Lehed

teisipäev, 7. aprill 2020

Meditsiiniline kogemus Hispaania koroonapalatist ja arutlus eutanaasiast

Sel ööl (31.03.2020) märgiti Hispaania koroona (COVID-19) surmade statistikaks 749 inimelu, mida hiljem vähendati ühe võrra.

ENNATLIKU DIAGNOOSIGA KOROONAPALATIS

Peale keskööd lükati mind haiglavoodil suurte punaste hoiatusmärkidega lifti "Ainult kinnitatud diagnoosiga koroonahaigete transpordiks". Voodi jäeti betoonist, ilma kellata ja päevaaknata üksiktuppa. Isiklikest esemetest oli ära võetud kõik, kuid jäetud sokid, trussikud ja spordimüts. Lisaks anti joogivee pudel ja küsiti kontakti, kellele sinust teatada. Ninna suunati niisutatud õhu voolikud, mis pidi leevendama valusid ja üles sulatama tomograafiast tulnud piltide järgi eeldatavaid viirusekolooniaid kuivanud ja pundunud verega kopsupindadel.

Olin olnud üle ööpäeva magamata ja uni tuli kiiresti. Siis ärkasin. Oli pime, toas põles kohtvalgustus. Olin higine, jalad tõmblesid vappekülmas. Olin magades kaitsemaski parema hingamise saavutamiseks kuhugi ära lükanud, kuid jätkuvalt tundsin teravat ja süvenevat õhupuudust. Proovisin õhku ahmida nina või suu, või korraga mõlema kaudu. Miski ei aidanud, õhupuudus järjest süvenes.

Hoolimata vappekülmas jalgadest ei olnud ebamugavust või valusid. Olin täiesti rahulik, emotsioonideta, mõistus selge. Mõtlesin, et selline siis ongi vingugaasi surm (s.t kus hapnik kaob). Sain aru, et mulle on pakutud võimalust valutult "teise ilma" lahkuda. Kui vajutan silmad kinni ja vaid annan omale "loa" uinumiseks, siis enam elusana ei ärka. Kujutlesin pilti, kuidas järgmisel päeval rutiinse koristuse käigus ka minu keha lükatakse morgi ja hiljem põletusahju. Tundus normaalne, see mõte väga ei häirinud mind.

Leidsin siiski, et selline lahkumine oleks loobumine, alistumine. See pole minu tavadega kooskõlas. Kuid ellujäämise ainus võimalus praegu on saada kohe hapnikuaparaadi alla. Kuidas seda küll saada? Otsustasin alla suruda valehäbi ja kolkida personalile märgu andmiseks. Leidsin, et haiglavoodi komplektis voodi kohal asuv enesetõstmise metalltoru on hea kellaks ja tõstmise metallkäepide hea löögipulgaks. Kopsisin tsüklite kaupa korraga 4-12 lööki ja siis mõned minutid ootamist. Mingi aja pärast tegin aga järelduse, et keegi ei tule niikuinii. Tagumine oli valju, nad pidid päris kindlasti kuulma... Otsustasin tagumist jätkata samas tempos vahedega, endiselt õhku ahmides. Las nad vähemalt saavad teada - et ma olen endiselt elus...

Oli läinud tund või rohkem, raske aega tajuda. Küll aeglasemalt, aga vasak käsi suutis endiselt  tõusta tampimiseks... Kuid mingil hetkel ilmusid minu ette minu enda elu jooksul kordasaadetud teod. Need asusid valgel laval eredavärviliste suitsuniitidena põimitud täispurgi kujundis. Seal domineeresid sinine ja punane, palju oli aga seal valkjaid toone. Tumedaid toone ei olnud üldse, lahtisi otsi samuti ei olnud näha. Pidin ise oma tegusid hindama ja jäin nendega rahule. Olen alati püüdnud õigluse eest seista, ka pealesunnitud võitlusi mitte karta, ja see tundus üsna OK. Eraldi märkisin, et ka lõpetamata väljaulatuvaid suitsuniite purgis pole. Seega teod OK!

Misjärel kadusid virtuaalselt lavalt minu teod ja heledal ekraanil kuvati minu sünni- ja surmaajad. Nende kohta käis mõte eelkõige statistilisest ja sotsioloogilisest rada pidi ning leidsin üheselt ning karmilt, et kuvatav tulemus on laiduväärne. Pilt kadus. Ühtegi olendit ma piltide ajal ei näinud, suhtlemine oli toimunud mõtete tasandil...

TAGASIPÖÖRDUMINE ELLU

Nüüd mulle tundus, et õhupuudus on hakanud leevenema. Kuid ma polnud selles kindel ja igaks juhuks hoidusin endiselt magama jäämast, et mitte ennatlikke asju teha. Kolkisin veel korra... Siis tundsin lõplikult, et hingamine on taastunud. Jalad ka enam ei võbise. Ja rindkere keskele oli tekkinud tugev rahulik soojus, mis kiirgus laiali. Tekkis turvaline tunne ja andsin endale südamerahuga mõttelise "loa" lõpuks magama jääda. Magasin sügavas ja magusas unes hommikuni.

Õhtusöögi menüü günekoloogiaosakonnas minu voodi peatsis
Järgmisel pärastlõunal vahetati minu punane triaazilint roosa vastu, kuna ma olevat paranema hakanud. Selgitati, et lisaõhu torud ninas oligi tegelikult hapnik. Ka aknasse kuvas päeval tegelikkuses siiski natuke päevavalgust. Mulle anti ka personali kutsumise pult ja teleka pult. Ja neljandal päeval viidi koroonaosakonnast üleüldse üle raviosakonda, sest nii esmane COVID-19 test kui kordustest olid negatiivsed. Raviosakonnaks sai (vabade kohtade olemasolu tõttu) nüüd günekoloogia. Diagnoosiks kahepoolne kopsuinfarkt - parema peaarteri ja alamosade + kopsu vasaku alumise arteri infarkt (tromb). Täna, seega 9 päeva hiljem, kirjutati haiglast (elusana) välja. Liikuda on esialgu väga raske, iga samm viib pulsi üles ja hapniku alla. Isegi istuda on raske. Ja vere vedeldamiseks pean veel vähemalt (!) 3 kuud end igal päeval kõhtu süstima, süstlanõel ikka üle sentimeetri lihasse... Mis edasi saab, pole mõtet ennustada... Kuid olen registreeritud sügisel toimuvatele Spartan Race EM-ile ja MM-ile. Vanusegrupis peetakse mind (ilmselt) ikka veel favoriitide hulka kuuluvaks... Hetkeolukord muudab aga osaluse üleüldse küsitavaks, samas osalemine ei pruugi olla lõpuni võimatu. Aeg annab arutust!

EUTANAASIA PEAKS SIISKI OLEMA LEGALISEERITUD

Nagu ka eelnevast kirjeldusest nähtus - Jumal annab võimalused, inimene teeb valikud. Teod on ajatud, kuld ilmalik. Inimesele antud võimaluste hulka kuuluvad ka ravi, kannatamine või eutanaasia. Ka sünnitamine või sündivuse kontroll, kui teha kõrvalepõige abordivaidlusesse. Ükski nendest valikutest pole kahjulik iseeneses, vaid kahjulik võib olla nende valikute vale kasutamise viis.

Oma tegude üle aruandmiseks saabub AEG kord igaühel. Aeg on seadustada eutanaasia. Mulle on tundunud, et eutanaasia seadustamist toetavad eelkõige inimesed, kes mõtlevad ette iseenda lahkumise ajale siit ilmast. Eutanaasia legaliseerimise vastu seisavad jällegi need, kes on ise suhteliselt varakad ja kardavad eutanaasia kui relva võimalikku kuritarvitamist nende endi vastu potentsiaalsete pärijate poolt (?).

--------------
Lisaks huvitavat meditsiinilist lugemist samal teemal:
1) Madal südame löögisagedus sportlastel võib soodustada kopsutrombi teket - https://www.everydayhealth.com/news/downside-of-low-heartrate-athletes-who-get-blood-clots/
2) Kopsutrombi on ennegi peetud ekslikult kopsupõletikuks - https://www.stoptheclot.org/patient-stories/kyle-baca/
3) Treeningute taasalustamine peale kopsutrombi https://www.acc.org/latest-in-cardiology/articles/2016/10/19/15/13/athletes-and-anticoagulation?w_nav=TI

reede, 13. detsember 2019

Seeder: töörühm hääletas e-valimiste kontrollitavuse ettepanekud välja

Töörühm moodustati MKM 21.06.2019 käskkirjaga koalitsioonileppe eesmärgi „3.20.Säilitame e-hääletamise võimaluse, kuid süsteem peab olema kontrollitav, turvaline ja läbipaistev“ täitmise esimese ehk analüüsietapi läbiviimiseks raporti tähtajaga 12.12.2019. 

MINISTER KINGO VALIS TÕE VÄLJASELGITAMISE METOODIKA
  • Väliskaubandus- ja IT minister Kingo nimetas lisaks i-hääletust pikaajaliselt vedanud isikutele töörühma ka kaks süsteemi suhtes varem kriitiliselt sõna võtnut - Märt Põderi ning minu, Heldur-Valdek Seederi. Mõlemad olid osalenud RK2019 i-hääletusel* vaatlejatena. Põderi RK2019 vaatlemise artikkel SIIN ja Seederi artikkel SIIN.
  • Tegelikult oli see hea kombinatsioon. Minister Kingo pani oponendid omavahel vaidlema ja väljendas selgelt, et enne töörühm ei lõpeta, kui kõik turvaaugud süsteemis ja ebaselgused selle käitamisel on lahti räägitud ja teaduslike meetoditega konsensuseni tões jõutud. Minister osales ise ka koosolekutel.
Töögrupi koosolek 28.08.2019. Tallinn, Tartu ja Hispaania online.
Neli kuud hiljem oligi valmimas Google Docsis ühisdokument raportis avaldamiseks. Konsensusest oli asi kaugel, kuid kirja läksid poolt- ja vastuargumendid, viimastele kommentaarid. Selline metoodika täitis hästi raporti eesmärki - fikseerida juhtimistasandi jaoks ARGUMENTE järgneva otsustusprotsessi eesmärgil. Selle "ajurünnaku" mitteametlik tulemus on SIIN (docx).

Kantsler Raul Rikk, vastavalt minister Kingo suunistele, selgitas nõuded lõpparuande vormistamisele ja teavitas, et ajurünnaku tulemus ongi avalik lõppdokument.
  1. VIDEO kantsleri selgitusest 2min 156MB MP4.
  2. Kantsler täiendavalt: Ma ei näe, et me saaksime osade inimeste arvamusi raportist välja jätta (1min 61MB):

Seega ministri vahetuse ajaks oli töögrupp sisuliselt jõudnud seisu, kus eesmärk oli saavutatud.

