”, aga valimistulemus on ikkagi manipuleeritud? Katse usaldust süsteemist “välja taandada” on omamoodi perpetuum mobile ehitamise katse. Võiksime sellest loobuda.
Lahendused:
Edasised sammud:
Murekoht nr 13: Terminid ei ole kooskõlas rahvusvahelise terminoloogiaga
Esitaja: H. V. Seeder
Selgitus: praegu Eestis kasutatav terminoloogia tekitab suhtlemisel välismaailmaga segadust, kuna meie e-hääletus tähendab seal i-hääletust (internet voting). E-hääletus tähendab välismaailma terminoloogias pabervalimiste tegevuste toetamist elektroonikaga, aga ka elektroonilist hääletust hääletusmasina, telefoni vms vahendusel. E-hääletused toimuvad valimisjaoskonnas viibides, i-hääletused toimuvad i-hääletaja enda valitud suvalisest asukohast isikliku nutiseadme vahendusel.
Otsustati, et teema markeeritakse töörühma lõpparuandes soovituste all.
Murekoht nr 14: I-hääletamist reguleerivad õigusaktid ei ole selged ja süsteemsed
Esitajad: H. V. Seeder
Selgitus: Töögrupi aruteludelt on tekkinud osaliselt kuvand, et i-hääletuse tehnoloogiaga, seadustega ja seaduste täitmist jälgivate õiguskaitse organite tööga on kõik OK. Vaid valijat on vaja teavitada, talle infomaterjale paljundada, talt võtta võimalused valeinfot levitada, häält osta või müüa, ja talle määrata rohkem eeskujulikke ja tarku inimesi eeskuju näitama ning usaldust tekitama. Püüame siis vaadata seadusandlust nüüd päris põhiprintsiipidest, et kirjeldatud kuvandit mõrandada.
Võimude lahususe põhimõte on vajalik selleks, et valitsemist teostav täitevvõim ise omale rolli ja volitusi ei looks (mida peaks tegema asjatundlik seadusandlik võim) ega mõistaks kohut (mida peaks tegema erapooletu ja aus kohtuvõim). Kui täitevvõim ise omale seadused looks, siis ta oleks huvide konfliktis – sest siis oleks tema loomuomane huvi luua omale just see raamistik, mis talle endale kõige rohkem tulu toob ja mis on tema jaoks kõige mugavam. Temalt oodatud funktsioonide täitmist aga ei toimuks.
Seepärast on ka i-hääletuse kontekstis oluline, et määrava osa selle raamistikust annaks ette seadusandja, mitte ei kehtestaks täitevvõim (iseendale ise). Seadusandja annab välja seadused, täitevvõim määrused, käskkirjad, otsused ja juhised. Tuleb vahet teha, mis on vaja reguleerida seadusandja poolt (seaduses). Lisaks huvide konflikti ärahoidmisele on seadusandja tegevus (seadus) suunatud rahvale – seaduses reguleerimine on “kõva” käitumisjuhis. Seda ei saa täitevvõim ise muuta. Määrusi võib täitevvõim, sageli ainuisikuliselt, igapäevaselt muuta.
Seadusandja poolt oleks i-hääletuse kontekstis vaja täitevvõimule ette anda i-hääletuse ja i-hääle töötlemise põhireeglid sellises detailsuses, mis rahuldab usalduse tekitamist kui i-hääletuse alusnõuet. Täitevvõimu reguleerida võib jätta osa, mis pole määrav usalduse kasvatamise seisukohalt (organisatoorsed detailid, protseduuride lahtikirjutamine, jne).
Seadusega on vajalik kehtestada vähemalt lisaks tänasele:
Hääletusseadmete põhitüübid (PC ja nutiseade) ning üldpõhimõtted, millisel alusel valitakse välja toetatavad seadmed ja opsüsteemid-versioonid (mrk 11);
Toetatavad digiallkirjastamise tehnoloogiad (mrk 11).
Miinimumnõuded i-hääletaja hääletusseadme turvalise ühenduse tagamiseks (mrk 10).
I-hääle kontrollitavuse põhinõuded i-hääletaja vaates (mrk 12).
Terminoloogia viiakse kooskõlla sisuga (mrk 13).
I-hääle ausat töötlemist tagava toiminguteahela põhietapid lühikese sisuga (mrk 15).
I-hääle krüptoümberiku sisene ja ja ümbrikku saatev andmestik ning formaat (mrk 16).
I-hääletamise andmestikku lekkimise eest kaitsvad abinõud (käitlemise ja hävitamise põhinõuded – mrk 17).
Logimine, logide haldamine ja kättesaadavaks tegemine (näiteks IKS nõuab isikuandmete töötlemise eeldusena seadusest tuleneva aluse olemasolu. S.t logide analüüsimise kontekstis tuleks selline vaatlejate õigus ja tingimused ära märkida seaduses – mrk 18).
Privaatsuse tagamise tööriistad i-hääletusel, peaks olema võrdelised pabervalimistele sätestatuga (mrk 20).
Garantiide andmine i-hääletajale, et pettused on jätkuvalt avastatavad ka peale valitsuse vahetumist (mrk 21).
I-häälte töötlemisprotsessi protokollimise põhinõuded (mrk 22).
I-hääletuse ajaline ühtlustamine paberhääletusega ja i-hääletaja vabastamine kestva survestamise ohust, lõpetades põhjendamatud korduvhääletused (hääle muutmine lubatakse peale politsei poole pöördumist igakordse pöördumise alusel, mrk 23).
Kuid lisaks seadusandja poolt täitevvõimule etteantavale, peavad seadused olema võimalikult lühidad, tabavad ja selged. Autor võrdles plagiaadi kontrollimise veebimootoris RKVS ja EPVS kattuvust, tulemus 73%. Kuna võõrkeelne veebimootor ei suuda tuvastada sama sisu erinevas sõnastuses, siis tegelik kattuvus võib olla veelgi suurem.
Dubleerimine seadustes muudab seadused raskelt loetavaks. I-hääletajale täiendavate selgitusmaterjalide trükkimise asemel võiks valimisi reguleerivate seaduste struktuuri lihtsustamisele keskenduda, muutes need kui õigusallikad loetavamaks. Korduvusi saab koondada ühe seaduse üldosasse, teistes seadustes viidates.
Seadusandluses on veel üheks murekohaks, et puuduvad sanktsioonid i-hääletamise andmestiku massilise manipuleerimise suhtes. Kehtivaks sanktsiooniks ühe hääle saladuse rikkumise eest on trahv kuni 400 eurot või arest, kuid sama on kogu riigi hääletamissaladuse avalikustamise korral. Jne.
Ebaselge on kvalifikatsioon häkkerile või hääletustulemusi ja/või logisid elektrooniliselt manipuleerivale insiderile. Kas tema suhtes tuleks kohaldada KarS § 163 (valimise võltsimine – rahaline karistus või kuni kolmeaastane vangistus) või hoopis kohaldada mõnda arvutikuritegevuse kvalifikatsiooni. Otsustused peab tegema seadusandja ja seadusandliku tühimiku täitmist ei saa jätta kohtuliku initsiatiivi hooleks. Võib tekkida olukord, kus kvalifikatsioonide puudulikkuse tõttu ei olegi võimalik massandmetega manipuleerimisi süüstada.
Mrk 11 lõpus on soovitatud vastuvõtuteatise juurutamist, s.h õigusvaidluste ärahoidmiseks ja lahendamiseks. Juhul kui otsustatakse vastuvõtuteatised rakendada, siis oleks vajalik ka kusagil õigusaktis (ei pea olema seadus) reguleerida, kuidas toimub vastuvõtuteatiste kasutamine vaidlustuste lahendamisel.
Markeerimist väärib (eks)ministri Kert Kingo poolt tähelepanu juhtimine käibearusaamale, et teise isiku ID-kaardi kasutamine võib olla ok, kui toimub teise isiku nõusolekul. Tegelikult on see siiski võltsimine – elektroonilist allkirja tohib anda siiski ainult isik ise. Sarnaselt paberil ei tohi teise isiku eest allkirja kirjutada teise isiku loal, isik peab allkirja andma ise. Identiteedivargus kuriteona on sätestatud KarS § 1572, kuid selle sõnastuse sobivuse võiks üle vaadata. Soovitus identiteedivarguse ohud lõppraportis markeerida.
Lepiti kokku, et antud murekohaga tegeletakse ja otsitakse lahendusi Justiitsministeeriumi töörühma raames.
Eriarvamused:
H.V.Seeder: Probleem seadusandlusega väärib tähelepanu ja poliitiliselt tasandilt lähtuvat juhtimist ja kontrolli, seda ei saa suunata kabinetivaikusesse. Probleem jääb aktiivseks.
Mariko Jõeorg-Jurtšenko – vormi asemel võiksime keskenduda pigem sisule. Erinevates riikides on mindud erinevat teed pidi ja ei saa öelda, et ühel on olnud õigem valik, kui teisel. Eestis on iga valimiste jaoks eraldi seadus, kuna nii on seadusandja pidanud mõistlikuks ja veenvaid argumente, miks see nii ei võiks edasi olla, hetkel ei ole.
Kindlasti ei saa me välistada, et ühte kõiki valimisi hõlmavat õigusakti meil kunagi olema ei saa.
Siinkohal peab silmas pidama ka seda, et kellele on valimisi reguleerivad õigusaktid eelkõige suunatud (sihtrühm) ning kas sellele sihtrühmale on nad arusaadavad sellisel kujul nagu kehtiv õigus hetkel on.
Epp Maaten: Ei nõustu suures osas ettepanekuga. Seaduse tasemel ei ole mõistlik ega vajalik sätestada detaile, mis suure tõenäosusega muutuvad igal valimiskorral või selguvad enne valimisi. Üldine soovitus on, et valimisseadusi ei muudetaks aasta enne valimisi. E-hääletamise kohta on võimalik teha eraldi juhendmaterjale (vt ka murekoht 2, 3, 6 ja 7).
Martti Allingu: Minu kui praktiku seisukohalt on enamus seadusi raskesti loetavad ja ma pigem laseks seadusi kirjutada praktikutel kui juristdel. Sellest tulenevalt puudub mul ka usk, et seadustesse annab kõiki praktiku seisukohast väga üheseltmõistetavalt kirjutada. On mitmeid protseduure (logimine, andmete hävitamine) mida võiks valmiste jaoks täpsemaks kirjutada küll aga kas seadus on õige koht ma pigem kahtlen.
Liia Hänni: Seadusega on vaja sätestada e-hääletamise olulised põhimõtted, mitte aga korralduslikke küsimusi. Eriti ei peaks seadus reguleerima tehnoloogia kasutamist – vähemalt seni on infoühiskonna õiguslik raamistik Eestis sellest lähtunud . H –V Seedri ettepanekuid võiks kaaluda seaduse alusel antud e-hääletamise regulatsioonide täiustamisel.
Murekoht nr 15: I-hääle liikumine ei ole audiitoritele ja vaatlejatele kogu tsükli ulatuses vaadeldav (kogu protsessi vaadeldavus-kontrollitavus)
Esitajad: H. V. Seeder, M. Põder
Selgitus: Valimiste usaldusväärsuse tagab selle kõikide protseduuride ja hääle liikumise jälgitavus. Kusjuures individuaalse kontrollkoodi osa on juba käsitletud punkt 12 all (katab ära i-hääletaja enda vajaduse saada veenduda oma hääle jõudmisest kokkulugemisele) ja logimine on käsitletud punkt 18 (katab ära vajaduse süsteemi kui terviku toimimise jälgimiseks ja ülevaated ajateljel). Seega siin punktis käsitleme ainult protsessi kui terviku vaadeldavust audiitoritele ja vaatlejatele, kogu tsükli ulatuses.
Olulise osa i-hääle liikumisest tema töötlemise tsüklis on võimalik katta kvaliteetse protokollimise korraldusega (murekoht 22). Seejuures tuleb eeldada, et i-häälte töötlejad teevad oma tegevused piisavalt aeglaselt ja annavad jooksvalt ja proaktiivselt selgitusi vaatlejatele ja audiitoritele.
Dokumendist IVXV-arhitektuur.pdf (20.04.2019) selgub, et i-hääle töötlemiseks on kasutusel kolm erinevat rakendust: võtmerakendus, töötlemisrakendus ja auditirakendus. Käesolevas murekohas vaatleme ainut töötlemisrakendusega kaetud protsesside asjakohasust valimiste vaatleja seisukohalt nähtuna.
TÖÖTLEMISE ETAPPIDE ERISTATAVUSE VAJADUS
Autor on seisukohal, et usaldusväärse protokollimise ja vaatlemise tagamiseks peaks olema olulised i-häälte töötlemise etapid eristatud iseseisvateks etappideks (iga etapi tegevustes selgelt eristatav: käivitamine, tulemuste vaatlemine ja protokolli märkimine). Seega vajalikud etapid oleks:
i-häälte, digiallkirjade, ajatemplite ja logide terviklikkuse kontroll ja võrdlemine (seda on võimalik teha ka “karbitarkvaraga”, s.t rakendada erinevate tarkvarade kasutamist).
arvestamisele mittekuuluvate i-häälte tuvastamine ja eemaldamine (samuti võimalik teha “karbitarkvaraga”).
Digiallkirjade eemaldamine i-häältelt.
I-häälte muutmine hääletaja isikuga seostamatuks.
Dekrüpteerimine
Avaldamine ja kokkulugemine (võimalik teha “karbitarkvaraga”).
I-hääletamise käsiraamatu IVXV (Ver 0.6, 10.05.2019) järgi toimub aga sama töötlemine praegu töötlemisrakendusele käsureal käske andes nii (ei käsitle siin konfiguratsiooni loomiste ja allkirjastamiste käske):
Kontroll viiakse läbi käsuga: processor check -c appconf.bdoc -p processor.bdoc.
Korduvad hääled tühistatakse käsuga: processor squash -c appconf.bdoc -p processor.bdoc (punkt 3.1 alapunkt 6) ja käsuga: processor revoke -c appconf.bdoc -p processor.bdoc (punkt 3.2 alapunkt 3) – Kummas käsk siis?
Digiallkirjade eemaldamise käske käsiraamat eraldi ei kirjelda.
Hääled anonüümistatakse käsuga: processor anonymize -c appconf.bdoc -p processor.bdoc (punkt 3.2 alapunkt 5).
Dekrüpteerimist käsiraamat jällegi eraldi ei kirjelda.
Kokkulugemine
Autori 19.07.2019 nägemus (PTK-3 blogis). Kui oleks tegevused läbi viidavad karbitarkvara ja standardinstalliga, siis see säästaks vaatlejaid unikaalse programmi (töötlemisrakenduse) lähtekoodi üksikasjaliku uurimise vajadusest, töötlemisvõtted on karbitarkvaraga tuttavlikud – sedakaudu saab tagada usaldust. Unikaalsel koodil ei ole piisav visuaalsest pilgu pealeheitmisest – kood tuleks ka usaldusväärsuse tagamiseks rida-realt debugging meetodiga läbi töötada, reaalsega sarnases konfiguratsioonis. Ka puudub vaatlejal võimalus saada testimiseks reaalses formaadis häältega faili (JW: Need failid on tegelikult olemas ja mina olen neid saanud lihtsalt Smartmatic-Cybernetica inseneride käest küsides. Osad näitefailid on olemas ka siin: https://github.com/vvk-ehk/ivxv/tree/master/examples Küll olen nõus, et tuleks üle vaadata, kas kõik rakendused on näitefailidega kaetud). Vaatleja töötab tasuta, oma ja ühiskonna teadmisvajaduse rahuldamiseks. Mistõttu ei ole loota, et vaatlejad hakkaks korduvalt ja väga põhjalikult süvenema detailidesse, kui see nõuab suurt ajakulu ja pühendumust. Süsteemi muutmisel tuleb seetõttu panustada standardsusele ja lihtsusele.