MINISTER KARU FOOKUSES OLI TUGINEMINE TÖÖRÜHMA ENAMUSELE

Siis asus IT- ja väliskaubandusministri ametisse Kaimar Karu. Koosolek uue ministriga toimus 11.11.2019. Toimus tutvustamine ja diskussioon, kus ametnike pool tugevalt survestas, et ajurünnak avalikuks ei läheks ja koostataks (poliitkorrektne) lõppraport, mis inimestes suurendaks usaldust i-hääletuse vastu. Minister Karu andis uued juhised lõppraporti koostamiseks: kui (lõppraportis) on väga erinevad stiilid koos, siis seda gruppi ei ole ju tegelikult vaja.
  1. VIDEO minister Karu selgitusest 2min 113MB MP4.
  2. VIDEO 2min 133MB MP4. Minister täiendavalt: põhjalikumad selgitused võib talle lugemiseks saata, aga need pole raporti osa.
Nii saigi lõppraport "parketikõlbulikuks". Selgitused, kommentaarid ja eriarvamused a viis rida aga jäid originaalkujule - nii nagu mingi töögrupi liige ise kirjutas. Lahenduste ja edasiste sammude alapealkirjade alla ettepanekud otsustasid ametkonnad (MKM, RIA, RVT) kui töögrupi enamus:


Lõppraport oligi 12.12.2019 valmis, selle leiab MKM veebilehelt SIIN.
Oma hinnangu süsteemi turvalisusele annab 11.11.2019 koosolekul Märt Põder (1min 11MB):


SEEDER: TÖÖRÜHM HÄÄLETAS KONTROLLITAVUSE ETTEPANEKUD MAHA
  • Minu hinnang: olemasolev i-hääletuse süsteem on ebaturvaline (eelkõige) siserünnakute vastu. Ei ole võimalik võltsimisi või võltsimiste puudumist avastada ega tõendada. Kui sellise olukorra põhjustanud turvaauke ära ei lapita, siis tuleks i-hääletused peatada. Nii nagu tegi Šveits 2019 aastal (Šveitsi peatamise põhjendused). Peatumise ajal võiks lubada kirja teel hääletamise  ka siseriiklikult.

    Turvaaukude lappimise eelduseks on "tõendamatuse" dogmast** loobumine, milleks soovitasin paluda Vabariigi Valitsust teha vastav otsus. Ettepanek kustutati lõppraportist ja soovitati "murekohta 11" tudengite mõtteharjutusena praktiseerida. 
  • Ilma avalikkuse kontrollita (seega dogma jätkuvuse tingimustes) ei ole välistatud ekslikud valimistulemused ka inimese või tehnika eksimuse tagajärjel. Eksimuse näitena vaatame RK2019 valimistulemusi VVK veebis (11.12.2019 seis):
    • Järva maakonnast sai Jürgen Ligi (RE) 2529 häält ja Helmen Kütt (SDE) 296 häält;
    • Viljandi maakonnast sai Ligi 3471 häält ja Kütt 1872 häält;
    • Hääli välisriigist sai Ligi 14 häält ja Kütt 5 häält;
    • Ligi on saanud kokku 6069 häält ehk 55 häält rohkem, kui liitmistulemus.
    • Kütt on saanud kokku 2194 häält ehk 21 häält rohkem, kui liitmistulemus.
      • Kust tuli Ligile 55 ja Kütile 21 lisahäält, mis ei kajastu analüütikana?
  • Mind pani (lisaks töögrupi enmuse vastuseisule turvaaukude sulgemisel) mõtisklema vastuseis privaatsuse tagamisele seadusandlike meetmetega (ajurünnak mrk 20, lõppraport mrk 18). Mis võiks olla soovimatuse taga seadusi täiustada?

    I-hääletuse privaatsusnõuete puudumine töötab a la visiooni kasuks: Vanaduspensionid olgu pisikesed, kuid hooldekodud doteeritud. Siis vanurid lähevad ära hooldekodudesse. Sotsiaalärimehed tagavad seotud poliitikutele vastuteenena klientide hankimise eest vabaduse oma patsientide i-hääletamise mõjutamiseks ja suunamiseks. Mistõttu seadusandluse tõhustamine jällegi piiraks hooldekoduäri ja poliitikute sümbioosi, see osapooltele ei meeldi.
----------------------------
*) Siin ja edaspidi on kasutatud Eesti elektroonilise hääletuse terminina i-hääletus. Rahvusvahelises kasutuses tähistatakse isiklike nutiseadmete abil hääletamist suvalisest asukohast "i-vote" (internet voting). E-hääletuseks (e-voting, electronic voting) kutsutakse jällegi elektroonilist või osaliselt elektroonilist hääletamist, mis toimub valimisjaoskondades asuvatest e-hääletuse kabiinidest.
**) "Tõendamatuse dogma" on Eestis praktiseeritav metafüüsiline tees i-hääletuse süsteemide disainist viisil, mis välistaks hääletajal võimaluse oma hääle andmist tõendada. Võttes aga i-hääletajalt ära võimaluse oma hääle liikumisi jälgida, on tulemuseks avalikkuse kontrolli kaotamine i-hääletuse süsteemis toimuvate võimalike pettuste üle.

neljapäev, 31. oktoober 2019

I-hääletusel individuaalse kontrollkoodi kasutusele võtmine võimaldaks kogu süsteemi päästa pettuste ohust. Miks siis mõned seda ei soovi?

Käesoleva saatsin töörühma liikmena MKM e-hääletuse töörühmale 30.10.2019 "murekoht nr 12" - "I-hääletajal puudub võimalus kontrollida oma hääle jõudmist lugemisele" sisu lahtiselgitamiseks.

Selgitus: I-hääletajal on praegu võimalus kontrollida esmast salvestamist ehk „mobiilse kontrolli võimalus“. I-hääletaja ei saa kontrollida, kust süsteem talle kuvatava valiku võtab, lisaks ei saa kontrollida, kas valik läbib korrektselt ka häälte töötlemise ja lugemise etapid. Idee on muuta kontroll andmepõhiseks ning anda igale hääletajale individuaalne kontrollkood. Andmepõhine kontroll toob välja igasugused i-häälega toimunud (lubamatud) muutused, olenemata kas need tekitas hüpoteetiline õnnelik häkker, pahatahtlik insider, või süsteemis esinenud tehniline tõrge. Seetõttu on individuaalse kontrollkoodi kasutamisele üleminek vältimatu, sest ainult nii on võimalik tuvastada kõrgema taseme manipuleerimisi ja käivitada põhjuste uurimised. Tulemusena süsteemi ja organisatsiooni täiustada. Täiendavalt on individuaalse kontrollkoodi kasutamisele üleminek vajalik seetõttu, et oleks nutiseadmeid võimalik tänasest mobiilse kontrolli vahendi rollist vabastada ja hääletusvahendina kasutusele võtta (vt murekoht 11).

Protsessi vaates on mõeldud individuaalse kontrollkoodi süsteemi nii, et igakordsel valiku salvestamisel Kogujas genereeritakse süsteemis juhuslikel tähemärkidel põhinev unikaalne kood, mis lisatakse digiallkirjastatavasse ja krüpteeritavasse i-hääle konteinerisse. Ühtlasi kuvatakse sama kood i-hääletajale, kes saab selle omale paberile ümber kirjutada või salvestada nutiseadmesse vastavat nuppu kasutades. Kood on nüüd genereeritud, krüpteerituna hääle konteineris, ning teada ainult i-hääletajale endale.

Kontrollimiseks pakume käesolevas ettepanekus kaks erinevat lahendust, mis vastastikku välistavad teineteist. Soovituslik on esimene, teine on alternatiiv:

Versioon-1) Kokkulugemisele saabunud i-häälte tabel koos igale häälele lisatud individuaalse kontrollkoodiga tehakse avalikult kättesaadavaks VVK veebilehe kaudu. Igal i-hääletajal on võimalus iseseisvalt VVK lehelt tabelist oma kood leida ja veenduda, et tema hääl on olemas. Sama tabeli võib inimene omale ka ise alla laadida ja kontrollida, et ka kokkuarvutamised on tehtud õigesti.

Versioon-2) Individuaalseid kontrollkoode ei tehta avalikult kättesaadavaks, vaid nende kontrollimine võimaldatakse ainult kontrollitud tingimustes. Näiteks ainult igas maakonnakeskuses ja Tallinnas VVK-s. Isikliku kontrollkoodi ja i-hääle õiget seost kontrollida sooviv i-hääletaja siseneb vastavasse ruumi. Kirjutab sisenedes oma kontrollkoodi seal olevale paberilipikule ja läheb sellega korraldaja arvuti juurde, kus on juba koodi ja hääle vastavuse päringuaken avatud. Salvestusseadmeid ei ole lubatud kaasa võtta või kasutada, samuti tohib ta ainult ühte koodi kontrollida, s.t enda oma. Ta kontrollib ise oma koodi ära ja väljub. Üks ja sama inimene korduvalt või mitut koodi kontrollida ei saa.

Diskussioon.

Versioon-1 on autori nägemus, mis võimaldab mugavalt “kõva” kontrolli. Seda ka kaugete talude ja liikumisraskusega hääletajatele. Versioon-2 on alternatiivina välja pakutud, et oleks valikuid.

I-hääle usaldusväärsus ja tõendamatus (uncoercibility) on antagonistlike mõjudega omadused. Ühte tagades kaotame teise, ja vastupidi. Võttes inimestelt ära võimaluse oma hääle liikumist “kõva” meetodiga lõpuni kontrollida (ja seega soovi korral kolmandale ka tõendada), anname insideritele võimaluse kontrollimatult süsteemis tegutseda ja muuta nende manipulatsioonide avastamine riigile võimatuks. Ja vastupidi.
Ekslikult on mõned autorid näinud vastuolu i-hääletamise usaldusväärsuse ja salajasuse vahel. Tegelik vastuolu on usaldusväärsuse ja tõendamatuse (uncoercibility) vahel. Ajal, kui põhiseadus vastu võeti (1992), ei teatud i-hääletamisest veel midagi ja salajasuse all oli tol ajal võimalik mõista ainult hääletaja õigust (ja kohustust) hääle saladuseks jäämisel (kui keegi omab Põhiseaduse Assamblee vastava arutelu stenogramme, võiks jagada). Seega põhiseadusega vastuolu versioon-1 ei tekita. Ka karistusseadustik käsitleb hääletussaladuses hukkamõistetava teona ainult TEISE inimese hääletussaladusega ebaseaduslikku tutvumist ega võimalda sama sanktsiooni rakendada oma hääle ise teisele teatavakstegemisele. Seega tuleks i-hääletuse kontekstis rangelt vahet teha hääletussaladusel ja -tõendamatusel. Hääle ostu-müügi tehingud on käsitletavad ainult valimisvabaduse rikkumisena (KarS § 162), mitte hääletussaladuse rikkumisena (KarS § 166).