- MIKSIJA TÖÖTLEMISRAKENDUSE KOMPONENDINA
Miksijaks nimetatakse töötlemisrakenduse (lähtume dokumendist “IVXV-arhitektuur” – mõnedes teistes dokumentides on miksijat kirjeldatud ka kui iseseisvat rakendust) komponenti.
Dokument “IVXV Üldraamistik” (29.05.2017) kirjeldab miksija funktsiooni ja kontrollitavust:
IV etapp: e-häälte anonüümistamine
- Töötleja rühmitab e-hääled ringkondade kaupa;
- Töötleja eemaldab e-häältelt seosed neid andnud isikutega;
Etapi tulemuseks on ringkonniti rühmitatud anonüümsed e-hääled (krüptogrammid valitud kandidaatidest).
Selleks, et häälte kokkulugemine oleks avalikult kontrollitav, võib kasutada häälte krüptograafilist segamist ehk miksimist.
V etapp (valikuline): miksimine. Töötleja (või selleks volitatud Miksija) miksib anonüümsed e-hääled ringkondade kaupa kasutades Miksimisrakendust. Miksimine koosneb häälte segamisest ja krüptograafilisest permuteerimisest ehk ümberjärjestamisest. Viimatinimetatud tehnika kasutamise eelduseks on homomorfse krüptosüsteemi kasutamine hääle salastamisel. Miksimine peab toimuma nii, et tema nii sisendi kui ka väljundi dekrüpteerimine annaks sama tulemuse. Protsessi kõrvaltulemusena väljastatakse miksimistõend, mida saab Auditirakenduse abil kasutada protsessi korrektsuse tõestamiseks.
8.4. Auditeerimine ja vaatlemine. … Andmeauditi käigus veendub Audiitor e-urni tervikluse, korduvate häälte tühistamise ja häälte anonüümistamise korrektsuses, korrates protsessi oma vahendiga, mis käitub samamoodi kui Töötlemisrakendus. Miksimise ja kokkulugemise verifitseerimiseks kasutab Audiitor lisaks sisendile ja väljundile ka miksimis- või lugemistõendit. Nende andmekogumite omavahelist kooskõla kontrollitakse Auditirakenduse abil, mille usaldatavuse tagamine on Audiitori ülesanne.
Probleem-1 vaatlejale. Toodud kirjeldusest nähtub, et miksijasse sisestatakse kogu i-hääletamise tulemus ilma digiallkirjadeta, kuid krüpteeritult. Seega vaatleja veel ei tea, kes ja kui palju sai i-hääli ja järelikult vaatleja ei saa seda ka enda käsutuses olevate vahenditega jälgida. Vaatleja peab pimesi usaldama audiitorit ja süsteemi, et pettusi miksijas ei toimunud (JW: Vaatleja ei tea tõesti, mis avahääled miksijasse läksid, aga ta saab tõestuse, et miksija sisend- ja väljundkrüptogrammide hulgad on avahäälte mõttes ekvivalentsed, st et miksimine ei muuda hääletamistulemust). Aga audiitor on palgatud korraldaja poolt, seega võimude poolt. Seega võib valitsus valida sellise audiitori, kes täidab täpselt tema korraldusi. Miksija kasutamine põhjustab usalduse kao. I-häälte liikumise ahelas ei tohiks olla kohti, mis pole vaatlejale piisavalt selgelt ja lihtsalt vaadeldavad.
Probleem-2 vaatlejale. Miksija funktsioon on muuta sinna sisestatud i-häälte krüpteering ja järjestus ära sisestatust erinevale kujule. Seega kui nüüd soovida valimispettust korraldada, siis tuleks kusagil i-hääle liikumise protsessis (kasvõi soositud isikute eneste valijarakenduses selle modifitseerimise teel) “külge haakida” või peita (kokkuleppelise sümbolina legaalse komponendi koosseisu näiteks) mingi tähis, mis annab miksijale teabe, et just seda häält tuleb paljundada. Ja näiteks ilma märgiseta i-hääli vähendada. Sama palju, et faili kvantitatiivsed näitajad ei muutuks. Kui nüüd auditirakendus (“mille eest vastutab ainult audiitor ise”) ei ole võimeline toimunud pettusi välja tooma, siis ei saagi mitte keegi toimunust mitte kunagi teada. Tõendusmaterjal hävitatakse vastavalt tänasele seadusele kuu aja möödudes. Läbipaistva, uue ülelugemise nõudmiseks, pole seni veel mitte kellelgi õnnestunud saada kohtuid vastavat otsust tegema veenvat tõendusmaterjali.
Probleem-3 vaatlejale. Üllatuslikult saab IVXV-käsiraamatu punktist 4.1 teada:
“Kui muud valimisprotseduurid ei võimalda piisavat miksimiseks vajalikku ajaperioodi, loetakse miksimata hääled kokku valimispäeva õhtul ilma lugemistõendit väljastamata. Sel juhul loetakse miksitud hääled kokku valimispäevale järgneval päeval ja väljastatakse ka lugemistõend”.
Seega on miksimine võimalik ka täitsa ära jätta:
“Valimistulemuse autentsust ja terviklust on võimalik kontrollida häälte lugemise käigus loodud signatuurfaili abil, kasutades lisaks genereerimisprotsessis loodud faili “*sign.pem“ (vt p.3.3). Kontrollida saab utiliidiga openssl, mille versioon peab olema vähemalt 1.0”).
Selle probleemi kirjeldamisel põhineb vaatleja etteheide dokumendist nähtuval mõttekäigul, et i-häälte töötlemise protsesse võib valida vastavalt kas aega on või aega ei ole. Valimistulemuste kokkulugemiseks ei tohiks kehtestada tähtaegu, mis sunniksid muutma kasutatavat metoodikat. Seega peaks põhiprotsessis olema lubatud ainult kohustuslik metoodika. Küll võib alternatiivseid metoodikaid kasutada dubleerivates kontrolliprotsessides (jääb lahti ka võimalus, et kontolliprotsesse viiakse läbi ühel ja samal ajal põhiprotsessiga – teiste isikute poolt).
DISKUSSIOON
Pole kahtlust, et on võimalik välja tuua hulk argumente või tõendeid krüptograafia vallast, mis tõendavad või millega väidetakse olevat tõendatud, et ümberlükkamatult on tagatud miksija verifitseeritavus.
Teisalt on võimalik jälle välja tuua, et väidetavalt on NSA jälitanud tuhandeid väljalükatud toitega mobiiltelefone, kuigi teoreetiliselt on selline jälitamine võimatu. Või et miks USA ei aktsepteeri Huawei 5G seadmeid on asjaolu, et sealsed ametivõimud pole veendunud – et isegi nende tippspetsialistid suudaks tagada seadmete piisavat turvalisust ja avastada näiteks soovimatult sissesokutatud märkamatu kiibiosa või mõne liigse rea mõne komponendi firmwares. Ja mäletame, et ka Enigma kunagi murdmatuks kuulutatud saladus murti. Seega on igal kontrollimatul ja vaadeldamatul komponendil ikkagi jääkrisk, isegi kui jääkriski puudumist peetakse mõnede asjatundjate poolt tõendatavaks. Ja kindlasti ei ole vaatleja see, kes tahaks krüptograafidega hakata vaidlema krüptograafiateaduse nüanssides.
Seega vaatleja eelistus on näha süsteemi, kus samad funktsioonid on korraldatud tajutava ja kontrollitava karbitarkvara (või võimalikult lihtsate skriptide) abil. Miksija asendamiseks on täiesti võrdväärne võimalus olemas, selleks on krüpteeritud häälte kahekordne ümbersorteerimine juhuarvudele vastavasse järjekorda. Olen blogis kirjeldanud 19.07.2019 punktid 5-7.
JW: Ei saanud sellest kohast blogis aru, ei saa ka siin. Mismoodi see ümbersorteerimine täpselt töötab ja mismoodi praegusest miksimisest erineb?