Mõned autorid on jällegi püüdnud tekitada mõttekonstruktsioone, et kui mitte tagada tehniliste vahenditega tõendamatust, siis me justkui läheksime vastuollu rahvusvaheliste konventsioonidega. Ka niisugused seisukohad ei pea paika. Maailmas, s.h Euroopa Liidus, on laialt levinud hääletamine paberkirja teel (Postal Voting). Paberkirja teel hääletamine sisaldab veelgi vähem tehnilise kaitse elemente tõendamatuse tagamiseks, kui ülaltoodud Versioon-1. Näiteks on paberkirja teel võimalik mitte ainult oma valikut “häälte ostjale” näidata, vaid lausa anda oma juba täidetud hääletussedel “häälte ostja” enda kätte avatuna, et “ostja” selle ise kinni kleebiks ja postitaks. Aga, ehk ei mõelda arenenud maailmas nii “rikutult”? Paberkirja teel hääletamine on maailmas kasvutrendis.
Hääletusjärjekord Barcelonas oktoobris 2017. Kirja teel
hääletamise populaarsuse kasv on põhjendatav inimeste sooviga
 oma toimetamised mugavamalt korraldada. Autori foto.
Mõned autorid on jällegi viidanud Euroopa Nõukogu Ministrite Komitee soovitusele 14.06.2017 CM/Rec(2017)5. Artikkel 23 soovitab, et e-valimiste süsteemid ei pakuks hääletajale tõendit valiku sisust kolmandatele osapooltele kasutamiseks (“An e-voting system shall not provide the voter with proof of the content of the vote cast for use by third parties”). Seda saame mitmeti tõlgendada, kas viimase kuue sõnaga lõpus või ilma nendeta. Kuid iga tõlgenduse tekitamise korral peame reserveerima, et e-hääletuse õigus on hetkel väga varajases arengustaadiumis, seda kasutavad vähesed riigid lühikest aega ja i-hääletust ainult Eesti. Näiteks sama soovituse 2004 aasta versioonis Rec(2004)11 oli 112 artiklit, 2017 aasta versioonis on järel ainult 49 artiklit. Mis peegeldab vastava õiguse jätkuvalt kiiret arengut. Mis paneb meile moraalse kohustuse süveneda igakordselt sisusse ja igas konteksti muutuses uuesti. Panustada i-hääletuse õiguse arengusse. Ja ei anna õigustust inkorporeerida kõik tänases seisus soovitused mehhaaniliselt, kontekstiväliselt, pidada i-õiguse arendamisi ainult Justiitsministeeriumi ametnike tegevusvaldkkonnaks (välistades nii vaba ühiskonna ja ka haakuvuse sisuga), ning ise kapselduda olemasolevates raamides. Ei anna õigustust i-hääletuse õiguse arendamine lõpetatuks kuulutada ja iga lisanduv muudatus vastuvõetamatuks kuulutada.
Usaldusväärsuse tekitamine - häkkeritelt, insideritelt, tehnilistelt riketelt võimaluse äravõtmine valimistulemuste salajaseks ja tuvastamatuks võltsimiseks - kaalub üles soovi tagada ainuüksi tehniliste vahenditega absoluutne tõendamatus (uncoercibility). 
Rõhumine tehniliselt tagatud tõendamatuse nõudele on KAHJULIK DOGMA. Rahvast tuleb usaldada. Õiguskaitseorganid peavad rakendama vajalikud ennetavad ja reageerivad meetmed, et keegi ei plaaniks hääli osta. Dogma jällegi vajab ümber hindamist ja süsteem kontrollitavaks, turvaliseks ja läbipaistvaks muutmist.

reede, 6. september 2019

Kriminaalanalüütik: analüüs suunab pagulaskeskuse süütajate otsingu sisejulgeolekuasutuste ridadele

Vao Pagulaskeskuse otsaseina 03.09.2015 süütamise lühike analüüs avalike allikate põhjal näitab, et süütamise organiseerijaid tuleks otsida (eelkõige) tollaste sisejulgeoleku asutuste (PPA (juht Elmar Vaher), SiM (juht Hanno Pevkur), SMIT, SKA (juht Katri Raik)) ridadest. Kriminaalmenetluse lõpetamine on olnud ennatlik, kuid täpsemalt pole võimalik midagi öelda PPA keeldumise tõttu kriminaalmenetluse lõpetamise materjalidega tutvumisest.

Kõige tõenäolisemaks süütamise motiiviks saab pidada siseriiklikku katset suunata avalikku arvamust vihakõnevastase seaduse vastuvõtmisele soodsas suunas, misjärel oleks olnud võimalik rakendada tsensuuri ja repressioone vaba sõna vastu. Seega analüüsitulemus viitab Mary Krossi tüüpi provokatsioonile. Uus siseminister peaks kaaluma uurimise taaskäivitamist.


Fotolt on näha, et süütamiseks tekitati vundamendiosa katvate kiviplaatide ülemisse osasse avaused ja sealtkaudu valati vundamendi ja kinnijäetud plaadiosade vahele kütusevedelik ning süüdati. Plaatidesse augu tegemine nõuab eritööriistu, eelteadmist plaatide taga olevast konstruktsioonist, ja hoolikat kavandamist – seega on erioperatsiooni või staabi planeerimisvõimekuse tase. 

Süütamisest teatati Häirekeskusele kell 4:31 varahommikul, päike tõuseb kell 6:19. Seega ka kellaaeg on valitud, mil eriüksused tavaliselt viivad läbi ootamatuid operatsioone.

Välistused:


1)Pagulased ise ei saanud süüdata, sest nad oleks jäänud valvekaamerate pildile või nende puudumine avastatud.

2)Süüdata ei saanud ka emotsionaalsed rassistid või häiritud kohalikud elanikud, sest pagulaskeskus paikneb lokaalselt maanurgas ja ka ümbruskonna valvekaamerate läbivaatamine ei andnud tulemusi. Ka oleks need visanud aknasse kivi, süütepudeli, uksele värvipoti, tallanud lilli, või kõige tõenäolisemalt lihtsalt asukaid solvanud. Emotsioonidest ajendatud isikud ei ole võimelised sellisel professionaalsel tasemel operatsiooni läbi viima.
Asukoht

3)Välisriigi erioperatsioon on välistatud, kuna mitte ükski välisriik ei rutanud sündmust oma huvides ära kasutama (ainult Prantsusmaa suursaadik Eestis tegi avalduse oma „häiritusest“). Eriüksused niisama, lihtsalt lõbuks, selliseid „operatsioone“ ei tee.

4)Võimaliku „kõrgeltharitud“ ja metoodiliselt tegutsevate rassisti või rassistliku organisatsiooni versiooni välistab asjaolu, et nii metoodiliselt eriväljaõppe tasemel tegutsejad oleksid mõistnud ka oma teo tagajärgi (kasutatud metoodika KÕLBMATUST nendele sobiva eesmärgi saavutamiseks). Tulekindla kivipaneelidest välisseina taga mittesüttivast materjalist vooderdisele tule tegemine ei ohusta mitte kedagi füüsiliselt. Ka pole võimalik hellitada lootust, et tuhandete kilomeetrite tagant sõjakolletest Eestisse hulljulge reisi ette võtnud pagulasi oleks võimalik provokatiivse lõkke tegemisega hirmutada.

Kust siis süütajat ikkagi otsida? 


Eesti Ekspress 07.10.2015: Praegu tegelevad Rakvere politseinikud ennetus-menetlustalituse juhi Joel Alla eestvedamisel info kogumisega (nii otse kui varjatult) ning töötlemisega. Muuhulgas on uurijad kogunud kokku ümbruskonna valvekaamerate failid ja vaadanud neid salvestusi üksikasjalikult, et tuvastada, kes liikusid tol saatuslikul ööl. Aga ka enne seda ööd, sest kurjategija võis varem sündmuskohaga tutvuda. Nimelt jälgisid keskuse ümbrust valvekaamerad. Kuid mitte toda otsaseina, mis põlema pandi.

Rakvere politseinikud on lasknud teha ekspertiise ja vaadanud ümbruskonna kaamerate videofaile, nii et silm sinine, aga pole süütajat veel tabanud.

Seega süütaja pidi teadma nii pagulaskeskuse valvekaamerate asukohti ja valvamise operatiivset korraldust, kuid ka ümbruskonna valvekaamerate asukohti. Vastav info on kättesaadav ainult sisejulgeoleku asutuste piiratud arvule töötajatele. Lisaks, nagu juba kirjeldatud, valdas süütaja võimekust erioperatsioonide professionaalseks kavandamiseks ja läbiviimiseks.

Oli teadlik konkreetse hoone ehitusarhitektuurist (et terrassiitplaatide taga on kütusevedelikku kinnihoidev tühimik ja vedelikku põlenguks säilitav klaasvatt ning mitte ei ole tegemist süütamise kontekstis sobimatute soojustamata betooni või penoplastiga).

Seega, kogu avalikest allikatest kättesaadav info viitab, et suure tõenäosusega süütajat (või süütamiseks vajaliku info andjat) tuleks otsida sisejulgeolekuasutustest. Millised isikud tegid vaadeldaval ajavahemikul hoone turvasüsteemide kohta ja ümbruskonna valvekaamerate kohta andmebaasidest päringuid? Millistel tolle aja teenistujatel võis olla motiiv antud operatsioonis osalemiseks?

Kindlasti on avalikkusele vajalik anda ka piisav ülevaade toimunud uurimise jooksul tegelikult toimetatust ning käivitada uurimine uuesti. Kuriteosündmusest on möödunud 4 aastat, see ei ole täna veel menetluseks aegunud. Lõpetamine on olnud ennatlik, enneaegne, isegi kuritegelik. Uurimine lõpetati oktoobris 2016. Kuu aega hiljem kukkus Taavi Rõivase valitsus ja siseministri kohalt pidi lahkuma Hanno Pevkur, keda tuli asendama sots Andres Anvelt.

Kui on vormistatud "kriminaaluurimise lõpetamise määrus", siis õiguspraktika kohaselt on selle uurimise taaskäivitamine väga-väga komplitseeritud. Menetluse lõpetamise vormistamine seega teenis süütajate huve jääda anonüümseks.

Kas uus siseminister Mart Helme reageerib ja käsib selgitada asjas tõe?


Mõned kommentaarid, kuidas reageeris tollal sündmusele rahvas:



... ja kuidas reageerisid tollased valitsusametnikud:



Peaminister Rõivas sõitis viivitamatult sündmuskohale.
President THI nõudis kõigilt parlamendierakondadelt hukkamõistu.












Niisuguste sõnavõttude peale oleks küll oodanud, et siseminister Hanno Pevkur ja PPA peadirektor Elmar Vaher suunavad asja KAPO uurimisalluvusse kõige kõrgema prioriteediga. Kuid võta näpust, suunati lokaalse prefektuuri menetlus- ja ennetustalituse (politseipoolne uurimisjuht teadmata) uurimisasjaks !
Uurimise üldjuht vanemprokurör Sirje Merilo.


reede, 23. august 2019

Riik kühveldab II sambaga vanaduspensionäride raha eripensionäride kontodele

Vaatame PPA peadirektori Elmar Vaheri näitel, kuidas see käib.
Elmar Vaher, foto Scanpix
  • Elmar Vaher on sündinud 1.05.1975, nimetati PPA peadirektoriks 2.05.2013. Tema teine ametiaeg algas 2.05.2018 ja on tähtajaga 1.05.2023.
  • 2019 aastal on tema põhipalk 6000 eurot, millest maksab igakuiselt 120 eurot (s.t 2%) II sambasse ja I samba ehk tänaste vanaduspensionäride arvelt tõstetakse talle igakuiselt 240 eurot (s.t 4%) lisaks.
Kas Elmar Vaher vajab ikka tõesti tänaste vanaduspensionäride raha?

Juhul kui Elmar Vaher suudab oma teise ametiaja lõpuni ametis püsida, siis määratakse talle (48 aasta vanuselt [i] ja sõltumata sellest, kas ta samas või mõnes muus ametis jätkab töötamist) eripension 75% tema ametipalgast. Mis tänase seisuga oleks 4500 eurot kuus.

Juhul kui Elmar Vaheril ei õnnestu tähtaja lõpuni peadirektori ametis püsida, siis hakkab ta saama ikka sedasama eripensioni. Kuid siis mitte 48 aasta vanuselt ja staaži arvestamata, vaid 55 aasta vanuselt ja staažinõudega 30 aastat.