HVS: teoreetilisel tasandil on ümbersorteerimine mõeldud nii, et:
– esimesel ümbersorteerimisel igale e-häälele lisatakse juhuslike arvude generaatoriga genereeritud arv ja sorteeritakse (siis veel krüptitud) hääled (järjendis või tabelis) ilma ekraanile hääli kuvamata ümber nende juhuarvude järjekorda. Misjärel dekrüpteeritakse eraldi arvutis.
– teisel ümbersorteerimisel igale e-häälele lisatakse jällegi juhuslike arvude generaatoriga genereeritud arv ja sorteeritakse (nüüd juba dekrüpteeritud krüptoümbrike sisu) ilma ekraanile hääli kuvamata ümber uute juhuarvude järjekorda. Juhuarvud eemaldatakse ja tulemus salvestatakse (avalikustamisele kuuluvaks) valimistulemuste tabeliks (mis sisaldab siis valikut, jsk-nr ja individuaalset kontrollnumbrit igas järjendis).
Mille poolest see erineb miksijast – ümbersorteerimiseks on vajalik äärmiselt lihtne skript või on seda võimalik teha lausa karbitarkvaraga (häälte faili saamisel oleksingi tahtnud viimast testida). Samuti toimub juhuarvude genereerimine äärmiselt lihtsa skriptiga. Kumbki nendest on võimalik käivitada eraldi, mis võimaldab veel ka vahetulemust kontrollida. Seega niisugune anonümiseerimine oleks arusaadav ja jälgitav n.ö keskkooliõpilase arvutiteadmiste pinnalt. Seda rakendades oleks meil automaatselt olemas kriitiline hulk inimesi, kes seda suudavad jälgida ja mõista. Muidugi korraldaja poolt tuleks tagada, et seda protsessi oleks võimalik korrata ka sõltumatute isikute (vaatlejate) poolt sõltumatus (mitte korraldaja) arvutis. Viimane nõue välistab nn huawei-hirmu (et arvutisse on sokutatud mingi kiibiosa selle häkitud firmware-ga või backdoor).
Muidugi võib väita, et täpselt samad nõuded (võimaldada vaatlejatel miksimise protsess iseseisva kontrollimisena läbi viia, nende endi poolt kontrollitud koodiga ja sõltumatus arvutis …) saab rakendada ka miksija jätkuva kasutamise korral.
Nojah, on küll. Kuid miksija kood on keerulisem võrreldes juhuarvude generaatori rakendamise koodiga ja järjendite ümbersorteerimise koodiga. Nagu teada, tarkvaraarenduses ei piisa ainult koodi kirjutamisest ja vaatamisest. Eriti veel miksija koodi vaatamisest. Kood tuleb alati debugging meetodil läbi testida, soovitavalt isegi samas konfiguratsioonis riistvaral. Ja koodi mõistva isiku poolt.
Seega, kui meil on juba olemas kriitiline mass keskkooli tasemel arvutikasutajaid ja ei ole olemas kriitilist massi krüptospetse, siis võib nende kahe meetodi vahel eelistuste tegemisel saada otsustavaks kuluefektiivsuse aspekt.)
Seega minu soovitus, et protsess muutuks vaatlejale tajutavaks, on miksija ära jätta ja asendada kahekordse ümbersorteerimisega juhuarvude järjestuses (lahendus Probleemile 3). Jätta ära võimalus ka töötlemistehnoloogiate vahel valida sõltuvalt töö valmimise tähtaegadest (lahendus Probleemile 2). Kui need kaks eelnevat ettepanekut rakendada, siis audiitorile enam ei jää eksklusiivset rolli ja Probleem 1 kaob sellega iseenesest.
Kommentaarid:
Liia Hänni: Kõik ettepanekud, mis puudutavad protsessi läbipaistvust, võiks koondada üheks ettepanekuks.
JW: Olen Liia Hänni ettepanekuga nõus, asi hakkab ikka liiga laiali vajuma. Igasugused dokumenteerimise ja avalikkusele suunatud materjalide loomise punktid koonduvad ka kuidagi järjest rohkem ühte punkti. Äkki ongi mõistlik meie algsed 25 murekohta pakkida 5-6 suuremasse teemasse?
Eriarvamused:
JW: Siinkohal pole Miksija rollist õigesti aru saadud — see on just nimelt komponent, mis võimaldab audiitoritel häälte korrektset liikumist ilma valijate privaatsust rikkumata vaadelda. Miksija ärajätmisel kannataksid nii süsteemi vaadeldavus kui üldine turvalisuse tase. Küll olen ma nõus, et audiitoritele suunatud dokumentatsioon võiks olla parem, aga see probleem on juba käsitletud murekohtade number 1 ja 3 all. Murekoha number 15 sellisel kujul võib minu meelest maha võtta.
TM: JW-ga nõus.
JW: Tänapäevased krüptosüsteemid on disainitud muuhulgas sellistena, et tuvastamatu “tähiste külgehaakimine” krüptogrammide alla poleks võimalik. Üldse julgen ma öelda, et krüpto kui sellise murdmine on tänapäeval nii raskeks muutunud, et vähegi korralikke krüptoskeeme kasutavate süsteemide ründamisel esineb krüptograafia murdmine ründevektori osana ikka üliharva. Enigma ajast on krüptograafia väga palju edasi arenenud.
Võrdlus Huawei kaasusega on täiesti kohatu. Kõik meie töötlemisrakendused on avatud lähtekoodiga ning võimaldavad andmepõhist auditeerimist.
Martti Allingu: Standardtarkvara usaldusväärsuses ei saa just tihti kindel olla. Pigem tasuks siin küsida kas see tehtud tarkvara kood on piisavalt väliste audiitorite poolt testitud ja kogu protsess nö näidisrünnatud. Siin ei saa loota, et paneme üles järku keegi viitsib süveneda, vaatab ja saab sellest protsessis asjast aru. Vaja on, et tasuline koodi audit oleks tehtud, soovitavalt mitme audiitori poolt. Oleks palgatud häkkerid piisavalt vara ja süsteemis oleks nii vähe auke, et häkkerite testi tulemusi julgetaks avaldada ja neid ei peaks AK infoks kuulutama.
Lahendused:
Edasised sammud:
Murekoht nr 16: I-hääle andmekoosseis peab olema proportsionaalse õigusaktiga sätestatud
Esitajad: H. V. Seeder
Selgitus: praegu seadus i-hääletuses kogutavate andmete struktuure ega formaate ei reguleeri. Krüpteeritud ja allkirjastatud i-hääle koosseis on reguleeritud kõige madalamal tasemel – VVK otsusega, mis ei ole õigusakt. I-hääletuse usaldusväärsusele on oluline, et i-hääle koosseis (nii krüpteeringu sees kui krüpteeringuga koos edastatav info) oleks täpselt sätestatud. Reguleerida tuleb seaduse tasemel, seadusandja poolt. Seda nõuab võimude lahususe printsiip, ja vajadus i-hääletuse usaldusväärsuse tagamisel ka insiderite käsutuses olevatest vahenditest tulenevad riskid minimeerida.
Kommentaarid:
Eriarvamused:
Tarvi Martens: sellist juriidilist asja, “kas on sätestatud vajalikul tasemel” hinnaku juristid. Igatahes on i-hääle andmekoosseis sätestatud hetkel RVT käskkirjaga.
Mariko Jõeorg-Jurtšenko – VVK ega RVT ei oma õigusaktide (määruste) andmise pädevust – VVK-l oli kuni 2016. aasta lõpuni pädevus anda määruseid, aga enam ei ole.
Kas i-hääle andmekoosseis on selline regulatsioon, mis peaks olema seaduse tasandil üldaktiga reguleeritud on otsustamise koht.
Epp Maaten: Ettepanekust ei selgu, milliste andmete struktuure ja formaate tuleks seaduse tasandil sätestada, et ei oleks ohustatud võimude lahususe printsiip. Ettepanekus ei viidata olemasolevale dokumendile, mis kirjeldab peamisi i-hääletamise süsteemis kasutatavaid andmestruktuure (https://www.valimised.ee/sites/default/files/uploads/eh/IVXV-protokollid.pdf).