Elmar Vaheri enda eripensioni suurust I sambast ehk tänastelt vanaduspensionäridelt temale äratõstetav raha ei mõjuta. Seega puudub põhjus ka karta, et II samba vabatahtlikuks muutmisel mees sealt lahkuma kipuks.

Kas tõesti Elmar Vaher vajab peatsele 4500-le eurosele eripensionile kuus lisaraha II samba näol, et seda tänaste vanaduspensionäride arvelt I sambast ära võtta ja tema kontole kanda?

II samba ja eripensionite juurutamise juht
Eiki Nestor on ka ise eripensionär.
Foto Sander Ilvest, Eesti Meedia/Scanpix
Ka siis, kui riik mõtleb mitte vanaduspensionäridele vaid hoopis majanduse ergutamisele, oleks need 240 eurot õigem kanda mitte Elmar Vaheri vaid tänaste vanaduspensionäride kontodele. Kuna vanaduspensionäridel on rahaga kitsas ja see läheb kohe tarbimisse, siis raha ergutaks riigi majandust. II samba kaudu selle raha ärasuunamine hoopis Elmar Vaherile on raiskamine.

Raha äratõstmine vanaduspensionäridelt Elmar Vaheri kontole jätkub ka peale Elmar Vaherile eripensioni määramist

Kogumispensionite seaduse alusel lõpetatakse I sambast raha tõstmine II sambasse isiku vanaduspensioni ikka jõudmisel. Seejuures ei võeta arvesse, kas ja kui palju saab isik eripensioni. Seega kui Elmar Vaherile määratakse eripension tema 48-aastaseks saamisel, siis saab ta igakuiselt eripensioni 4500 eurot. Mida tõstetakse (indekseeritakse) iga aasta 1. aprillil sama protsendiga kui vanaduspensione. Näiteks 1.04.2019 indekseeriti pensione 8,4%, seega 2019 oleks Elmar Vaheri eripension tõusnud 378 eurot kuus  ja olnud 4878 eurot kuus. Ja niimoodi jätkab tõusu igal aastal.

Ja paralleelselt järgmised 17 aastat tõstetakse vanaduspensionäridelt ehk I sambast ära Elmar Vaheri II samba kontole 4% tema igakuisest töötasu maksustatavast summast.

Eripensionite korruptsioon ei ole jätkusuutlik.


[i] PPVS § 101 (4) Politsei- ja Piirivalveameti peadirektori ja Kaitsepolitseiameti peadirektori väljateenitud aastate pensioni suurus, sõltumata tema üldisest politseiteenistuse staažist ja vanusest, on alates tema teise täieliku ametiaja lõppemise päevast 75 protsenti tema pensioni arvutamise ametipalgast.

reede, 26. juuli 2019

MKM e-hääletuse töörühma analüüs ptk 4. E-hääle liikumine hääletajast serverini

Valijarakendusse sisenemisel kuvatakse isiku dokumendid. Tekitatakse võimalus näha reaalajas hääle salvestamise serveri tegevusi (logi baasandmeid), rakendatakse individuaalse hääletuse kontrollkood. Suurendamaks e-hääletaja privaatsust ja tema valimissaladuse kaitstust, lubades e-hääletamine ka mobiiliga. Seadustatakse regulatsioonid ja tööplaanid, mis tagavad e-hääletajale võrreldava privaatsuse seaduses sätestatud hääletuskabiini regulatsiooniga paberhääletajale.

(HVS oktoobrikuu kaastöö MKM e-hääletuse töörühmale, saadetud 26.07.2019).

Sisukord:


1. Puudub selgus, kuhu valijarakendus teda suunas
    1.1. Lahendus. Valijarakendusse kuvatakse sisenemisel isiku dokumendid
    1.2. Lahendus. Valijarakenduse vajalikkus muutub küsitavaks
2. Puudub võimalus oma hääle jõudmist lugemisele kontrollida
    2.1. Lahendus. E-hääle salvestamisele reaalajas kontrollivõimaluse loomine
    2.2. Lahendus. Lugemisele saabunud e-häälte hulgast oma hääle leidmise võimalus
3. Puudub hääletuskabiini privaatsus
    3.1. Lahendus. Põhiseaduse riive kõrvaldamine rakendusseaduste kaasajastamisega
4. Puudub võimalus mobiiliga hääletada
    4.1. Lahendus. Mobiilide reserveerimine häälekontrolliks tühistatakse
    4.2. Lahendus. Luuakse mobiilne valijarakendus

E-HÄÄLETAJA TÄNASED PROBLEEMID JA VÕIMALIKUD LAHENDUSED


1. PUUDUB SELGUS, KUHU VALIJARAKENDUS TEDA SUUNAS

E-hääletajal pole võimalik veenduda, et tema arvuti pole „ära kaaperdatud“ ega suuna teda piraatide valduses olevasse serverisse. Täna puudub hääletajal võimalus sellist pettust avastada.

  • Lahendus. Valijarakendusse kuvatakse sisenemisel isiku dokumendid


    Et e-hääletajale anda kindlus ühendusest õige serveriga, pannakse valijarakendus e-hääletaja sisenemisel tegema KMA x-tee päringut „Isiku dokumendid“ siseneja enda isikukoodiga.

    E-hääletajale kuvatakse päringuvastus ja ekraanil on kättesaadav ka nupp kirjaga „Kõik õige. Lähen edasi e-hääletama“. Vajutades nuppu, alustatakse hääletusprotseduuriga.

  • Lahendus. Valijarakenduse vajalikkus muutub küsitavaks


    Peale e-hääletajale kindluse loomist ühendusest õige serveriga (eelmine alapunkt) ja reaalajas ning end-to-end verifiability kontrollivõimaluste loomist (punkt 2), muutub küsitavaks valijarakenduse vajalikkus. Võiks üle minna internetipõhise veebilehe kasutamisele nagu kasutavad pangad? Valijarakendus tähendab "millegi" oma arvutisse allalaadimist ja installeerimist, mis on vähemasti kohmakas kui mitte kahtlane. Valijarakenduse juhenddokumendist "IVXV valijarakendus" (21.04.2019, 41 lk) ei selgu, kas valijarakendus täidab veel mingit funktsiooni (näiteks skannib kasutaja arvutit) või loob ainult VPN-i (mida saaks ka lihtsamalt tekitada).

2. PUUDUB VÕIMALUS OMA HÄÄLE JÕUDMIST LUGEMISELE KONTROLLIDA


E-hääletajal on praegu olemas võimalus kontrollida esmast salvestamist ehk „mobiilse kontrolli võimalus“. See tähendab, et arvutis tehtud e-hääletamise järgselt saab ta kuvarilt mobiiliga skaneerida QR-koodi ja selle koodiga teha päring 30 minuti jooksul Kogujasse oma salvestatud valiku teadasaamiseks. Mis võimaldab kontrollida, kas süsteem salvestamisega Kogujas suudab talle kuvada tema valikut.

Siiski ei saa e-hääletaja kontrollida, kust süsteem talle kuvatava valiku võtab. Ja ei saa kontrollida, kas tema valik läbib edasi ka häälte töötlemise ja lugemise etapid korrektselt.

  • Lahendus. E-hääle salvestamisele reaalajas kontrollivõimaluse loomine


    Valijarakendus annab e-hääletajale teada valimise õnnestumisest või ebaõnnestumisest. Siiski võib valijat huvitada näha ka reaalajas „sõltumatust“ allikast, et tema valiku salvestamine Kogujas õnnestub.

    Sellise võimaluse loomiseks replikeeritakse VVK avalikule veebilehele Koguja logi baasandmed (kellaaeg, IP, hääle salvestamise õnnestumine). Neid peaks saama vaadata ka tagantjärele, mis eeldab kerimisriba või faili salvestamise võimalust.

  • Lahendus. Lugemisele saabunud e-häälte hulgast oma hääle leidmise võimalus


    Hääletamissüsteemides soovitatakse kasutada end-to-end verifyability meetodit, vt ka OSCE/ODIHR 2011 raport [i] Eesti kohta.

    Sellisel juhul antakse e-hääletajale hääle ärasaatmisel teada tema häälele lisatav unikaalne kontrollkood (näiteks lisada valijarakendusse ka nupp koodi salvestamiseks tekstifailina oma arvutisse). Kontrollkood on individuaalne, see on valimissaladus, ja seda süsteem ega administraator ei saa teada.

    Individuaalse hääletuse kontrollkood“ oli kirjeldatud analüüsi ptk 3 punkt 7 (a).

3.PUUDUB HÄÄLETUSKABIINI PRIVAATSUS


E-hääletada saab praegu ainult arvutitest, kuid mitte igaühel ei ole privaatse hääletusvõimalusega arvutit. Privaatse e-hääletusvõimaluse parandamiseks luuakse hääletusvõimalus ka mobiilile (vt punkt 4) ja sätestatakse e-hääletuse privaatsusnõuded rakendusseadustes.

Seadus ja jõustruktuurid on vaadanud „läbi sõrmede“ privaatsusnõuete kohaldamisele lähisuhtes isikute vahel või muu eksistentsiaalse suhtega seotud isikute vahel – riik ei ole seda püüdnud juhtida.

  • Lahendus. Põhiseaduse riive kõrvaldamine rakendusseaduste kaasajastamisega


    Kui pabersedeliga hääletamisel kehtib nõue privaatse hääletuskabiini kasutamiseks, siis e-hääletamisel sama nõuet pole. Põhiseaduse § 60 ja § 156 nõuded hääletuse salajasele iseloomule on kaitstud rakendusseadustega küll paberhääletuse korral, kuid ei ole kaitstud e-hääletuse korral.

    RKVS § 35. Hääletamiskabiin: „(1) Hääletamiskabiin peab võimaldama salajast hääletamist. (2) Hääletamiskabiinis on laud ja kirjutusvahend. Hääletamiskabiini seinal on selle valimisringkonna kandidaatide koondnimekiri, välja arvatud kabiinis, mis on ette nähtud väljaspool elukohajärgset valimisjaoskonda hääletavatele valijatele.“

    Kreeka õigusjumalanna Themis. Tundmatu autor
    Rakendusseadustes sätestatakse ja avalikkusele kommunikeeritakse, kuidas e-hääletaja ja tema lähikondsed hääletussaladuse kaitse tagavad, nähakse ette (toimivad) sanktsioonid ja jõustruktuuride tegevusplaan rikkumiste minimeerimiseks. Asutustele ja ettevõtetele, millised kasutavad töötajate salajast jälgimist (kaamerad, arvutitöö jälgimine võrgu kaudu), sätestatakse seaduses reeglid jälgimisest teavitamiseks või „jälgimisrahuks“ valimiste perioodil.

    Mõned on soovitanud ka kehtestada tehnilisi piiranguid, et ühe seadme kaudu ei saaks e-hääletada üle ühe korra.

4. PUUDUB VÕIMALUS MOBIILIGA HÄÄLETADA


Raport „Digital 2018 Estonia (January 2018)“
Raporti „Digital 2018 Estonia (January 2018)“ [ii] andmetel on Eestis 1,84 miljonit kasutuses mobiiliühendust, milledest 79% on 3G või 4G. Kuivõrd broadbandi (3G ja 4G) saavad kasutada ainult nutitelefonid, siis võime teha järelduse – Eestis on aktiivses kasutuses 1,45 miljonit andmeside funktsionaalsusega SIM-kaarti.

Sama raporti andmetel on Eestis 720 000 igakuiselt aktiivset Facebooki kasutajat. Nendest 83% kasutab FB-d nutitelefoni kaudu.

Arvutite arvu kohta Eestis statistikat leida ei õnnestunud.

  • Lahendus. Mobiilide reserveerimine häälekontrolliks tühistatakse


    Individuaalse hääletuse kontrollkoodi rakendamisel kaob ära vajadus Kogujast oma e-häält mobiilselt kontrollida. Mobiiltelefonid, millede funktsioon seni oli reserveeritud ja neile valijarakendust ei loodud, nüüd vabanevad kasutamiseks e-hääletamise seadmena.

  • Lahendus. Luuakse mobiilne valijarakendus


    E-hääletamise võimaluse loomine mobiiliga oluliselt parandab võimalusi privaatseks hääletamiseks. Kui arvutid on sageli kas tööandja ruumis või pere ühiskasutuses ruumis, siis mobiil on täpselt seal kus inimene ja ta võib e-hääletamise läbi viia kasvõi privaatses tualettruumis, autos, pargipingil ...

    On aeg luua valijarakendus Androidile ja iOS-le, tehkem siis seda.



[i] OSCE/ODIHR 2011 raport e-hääletusest Eestis https://www.osce.org/et/odihr/81813?download=true
[ii]Raport„Digital 2018 Estonia (January 2018) https://www.slideshare.net/DataReportal/digital-2018-estonia-january-2018/1

reede, 19. juuli 2019

MKM e-hääletuse töörühma analüüs ptk 3. Laekunud e-häälte töötlemine ja lugemine

E-häälte töötlus ja lugemine viiakse minimalistlikule, turvalisele, läbipaistvale ja kontrollitavale metoodikale. Lansseeritakse hääle liikumise individuaalne kontroll, e-häälte isikuandmeteta fail tehakse enne kokkulugemist avalikuks, rakendatakse e-häälte töötlemise protokollimine.

See on HVS septembrikuu kaastöö MKM e-hääletuse töörühmale, saadetud 19.07.2019. Kuna häälte töötlemise ja lugemise protsess korraldatakse täielikult ümber, siis on protsessikirjeldus avaldatud uue ja mitte muudatuste kirjeldusena.


Sisukord

ÜLDOSA
  1. E-hääletuse ja paberhääletuse toimumise ajad vajavad ühildamist
  2. E-häälte salvestamise struktuur ja formaat Kogujas
TOIMINGUD UUE KONTSEPTSIOONI ALUSEL
  1. E-hääletuse tulemuste üleandmine rahvusarhiivile
  2. E-häälte terviklikkuse kontroll ja Koguja logidega võrdlemine
  3. Arvestamisele mittekuuluvate häälte eemaldamine
  4. Digiallkirjade eemaldamine e-häältelt
  5. Krüpteeritud e-häälte järjendite ümbersorteerimine
  6. E-häälte järjendite dekrüpteerimine
  7. E-häälte üleslaadimine VVK veebi avalikuks kasutamiseks
  8. E-häälte avalik töötlemine ja tulemuste avaldamine
  9. E-häälte töötlemise õigsuse järelkontroll
  10. E-hääletuse andmestiku hävitamine Kogujas
SOOVITUSED SEADUSTESSE

ÜLDOSA


1. E-hääletuse ja paberhääletuse toimumise ajad vajavad ühildamist


Praegu toimub paberhääletamine ja e-hääletamine erinevatel päevadel või erinevatel kellaaegadel. Mida on põhjendatud argumendiga, et kui e-hääletamine lõpeb eelhääletamisest 2 tundi varem ega ei toimu valimispäeval, siis saab ebaseadusliku sunni all olnud e-hääletaja minna veel valimisjaoskonda ja muuta oma valiku ära.

Paraku on tegemist kõlbmatu ja otsitud argumendiga, sest praktikast ei ole teada ühtegi juhtumit, kus selline kahetunnine hääletamisaegade vahe oleks ka reaalses elus toiminud. Kui ikkagi e-hääletaja on nii tugeva surve all, siis on tegemist kestva ahistamisega ja ahistaja mõju ei lõpe kahe tunniga. Psühholoogilises vaates on hääletaja alistunud ja eksistentsiaalsetes huvides nõustunud taluma oma „peremehe“ tahet enda tahtest ülemana. Niisugused ahistamisolukorrad on sügavalt kuritegelikud ja kestvad, ning neid olukordi saab lõpetada vaidõiguskaitseorganite sekkumine. Mistõttu ei ole põhjendused e-hääletuse ja paberhääletuse korraldamiseks eri kellaaegadel toimivad.

Oht, et e-hääletaja hääletamisvabadust rikutakse, tuleb maandada hääletamisvabaduse rikkumisele proportsionaalsete sanktsioonide kehtestamisega, õigusregulatsioonide toimivuse monitoorimisega, ja jõustruktuuride suunamisega hääletusvabaduse kaitse ülesandeid täitma.

E-hääletuse ja paberhääletuse ajalised nihked seavad e-hääletuse lõppemise ja e-häälte töötlemise alguse nihkesse, mis loob täiendava riskiteguri ja annab (siinkohal mittevajalikku) alust diskussioonile valimiste ühetaolisuse põhimõtte tähendusest. E-hääletus ja paberhääletus tuleb korraldada paralleelselt, alustades ja lõpetades ühtedel aegadel. Tulemusi hakata mõlemal lugema koheselt peale hääletuse lõppemist.

2. E-häälte salvestamise struktuur ja formaat Kogujas


Praegu seadus e-hääletuses kogutavate andmete struktuuri ja formaate ei reguleeri. Krüpteeritud ja allkirjastatud e-hääle koosseis on reguleeritud kõige madalamal tasemel - otsusega, mis pole õigusakt. Näiteks VVKo 08.10.2018 otsus nr 57 punkt 2 (RT III, 10.10.2018, 1).[i]

Seega on e-hääletusel kogutavate isikuandmete konkreetne struktuur ja formaat ebaselge ja formaliseerimata, sisuliselt arvutimehe otsustada.

E-hääletuse turvalisusele on kriitiliselt oluline, et mitte ühtegi üleliigset tähemärki või vales formaadis tähemärki ei sisalduks e-hääles. Mistõttu on e-häälte salvestamise struktuuri ja formaadi reguleerimine kõige kõrgemal ehk seaduse tasandil vältimatu.

E-hääle krüpteeringu sisse peaks mahtuma:
  • Valitud kandidaadi number.
  • Individuaalse hääletuse kontrollkood (vt toimingute osa punkt 7 alapunkt a).
  • Hääletaja elukohajärgse valimisjaoskonna number (vajalik hääletusstatistikaks).
Väljaspool e-hääle krüpteeringut peaks asuma (ei tule kaasa häälte lugemise avalikku faili):
  • Ajatempel (automaatne lisand digiallkirjastamisel, võimaldab võrdlust logidega).
  • Hääletaja isikukood (automaatne lisand digiallkirjastamisel, võimaldab tuvastada eemaldamisele kuuluvad topelthääletamised ja tühistamisele minevad hääled).
  • Mobiil-ID või Smart-ID allkiri (tõendab e-hääle autentsust ja terviklikkust).

Valimiste üldandmed (mis senise korralduse järgi on iga hääle juures krüpteeringus määratlemata struktuuriga identifikaatorina) pannakse terve faili metaandmestikku ja puudub vajadus nende dubleerimist jätkata iga üksiku hääle metaandmetena).

Juhul, kui valimistega samal ajal esitatakse ka mõni rahvahääletuse küsimus, siis küsimus(te)le vastamine tuleks reguleerida eraldi rahvahääletuse seaduse raames (arvestades eeltoodud põhimõtteid).

Vastused rahvahääletuse küsimustele allkirjastada, salvestada ja töödelda e-valimiste andmefailist eraldi faili (praegu see põhimõte ei toimi, mis on jällegi viga ja turvaoht).

Kuid nii e-hääletuse kui rahvahääletuse küsimus(t)ele vastamise võib e-hääletaja vaates koondada ühe ja sama valijarakenduse sisse - kui nii on e-hääletajale mugavam.

TOIMINGUD UUE KONTSEPTSIOONI ALUSEL


1. E-hääletuse tulemuste üleandmine rahvusarhiivile


Praegu e-hääletuse tulemusi pikaajaliselt ei säilitata ega anta üle rahvusarhiivile, kuid säilitamine on vajalik (vt analüüsi ptk 2). E-häälte ja logide (töötlemata) koopiale tuleks esimese toiminguna peale e-hääletamise lõppemist ja enne e-häälte töötlemisele asumist arvestada kontrollsummad, protokollida ning sellisel originaalkujul rahvusarhiivile üle anda.

Juhul kui rahvusarhiiv ei ole valmis e-hääletamise andmestiku hoiustamist, kaaluda alternatiivina säilitamist Eesti Panga hoidlas.

2. E-häälte terviklikkuse kontroll ja Koguja logidega võrdlemine


E-hääletuse toimumise ajal replikeeriti e-hääletuse ja ja e-hääle mobiilse kontrollimise logide baasandmed VVK veebilehe kaudu avalikkusele (tuleb kirjeldamisele ptk 4). Nüüd kontrollitakse Kogujasse salvestatud e-häälte digiallkirjade kehtivust, e-häälte arvulist vastavust, digiallkirjastamise kellaaegade terviklikkust ja kooskõla logide andmestikuga.

Erisused selgitatakse, tulemused protokollitakse.

3. Arvestamisele mittekuuluvate häälte eemaldamine


Valijate nimekirjade pidamine on järgmisel valimistel plaanitud elektroonilisena. Misläbi on reaalajas kättesaadavad andmestikud:
  • Oma e-häält pabersedeliga muutnud isikute kohta.
  • Seaduse alusel tühistamisele minevate häälte kohta (RKVS § 487 lg 5 jms).
  • Mitu korda e-hääletanud isikute kohta.

E-hääled, mis eemaldamisele kuuluvad, nüüd eemaldatakse. Protsess protokollitakse.

Organisatsiooniliselt võiks elektrooniliste valimisnimekirjade käitlemine ja analüüs selle sisseseadmisel alates 2021 aastast minna e-hääletuse meeskonna täiendavaks ülesandeks, eraldades selleks ühtlasi täiendavad eelarvelised vahendid.

4. Digiallkirjade eemaldamine e-häältelt


Digiallkirjade eemaldamiseks e-häälte krüpteeringutelt tuleb ilmselt töösse lasta skript, mille kood vaadeldavuse tagamiseks peaks olema avalik ja käitamine vaadeldav. Kaaluda logimise vajalikkust. Ilmselt on selline skript RIA-l ka praegu olemas ... Mida kasutada - see ei ole enam analüüsietapi vaid (valitsusprogrammis) järgmisesse aastasse plaanitud disainietapi ülesanne.

5. Krüpteeritud e-häälte järjendite ümbersorteerimine


ID-kaardi, Mobiil-ID ja Smart-ID allkirjadest (seega isikuandmetest ja ajatemplitest) puhastatud e-häälte koosseisu on jäänud krüpteeritud järjendid ainult nende andmetega, milliste sisalduvus digiallkirjades tuleneb seadusest. Nüüd on vaja järjendid „hääletamissaladuse kaitseks“ ümber sorteerida, et poleks võimalik valikuid tagasi isikuandmetega seostada.