Lahendused:
Edasised sammud:
Murekoht nr 17: I-hääletamisega seotud andmete hävitamise protseduur peaks olema täpsemalt reguleeritud
Esitajad: H. V. Seeder, M. Allingu, L. Hänni, RIA
Selgitus: i-häälte hävitamine on praegu (pigem) demonstratiivne ega taga kaitset insiderite eest. RKVS § 77 lg 2 sätestab i-häälte hävitamise küll kuu aega peale valimisi, kuid ei sätesta metoodikat, organisatsiooni, vastutust ega anna delegatsiooninorme. I-häälte ja isikuandmete logimise ja kogumise asukoha RIA suhtes puudub väline kontroll i-hääletamisega seotud andmete hävitamise üle.
On teadmata, kas ja kui palju RIA sisemised regulatsioonid valdkonda reguleerivad, kuidas toimub järelevalve ja dokumenteerimine.
Kommentaarid:
Mariko Jõeorg-Jurtšenko – kas probleem on selles, et e-häälte hävitamine, nii nagu see praegu toimub, ei ole piisava turvalisuse tasemega või on probleem selles, et hävitamise protseduur ise on nõutaval tasemel, aga seda protseduuri ei ole piisavalt selgelt lahti kirjutatud ? Kahjuks ei ole selge kumba probleemi soovitakse lahendada.
Alo: RIA on avatud juhistele dokumentatsiooni parendamiseks ja osaleme meeleldi e-häälte hävitamise protsessi kirjeldamisel. Täna kustutatakse andmed ja keskkonnad peale vaidlustusperioodi lõppu. Väliste audiitorite kaasamine on teretulnud. RIAl on sisemine haldus- ja paigaldusprotsess kirjeldatud oma sisemise juhisena. Kui selle peab avalikustama või kuidagi kehtestama/allkirjastama, siis peab tagama, et ei avalikustataks konfidentsiaalset infot
Martti Allingu: RIA sisemised juhised ei ole minu arust piisav. Võiks olla ikka mingi e-valimiste kinnitatud kord/põhimõtted, mis on avalik ja sätestab kõik kõrget turvalisust nõudvad protseduurid. Ja neid protseduure võiks saada kritiseerida jooksvalt ja kriitikale võiks siis ka vastata.
Eriarvamused:
Lahendused:
Edasised sammud:
Murekoht nr 18: Reguleerima peab protseduuri, mida logitakse, kuidas logisid hallatakse ning kelle need kättesaadavaks tehakse
Esitajad: H. V. Seeder
Selgitus: logisid ei ole seni kättesaadavaks tehtud ettekäändel, sest need sisaldavad isikuandmeid (VVK keeldumine RK2019 valimiste vaatlejana tegutsenud autori teabenõuet logide saamiseks täita). Autor on seisukohal, et kõik i-hääletuse käigus tekkivad logid peavad originaalkujul olema kättesaadavad (s.t kontrollitavad ja töödeldavad) i-hääletuse audiitoritele ja -vaatlejatele (s.h analüüsimiseks tabelarvutusprogrammis). Piiratud andmestikus kättesaadavad avalikkusele VVK veebilehe kaudu. Mistõttu tuleks raamistik sätestada seaduses ja lisaks koostada dokumentatsioon i-hääletuse logimiste ulatuse ja logide töötlemise ja avaldamise reguleerimiseks.
Vastavalt isikuandmete kaitse seadusele on isikuandmete töötlemine (seega ka isikuandmeid sisaldavate logide töötlemine) lubatud juhul, kui selleks on olemas seadusest tulenev alus. Mistõttu on seadusesse vaja kirjutada vastavad alused.
Usalduse suurendamiseks i-hääletajate hulgas võiks logimise statistilised näitajad (kellaaeg, toimingu liik, i-hääletaja sugu ja vanus) reaalajas replikeerida VVK veebilehele koos failina allalaadimise võimalusega. See võimaldaks i-hääletajal reaalajas veenduda oma tegevuste kajastumises logides, aga soovi korral ka kogu hääletuse kulgemist statistilisel otstarbel ajateljel analüüsida.
Kommentaarid:
Eriarvamused:
JW, RIA: Süsteemis on väga erinevaid logisid. Neid kõiki kogu maailmale lahti teha pole otstarbekas; mõnel juhul võivad logid sisaldada ka andmeid, mis võivad kergendada näiteks mõjutusrünnet. Olen nõus, et täielik ülevaade logidest, nende andmekoosseisust ja nende kättesaadavaks tegemisega kaasnevatest riskidest oleks kasulik.
Mariko Jõeorg-Jurtšenko – kas “vaatleja” ja “audiitor” saavad selles kontekstis olla täiesti võrdsete õigustega isikud või “kõiki” logisid ei peaks vaatlejatel olema õigus töödelda.
Milliste logide avaldamine on õigusaktidega kooskõlas ja milliste mitte, see on detaili küsimus. Iseenesest ei ole selle mõtteharjutuse vastu, kui selle tegemist otstarbekaks peetakse.
Arne: Kehtivate seaduste järgi säilitatakse e-hääletamise süsteemis isikuandmeid ühe kuu jooksul või kuni kaebuste kohta lõpliku otsuste tegemiseni. Selline kord katab nii vajaduse hääletamistulemuste vaidlustamisel asjaolude väljaselgitamise vajaduse kui hääletamise salajasuse/vabaduse kaitse. Nõus, et muus osas logide avaldamise põhimõtteid võiks üle vaadata.
Martti Allingu: Nõus, et mida rohkem logisid on valikud seda läbipaistvam süsteem on. Teisalt ei tohi kindlasti avaldada isikuandmeid ega ka valimissaladust. Seda ka mitte erga RIA töötajatele. Tasub kaalumist kas osa logisid kohe anonümiseerida jne. Kindlasti peab olema mõistlik aega mille jooksul isikuandmed kustutatakse. NB! Tuleb arvestada et tõestatavus ja salastatus on pea, et teineteise vastandid.
Murekoht nr 19: valimisserverite tarkvara järelkontrollitavus
Esitajad: T. Tammet
Selgitus:
Kommentaarid:
Alo: ootame selgitusi, teisel juhul ettepanek murekoht eemaldada
Martti Allingu: Kas siin võiks olla mõte selles, et peab olema tagatud valimisserverite tarkvara terviklus mingi algoritmiga ja siis enne ja pärast valimisi pidulikult koos vaatlejatega vaadatakse, et kas ikka kontrollsummad klapivad ja tarkvara põhikomponente pole vahepeale serveris muudetud? Kui seda seni ei tehta võiks see olla tehniliselt võimalik ja mitte väga kallis meede.
H.V.Seeder: mina olen mõttest nii aru saanud, et pigem on siin jutt n.ö system image tegemisest. Mida saab vajadusel hiljem uurida, kui tekivad mingid vaidlused. Kontrollsummaga saab piiratud ulatuses ainult jah/ei testi teha. Aga las autor selgitab.
Eriarvamused:
Lahendused:
Edasised sammud:
Murekoht nr 20: I-hääletusel ei ole tagatud hääletuskabiini privaatsus, puuduvad kompenseerivad meetmed
Esitajad: H. V. Seeder
Selgitus: Nii paberil- kui ka e-hääletamised toimuvad valimisjaoskonnas. I-hääletamine toimub hääletaja enda igakordselt valitud asukohas, ja parlamendi valimisena ainukesena maailmas kasutab seda hetkel Eesti. Eesti seadus reguleerib ainult privaatsuse ja hääletussaladuse kaitset (hääletusruum, hääletuskabiin, hääletustingimused) paberil hääletamise suhtes, sama on sätestamata i-hääletamise suhtes. Ebaproportsionaalne vastav seadusandlus põhjustab i-hääletuse turvalisuses- ja usalduses suure kao.
Lisaks tavapäraseks peetavale “kooshääletamisele” töökohal ülemuse, kodus perekonnapea arvutis ja juuresolekul kahtlustavad skeptilisemad kodanikud, et ka hooldekodude juhatajad kutsuvad nendest elulises sõltuvuses olevaid valijaid hääletama nende töökabineti arvutist nende endi juuresolekul “vabatahtlikult” (halvemal juhul koguvad isegi ID-kaarte kokku). Mõned viskavad nalja, et ka erakonnad pakuvad laatadel võimalust i-hääletada nende valimistelgist ja nende personali juhendamisel – vastu pakkudes valimisnänni ja maiustusi.
RKVS sätestatud nõuded paberhääletusele (valik nõuetest):
- 34. Hääletamisruum
(1) Hääletamine valimisjaoskonnas korraldatakse valla- või linnavalitsuse määratud hääletamisruumis. Hääletamiseks valimispäeval ja eelhääletamise päevadel võib määrata erinevad hääletamisruumid.
(2) Hääletamisruumis on hääletamissedelite väljaandmise kohad, hääletamiskabiinid ja hääletamiskast. Valimisjaoskonnas, kus korraldatakse väljaspool elukohajärgset valimisjaoskonda hääletamist, on eelhääletamise ajal hääletamisruumis eraldi hääletamiskabiin ja hääletamiskast väljaspool elukohajärgset valimisjaoskonda hääletavate valijate jaoks. Hääletamisruumis on välja pandud selle valimisringkonna kandidaatide koondnimekiri ja kandidaatide üleriigilised nimekirjad.
(3) Hääletamisruumis peab korda jaoskonnakomisjon. Jaoskonnakomisjoni liikme seaduslikud suulised korraldused on kohustuslikud kõigile hääletamisruumis viibivatele isikutele.
- 35. Hääletamiskabiin
(1) Hääletamiskabiin peab võimaldama salajast hääletamist.
(2) Hääletamiskabiinis on laud ja kirjutusvahend. Hääletamiskabiini seinal on selle valimisringkonna kandidaatide koondnimekiri, välja arvatud kabiinis, mis on ette nähtud väljaspool elukohajärgset valimisjaoskonda hääletavatele valijatele.
- 39. Hääletamine
(2) Hääletamissedeli saamiseks esitab valija jaoskonnakomisjonile isikut tõendava dokumendi. Hääletamissedeli saamise kohta annab valija allkirja valijate nimekirja.
(3) Valija täidab hääletamissedeli hääletamiskabiinis.
(5) Valija täidab hääletamissedeli ise. Kui valija füüsilise puude tõttu ei ole võimeline hääletamissedelit ise täitma, võib seda tema palvel ja tema juuresolekul teha teine valija, kuid mitte tema elukohajärgse valimisringkonna kandidaat.
(6) Valija ei või hääletamissedelit hääletamisruumist välja viia. Kui valija rikub hääletamissedeli, on tal õigus saada jaoskonnakomisjonilt uus sedel. Valija peab rikutud või kasutamata hääletamissedeli jaoskonnakomisjonile tagastama.
(7) Pärast hääletamissedeli täitmist murrab valija sedeli kokku ning annab selle jaoskonnakomisjoni liikmele, kes paneb kokkumurtud hääletamissedeli välisküljele jaoskonnakomisjoni pitsati jäljendi.
(8) Valija laseb hääletamissedeli hääletamiskasti ise. Kui valija füüsilise puude tõttu ei ole võimeline hääletamissedelit ise hääletamiskasti laskma, võib seda tema palvel teha teine valija tema juuresolekul.
Mistõttu kuritarvituste (või viimaste ohu) vähendamiseks on vaja seaduses i-hääletajale (hääletussaladuse ja hääletustingimuste privaatsuse tagamiseks) sätestada samaväärseid tingimusi tagavad reeglid ja sanktsioonid rikkujatele.
DISKUSSIOON
Mõned autorid on propageerinud, et seadusandja poolt kehtestatavate selgete reeglite asemel võiks olla vaid juhendid ja õppefilmid. Niisuguse seisukohaga ei saa nõustuda, sest täitevvõimu poolt pakutavate juhiste olemasolu ei anna näiteks sõltuvuses pereliikmele õigustust öelda perekonnapeale: “Kuule paps, mina ei hakka seadust rikkuma ja mina hääletan oma mobiilist ise” või “palun minge teise tuppa, tahaksin hakata i-hääletama”.
Seega ainult seaduse tasemel reguleeritus annab privaatsust soovivale hääletajale “tugeva” argumendi, ja ametivõimudele võimaluse võtta vastutusele oma alluvate hulgas organiseeritud i-hääletusi korraldavate asutuste ja erakondade juhid.
Kommentaarid:
Eriarvamused:
JW: Tõepoolest, kaughääletamismeetodite puhul (käigu nad siis üle paberi või elektrooniliste kanalite) ei kasutata valimiskabiini. Selle probleemiga seisavad silmitsi kõik kaughääletamist võimaldavad riigid (ja mingit sorti kaughääletamist võimaldavad praktiliselt kõik, sest tänases maailmas ei saa enam eeldada, et valijad sõidavad valimispäevaks ühte geograafilisse punkti kokku). Enamasti lahendatakse probleem lihtsalt hääletamisjuhendis antud soovitusega stiils “Vaadake, et te häält andes üksi olete”.
Ei ole õige, et Eesti süsteemis kompensatsioonimehhanismid puuduvad — kui valija tunneb, et teda on kodus mõjutatud hääletama oma tahte vastaselt, saab ta üle hääletades oma häält muuta. 2021. aasta valimistel lisandub ka võimalus muuta oma häält valimispäeval jaoskonnas.
ID-kaardi kasutamise garanteerimine tema omaniku poolt on üldisem probleem. Hetkel valitseb meil minu meelest seisukoht, et inimene on ise oma elektroonilise identiteedi eest vastutav. Põhimõtteliselt on tulevikus mõeldav lisada ID-kaardile biomeetriline funktsionaalsus (sõrmejäljelugeja). Esimesed kiipkaardiprototüübid rakendustega krediitkaartidena on turul juba olemas.
Liia Hänni: Nõus JW-ga. Lisaks tasub arvesse võtta põhiseaduse kommenteeritud väljaandes https://pohiseadus.ee/index.php?sid=1 HYPERLINK “https://pohiseadus.ee/index.php?sid=1&ptid=67&p=60″& HYPERLINK “https://pohiseadus.ee/index.php?sid=1&ptid=67&p=60″ptid=67 HYPERLINK “https://pohiseadus.ee/index.php?sid=1&ptid=67&p=60″& HYPERLINK “https://pohiseadus.ee/index.php?sid=1&ptid=67&p=60″p=60 esitatud juriidilisi argumente.
TM: Privaatsus on tagatud ümberhääletamisega, seda pole mõtet rohkem käsitleda. Aga “kas kaarti kasutab isik ise”. Siin on kaks võimalust:
- a) isik ise soovib, et tema kaarti kasutataks (müüb hääle). See on küll õigusaktide/kasutustingimuste rikkumine, aga selle vastu ei saa muud moodi, kui me oleme siiani saanud – kaart on multifunktsionaalne ning lisaks müüdud häälele riskib kaardi laenaja sellega, et tema pangakonto tühjeneb, mõni allkiri tekib talle kahjulikule dokumendile jne. Muud siin ette võtta ei saa.
- b) isiku kaarti (ja PIN-e) kasutati tahtevastaselt. Siin on juba tegu õigusrikkumisega, mis on õigusjärelvalve rida ning sõltub isiku valmisolekust ja võimekusest sellest teatada. Jälle ei saa midagi ette võtta.
Biomeetria ei aita juhtum (2) puhul – võetakse tahtevaheselt ka sõrmejälg. Juhtum (1) puhul see ju aitaks – hääle müüja saaks kontrollida delegeeritud transaktsioonide arvu. Aga kas see on eesmärk, aidata häälemüüjat.
Paljudes selle grupi arutlustes olen tähele pannud, et pole omaks võetud tänapäevast paradigmat “hääletaja teeb oma häälega mis tahab” vaid lähtutakse sajanditetagusest “sunnime hääletajaid”.
JW: Ma saan aru, et see “+ kuidas olla kindel, et hääletaja on see, kellele on väljastatud ID-kaart” lisandus loetellu minister Kingo palvel, kes muretses kuulduste pärast, kuidas kusagil vanadekodus olla ID-kaarte kokku korjatud ja siis vanainimeste eest masshääletatud (kuigi kahjuks ei pakkunud ta täpsemat viidet). Minu mõte biomeetriat ettepanekuna lauale tõstes oli selle stsenaariumi vastu võidelda.
Mariko Jõeorg-Jurtšenko – Paberhääletamisel peab riik, kui valimiste korraldaja looma tingimused valimiste vabaduse ja salajasuse tagamiseks – ehitades selleks hääletuskabiinid. Samuti ei luba seadus nt valimisreklaami teha valimisjaoskonnas.
E-hääletamise kontseptsioon tugineb arusaamisel, et valija saaks valida kohas, kus ta viibib ja selle koha valib ta ise oma parima äranägemise järgi. Riik tagab toimiva infotehnoloogilise süsteemi – kogu muu ruumi ja riistvara valmisoleku eest peab valija ise hoolitsema. Vastutus on ettenähtud juhtudeks, kui toimub midagi, mis ei ole isiku tahtega kooskõlas – keegi sunnib teha valima teatud isikute poolt või kasutatakse tema ID-kaarti vms. Sellisel juhul on isikul õigus õiguskaitseorganite poole pöörduda. Tegevus, mis toimub valija enda heakskiidul ongi tema tahe.
Lisaks peab meeles pidama, et igal õiguse ja kohustusel, mis seadusesse kirjutatakse peab olema selle õiguse teostamist toetav mehhanism või kohustuse täitmata jätmisel korral ettenähtud vastutussätted. Deklaratiivsete sätete õigusaktidesse lisamist ei toeta.
Kindlasti võib seda aspekti pikemalt avada käsiraamatus või valija meelespeas vms.
Arne: nõus Tarvi, Jani ja Mariko arvamustega. Hääle muutmise võimalus on olemas 2005. a peale. Murekoha selgituses on see käsitlemata. Tegemist on ka eelnevalt juba korduvalt läbikirjutatud temaatikaga, alates Riigikohtu lahenditest.
Martti Allingu: Minu arust peaks hääletustarkavra enne hääletamist hästi lühidalt manitsema hääletajat hääletama nö turvaliselt. Praktikuna võin jällegi öelda, et üldiselt mis ikkagi aitab on “avalik näidispoomine”. St kui keegi “hoolduskodu” juht jääb vahele kellegi hääle manipuleerimisgea peab talle leidma parahgrahvi, asja suure kella külge panema seda suure meedia kisa saatel hoiatuseks avalikult menetlema.
Lahendused:
Edasised sammud:
Murekoht nr 21: I-hääletamise tõendusmaterjali säilitamine
Esitajad: H. V. Seeder
Selgitus: I-häälte hävitamine ühe kuu jooksul peale valimisi (või õigusvaidluste lõppedes) muudab i-hääle liikumise hilisema rekonstrueerimise võimatuks:
välistab i-häältega manipuleerija heidutuse pettuse jätkuva avastatavuse näol;
tekitab i-hääletajate hulgas ebakindlust.
Kuigi seadus annab õiguse i-hääletamises vaidlustusi esitada, siis reaalselt see praegu ei toimi. Kahtlejal on peaaegu võimatu hankida oma kahtlustesse selguse toomiseks vajalikke tõendeid.
Lahenduseks saab olla i-hääletamise tulemusi rekonstrueerida võimaldava andmestiku (i-hääled, logid, protokollid) säilitamise ja ülelugemise regulatsiooni sätestamine üle kahe valimistsükli – 10 aastat alates valimispäevast. Reguleeritud peab olema seaduse tasemel.
Kommentaarid:
Eriarvamused:
Tarvi Martens, RIA: I-hääletamise tõendusmaterjal säilib vähemalt kuu aja jooksul peale valimistulemuste välja kuulutamist, mis on piisav aeg akuutse probleemi lahendamiseks. Praktikas pole sellist muret esitanud, et “ei saa”, “ vähe aega” vms. Ettepanek – eemaldada.
Mariko Jõeorg-Jurtšenko: andmete säilitamisel peab andmekaitse põhimõtetest tulenevalt olema eesmärk – kui eesmärki enam ei ole, siis ei ole ka andmete säilitamine enam põhjendatud. Nagu varem märgitud, siis i-hääletajate hulk on pidevas tõusujoones, mitte vastupidi.
Arne: Ühinen Tarvi ja Mariko eriarvamusega. Märgin ka, et murekohas pakutud võimalus hääli/hääletamise andmestikku säilitada mitme valimistsükli vältel, annab valijale signaali, et kuigi hääletamine on formaalselt salajane, on tulevikus võimalik ikkagi tema hääletamise ajalugu kindlaks teha.
Martti Allingu: Kahjuks tõesti mida kauem hääli hoitakse seda suurem on võimalus, et seda kuritarvitakse või leitakse auk selle kuritarvitamiseks. Ma kardan et häälte nii pikk hoidmine pigem tekitab umbusaldust kasutajate poolt. Pealgi vähemalt minu tutvusringkonnas on üldine arvamus et asi peaks käima nagu paber häälte korral ja nemad ei taha, et nede tahteavaldust kaua kuskil alles hoitakse. Ma arvan, et siin on üks asi ka selles, et paljud usaldavad riiki ja seda, et hääletamist hääletamise hetkel aga nad ei saa kindlad olla kes riiki juhib aasta või veel vähem 10 pärast. Ja nad ei taha usaldada oma e-hääli selle määramatuse kätte.
Lahendused:
Edasised sammud:
Murekoht nr 22: I-häälte töötlemisel ei rakendata protokollimist
Esitajad: H. V. Seeder
Selgitus: protokollimisega kirjeldatakse, kuidas tajuti toimunut reaalajas. Mida märgati ja tähtsustati, mis jäeti tähelepanuta. Nähtuvad motiivid üheks või teiseks. Fikseeritakse kvantitatiivsete näitajate hetkeseis iga etapi vahetusel, mis muudab toimunud protsesside tajumise nii sellest osavõtjate kui kolmandate isikute jaoks lihtsamaks. OSCE/ODIHR 2011 aasta raport sedastab, et isegi videole salvestamine ei asenda protokollimist: „Vastavalt VVK juhistele filmiti kõiki protseduure. Kuid on küsitav, kas kõiki tegevusi saab ühe kaameraga dokumenteerida. Igal juhul ei saa selline videosalvestus asendada tavapärast paberkandjal dokumenteerimist.“. Lk 14, https://www.osce.org/et/odihr/81813?download=true. Protokollimise kohustus, korraldus ja protokollide säilitamine on vaja sätestada seaduses.
Kommentaarid:
Tarvi Martens: “Protokolli” peab pidama audiitor ja teebki seda teatud ulatuses. Erisus on võtmeosakute üleandmine, mida protokollitakse eraldi.
Eriarvamused:
Lahendused:
Edasised sammud:
Murekoht nr 23: I-hääletus ja paberhääletus on ajaliselt nihkes + hääle muutmine
Esitajad: H. V. Seeder
Selgitus: Erinevaid kellaaegu ja päevi i-hääletamisele ja jaoskonnas hääletamisele on põhjendatud argumendiga, et erisused võimaldavad ebaseadusliku sunni alla sattunud i-hääletajal muuta oma valik hiljem ära. Tegemist on olnud dogmaga, praktikast ei ole teada kasutamisi. Tänaseks on hääletuste kellaaegade ühtlustamiseks juba vastu võetud 2021 jõustuv seadusemuudatus, kuid päevi veel ei ole ühtlustatud.
08.10.2019 töögrupi koosolekul märkis minister Kert Kingo: “Mitmekordse hääletamise võimaldamine loob manipuleerimiseks ja kallutamiseks täiendavad võimalused. Olen seda ka praktikas näinud.” Seega valijate surve ja manipuleerimise eest kaitsmiseks ei tohiks ümberhääletamine olla üldnorm, vaid ainult neile – kes on politseid survest teavitanud.
2023 aasta RK valimistel oodata, et üle 50% valijatest hääletab juba elektrooniliselt. Mis tähendab, et kehtiva seaduse järgi enamikul faktilisest valijaskonnast poleks võimalik valimispäeval hääletada. Ka see fakt sunnib valimispäeval i-hääletamist kättesaadavaks tegema.
Eelvalimiste perioodil kehtivad mitmed valimispäevast erinevad raamtingimused, s.h valimiste propagandale. Erinevate tingimuste kohaldamine valimiste tehnoloogia tänases arengustaadiumis ei ole enam tehniliselt vajalik. Seadusandjal oleks vaja olukord uutes tingimustes ümber hinnata, mis siis ikkagi tema tahe on. Kas et eksisteeriks lahus eelhääletamise periood ja valimispäev, või et oleks mitu päeva kestvad valimised ühe perioodina (näiteks kolmapäevast pühapäevani, paralleelsete hääletusviisidega). Nii ka seaduses sätestada.
Mistõttu tuleks i-hääletamise ja jaoskonnas hääletamise ajad ja päevad lõplikult ühtlustada.
Oma hääle muutmise võimalus anda valijatele, kes on pöördunud politsei poole teatega hääletamisest ebaseadusliku surve tingimustes. Viimasel juhul häält peab saama muuta olenemata hääletusviisist, mida oldi kasutanud.
Ümberhääletamiste vaba võimaldamine suurendab survet hääletajale (teda võib hääletusperioodi algusest alates igaüks igapäevaselt tüüdata, veenda, ähvardada või osta, et ta hääletaks survestaja määratud isiku poolt. Ka erakondade “telgid” tegutsevad jätkuvalt läbi kogu valimisperioodi lootuses ka juba ära hääletanuid veelkord ümber veenda oma häält muutma. Pühalikku valimispäeva on hakanud asendama häältega kauplemise turg. Kui ümberhääletamine aga normina ei oleks võimalik ja oleks võimalik ainult peale politseile teate tegemist, siis oleks hääletaja survest vaba ja tal oleks alati võimalik vabandada – tänan, kuid hääletasin juba ära.
Kommentaarid:
Eriarvamused:
JW, RIA: Ei ole nõus, et ülehääletamine loob manipuleerimiseks täiendavaid võimalusi ja üritasin seda koosolekul ka ministrile selgitada. Panen siis veelkord siia kirja. Kui ülehääletamist ei oleks, võiks mõjutaja valimisperioodi jooksul mõjutada paljusid ohvreid oma silma all hääletama ja tal oleks kindlus, et need hääled, mis tema silma all anti, jäävadki kehtima. Kui ülehääletamine on lubatud, on mõjutaja jaoks ainus võimalus tulemuse garanteerimiseks jääda valija kõrvale kuni valimisaja lõpuni. Jah, ülehääletamine ei muuda mõjutusrünnet täiesti võimatuks, küll aga piirab märgatavalt selle ründe skaleeruvust.
2-tunnine lõtk, mis H.V.Seedrile muret valmistab, kaob 2021. aastal. Teen ettepaneku see murekoht maha võtta.
Arne: Murekoha selgitus ei ole enam kooskõlas algse murekoha sõnastuse ja selgitusega ja räägib hoopis hääle muutmise lubamatusest, mida ei ole põhjendatud. Samuti väide, et kui valijad hääletavad elektrooniliselt, siis pole neil võimalik valimispäeval hääletada, ei ole loogiline. Õige pole ka väide, et elektrooniliselt hääletanud valijad ei kasuta pabersedeliga ümberhääletamise võimalust. Teiseks, ei saagi selle meetme edukust mõõta sellega, kui palju seda kasutatakse. Heidutuseks piisab ka sellest, et võimalus on loodud.
Martti Allingu: Helduri ettepaneku viimane lõik. Politsei menetlused võtavad aega ja siis oleks vaja enne kontrollida kas tõesti mõjutati. St enne oleks valimised läbi kui kasutaja uuesti hääletada saaks. Minu loogika oleks, et kasutaja võiks saada üle hääletada oma i-häält paberil kuna nagu siin toodi välja peetakse seda ikka kõige rohkem privaatsemaks hääletus viisiks. See et kui palju i-hääletus peaks enne lõppema on muidugi vaidluse koht.
Lahendused:
Edasised sammud:
Murekoht nr 24: I-valimiste tulemuste teatavakstegemise viis ja kiirus võrreldes pabervalimistega
Esitajad: M. Solvak
Selgitus: I-valimiste tulemused tehakse teatavaks enne paberhäälte tulemuste laekumist ja kuna need on üsna erinevad tulenevalt mittejuhuslikust valijakäitumisest, tekitab inimestes segadust teatud erakondade suur e-häälte saak võrreldes paberhäältega ja teiste väike i-häälte arv. Valimiste lõplik tulemus sellest ei muutu, kuid valimisõhtu olukorras tekitab tulemuste järsk muutus paberhäälte tulemuste laekudes osades skepsist i-hääletuse suhtes.
Kommentaarid:
Tarvi Martens: peab tähele panema, et sõltumata teatavakstegemise järjekorrast ja viisist, on avalike valimistulemuste põhjal võimalik teatavate erakondade e/paber-häälte saaki võrrelda.
H.V.Seeder: usaldusväärsust tagab kõige paremini läbipaistev ja jälgitav hääletusprotseduur ning sellele järgnev kiire ja vahetu tulemuste teavitamine. Töötlemist tuleb alustada koheselt, kui on täitunud selle alustamiseks vajalikud tingimused. Teavitada koheselt, kui tulemused on saadud.
Arne, RIA: alates 2021 algab elektrooniliselt antud häälte lugemine pärast kl 20.00, mistõttu e-hääletamise ja esialgsed jaoskondade hääletamistulemused ei laeku enam erineval ajal. Seetõttu see murekoht ei ole enam relevantne.
Mariko Jõeorg-Jurtšenko: erakondadel on erinev valijaskond, üks eelistab rohkem paberhääletamist ja teine rohkem e- hääletamist. Ilmselt selline valimiskäitumine on ka edaspidi esinev nähtus ja selle avalikkusele selgitamine peaks ehk vähendama võimalikku segadust inimestes.
Eriarvamused:
Lahendused:
Edasised sammud:
Murekoht nr 25: e-valimiste usalduse polariseeritus
Esitajad: M. Solvak
Selgitus: e-valimised on üldiselt valijate silmis ülimalt kõrge usaldusega, kuid ca 10% valimisõiguslikest ei usalda e-valimisi üldse ning need on kõik paberil valijad. Mõttekoht on seega kas ja kuidas oleks võimalik vähendada usalduse polariseeritust e-valimiste suhtes valijaskonna seas, sest valimiste korraldusliku poole suhtes võiks ideaalis valitseda konsensus, vaidlused peaksid olema poliitikate sisu, kandidaatide ja teemade osas.
Kommentaarid:
- V. Seeder: Läbipaistvuse ja lihtsuse tekitamisega, milleks olen ettepanekud teinud, saaksime me polariseeritust tublisti vähendada või lõpetada.
Ka oleks hea uurida, mitu protsenti valimisõiguslikust elanikkonnast kinnitab, et nad saavad i-hääletuse mehhanismist hästi aru ja peavad olemasolevat täielikku usaldusväärsust tagavaks. Siis saaksime neutraalse ülevaate polariseerituse jagunemisest.
Eriarvamused:
Lahendused:
Edasised sammud:
Kui Eesti Vabariigi põhiseaduses kinnitatakse, et “… valimised on üldised, ühetaolised ja otsesed. Hääletamine on salajane … Riigikogu korralised valimised toimuvad märtsikuu esimesel pühapäeval neljandal aastal, mis järgneb Riigikogu eelmiste valimiste aastale… ” siis põhiseadusele mittevastavate valimiste murekohad ei vasta ju samuti Eesti Vabariigi põhiseadusele.