Ümbersorteerimine toimub genereeritud juhuarvudele [ii] vastavasse järjekorda.[iii] Sorteerimise skripti kood on avalik ja toiming viiakse läbi vaatlejate ja komisjoni juuresolekul andmestikku ekraanil kuvamata.

Ümbersorteerimise toimumine protokollitakse.

Kogu eelnev toimetamine on mõistlik ära teha Kogujas, et üheaegselt isikuandmeid ja seoseid hääletamissaladusega sisaldav andmestik ei satuks autoriseerimata kasutusse (iga andmestiku täiendavasse masinasse või andmekandjale transportimine mitmekordistab hääletussaladuse lekke riske).

6. E-häälte järjendite dekrüpteerimine


Hääletussaladusele suurema tehnilise turvalisuse tagamiseks juhuarvudega ümbersorteeritud krüpteeritud hääled viiakse nüüd Kogujast välja ja dekrüpteerimine toimetatakse eraldi arvutis, millel puudub internetiühendus.

Koguja pannakse seisma ja „pitseeritakse“.

Dekrüpteerimise toimetamine eraldi arvutis välistab olukorra, kus potentsiaalne ründaja saaks ühest mäluruumist kätte nii isikuandmed kui neile vastavad dekrüpteeritud hääled, ja on täiendavaks ettevaatusabinõuks hääletussaladuse kaitsel.

Krüpteeritud järjendid dekrüpteeritakse. Ei ole teada vajadust kehtivasse dekrüpteerimise korraldusse muutusi teha, võiks korraldusega selles osas samamoodi jätkata (mitme salajase võtme samaaegse kasutamise nõue).

Peale häälte dekrüpteerimist sorteeritakse nüüd tekstiformaadis faili jõudnud järjendid veelkord ümber uutele juhuarvudele vastavasse järjestusse.

Dekrüpteeritud fail digiallkirjastatakse.

7. E-häälte üleslaadimine VVK veebi avalikuks kasutamiseks


E-häälte digitaalselt allkirjastatud fail laetakse üles VVK avalikule veebilehele formaadis, mis on keskmisele arvutikasutajale tabelarvutusprogrammis kergelt avatav.

  • Veebi avaliku üleslaadimisega on võimalik lahendada ka e-hääle individuaalse kontrollitavuse probleem. Kui seadusandja nõustub e-häälele igakordselt unikaalse ja ainult hääletajale endale teada koodi lisamisega, siis tekib e-hääletajal võimalus oma hääl hiljem avalikust häältefailist üles leida ja veenduda, et tema hääl on kohal ja õigesti kokku loetud. Kuna peale hääletaja enda mitte keegi koodi ei tea, siis sellise kontrollitavuse loomine ei ohusta hääletamissaladust.[iv] Kontrolli mugavuse huvides võib muidugi VVK veebilehele tekitada ka eraldi kontrollkoodi päringu akna.

  • OSCE/ODIHR on juba 2011 aasta raportis [v] soovitanud Eestil kontrollitavust rakendada. Eesti on andnud OSCE-le anekdootlikke selgitusi mitterakendamise põhjustest (raporti lk 12): „Eesti internetihääletuse süsteem selliseid vahendeid ei kasuta. OSCE/ODIHR EAM-le antud seletuse järgi on selle põhjuseks mure, et kontrollitavuse võimaldamine võiks valijaid segadusse ajada.

Dekrüpteerimiseks kasutatud arvuti ja andmete transportimiseks kasutatud vahendite mäluruumid kustutatakse [vi] või mälud hävitatakse.

Protsess protokollitakse.

8. E-häälte avalik töötlemine ja tulemuste avaldamine


Häälte lugemine toimub edasi tingimustes, kus opereeritakse VVK avalikus veebis asuva andmestikuga. Seega on pettusevõimalused välistatud ja igaüks saab ise sedasama täiendavalt üle lugeda, laadides VVK lehelt vastava andmefaili alla.

Vaatemängulisuse huvides oleks siiski mõistlik VVK lugemine toimetada visuaalselt hästi jälgitavas tabelarvutusprogrammis PIVOT tabeli abil.

Valimistulemused avaldatakse.

9. E-häälte töötlemise õigsuse järelkontroll


Nii nagu pabersedelid loetakse järgmisel päeval uuesti üle ringkonnakomisjonis, nii ka e-hääled töödeldakse järgmisel päeval uuesti ja saadud tulemusi võrreldakse eelmisel päeval saadud tulemustega.

Kui tehniliselt on mõnes andmetöötlusfaasis mõistlik, siis kasutatakse järelkontrolli töötlemisel ristmetoodikaid võrreldes esmasel töötlemisel kasutatuga. Näiteks on juhunumbrite genereerimiseks ja sorteerimiseks võimalik kasutada teistsugust algoritmi, skripti, jne.

10. E-hääletuse andmestiku hävitamine Kogujas


Peale e-häälte järelkontrolli ja peale võimalike õigusvaidluste ning õigusvaidluste tähtaja lõppu Koguja mäluruumid kustutatakse või mälud hävitatakse.

E-hääletamise logisid võidakse siiski jätkuvalt säilitada lisaks rahvusarhiivile ka RIA-s või VVK-s. Logide sellise säilitamise ja kasutamise vajadus ja korraldus otsustada disainietapis.

Mäluruumide kustutamine ja logide kasutusse andmine protokollitakse.

SOOVITUSED SEADUSTESSE


Loobuda nii seaduste seletuskirjadest kui kohtuotsustest õhkuvast ebausust, et:
  • Põhiseaduslikku (aktiivset) valimisvabadust on võimalik tagada õigussüsteemi toimima panemise asemel e-hääletamise ja paberhääletamise aegade seadmisega nihkesse.
  • Hääletussaladuse kaitse (ebaproportsionaalne ja kunstlikel argumentidel) esiletõstmine on mugav alus, millele viidates saab põhjendada kõikjal ja kõiksugu organisatsiooniliste, seadusandlike ja tehniliste väärnähtuste jätkamist - e-hääletuse mittekorraldamist läbipaistval ja kontrollitaval viisil.

Tulenevalt üldosa kirjeldustest:
  • E-hääletuse ja paberhääletuse ajad ühtlustada.
  • Võimaldada lisaks ID-kaardi ja Mobiil-ID ka Smart-ID-ga e-hääletamine.
  • Reguleerida seaduse tasemel e-hääletamise andmestiku struktuur ja koosseis.
  • E-hääletajale tekitada võimalus anda ka „rikutud sedelit“.

Tulenevalt toimingute kirjeldustest:
  • Vaadata üle kirjeldatud toimingutele nõutavad regulatsioonid seadustes ja kooskõlastada sisupoole ning juristide vahel vajalikud muudatused.
  • Sätestada kõigi olulisemate e-häälte töötlemistoimingute protokollimine. [vii]
Pilt: Äripäev 19.07.2019



[i] Hääletamissedeli ja elektroonilise hääle vormi kehtestamine Riigikogu valimisteks (2. Elektrooniline hääl koosneb järgmistest komponentidest: 1) valimiste identifikaator; 2) valija tahteavaldus.)https://www.riigiteataja.ee/akt/310102018001
[ii] Näiteks võib kasutada Pythoni koodi, näide https://machinelearningmastery.com/how-to-generate-random-numbers-in-python/
[iii] Näiteks võib kasutada Pythoni koodi, näide https://www.afternerd.com/blog/python-sort-list/#sort-strings
[v] OSCE/ODIHR 2011 aasta raport https://www.osce.org/et/odihr/81813?download=true
[vii] Ka OSCE/ODIHR 2011 aasta raport sedastab, et isegi videole salvestamine ei asenda protokollimist: „Vastavalt VVK juhistele filmiti kõiki protseduure. Kuid on küsitav, kas kõiki tegevusi saab ühe kaameraga dokumenteerida. Igal juhul ei saa selline videosalvestus asendada tavapärast paberkandjal dokumenteerimist.“. Lk 14, https://www.osce.org/et/odihr/81813?download=true

teisipäev, 16. juuli 2019

MKM e-hääletuse töörühma analüüs ptk 2. Garantiide andmine e-hääletajale

Minu analüüs MKM e-hääletuse töörühma 19.08.2019 koosolekule. Tuleks hakata e-hääli säilitama 10 aastat. Seadustada võimalused nende ülelugemiseks rahvusarhiivis. Isikuandmete kaitse seadustada toimival viisil. Seoses üleminekuga valijate nimekirjade elektroonilisele käitlemisele sätestada seadustes vastavad muudatused. Seega käesolevas peatükis räägime garantiide andmisest e-hääletajale ehk protsessidest, millised pole seadustesse toimival viisil veel jõudnud.

1) E-häälte hävitamine 30 päeva jooksul peale valimisi [i] üks peamistest seadusandlusesse [ii] kirjutatud e-hääletuse süsteemi nõrkustest.

See muudab e-hääle liikumise hilisema rekonstrueerimise võimatuks:
  • Välistades potentsiaalse e-häältega manipuleerija heidutuse valimispettuse jätkuva avastatavuse näol;
  • Tekitades e-hääletajate hulgas ebakindlust. Kuigi seadus annab õiguse e-hääletamise tulemust veel vaidlustada, siis hääle liikumise läbipaistmatuse ja valimistulemuste töötlemise süsteemi keerukuse tõttu on tulemustes kahtlejal kehtivate reeglite tingimustes peaaegu võimatu hankida lahendi saamiseks sobivaid tõendeid.
There is nothing fraudsters love more than anonymity. They love to carry out their schemes with nobody ever having a clue of what they are doing (McKenna 2017).

2) Kuidas sai e-häälte liigkiire hävitamine valimisseadustesse tekkida?

Seaduses (2012) kopeeriti paberhääletuse sedelite hävitamise metoodika mehhaaniliselt üle e-häälte käitlemisele [iii].
Eestis on RK (paber)valimistel ligi tuhatkond jaoskonnakomisjoni, kes sorteerivad ja loevad pabersedelid vaatlejate juuresolekul kahekordselt üle. Seejärel saadavad nad sedelite kastid ringkonnakomisjonidesse - kus komisjonid teises koosseisus, teise metoodikaga ja teiste vaatlejate juuresolekul loevad paberhääled veelkord üle. Metoodika tagab iga eksimuse ja pettusekatse avastamise. RK2015 toimus ringkonnas nr 2 mitmete ülelugemistega Ladõnskaja ja Sesteri ülelugemiste „duell“ [iv].
RK2019 avastati Narvas kahe kandidaadi suhtes valimispettus [v].
Seega pabersedelid liiguvad lõpuks maakonnakeskustes asuvatesse ringkonnakomisjonidesse. Sedelikastid on ruumimahukad ja paberhääletuse süsteem ise usaldusväärne. Mistõttu ei ole paberhääletuse korral otstarbekas sedeleid hiljem rahvusarhiivi koondada ja säilitada. Valimiste aususe hilisema (kaudse) kontrollivõimaluse loomise rolli täidab valijate nimekirjade üleandmine rahvusarhiivi alaliseks säilitamiseks.
Valijate nimekirjade rahvusarhiivi saatmise eesmärk oleks olnud vaja lahti mõtestada, enne kui pabersedelite hävitamise metoodika kopeeriti e-häälte hävitamisele [vi].
E-häälte lugemisel puudub teistkordse lugemise tarvis ristmetoodika ja samuti puudub teises koosseisus komisjon (erinevalt pabersedelite lugemisest). Seega potentsiaalsele manipuleerijale suunatud täiendava heidutuse funktsioon, mida paberhääletusel täidab ringkonnakomisjon teise metoodika rakendamise ja hääletajate nimekirjade hilisema rahvusarhiivi saatmisega, jääb e-hääletuse suhtes rakendamata. Seega on vajalik e-häälte säilitamine mõnda aega, et ka e-hääletusel heidutus ja usaldus toimiksid.
Ka ei asu e-hääled mahukates valimiskastides ega ei asu laiali ringkonnakomisjonides ... vaid asuvad juba kõik Tallinnas ning mahuvad ära vaid ühtainsasse portfelli.

      a) Soovitused seadustesse

Kehtestada e-hääletamise tulemusi rekonstrueerida võimaldava andmestiku (e-hääled, e-hääletamise logid) säilitamine üle kahe valimistsükli - 10 aastat alates valimispäevast.
Sätestada e-häälte hilisema ülelugemise võimaldamiseks regulatsioon.
(siinkohal pole vaja küsida, mis juhtub kui uuel ülelugemisel saadakse teine tulemus. Sest praegu ollakse ju kindlad, et tulemus ei saa muutuda. Järelikult on tegemist puhtalt usaldust tagava avalikkusele suunatud abinõuga, millele pole vaja juhiseid tingimuse täitumise korral tegutsemiseks. Juhtumi tekkimisel on see võimalik lahendada siiski näiteks põhiseaduslikkuse järelevalve formaadis Riigikohtus. Ebameeldiva tõe hilisem teadasaamine on parem kui tõe teadasaamise võimaluste hävitamine igaveseks, ja võimaldab vähemalt samalaadseid järgnevaid juhtumeid ära hoida).
Jõustada rakendusakt e-häälte rahvusarhiivi üleandmise, säilitamise ja hävitamise korraga.

3) E-häälte hävitamine on praegu demonstratiivne ega kaitse insiderite eest.

RKVS § 77’ lg 2 sätestab e-häälte hävitamise 30 päeva peale valimisi. Kuid ei sätesta metoodikat, organisatsiooni, vastutust, ega anna isegi mitte delegatsiooninormi. Mistõttu e-häälte ja isikuandmete logimise peamises keskuse RIA suhtes puudub väline (VVK- või vaatlejatepoolne) kontroll e-hääletamisega seotud andmete hävitamise üle. On teadmata, kas ja kuipalju RIA sisemised regulatsioonid seda valdkonda reguleerivad, kuidas toimib järelevalve ja dokumenteerimine.
E-valimiste juht Tarvi Martens on väljendanud mõtet, et VVK-d ei huvita, kuidas RIA oma sisemisi protsesse korraldab.
Seega seadusandja ja VVK tuginevad e-häälte ja valijate isikuandmete hävitamisel jällegi pabersedelite regulatsiooni kopeerimisele e-hääletamise isikuandmete kaitsele. Mõttekäik - et kui hääled antakse üle, siis on need üle antud ja üleandjal puudub edasine vajadus midagi rohkem muret tunda. Jäetakse tähelepanuta, et erinevalt paberkandjatest e-andmete üleandmine ei kaota neid ära üleandja valdusest (!).
Seega võiks RIA insiderite "lauasahtlitest" leida täiuslikke e-hääletamise isikuandmete andmebaase läbi mitmete valimiste. Kui seda ei ole, siis on põhjuseks RIA töötajate kõrged eetilised omadused, laiskus või RIA toimiv sisekontrollisüsteem - aga mitte seadusel põhinev toimiv regulatsioon.
RKVS § 77’ lg 2 käsib riigi valimisteenistusel hävitada „elektroonilised hääled, elektroonilise hääletamise süsteemis sisalduvad valijate isikuandmed ning elektrooniliste häälte avamise võtme“. VT teeb seda enda käes olevate materjalide suhtes, aga hävitamist ei protokollita. VVK veebileht selgitab, et hävitatakse häälte avamise võti [vii].
Seega ka VVK ei saa üheselt aru, kus ja mida tuleb hävitada. KPMG poolt läbiviidud RK2019 auditi lõpparuande punkt 4 lk 8 kirjeldab läbiviidud hävitusprotseduuri ebapiisavalt: „10.04.2019 toimus võtmeosakute ja süsteemiketta füüsiline hävitamine. Audiitorid kontrollisid võtmeosakute ja süsteemiketta turvakleebiste terviklust ning jälgisid nende hävitamist.

      a) Soovitused seadustesse

Seadustega välistada e-hääletamise andmestiku koopiate või loetavate fragmentide jäämine RIA-sse, VVK-sse, või lekkimine rahvusarhiivist.

4) Tulenevalt elektroonilistele valijanimekirjadele üleminekust alates järgmistest valimistest seaduses sätestada valijanimekirjade ja e-hääletamise ajutisele säilitamisele kuuluvate materjalide riigiarhiivile üleandmise elektroonilised formaadid ja korraldus.


[i]. RKVS (RT I, 17.11.2017, 17) § 77’ lg 2: (2) Riigi valimisteenistus säilitab elektroonilisi hääli ühe kuu jooksul valimispäevast arvates. Pärast nimetatud tähtaja möödumist, kuid mitte enne, kui esitatud kaebuste kohta on tehtud lõplikud otsused, hävitab riigi valimisteenistus elektroonilised hääled, elektroonilise hääletamise süsteemis sisalduvad valijate isikuandmed ning elektrooniliste häälte avamise võtme. [ii]. E-hääletamise regulatsioonidele viitamisel on käesolevas analüüsis refereeritud RKVS-le, kuigi analoogseid e-hääletamise regulatsioone sisaldavad ka EPVS, RaHS ja KOVVS. Viitamine RKVS-le on kasutatud lihtsuse huvides ja neid viiteid tuleb mõista nii, et seaduseloome faasis tuleb samad probleemid lahendada ka EPVS, RaHS ja KOVVS suhtes. [iii]. Väljavõte SE 186 (2012) seletuskirjast: „Eelnõu § 1 punkt 23 täiendab EPVS-i uue paragrahviga 77’, milles sätestatakse hääletamissedelite ja valimisdokumentide säilitamise põhimõtted. Praegu on nii paber- kui elektrooniliste häälte hävitamise kord sätestatud Vabariigi Valimiskomisjoni määruses. Selguse huvides ning arvestades toimingu olulisust, tuleks see sätestada seaduses. Säilitamise ja hävitamise kord ise jääb samaks. Lõike 1 kohaselt säilitab hääletamissedeleid maakonna valimiskomisjon ühe kuu jooksul arvates valimispäevast või kuni kaebuste lõpliku lahendamiseni. Pärast seda sedelid hävitatakse, kuna pärast kaebetähtaegade möödumist ei ole võimalik enam hääletamis- ja valimistulemusi vaidlustada. Sedelite täiendav säilitamine oleks ka praktilisest küljest ebaotstarbekas, kuna selleks, et nende põhjal saaks veel täiendavalt kontrollida hääletamistulemuste korrektsust, tuleb neid säilitada selliselt, et ligipääs sedelitele puuduks. Eelnõu § 1 punkt 23 EPVS § 77’ lõige 2 sätestab elektrooniliste häälte säilitamise korra. Hääli säilitatakse ühe kuu jooksul, nagu ka paberhääli. Seejärel elektroonilised hääled hävitatakse. Hääletamissaladuse tagamiseks hävitatakse ka elektroonilise hääletamise süsteemis sisalduvad valijate isikuandmed. Samuti hävitatakse elektrooniliste häälte avamise võti.“ [iv]. https://www.ohtuleht.ee/665856/ladonskaja-riigikogus-sester-valjas-ja-vastupidi-ja-siis-jalle-vastupidi" [v]. Põhjaranniku 04.03.2019 artiklist koopia (veebis on artikkel blokeeritud)https://drive.google.com/open?id=1gGA1BYmhrXGw2AtEN7H3hOzt6wcmuZOA [vi]. SE 168 (2012, lk 10) selgitab valijate nimekirjade alalise säilitamise vajadust järgmiselt: „Eelnõu § 1 punkt 23 EPVS § 771 lõige 3 sätestab, et hääletamis- ja valimistulemuste protokolle säilitatakse alaliselt ning et valijate nimekirju sälitatakse püsivalt Rahvusarhiivis. Valijate nimekirjade sälitamise kord on sätestatud selliselt ka kehtivas seaduses. Protokollide säilitamise kord oli seni sätestatud Vabariigi Valimiskomisjoni määrusega. [vii]. https://www.valimised.ee/et/e-h%C3%A4%C3%A4letamine/k%C3%BCsimused-e-h%C3%A4%C3%A4letamise-usaldusv%C3%A4%C3%A4rsuse-kohta seisuga 11.07.2019: „18. Miks hävitatakse hääled nii kiiresti pärast valimistulemuste väljakuulutamist? Seaduse järgi peavad hääled olemas olema aja, mil kõik kaebused on läbi vaadatud ja lahenduse leidnud ning valimistulemused välja kuulutatud. Alles pärast seda hävitatakse nii e-hääled (täpsemalt e-häälte avamise võti) kui pabersedelid. Valimistulemuste väljakuulutamine tähendabki, et kõik osapooled on tulemust aktsepteerinud ning pärast seda samu vaidlusi uuesti ei avata.




















teisipäev, 2. juuli 2019

MKM e-hääletuse töörühma analüüs ptk 1. Etteheidetavate nõrkuste loetelu

See dokument on minu kui "kriitikust" töörühma liikme poolt MKM e-hääletuse töörühmale saadetud 02.07.2019 sisendiks avakoosolekul 4.07.2019 tegevus- ja ajakava koostamisele. Füüsiline kohalolek koosolekul ei osutunud võimalikuks Hispaanias elamise ja kopsupõletiku tõttu. Elektroonilist osalemist koosolekul MKM ei võimaldanud. Dokumendis on üldistatud kujul formuleeritud etteheited Eesti olemasoleva e-hääletuse süsteemi toimimise metoodikale (s.h seadusandlusele, organisatsioonile ja tehnoloogiale).
  1. Töörühma skoop. Skoop on kirjas ministri käskkirjas (lõpus). Kuid minu poolt väike visand käskkirja lahtimõtestamise abivahendiks - ka lisana lõpus.

  2. E-hääletuse praegune metoodika matab tõe igaveseks. Teie e-hääled ja nende töötlemiseks kasutatud programmikood kui asitõendid hävitatakse koheselt peale valimisi. Nad valetavad teile, et seda tuleb teha hoidmaks e-hääletust paberhääletusega sarnasena. Kuid paberhääletusel loeb kõik sedelid üle üks komisjon ja peale valimispäeva kõrgemalseisev komisjon teise metoodikaga. Mõlema ülelugemise juures viibivad vaatlejad(!). Niisugusel teisel ülelugemisel näiteks avastati RK2019 Narvas hääletustulemuste kokkulugemise võltsimine kahe kandidaadi suhtes [i].

    Kuid e-hääletuse kokkulugemisel enam teist komisjoni ega teist metoodikat taga ei ole (üks ja sama komisjon loeb). Vaatlemine pole visuaalselt üleüldse võimalik. Ja kogu skeem on mängitud üha rohkem ja rohkem „man-in-the-middle“ kontrolli alla.

    Ja „Koguja“ logisid nad teile tutvumiseks ei luba [ii], kuigi samal ajal paberhääletuse toimumise juures võivad vaatlejad kõike näha.
  3. E-hääletajate osakaal on muutumas kriitiliseks [iii]
  4. E-hääletuse põhipuudus on usalduskriis;. E-hääletus ehk ei vajagi tavalist ISKE numbri alusel hinnatavat infosüsteemi, vaid hoopis unikaalsemat usalduskeskkonda?

    E-hääletuse
    • turvalisus on riikliku julgeoleku üheks põhisambaks
    • usaldusväärsus on demokraatliku riigikorralduse kandja
    Kuni seda ei mõisteta ja lähenetakse e-hääletuse disainile infotehnoloogi pilgu ja harjumustega – siis see kõik võib olla kuulikindel väliste rünnakute suhtes nagu on Venezuelas, kuid psühholoogilises mõttes üleüldse ei tööta. Maailma ajaloo parim krüpto Enigma murti lahti, miks me siis end hoopis madalamal, sisseostetavate vilede tasandil, petame?

  5. Usalduse valimistel tekitab e-hääle liikumise visuaalne vaadeldavus. Minu osalemine vaatlejana RK2019 e-hääletusel sedastas [iv], et võimaldataval kujul vaatlemine ei taga usalduse tekkimist [v]. E-hääletuse kasutamise aastatel pole nähtunud piisavaid jõupingutusi probleemiga tegelemises, pigem on valimiste vaadeldavuse mõiste hakanud e-hääletuse suhtes deformeeruma.

    Infotehnoloogia on valimistel kasutatav ainult siis, kui annab vaadeldavust (seega ausust) kahjustamata olulist efekti.

    MS Exceli Pivot tabelis visuaalselt jälgitav ja kontrollitav tulemuste liitmine on tänapäeval keskmisele inimesele ka kordades mõistetavam ja usaldusväärsem kui nähtamatult töötav ja virtuaalkinnitusi kuvarile viskav protseduurikood, mille vaadeldavuse ainukinnituseks pakutakse näha direktori digiallkirja koodil.

    E-hääletuse põhimõtteline vahe paberhääletusega on see, et esimeses „sõidab“ antud hääl ise kodust valimiskomisjoni, teises sõidab inimene ise kodust valimiskomisjoni.

  6. E-hääletamise seadusandlikku raamistikku tuleb analüüsida põhiseadusest allapoole. Põhimõtteliselt peaks seaduste tasandil olema ära reguleeritud see, mis on vajalik süsteemi toimimise ja usalduse baastaseme tekitamise jaoks. Määrustesse jääks korraldavate, usalduse taset mittemõjutavate otsustuste sätestamine. Juhendid (white papers) ei ole õigusaktid ja nendesse sätestataks usalduse tekitamise mõistes mittekriitiline informatsioon ja oskusteave tehnika administreerimiseks, organisatsiooni toimimiseks, koolitusteks jne.

  7. Mõned näited, mida motiveeritud analüüsis saame kirjeldada. Näiteks võime tuvastada, et hääletajal puudub kindlus - et tema arvuti ei ole „ära kaaperdatud“ ja kas see pöördub ikka õige serveri poole? Me saame hääletaja sellised hirmud maandada, kui kuvame talle valijarakenduse käivitamisel kõigepealt tema enda andmeid mõnest riigi registrist. Näiteks KMA andmekogu päringu „Isiku dokumendid“. Hääletajal on ühtaegu huvitav ja kasulik tegutseda … ja peale oma ajalooliste dokumentidega taaskohtumist vajutab ta nuppu „Kõik õige. Lähen edasi hääletamisele“.

    Mõelgem analüüsi koostades ametkondlikest piiridest välja!

  8. Miks on e-hääletamise infosüsteem RIHA registris registreerimata? Vastavalt riigi infopoliitika korraldusele registreeritakse kõik riigi ja KOV infosüsteemid RIHA registris, kuhu nende kohta sisestatakse nii alusdokumendid, käitajate andmed kui disainidokumendid. E-hääletamise infosüsteemi olemasolu otsing sealt ei leia. On küll „vis“ (valimiste infosüsteem), kuid selle dokumentatsioonist jällegi ei nähtu e-hääletuse funktsionaalsust. Kas e-hääletuse infosüsteem on formaalselt illegaalne või vis dokumenteerimata osa?

  9. E-hääletus või i-hääletus? Teen ettepaneku töörühma skoobi raames anda hinnang ka e-hääletuse ja i-hääletuse mõistete harmoniseerimise vajadusele Eesti õigusruumis, viimaks mõisted kooskõlla rahvusvahelises terminoloogias kasutatavaga. Praegu Eestis kasutatav terminoloogia tekitab suhtlemisel välismaailmaga segadust, kuna meie e-hääletus tähendab seal i-hääletust (internet voting). E-hääletus tähendab välismaailma terminoloogias pabervalimiste tegevuste toetamist elektroonikaga, aga ka elektroonilist hääletust hääletusmasina, telefoni vms vahendusel (nagu seda kasutatakse näiteks Venezuelas).

    • Ühtse terminoloogia tähtsus. 2017 aasta parlamendivalimised toimusid Venezuelas e-hääletusena (NB e- vs i-hääletus). Riigiga lepingut omav ja kogu Venezuela riigi e-hääletamise masinatega katnud ning hiljem riistvara üle järelevalvet teinud Briti firma Smartmatic teatas peale valimisi [vi], et nende analüüs näitab valimistel osalenud inimeste ametlikus arvus ja tegelikus arvus suurt erinevust. Presidentdiktaator Maduro ja tema kontrolli all olev valimisteenistus lükkas teate ümber. Järgnesid rahutused, leping Smartmaticuga lõpetati. Tänaseks on miljonid inimesed kunagisest rikkaimast Ladina-Ameerika riigist lahkunud, kuid Maduro peab oma võimu endiselt legitiimseks, juhatamaks inimesi helgemasse sotsialismi.
  10. Venetsueela e-hääletuse manipuleerimisele järgnesid rahutused.
    Kaader Aljazeera videost
    Maduro asus põhiseadust muutma.
    Kaader Aljazeera videost
  11. Meediakajastus. Koalitsiooni tegevusprogramm [x] on suunatud aastakümneid kestnud e-hääletamise süsteemi AUSUSE ümber toimuvasse diskussiooni [xi] lahendi loomisele. Seega on ka meediakajastus üks meie töö tulemuslikkuse võtmemomentidest.

  12. Nagu nägime, töörühma tööpõld on nagu Augeiase tall. Hakakem siis seda rookima !


[i] Põhjaranniku 04.03.2019 artiklist koopia (veebis on artikkel tänaseks blokeeritud) [ii] Riigi valimisteenistuse asejuhi Arne Koitmäe 22.03.2019 13:41 meil keeldumisest minu RIA-le saadetud teabenõuet täita, tulenevalt vajadusest kaitsta hääletajate logides sisalduvaid isikuandmeid. [iii] VVK statistika https://www.valimised.ee/et/valimiste-arhiiv/elektroonilise-h%C3%A4%C3%A4letamise-statistika [iv] Minu artikkel vaatlemisest http://valdekseeder.blogspot.com/2019/02/e-haaletuse-vaatlejana-riigikogu-2019.html [v] Minu artikkel logide küsimisest http://valdekseeder.blogspot.com/2019/04/valijarakendus-logib-e-haaletaja.html [vi] https://www.aljazeera.com/news/2017/08/smartmatic-venezuela-turnout-figures-manipulated-170802131338450.html [vii] https://www.aljazeera.com/news/2017/08/smartmatic-venezuela-turnout-figures-manipulated-170802131338450.html [viii] https://www.france24.com/en/20170730-venezuela-violence-demonstrations-vote-nicolas-maduro-constituent-assembly-protests [ix] https://twitter.com/AFPphoto [x] Valitsuse tegevusprogramm https://www.valitsus.ee/sites/default/files/content-editors/valitsus/RataseIIvalitsus/vabariigi_valitsuse_tegevusprogramm_2019-2023_esitatud_300519.pdf [xi] Michigani professori Alex Haldermani esitlusvideo Eesti e-hääletamise süsteemist eestikeelsete subtiitritega https://www.youtube.com/watch?v=3FywJKdT90U&fbclid=IwAR2n2H_TrrkyV3gwD0rSgbRaolvsiGAkmBvymaKIvA6g6LbR2qWuZE39GFM


LISA: TÕLGENDUSED MINISTRI KÄSKKIRJA JUURDE


Töörühm
  • Moodustati minister Kert Kingo poolt 21.06.2019 käskkirjaga.
  • Esimene koosolek on kokku kutsutud 4. juuliks 2019.
  • Töö tulemusena esitab olemasoleva süsteemi analüüsi 12.12.2019.
  • Kehtiv koalitsioonilepe näeb ette eesmärgi „3.20.Säilitame e-hääletamise võimaluse, kuid süsteem peab olema kontrollitav, turvaline ja läbipaistev“ täitmise tähtajaga 12.2020.
  • Kehtiva koalitsioonileppe eesmärk 3.22 näeb ette vajalike muudatuste sisseviimiseks seadustesse (muudatusprojektide väljatöötamise) veebruariks 2021.
  • Järgmised valimised on president ja KOV 2021, Riigikogu 2023.
Seega näeb koalitsioonilepe ette ajagraafiku, mis on suuteline tagama järgmiste valimiste muutmise e-hääletuse tulemuste võltsimise võimalustest vabaks – kontrollitavaks, turvaliseks ja läbipaistvaks.

Kõige tähtsam on esimene – analüüsietapp. Mida sinna sisse ei kirjutata, seda hiljem teostama ei hakata. E-hääletamise osatähtsus aga kasvab ja kui süsteem võimaldab kasvõi ainult administraatoril tulemusi võltsida, siis ei pruugi olla näiteks mõnel välisriigil kahju pakkuda sellele adminnile altkäemaksuks „koostöö“ eest mitte ainult miljon, vaid miljard eurot. Niisuguseid ohte tuleb teadvustada ja arvestada.

Koalitsiooni kõik osapooled on olemuslikult huvitatud, et töörühma tegevustulemus oleks edukas. Koalitsioonileppes sätestatut saab mõista, et e-hääletuse süsteem tuleb muuta keskmisele inimesele VAADELDAVAKS ja sellega edaspidi maha võtta inimeste hirmud ja välisekspertide kriitika.

Töörühmana me peame ümber pöörama praktika, kus IT nokitses midagi valmis ja valitsus ning Riigikogu vormistasid tehtu seadustesse … ja et IT liiga sageli ei tüütaks, siis suurema osa jätsid IT-le endale trükkimiseks oma määrustesse või lihtsalt juhenditesse. Sellised praktikad tuleb lõpetada.

Vastavalt käskkirjale on vaja valimissüsteemi vastavust hinnata ka „valimiste korraldamist käsitlevatele regulatsioonidele“. Mida peaksime tõlgendama, et tuleb hinnata:
  • Kas rakendusseadused on piisavad, et e-hääletus toimuks põhiseadusega kooskõlas ja tagavad vabu ja õiglasi e-hääletusi?
  • Kas alamregulatsioonid ja juhendid lähtuvad seadustest ja on proportsionaalsed?
  • Kas kasutatav tehnoloogia on asjakohane e-hääletuse teenindamiseks?
Töörühma moodustamise käskkiri: