Lehed

reede, 6. september 2019

Kriminaalanalüütik: analüüs suunab pagulaskeskuse süütajate otsingu sisejulgeolekuasutuste ridadele

Vao Pagulaskeskuse otsaseina 03.09.2015 süütamise lühike analüüs avalike allikate põhjal näitab, et süütamise organiseerijaid tuleks otsida (eelkõige) tollaste sisejulgeoleku asutuste (PPA (juht Elmar Vaher), SiM (juht Hanno Pevkur), SMIT, SKA (juht Katri Raik)) ridadest. Kriminaalmenetluse lõpetamine on olnud ennatlik, kuid täpsemalt pole võimalik midagi öelda PPA keeldumise tõttu kriminaalmenetluse lõpetamise materjalidega tutvumisest.

Kõige tõenäolisemaks süütamise motiiviks saab pidada siseriiklikku katset suunata avalikku arvamust vihakõnevastase seaduse vastuvõtmisele soodsas suunas, misjärel oleks olnud võimalik rakendada tsensuuri ja repressioone vaba sõna vastu. Seega analüüsitulemus viitab Mary Krossi tüüpi provokatsioonile. Uus siseminister peaks kaaluma uurimise taaskäivitamist.


Fotolt on näha, et süütamiseks tekitati vundamendiosa katvate kiviplaatide ülemisse osasse avaused ja sealtkaudu valati vundamendi ja kinnijäetud plaadiosade vahele kütusevedelik ning süüdati. Plaatidesse augu tegemine nõuab eritööriistu, eelteadmist plaatide taga olevast konstruktsioonist, ja hoolikat kavandamist – seega on erioperatsiooni või staabi planeerimisvõimekuse tase. 

Süütamisest teatati Häirekeskusele kell 4:31 varahommikul, päike tõuseb kell 6:19. Seega ka kellaaeg on valitud, mil eriüksused tavaliselt viivad läbi ootamatuid operatsioone.

Välistused:


1)Pagulased ise ei saanud süüdata, sest nad oleks jäänud valvekaamerate pildile või nende puudumine avastatud.

2)Süüdata ei saanud ka emotsionaalsed rassistid või häiritud kohalikud elanikud, sest pagulaskeskus paikneb lokaalselt maanurgas ja ka ümbruskonna valvekaamerate läbivaatamine ei andnud tulemusi. Ka oleks need visanud aknasse kivi, süütepudeli, uksele värvipoti, tallanud lilli, või kõige tõenäolisemalt lihtsalt asukaid solvanud. Emotsioonidest ajendatud isikud ei ole võimelised sellisel professionaalsel tasemel operatsiooni läbi viima.
Asukoht

3)Välisriigi erioperatsioon on välistatud, kuna mitte ükski välisriik ei rutanud sündmust oma huvides ära kasutama (ainult Prantsusmaa suursaadik Eestis tegi avalduse oma „häiritusest“). Eriüksused niisama, lihtsalt lõbuks, selliseid „operatsioone“ ei tee.

4)Võimaliku „kõrgeltharitud“ ja metoodiliselt tegutsevate rassisti või rassistliku organisatsiooni versiooni välistab asjaolu, et nii metoodiliselt eriväljaõppe tasemel tegutsejad oleksid mõistnud ka oma teo tagajärgi (kasutatud metoodika KÕLBMATUST nendele sobiva eesmärgi saavutamiseks). Tulekindla kivipaneelidest välisseina taga mittesüttivast materjalist vooderdisele tule tegemine ei ohusta mitte kedagi füüsiliselt. Ka pole võimalik hellitada lootust, et tuhandete kilomeetrite tagant sõjakolletest Eestisse hulljulge reisi ette võtnud pagulasi oleks võimalik provokatiivse lõkke tegemisega hirmutada.

Kust siis süütajat ikkagi otsida? 


Eesti Ekspress 07.10.2015: Praegu tegelevad Rakvere politseinikud ennetus-menetlustalituse juhi Joel Alla eestvedamisel info kogumisega (nii otse kui varjatult) ning töötlemisega. Muuhulgas on uurijad kogunud kokku ümbruskonna valvekaamerate failid ja vaadanud neid salvestusi üksikasjalikult, et tuvastada, kes liikusid tol saatuslikul ööl. Aga ka enne seda ööd, sest kurjategija võis varem sündmuskohaga tutvuda. Nimelt jälgisid keskuse ümbrust valvekaamerad. Kuid mitte toda otsaseina, mis põlema pandi.

Rakvere politseinikud on lasknud teha ekspertiise ja vaadanud ümbruskonna kaamerate videofaile, nii et silm sinine, aga pole süütajat veel tabanud.

Seega süütaja pidi teadma nii pagulaskeskuse valvekaamerate asukohti ja valvamise operatiivset korraldust, kuid ka ümbruskonna valvekaamerate asukohti. Vastav info on kättesaadav ainult sisejulgeoleku asutuste piiratud arvule töötajatele. Lisaks, nagu juba kirjeldatud, valdas süütaja võimekust erioperatsioonide professionaalseks kavandamiseks ja läbiviimiseks.

Oli teadlik konkreetse hoone ehitusarhitektuurist (et terrassiitplaatide taga on kütusevedelikku kinnihoidev tühimik ja vedelikku põlenguks säilitav klaasvatt ning mitte ei ole tegemist süütamise kontekstis sobimatute soojustamata betooni või penoplastiga).

Seega, kogu avalikest allikatest kättesaadav info viitab, et suure tõenäosusega süütajat (või süütamiseks vajaliku info andjat) tuleks otsida sisejulgeolekuasutustest. Millised isikud tegid vaadeldaval ajavahemikul hoone turvasüsteemide kohta ja ümbruskonna valvekaamerate kohta andmebaasidest päringuid? Millistel tolle aja teenistujatel võis olla motiiv antud operatsioonis osalemiseks?

Kindlasti on avalikkusele vajalik anda ka piisav ülevaade toimunud uurimise jooksul tegelikult toimetatust ning käivitada uurimine uuesti. Kuriteosündmusest on möödunud 4 aastat, see ei ole täna veel menetluseks aegunud. Lõpetamine on olnud ennatlik, enneaegne, isegi kuritegelik. Uurimine lõpetati oktoobris 2016. Kuu aega hiljem kukkus Taavi Rõivase valitsus ja siseministri kohalt pidi lahkuma Hanno Pevkur, keda tuli asendama sots Andres Anvelt.

Kui on vormistatud "kriminaaluurimise lõpetamise määrus", siis õiguspraktika kohaselt on selle uurimise taaskäivitamine väga-väga komplitseeritud. Menetluse lõpetamise vormistamine seega teenis süütajate huve jääda anonüümseks.

Kas uus siseminister Mart Helme reageerib ja käsib selgitada asjas tõe?


Mõned kommentaarid, kuidas reageeris tollal sündmusele rahvas:



... ja kuidas reageerisid tollased valitsusametnikud:



Peaminister Rõivas sõitis viivitamatult sündmuskohale.
President THI nõudis kõigilt parlamendierakondadelt hukkamõistu.












Niisuguste sõnavõttude peale oleks küll oodanud, et siseminister Hanno Pevkur ja PPA peadirektor Elmar Vaher suunavad asja KAPO uurimisalluvusse kõige kõrgema prioriteediga. Kuid võta näpust, suunati lokaalse prefektuuri menetlus- ja ennetustalituse (politseipoolne uurimisjuht teadmata) uurimisasjaks !
Uurimise üldjuht vanemprokurör Sirje Merilo.


reede, 23. august 2019

Riik kühveldab II sambaga vanaduspensionäride raha eripensionäride kontodele

Vaatame PPA peadirektori Elmar Vaheri näitel, kuidas see käib.
Elmar Vaher, foto Scanpix
  • Elmar Vaher on sündinud 1.05.1975, nimetati PPA peadirektoriks 2.05.2013. Tema teine ametiaeg algas 2.05.2018 ja on tähtajaga 1.05.2023.
  • 2019 aastal on tema põhipalk 6000 eurot, millest maksab igakuiselt 120 eurot (s.t 2%) II sambasse ja I samba ehk tänaste vanaduspensionäride arvelt tõstetakse talle igakuiselt 240 eurot (s.t 4%) lisaks.
Elmar Vaher vajab ikka tõesti tänaste vanaduspensionäride raha?

Juhul kui Elmar Vaher suudab oma teise ametiaja lõpuni ametis püsida, siis määratakse talle (48 aasta vanuselt[i] ja sõltumata sellest, kas ta samas või mõnes muus ametis jätkab töötamist) eripension 75% tema ametipalgast. Mis tänase seisuga oleks 4500 eurot kuus.

Juhul kui Elmar Vaheril ei õnnestu tähtaja lõpuni peadirektori ametis püsida, siis hakkab ta saama ikka sedasama eripensioni. Kuid siis mitte 48 aasta vanuselt ja staaži arvestamata, vaid 55 aasta vanuselt ja staažinõudega 30 aastat.

Elmar Vaheri enda eripensioni suurust I sambast ehk tänastelt vanaduspensionäridelt temale äratõstetav raha ei mõjuta. Seega puudub põhjus ka karta, et II samba vabatahtlikuks muutmisel mees sealt lahkuma kipuks.

Kas tõesti Elmar Vaher vajab peatsele 4500-le eurosele eripensionile (loe: eripensionite korruptsioonile) kuus lisaraha II samba näol, et seda tänaste vanaduspensionäride arvelt I sambast ära võtta ja tema kontole kanda?

II samba ja eripensionite juurutamise juht
Eiki Nestor on ka ise eripensionär.
Foto Sander Ilvest, Eesti Meedia/Scanpix
Ka siis, kui riik mõtleb mitte vanaduspensionäridele vaid hoopis majanduse ergutamisele, oleks need 240 eurot õigem kanda mitte Elmar Vaheri vaid tänaste vanaduspensionäride kontodele. Kuna vanaduspensionäridel on rahaga kitsas ja see läheb kohe tarbimisse, siis raha ergutaks riigi majandust. II samba kaudu selle raha ärasuunamine hoopis Elmar Vaherile on raiskamine.



[i] PPVS § 101 (4) Politsei- ja Piirivalveameti peadirektori ja Kaitsepolitseiameti peadirektori väljateenitud aastate pensioni suurus, sõltumata tema üldisest politseiteenistuse staažist ja vanusest, on alates tema teise täieliku ametiaja lõppemise päevast 75 protsenti tema pensioni arvutamise ametipalgast.

reede, 26. juuli 2019

MKM e-hääletuse töörühma analüüs ptk 4. E-hääle liikumine hääletajast serverini

Valijarakendusse sisenemisel kuvatakse isiku dokumendid. Tekitatakse võimalus näha reaalajas hääle salvestamise serveri tegevusi (logi baasandmeid), rakendatakse individuaalse hääletuse kontrollkood. Suurendamaks e-hääletaja privaatsust ja tema valimissaladuse kaitstust, lubades e-hääletamine ka mobiiliga. Seadustatakse regulatsioonid ja tööplaanid, mis tagavad e-hääletajale võrreldava privaatsuse seaduses sätestatud hääletuskabiini regulatsiooniga paberhääletajale.

(HVS oktoobrikuu kaastöö MKM e-hääletuse töörühmale, saadetud 26.07.2019).

Sisukord:


1. Puudub selgus, kuhu valijarakendus teda suunas
    1.1. Lahendus. Valijarakendusse kuvatakse sisenemisel isiku dokumendid
    1.2. Lahendus. Valijarakenduse vajalikkus muutub küsitavaks
2. Puudub võimalus oma hääle jõudmist lugemisele kontrollida
    2.1. Lahendus. E-hääle salvestamisele reaalajas kontrollivõimaluse loomine
    2.2. Lahendus. Lugemisele saabunud e-häälte hulgast oma hääle leidmise võimalus
3. Puudub hääletuskabiini privaatsus
    3.1. Lahendus. Põhiseaduse riive kõrvaldamine rakendusseaduste kaasajastamisega
4. Puudub võimalus mobiiliga hääletada
    4.1. Lahendus. Mobiilide reserveerimine häälekontrolliks tühistatakse
    4.2. Lahendus. Luuakse mobiilne valijarakendus

E-HÄÄLETAJA TÄNASED PROBLEEMID JA VÕIMALIKUD LAHENDUSED


1. PUUDUB SELGUS, KUHU VALIJARAKENDUS TEDA SUUNAS

E-hääletajal pole võimalik veenduda, et tema arvuti pole „ära kaaperdatud“ ega suuna teda piraatide valduses olevasse serverisse. Täna puudub hääletajal võimalus sellist pettust avastada.

  • Lahendus. Valijarakendusse kuvatakse sisenemisel isiku dokumendid


    Et e-hääletajale anda kindlus ühendusest õige serveriga, pannakse valijarakendus e-hääletaja sisenemisel tegema KMA x-tee päringut „Isiku dokumendid“ siseneja enda isikukoodiga.

    E-hääletajale kuvatakse päringuvastus ja ekraanil on kättesaadav ka nupp kirjaga „Kõik õige. Lähen edasi e-hääletama“. Vajutades nuppu, alustatakse hääletusprotseduuriga.

  • Lahendus. Valijarakenduse vajalikkus muutub küsitavaks


    Peale e-hääletajale kindluse loomist ühendusest õige serveriga (eelmine alapunkt) ja reaalajas ning end-to-end verifiability kontrollivõimaluste loomist (punkt 2), muutub küsitavaks valijarakenduse vajalikkus. Võiks üle minna internetipõhise veebilehe kasutamisele nagu kasutavad pangad? Valijarakendus tähendab "millegi" oma arvutisse allalaadimist ja installeerimist, mis on vähemasti kohmakas kui mitte kahtlane. Valijarakenduse juhenddokumendist "IVXV valijarakendus" (21.04.2019, 41 lk) ei selgu, kas valijarakendus täidab veel mingit funktsiooni (näiteks skannib kasutaja arvutit) või loob ainult VPN-i (mida saaks ka lihtsamalt tekitada).

2. PUUDUB VÕIMALUS OMA HÄÄLE JÕUDMIST LUGEMISELE KONTROLLIDA


E-hääletajal on praegu olemas võimalus kontrollida esmast salvestamist ehk „mobiilse kontrolli võimalus“. See tähendab, et arvutis tehtud e-hääletamise järgselt saab ta kuvarilt mobiiliga skaneerida QR-koodi ja selle koodiga teha päring 30 minuti jooksul Kogujasse oma salvestatud valiku teadasaamiseks. Mis võimaldab kontrollida, kas süsteem salvestamisega Kogujas suudab talle kuvada tema valikut.

Siiski ei saa e-hääletaja kontrollida, kust süsteem talle kuvatava valiku võtab. Ja ei saa kontrollida, kas tema valik läbib edasi ka häälte töötlemise ja lugemise etapid korrektselt.

  • Lahendus. E-hääle salvestamisele reaalajas kontrollivõimaluse loomine


    Valijarakendus annab e-hääletajale teada valimise õnnestumisest või ebaõnnestumisest. Siiski võib valijat huvitada näha ka reaalajas „sõltumatust“ allikast, et tema valiku salvestamine Kogujas õnnestub.

    Sellise võimaluse loomiseks replikeeritakse VVK avalikule veebilehele Koguja logi baasandmed (kellaaeg, IP, hääle salvestamise õnnestumine). Neid peaks saama vaadata ka tagantjärele, mis eeldab kerimisriba või faili salvestamise võimalust.

  • Lahendus. Lugemisele saabunud e-häälte hulgast oma hääle leidmise võimalus


    Hääletamissüsteemides soovitatakse kasutada end-to-end verifyability meetodit, vt ka OSCE/ODIHR 2011 raport [i] Eesti kohta.

    Sellisel juhul antakse e-hääletajale hääle ärasaatmisel teada tema häälele lisatav unikaalne kontrollkood (näiteks lisada valijarakendusse ka nupp koodi salvestamiseks tekstifailina oma arvutisse). Kontrollkood on individuaalne, see on valimissaladus, ja seda süsteem ega administraator ei saa teada.

    Individuaalse hääletuse kontrollkood“ oli kirjeldatud analüüsi ptk 3 punkt 7 (a).

3.PUUDUB HÄÄLETUSKABIINI PRIVAATSUS


E-hääletada saab praegu ainult arvutitest, kuid mitte igaühel ei ole privaatse hääletusvõimalusega arvutit. Privaatse e-hääletusvõimaluse parandamiseks luuakse hääletusvõimalus ka mobiilile (vt punkt 4) ja sätestatakse e-hääletuse privaatsusnõuded rakendusseadustes.

Seadus ja jõustruktuurid on vaadanud „läbi sõrmede“ privaatsusnõuete kohaldamisele lähisuhtes isikute vahel või muu eksistentsiaalse suhtega seotud isikute vahel – riik ei ole seda püüdnud juhtida.

  • Lahendus. Põhiseaduse riive kõrvaldamine rakendusseaduste kaasajastamisega


    Kui pabersedeliga hääletamisel kehtib nõue privaatse hääletuskabiini kasutamiseks, siis e-hääletamisel sama nõuet pole. Põhiseaduse § 60 ja § 156 nõuded hääletuse salajasele iseloomule on kaitstud rakendusseadustega küll paberhääletuse korral, kuid ei ole kaitstud e-hääletuse korral.

    RKVS § 35. Hääletamiskabiin: „(1) Hääletamiskabiin peab võimaldama salajast hääletamist. (2) Hääletamiskabiinis on laud ja kirjutusvahend. Hääletamiskabiini seinal on selle valimisringkonna kandidaatide koondnimekiri, välja arvatud kabiinis, mis on ette nähtud väljaspool elukohajärgset valimisjaoskonda hääletavatele valijatele.“

    Kreeka õigusjumalanna Themis. Tundmatu autor
    Rakendusseadustes sätestatakse ja avalikkusele kommunikeeritakse, kuidas e-hääletaja ja tema lähikondsed hääletussaladuse kaitse tagavad, nähakse ette (toimivad) sanktsioonid ja jõustruktuuride tegevusplaan rikkumiste minimeerimiseks. Asutustele ja ettevõtetele, millised kasutavad töötajate salajast jälgimist (kaamerad, arvutitöö jälgimine võrgu kaudu), sätestatakse seaduses reeglid jälgimisest teavitamiseks või „jälgimisrahuks“ valimiste perioodil.

    Mõned on soovitanud ka kehtestada tehnilisi piiranguid, et ühe seadme kaudu ei saaks e-hääletada üle ühe korra.

4. PUUDUB VÕIMALUS MOBIILIGA HÄÄLETADA


Raport „Digital 2018 Estonia (January 2018)“
Raporti „Digital 2018 Estonia (January 2018)“ [ii] andmetel on Eestis 1,84 miljonit kasutuses mobiiliühendust, milledest 79% on 3G või 4G. Kuivõrd broadbandi (3G ja 4G) saavad kasutada ainult nutitelefonid, siis võime teha järelduse – Eestis on aktiivses kasutuses 1,45 miljonit andmeside funktsionaalsusega SIM-kaarti.

Sama raporti andmetel on Eestis 720 000 igakuiselt aktiivset Facebooki kasutajat. Nendest 83% kasutab FB-d nutitelefoni kaudu.

Arvutite arvu kohta Eestis statistikat leida ei õnnestunud.

  • Lahendus. Mobiilide reserveerimine häälekontrolliks tühistatakse


    Individuaalse hääletuse kontrollkoodi rakendamisel kaob ära vajadus Kogujast oma e-häält mobiilselt kontrollida. Mobiiltelefonid, millede funktsioon seni oli reserveeritud ja neile valijarakendust ei loodud, nüüd vabanevad kasutamiseks e-hääletamise seadmena.

  • Lahendus. Luuakse mobiilne valijarakendus


    E-hääletamise võimaluse loomine mobiiliga oluliselt parandab võimalusi privaatseks hääletamiseks. Kui arvutid on sageli kas tööandja ruumis või pere ühiskasutuses ruumis, siis mobiil on täpselt seal kus inimene ja ta võib e-hääletamise läbi viia kasvõi privaatses tualettruumis, autos, pargipingil ...

    On aeg luua valijarakendus Androidile ja iOS-le, tehkem siis seda.


[i] OSCE/ODIHR 2011 raport e-hääletusest Eestis https://www.osce.org/et/odihr/81813?download=true

reede, 19. juuli 2019

MKM e-hääletuse töörühma analüüs ptk 3. Laekunud e-häälte töötlemine ja lugemine

E-häälte töötlus ja lugemine viiakse minimalistlikule, turvalisele, läbipaistvale ja kontrollitavale metoodikale. Lansseeritakse hääle liikumise individuaalne kontroll, e-häälte isikuandmeteta fail tehakse enne kokkulugemist avalikuks, rakendatakse e-häälte töötlemise protokollimine.

See on HVS septembrikuu kaastöö MKM e-hääletuse töörühmale, saadetud 19.07.2019. Kuna häälte töötlemise ja lugemise protsess korraldatakse täielikult ümber, siis on protsessikirjeldus avaldatud uue ja mitte muudatuste kirjeldusena.


Sisukord

ÜLDOSA
  1. E-hääletuse ja paberhääletuse toimumise ajad vajavad ühildamist
  2. E-häälte salvestamise struktuur ja formaat Kogujas
TOIMINGUD UUE KONTSEPTSIOONI ALUSEL
  1. E-hääletuse tulemuste üleandmine rahvusarhiivile
  2. E-häälte terviklikkuse kontroll ja Koguja logidega võrdlemine
  3. Arvestamisele mittekuuluvate häälte eemaldamine
  4. Digiallkirjade eemaldamine e-häältelt
  5. Krüpteeritud e-häälte järjendite ümbersorteerimine
  6. E-häälte järjendite dekrüpteerimine
  7. E-häälte üleslaadimine VVK veebi avalikuks kasutamiseks
  8. E-häälte avalik töötlemine ja tulemuste avaldamine
  9. E-häälte töötlemise õigsuse järelkontroll
  10. E-hääletuse andmestiku hävitamine Kogujas
SOOVITUSED SEADUSTESSE

ÜLDOSA


1. E-hääletuse ja paberhääletuse toimumise ajad vajavad ühildamist


Praegu toimub paberhääletamine ja e-hääletamine erinevatel päevadel või erinevatel kellaaegadel. Mida on põhjendatud argumendiga, et kui e-hääletamine lõpeb eelhääletamisest 2 tundi varem ega ei toimu valimispäeval, siis saab ebaseadusliku sunni all olnud e-hääletaja minna veel valimisjaoskonda ja muuta oma valiku ära.

Paraku on tegemist kõlbmatu ja otsitud argumendiga, sest praktikast ei ole teada ühtegi juhtumit, kus selline kahetunnine hääletamisaegade vahe oleks ka reaalses elus toiminud. Kui ikkagi e-hääletaja on nii tugeva surve all, siis on tegemist kestva ahistamisega ja ahistaja mõju ei lõpe kahe tunniga. Psühholoogilises vaates on hääletaja alistunud ja eksistentsiaalsetes huvides nõustunud taluma oma „peremehe“ tahet enda tahtest ülemana. Niisugused ahistamisolukorrad on sügavalt kuritegelikud ja kestvad, ning neid olukordi saab lõpetada vaidõiguskaitseorganite sekkumine. Mistõttu ei ole põhjendused e-hääletuse ja paberhääletuse korraldamiseks eri kellaaegadel toimivad.

Oht, et e-hääletaja hääletamisvabadust rikutakse, tuleb maandada hääletamisvabaduse rikkumisele proportsionaalsete sanktsioonide kehtestamisega, õigusregulatsioonide toimivuse monitoorimisega, ja jõustruktuuride suunamisega hääletusvabaduse kaitse ülesandeid täitma.

E-hääletuse ja paberhääletuse ajalised nihked seavad e-hääletuse lõppemise ja e-häälte töötlemise alguse nihkesse, mis loob täiendava riskiteguri ja annab (siinkohal mittevajalikku) alust diskussioonile valimiste ühetaolisuse põhimõtte tähendusest. E-hääletus ja paberhääletus tuleb korraldada paralleelselt, alustades ja lõpetades ühtedel aegadel. Tulemusi hakata mõlemal lugema koheselt peale hääletuse lõppemist.

2. E-häälte salvestamise struktuur ja formaat Kogujas


Praegu seadus e-hääletuses kogutavate andmete struktuuri ja formaate ei reguleeri. Krüpteeritud ja allkirjastatud e-hääle koosseis on reguleeritud kõige madalamal tasemel - otsusega, mis pole õigusakt. Näiteks VVKo 08.10.2018 otsus nr 57 punkt 2 (RT III, 10.10.2018, 1).[i]

Seega on e-hääletusel kogutavate isikuandmete konkreetne struktuur ja formaat ebaselge ja formaliseerimata, sisuliselt arvutimehe otsustada.

E-hääletuse turvalisusele on kriitiliselt oluline, et mitte ühtegi üleliigset tähemärki või vales formaadis tähemärki ei sisalduks e-hääles. Mistõttu on e-häälte salvestamise struktuuri ja formaadi reguleerimine kõige kõrgemal ehk seaduse tasandil vältimatu.

E-hääle krüpteeringu sisse peaks mahtuma:
  • Valitud kandidaadi number.
  • Individuaalse hääletuse kontrollkood (vt toimingute osa punkt 7 alapunkt a).
  • Hääletaja elukohajärgse valimisjaoskonna number (vajalik hääletusstatistikaks).
Väljaspool e-hääle krüpteeringut peaks asuma (ei tule kaasa häälte lugemise avalikku faili):
  • Ajatempel (automaatne lisand digiallkirjastamisel, võimaldab võrdlust logidega).
  • Hääletaja isikukood (automaatne lisand digiallkirjastamisel, võimaldab tuvastada eemaldamisele kuuluvad topelthääletamised ja tühistamisele minevad hääled).
  • Mobiil-ID või Smart-ID allkiri (tõendab e-hääle autentsust ja terviklikkust).

Valimiste üldandmed (mis senise korralduse järgi on iga hääle juures krüpteeringus määratlemata struktuuriga identifikaatorina) pannakse terve faili metaandmestikku ja puudub vajadus nende dubleerimist jätkata iga üksiku hääle metaandmetena).

Juhul, kui valimistega samal ajal esitatakse ka mõni rahvahääletuse küsimus, siis küsimus(te)le vastamine tuleks reguleerida eraldi rahvahääletuse seaduse raames (arvestades eeltoodud põhimõtteid).

Vastused rahvahääletuse küsimustele allkirjastada, salvestada ja töödelda e-valimiste andmefailist eraldi faili (praegu see põhimõte ei toimi, mis on jällegi viga ja turvaoht).

Kuid nii e-hääletuse kui rahvahääletuse küsimus(t)ele vastamise võib e-hääletaja vaates koondada ühe ja sama valijarakenduse sisse - kui nii on e-hääletajale mugavam.

TOIMINGUD UUE KONTSEPTSIOONI ALUSEL


1. E-hääletuse tulemuste üleandmine rahvusarhiivile


Praegu e-hääletuse tulemusi pikaajaliselt ei säilitata ega anta üle rahvusarhiivile, kuid säilitamine on vajalik (vt analüüsi ptk 2). E-häälte ja logide (töötlemata) koopiale tuleks esimese toiminguna peale e-hääletamise lõppemist ja enne e-häälte töötlemisele asumist arvestada kontrollsummad, protokollida ning sellisel originaalkujul rahvusarhiivile üle anda.

Juhul kui rahvusarhiiv ei ole valmis e-hääletamise andmestiku hoiustamist, kaaluda alternatiivina säilitamist Eesti Panga hoidlas.

2. E-häälte terviklikkuse kontroll ja Koguja logidega võrdlemine


E-hääletuse toimumise ajal replikeeriti e-hääletuse ja ja e-hääle mobiilse kontrollimise logide baasandmed VVK veebilehe kaudu avalikkusele (tuleb kirjeldamisele ptk 4). Nüüd kontrollitakse Kogujasse salvestatud e-häälte digiallkirjade kehtivust, e-häälte arvulist vastavust, digiallkirjastamise kellaaegade terviklikkust ja kooskõla logide andmestikuga.

Erisused selgitatakse, tulemused protokollitakse.

3. Arvestamisele mittekuuluvate häälte eemaldamine


Valijate nimekirjade pidamine on järgmisel valimistel plaanitud elektroonilisena. Misläbi on reaalajas kättesaadavad andmestikud:
  • Oma e-häält pabersedeliga muutnud isikute kohta.
  • Seaduse alusel tühistamisele minevate häälte kohta (RKVS § 487 lg 5 jms).
  • Mitu korda e-hääletanud isikute kohta.

E-hääled, mis eemaldamisele kuuluvad, nüüd eemaldatakse. Protsess protokollitakse.

Organisatsiooniliselt võiks elektrooniliste valimisnimekirjade käitlemine ja analüüs selle sisseseadmisel alates 2021 aastast minna e-hääletuse meeskonna täiendavaks ülesandeks, eraldades selleks ühtlasi täiendavad eelarvelised vahendid.

4. Digiallkirjade eemaldamine e-häältelt


Digiallkirjade eemaldamiseks e-häälte krüpteeringutelt tuleb ilmselt töösse lasta skript, mille kood vaadeldavuse tagamiseks peaks olema avalik ja käitamine vaadeldav. Kaaluda logimise vajalikkust. Ilmselt on selline skript RIA-l ka praegu olemas ... Mida kasutada - see ei ole enam analüüsietapi vaid (valitsusprogrammis) järgmisesse aastasse plaanitud disainietapi ülesanne.

5. Krüpteeritud e-häälte järjendite ümbersorteerimine


ID-kaardi, Mobiil-ID ja Smart-ID allkirjadest (seega isikuandmetest ja ajatemplitest) puhastatud e-häälte koosseisu on jäänud krüpteeritud järjendid ainult nende andmetega, milliste sisalduvus digiallkirjades tuleneb seadusest. Nüüd on vaja järjendid „hääletamissaladuse kaitseks“ ümber sorteerida, et poleks võimalik valikuid tagasi isikuandmetega seostada.

Ümbersorteerimine toimub genereeritud juhuarvudele [ii] vastavasse järjekorda.[iii] Sorteerimise skripti kood on avalik ja toiming viiakse läbi vaatlejate ja komisjoni juuresolekul andmestikku ekraanil kuvamata.

Ümbersorteerimise toimumine protokollitakse.

Kogu eelnev toimetamine on mõistlik ära teha Kogujas, et üheaegselt isikuandmeid ja seoseid hääletamissaladusega sisaldav andmestik ei satuks autoriseerimata kasutusse (iga andmestiku täiendavasse masinasse või andmekandjale transportimine mitmekordistab hääletussaladuse lekke riske).

6. E-häälte järjendite dekrüpteerimine


Hääletussaladusele suurema tehnilise turvalisuse tagamiseks juhuarvudega ümbersorteeritud krüpteeritud hääled viiakse nüüd Kogujast välja ja dekrüpteerimine toimetatakse eraldi arvutis, millel puudub internetiühendus.

Koguja pannakse seisma ja „pitseeritakse“.

Dekrüpteerimise toimetamine eraldi arvutis välistab olukorra, kus potentsiaalne ründaja saaks ühest mäluruumist kätte nii isikuandmed kui neile vastavad dekrüpteeritud hääled, ja on täiendavaks ettevaatusabinõuks hääletussaladuse kaitsel.

Krüpteeritud järjendid dekrüpteeritakse. Ei ole teada vajadust kehtivasse dekrüpteerimise korraldusse muutusi teha, võiks korraldusega selles osas samamoodi jätkata (mitme salajase võtme samaaegse kasutamise nõue).

Peale häälte dekrüpteerimist sorteeritakse nüüd tekstiformaadis faili jõudnud järjendid veelkord ümber uutele juhuarvudele vastavasse järjestusse.

Dekrüpteeritud fail digiallkirjastatakse.

7. E-häälte üleslaadimine VVK veebi avalikuks kasutamiseks


E-häälte digitaalselt allkirjastatud fail laetakse üles VVK avalikule veebilehele formaadis, mis on keskmisele arvutikasutajale tabelarvutusprogrammis kergelt avatav.

  • Veebi avaliku üleslaadimisega on võimalik lahendada ka e-hääle individuaalse kontrollitavuse probleem. Kui seadusandja nõustub e-häälele igakordselt unikaalse ja ainult hääletajale endale teada koodi lisamisega, siis tekib e-hääletajal võimalus oma hääl hiljem avalikust häältefailist üles leida ja veenduda, et tema hääl on kohal ja õigesti kokku loetud. Kuna peale hääletaja enda mitte keegi koodi ei tea, siis sellise kontrollitavuse loomine ei ohusta hääletamissaladust.[iv] Kontrolli mugavuse huvides võib muidugi VVK veebilehele tekitada ka eraldi kontrollkoodi päringu akna.

  • OSCE/ODIHR on juba 2011 aasta raportis [v] soovitanud Eestil kontrollitavust rakendada. Eesti on andnud OSCE-le anekdootlikke selgitusi mitterakendamise põhjustest (raporti lk 12): „Eesti internetihääletuse süsteem selliseid vahendeid ei kasuta. OSCE/ODIHR EAM-le antud seletuse järgi on selle põhjuseks mure, et kontrollitavuse võimaldamine võiks valijaid segadusse ajada.

Dekrüpteerimiseks kasutatud arvuti ja andmete transportimiseks kasutatud vahendite mäluruumid kustutatakse [vi] või mälud hävitatakse.

Protsess protokollitakse.

8. E-häälte avalik töötlemine ja tulemuste avaldamine


Häälte lugemine toimub edasi tingimustes, kus opereeritakse VVK avalikus veebis asuva andmestikuga. Seega on pettusevõimalused välistatud ja igaüks saab ise sedasama täiendavalt üle lugeda, laadides VVK lehelt vastava andmefaili alla.

Vaatemängulisuse huvides oleks siiski mõistlik VVK lugemine toimetada visuaalselt hästi jälgitavas tabelarvutusprogrammis PIVOT tabeli abil.

Valimistulemused avaldatakse.

9. E-häälte töötlemise õigsuse järelkontroll


Nii nagu pabersedelid loetakse järgmisel päeval uuesti üle ringkonnakomisjonis, nii ka e-hääled töödeldakse järgmisel päeval uuesti ja saadud tulemusi võrreldakse eelmisel päeval saadud tulemustega.

Kui tehniliselt on mõnes andmetöötlusfaasis mõistlik, siis kasutatakse järelkontrolli töötlemisel ristmetoodikaid võrreldes esmasel töötlemisel kasutatuga. Näiteks on juhunumbrite genereerimiseks ja sorteerimiseks võimalik kasutada teistsugust algoritmi, skripti, jne.

10. E-hääletuse andmestiku hävitamine Kogujas


Peale e-häälte järelkontrolli ja peale võimalike õigusvaidluste ning õigusvaidluste tähtaja lõppu Koguja mäluruumid kustutatakse või mälud hävitatakse.

E-hääletamise logisid võidakse siiski jätkuvalt säilitada lisaks rahvusarhiivile ka RIA-s või VVK-s. Logide sellise säilitamise ja kasutamise vajadus ja korraldus otsustada disainietapis.

Mäluruumide kustutamine ja logide kasutusse andmine protokollitakse.

SOOVITUSED SEADUSTESSE


Loobuda nii seaduste seletuskirjadest kui kohtuotsustest õhkuvast ebausust, et:
  • Põhiseaduslikku (aktiivset) valimisvabadust on võimalik tagada õigussüsteemi toimima panemise asemel e-hääletamise ja paberhääletamise aegade seadmisega nihkesse.
  • Hääletussaladuse kaitse (ebaproportsionaalne ja kunstlikel argumentidel) esiletõstmine on mugav alus, millele viidates saab põhjendada kõikjal ja kõiksugu organisatsiooniliste, seadusandlike ja tehniliste väärnähtuste jätkamist - e-hääletuse mittekorraldamist läbipaistval ja kontrollitaval viisil.

Tulenevalt üldosa kirjeldustest:
  • E-hääletuse ja paberhääletuse ajad ühtlustada.
  • Võimaldada lisaks ID-kaardi ja Mobiil-ID ka Smart-ID-ga e-hääletamine.
  • Reguleerida seaduse tasemel e-hääletamise andmestiku struktuur ja koosseis.
  • E-hääletajale tekitada võimalus anda ka „rikutud sedelit“.

Tulenevalt toimingute kirjeldustest:
  • Vaadata üle kirjeldatud toimingutele nõutavad regulatsioonid seadustes ja kooskõlastada sisupoole ning juristide vahel vajalikud muudatused.
  • Sätestada kõigi olulisemate e-häälte töötlemistoimingute protokollimine. [vii]
Pilt: Äripäev 19.07.2019



[i] Hääletamissedeli ja elektroonilise hääle vormi kehtestamine Riigikogu valimisteks (2. Elektrooniline hääl koosneb järgmistest komponentidest: 1) valimiste identifikaator; 2) valija tahteavaldus.)https://www.riigiteataja.ee/akt/310102018001
[ii] Näiteks võib kasutada Pythoni koodi, näide https://machinelearningmastery.com/how-to-generate-random-numbers-in-python/
[iii] Näiteks võib kasutada Pythoni koodi, näide https://www.afternerd.com/blog/python-sort-list/#sort-strings
[v] OSCE/ODIHR 2011 aasta raport https://www.osce.org/et/odihr/81813?download=true
[vii] Ka OSCE/ODIHR 2011 aasta raport sedastab, et isegi videole salvestamine ei asenda protokollimist: „Vastavalt VVK juhistele filmiti kõiki protseduure. Kuid on küsitav, kas kõiki tegevusi saab ühe kaameraga dokumenteerida. Igal juhul ei saa selline videosalvestus asendada tavapärast paberkandjal dokumenteerimist.“. Lk 14, https://www.osce.org/et/odihr/81813?download=true

teisipäev, 16. juuli 2019

MKM e-hääletuse töörühma analüüs ptk 2. Garantiide andmine e-hääletajale

Minu analüüs MKM e-hääletuse töörühma 19.08.2019 koosolekule. Tuleks hakata e-hääli säilitama 10 aastat. Seadustada võimalused nende ülelugemiseks rahvusarhiivis. Isikuandmete kaitse seadustada toimival viisil. Seoses üleminekuga valijate nimekirjade elektroonilisele käitlemisele sätestada seadustes vastavad muudatused. Seega käesolevas peatükis räägime garantiide andmisest e-hääletajale ehk protsessidest, millised pole seadustesse toimival viisil veel jõudnud.

1) E-häälte hävitamine 30 päeva jooksul peale valimisi [i] üks peamistest seadusandlusesse kirjutatud [ii] e-hääletuse süsteemi nõrkustest.


See muudab e-hääle liikumise hilisema rekonstrueerimise võimatuks:
  • Välistades potentsiaalse e-häältega manipuleerija heidutuse valimispettuse jätkuva avastatavuse näol;
  • Tekitades e-hääletajate hulgas ebakindlust. Kuigi seadus annab õiguse e-hääletamise tulemust veel vaidlustada, siis hääle liikumise läbipaistmatuse ja valimistulemuste töötlemise süsteemi keerukuse tõttu on tulemustes kahtlejal kehtivate reeglite tingimustes peaaegu võimatu hankida lahendi saamiseks sobivaid tõendeid.
There is nothing fraudsters love more than anonymity. They love to carry out their schemes with nobody ever having a clue of what they are doing (McKenna 2017).

2) Kuidas sai e-häälte liigkiire hävitamine valimisseadustesse tekkida?


Seaduses (2012) kopeeriti paberhääletuse sedelite hävitamise metoodika mehhaaniliselt e-häälte käitlemisele [iii].

Eestis on RK (paber)valimistel ligi tuhatkond jaoskonnakomisjoni, kes sorteerivad ja loevad pabersedelid vaatlejate juuresolekul kahekordselt üle. Seejärel saadavad nad sedelite kastid ringkonnakomisjonidesse - kus komisjonid teises koosseisus, teise metoodikaga ja teiste vaatlejate juuresolekul loevad paberhääled veelkord üle. Metoodika tagab iga eksimuse ja pettusekatse avastamise.

RK2015 toimus ringkonnas nr 2 mitmete ülelugemistega Ladõnskaja ja Sesteri ülelugemiste „duell“ [iv].

RK2019 avastati Narvas kahe kandidaadi suhtes valimispettus [v].

Seega pabersedelid liiguvad lõpuks maakonnakeskustes asuvatesse ringkonnakomisjonidesse. Sedelikastid on ruumimahukad ja paberhääletuse süsteem ise usaldusväärne. Mistõttu ei ole paberhääletuse korral otstarbekas sedeleid hiljem rahvusarhiivi koondada ja säilitada. Valimiste aususe hilisema (kaudse) kontrollivõimaluse loomise rolli täidab valijate nimekirjade üleandmine rahvusarhiivi alaliseks säilitamiseks.

Valijate nimekirjade rahvusarhiivi saatmise eesmärk oleks olnud vaja lahti mõtestada, enne kui pabersedelite hävitamise metoodika kopeeriti e-häälte hävitamisele [vi].

E-häälte lugemisel puudub teistkordse lugemise tarvis ristmetoodika ja samuti puudub teises koosseisus komisjon (erinevalt pabersedelite lugemisest). Seega potentsiaalsele manipuleerijale suunatud täiendava heidutuse funktsioon, mida paberhääletusel täidab ringkonnakomisjon teise metoodika rakendamise ja hääletajate nimekirjade hilisema rahvusarhiivi saatmisega, jääb e-hääletuse suhtes rakendamata. Seega on vajalik e-häälte säilitamine mõnda aega, et ka e-hääletusel heidutus ja usaldus toimiksid.

Ka ei asu e-hääled mahukates valimiskastides ega ei asu laiali ringkonnakomisjonides ... vaid asuvad juba kõik Tallinnas ning mahuvad ära vaid ühtainsasse portfelli.

      a) Soovitused seadustesse


Kehtestada e-hääletamise tulemusi rekonstrueerida võimaldava andmestiku (e-hääled, e-hääletamise logid) säilitamine üle kahe valimistsükli - 10 aastat alates valimispäevast.

Sätestada e-häälte hilisema ülelugemise võimaldamiseks regulatsioon.

(siinkohal pole vaja küsida, mis juhtub kui uuel ülelugemisel saadakse teine tulemus. Sest praegu ollakse ju kindlad, et tulemus ei saa muutuda. Järelikult on tegemist puhtalt usaldust tagava avalikkusele suunatud abinõuga, millele pole vaja juhiseid tingimuse täitumise korral tegutsemiseks. Juhtumi tekkimisel on see võimalik lahendada siiski näiteks põhiseaduslikkuse järelevalve formaadis Riigikohtus. Ebameeldiva tõe hilisem teadasaamine on parem kui tõe teadasaamise võimaluste hävitamine igaveseks, ja võimaldab vähemalt samalaadseid järgnevaid juhtumeid ära hoida).

Jõustada rakendusakt e-häälte rahvusarhiivi üleandmise, säilitamise ja hävitamise korraga.

3) E-häälte hävitamine on praegu demonstratiivne ega kaitse insiderite eest.


RKVS § 77’ lg 2 sätestab e-häälte hävitamise 30 päeva peale valimisi. Kuid ei sätesta metoodikat, organisatsiooni, vastutust, ega anna isegi mitte delegatsiooninormi. Mistõttu e-häälte ja isikuandmete logimise peamises keskuse RIA suhtes puudub väline (VVK- või vaatlejatepoolne) kontroll e-hääletamisega seotud andmete hävitamise üle. On teadmata, kas ja kuipalju RIA sisemised regulatsioonid seda valdkonda reguleerivad, kuidas toimib järelevalve ja dokumenteerimine.

E-valimiste juht Tarvi Martens on väljendanud mõtet, et VVK-d ei huvita, kuidas RIA oma sisemisi protsesse korraldab.

Seega seadusandja ja VVK tuginevad e-häälte ja valijate isikuandmete hävitamisel jällegi pabersedelite regulatsiooni kopeerimisele e-hääletamise isikuandmete kaitsele. Mõttekäik - et kui
hääled antakse üle, siis on need üle antud ja üleandjal puudub edasine vajadus midagi rohkem muret tunda. Jäetakse tähelepanuta, et erinevalt paberkandjatest e-andmete üleandmine ei kaota neid ära üleandja valdusest (!).

Seega võiks RIA insiderite "lauasahtlitest" leida täiuslikke e-hääletamise isikuandmete andmebaase läbi mitmete valimiste. Kui seda ei ole, siis on põhjuseks RIA töötajate kõrged eetilised omadused, laiskus või RIA toimiv sisekontrollisüsteem - aga mitte seadusel põhinev toimiv regulatsioon.

RKVS § 77’ lg 2 käsib riigi valimisteenistusel hävitada „elektroonilised hääled, elektroonilise hääletamise süsteemis sisalduvad valijate isikuandmed ning elektrooniliste häälte avamise võtme“. VT teeb seda enda käes olevate materjalide suhtes, aga hävitamist ei protokollita. VVK veebileht selgitab, et hävitatakse häälte avamise võti [vii].

Seega ka VVK ei saa üheselt aru, kus ja mida tuleb hävitada. KPMG poolt läbiviidud RK2019 auditi lõpparuande punkt 4 lk 8 kirjeldab läbiviidud hävitusprotseduuri ebapiisavalt: „10.04.2019 toimus võtmeosakute ja süsteemiketta füüsiline hävitamine. Audiitorid kontrollisid võtmeosakute ja süsteemiketta turvakleebiste terviklust ning jälgisid nende hävitamist.

      a) Soovitused seadustesse


Seadustega välistada e-hääletamise andmestiku koopiate või loetavate fragmentide jäämine RIA-sse, VVK-sse, või lekkimine rahvusarhiivist.

4) Tulenevalt elektroonilistele valijanimekirjadele üleminekust alates järgmistest valimistest seaduses sätestada valijanimekirjade ja e-hääletamise ajutisele säilitamisele kuuluvate materjalide riigiarhiivile üleandmise elektroonilised formaadid ja korraldus.



[i]. RKVS (RT I, 17.11.2017, 17) § 77’ lg 2: (2) Riigi valimisteenistus säilitab elektroonilisi hääli ühe kuu jooksul valimispäevast arvates. Pärast nimetatud tähtaja möödumist, kuid mitte enne, kui esitatud kaebuste kohta on tehtud lõplikud otsused, hävitab riigi valimisteenistus elektroonilised hääled, elektroonilise hääletamise süsteemis sisalduvad valijate isikuandmed ning elektrooniliste häälte avamise võtme.

[ii]. E-hääletamise regulatsioonidele viitamisel on käesolevas analüüsis refereeritud RKVS-le, kuigi analoogseid e-hääletamise regulatsioone sisaldavad ka EPVS, RaHS ja KOVVS. Viitamine RKVS-le on kasutatud lihtsuse huvides ja neid viiteid tuleb mõista nii, et seaduseloome faasis tuleb samad probleemid lahendada ka EPVS, RaHS ja KOVVS suhtes.

[iii]. Väljavõte SE 186 (2012) seletuskirjast: „Eelnõu § 1 punkt 23 täiendab EPVS-i uue paragrahviga 77’, milles sätestatakse hääletamissedelite ja valimisdokumentide säilitamise põhimõtted.
Praegu on nii paber- kui elektrooniliste häälte hävitamise kord sätestatud Vabariigi Valimiskomisjoni määruses. Selguse huvides ning arvestades toimingu olulisust, tuleks see sätestada seaduses. Säilitamise ja hävitamise kord ise jääb samaks. Lõike 1 kohaselt säilitab hääletamissedeleid maakonna valimiskomisjon ühe kuu jooksul arvates valimispäevast või kuni kaebuste lõpliku lahendamiseni. Pärast seda sedelid hävitatakse, kuna pärast kaebetähtaegade möödumist ei ole võimalik enam hääletamis- ja valimistulemusi vaidlustada. Sedelite täiendav säilitamine oleks ka praktilisest küljest ebaotstarbekas, kuna selleks, et nende põhjal saaks veel täiendavalt kontrollida hääletamistulemuste korrektsust, tuleb neid säilitada selliselt, et ligipääs sedelitele puuduks.

Eelnõu § 1 punkt 23 EPVS § 77’ lõige 2 sätestab elektrooniliste häälte säilitamise korra. Hääli säilitatakse ühe kuu jooksul, nagu ka paberhääli. Seejärel elektroonilised hääled hävitatakse. Hääletamissaladuse tagamiseks hävitatakse ka elektroonilise hääletamise süsteemis sisalduvad valijate isikuandmed. Samuti hävitatakse elektrooniliste häälte avamise võti.“


[v]. Põhjaranniku 04.03.2019 artiklist koopia (veebis on artikkel blokeeritud)

[vi]. SE 168 (2012, lk 10) selgitab valijate nimekirjade alalise säilitamise vajadust järgmiselt: „Eelnõu § 1 punkt 23 EPVS § 771 lõige 3 sätestab, et hääletamis- ja valimistulemuste protokolle säilitatakse alaliselt ning et valijate nimekirju sälitatakse püsivalt Rahvusarhiivis. Valijate nimekirjade sälitamise kord on sätestatud selliselt ka kehtivas seaduses. Protokollide säilitamise kord oli seni sätestatud Vabariigi Valimiskomisjoni määrusega.

[vii]. "Küsimused e-hääletamise usaldusväärsuse kohta" seisuga 11.07.2019: „18. Miks hävitatakse hääled nii kiiresti pärast valimistulemuste väljakuulutamist? Seaduse järgi peavad hääled olemas olema aja, mil kõik kaebused on läbi vaadatud ja lahenduse leidnud ning valimistulemused välja kuulutatud. Alles pärast seda hävitatakse nii e-hääled (täpsemalt e-häälte avamise võti) kui pabersedelid. Valimistulemuste väljakuulutamine tähendabki, et kõik osapooled on tulemust aktsepteerinud ning pärast seda samu vaidlusi uuesti ei avata.

teisipäev, 2. juuli 2019

MKM e-hääletuse töörühma analüüs ptk 1. Etteheidetavate nõrkuste loetelu

See dokument on minu kui "kriitikust" töörühma liikme poolt MKM e-hääletuse töörühmale saadetud 02.07.2019 sisendiks avakoosolekul 4.07.2019 tegevus- ja ajakava koostamisele. Füüsiline kohalolek koosolekul ei osutunud võimalikuks Hispaanias elamise ja kopsupõletiku tõttu. Elektroonilist osalemist koosolekul MKM ei võimaldanud. Dokumendis on üldistatud kujul formuleeritud etteheited Eesti olemasoleva e-hääletuse süsteemi toimimise metoodikale (s.h seadusandlusele, organisatsioonile ja tehnoloogiale).
  1. Töörühma skoop. Skoop on kirjas ministri käskkirjas (lõpus). Kuid minu poolt väike visand käskkirja lahtimõtestamise abivahendiks - ka lisana lõpus.

  2. E-hääletuse praegune metoodika matab tõe igaveseks. Teie e-hääled ja nende töötlemiseks kasutatud programmikood kui asitõendid hävitatakse koheselt peale valimisi. Nad valetavad teile, et seda tuleb teha hoidmaks e-hääletust paberhääletusega sarnasena. Kuid paberhääletusel loeb kõik sedelid üle üks komisjon ja peale valimispäeva kõrgemalseisev komisjon teise metoodikaga. Mõlema ülelugemise juures viibivad vaatlejad(!). Niisugusel teisel ülelugemisel näiteks avastati RK2019 Narvas hääletustulemuste kokkulugemise võltsimine kahe kandidaadi suhtes [i].

    Kuid e-hääletuse kokkulugemisel enam teist komisjoni ega teist metoodikat taga ei ole (üks ja sama komisjon loeb). Vaatlemine pole visuaalselt üleüldse võimalik. Ja kogu skeem on mängitud üha rohkem ja rohkem „man-in-the-middle“ kontrolli alla.

    Ja „Koguja“ logisid nad teile tutvumiseks ei luba [ii], kuigi samal ajal paberhääletuse toimumise juures võivad vaatlejad kõike näha.
  3. E-hääletajate osakaal on muutumas kriitiliseks [iii]
  4. E-hääletuse põhipuudus on usalduskriis;. E-hääletus ehk ei vajagi tavalist ISKE numbri alusel hinnatavat infosüsteemi, vaid hoopis unikaalsemat usalduskeskkonda?

    E-hääletuse
    • turvalisus on riikliku julgeoleku üheks põhisambaks
    • usaldusväärsus on demokraatliku riigikorralduse kandja
    Kuni seda ei mõisteta ja lähenetakse e-hääletuse disainile infotehnoloogi pilgu ja harjumustega – siis see kõik võib olla kuulikindel väliste rünnakute suhtes nagu on Venezuelas, kuid psühholoogilises mõttes üleüldse ei tööta. Maailma ajaloo parim krüpto Enigma murti lahti, miks me siis end hoopis madalamal, sisseostetavate vilede tasandil, petame?

  5. Usalduse valimistel tekitab e-hääle liikumise visuaalne vaadeldavus. Minu osalemine vaatlejana RK2019 e-hääletusel sedastas [iv], et võimaldataval kujul vaatlemine ei taga usalduse tekkimist [v]. E-hääletuse kasutamise aastatel pole nähtunud piisavaid jõupingutusi probleemiga tegelemises, pigem on valimiste vaadeldavuse mõiste hakanud e-hääletuse suhtes deformeeruma.

    Infotehnoloogia on valimistel kasutatav ainult siis, kui annab vaadeldavust (seega ausust) kahjustamata olulist efekti.

    MS Exceli Pivot tabelis visuaalselt jälgitav ja kontrollitav tulemuste liitmine on tänapäeval keskmisele inimesele ka kordades mõistetavam ja usaldusväärsem kui nähtamatult töötav ja virtuaalkinnitusi kuvarile viskav protseduurikood, mille vaadeldavuse ainukinnituseks pakutakse näha direktori digiallkirja koodil.

    E-hääletuse põhimõtteline vahe paberhääletusega on see, et esimeses „sõidab“ antud hääl ise kodust valimiskomisjoni, teises sõidab inimene ise kodust valimiskomisjoni.

  6. E-hääletamise seadusandlikku raamistikku tuleb analüüsida põhiseadusest allapoole. Põhimõtteliselt peaks seaduste tasandil olema ära reguleeritud see, mis on vajalik süsteemi toimimise ja usalduse baastaseme tekitamise jaoks. Määrustesse jääks korraldavate, usalduse taset mittemõjutavate otsustuste sätestamine. Juhendid (white papers) ei ole õigusaktid ja nendesse sätestataks usalduse tekitamise mõistes mittekriitiline informatsioon ja oskusteave tehnika administreerimiseks, organisatsiooni toimimiseks, koolitusteks jne.

  7. Mõned näited, mida motiveeritud analüüsis saame kirjeldada. Näiteks võime tuvastada, et hääletajal puudub kindlus - et tema arvuti ei ole „ära kaaperdatud“ ja kas see pöördub ikka õige serveri poole? Me saame hääletaja sellised hirmud maandada, kui kuvame talle valijarakenduse käivitamisel kõigepealt tema enda andmeid mõnest riigi registrist. Näiteks KMA andmekogu päringu „Isiku dokumendid“. Hääletajal on ühtaegu huvitav ja kasulik tegutseda … ja peale oma ajalooliste dokumentidega taaskohtumist vajutab ta nuppu „Kõik õige. Lähen edasi hääletamisele“.

    Mõelgem analüüsi koostades ametkondlikest piiridest välja!

  8. Miks on e-hääletamise infosüsteem RIHA registris registreerimata? Vastavalt riigi infopoliitika korraldusele registreeritakse kõik riigi ja KOV infosüsteemid RIHA registris, kuhu nende kohta sisestatakse nii alusdokumendid, käitajate andmed kui disainidokumendid. E-hääletamise infosüsteemi olemasolu otsing sealt ei leia. On küll „vis“ (valimiste infosüsteem), kuid selle dokumentatsioonist jällegi ei nähtu e-hääletuse funktsionaalsust. Kas e-hääletuse infosüsteem on formaalselt illegaalne või vis dokumenteerimata osa?

  9. E-hääletus või i-hääletus? Teen ettepaneku töörühma skoobi raames anda hinnang ka e-hääletuse ja i-hääletuse mõistete harmoniseerimise vajadusele Eesti õigusruumis, viimaks mõisted kooskõlla rahvusvahelises terminoloogias kasutatavaga. Praegu Eestis kasutatav terminoloogia tekitab suhtlemisel välismaailmaga segadust, kuna meie e-hääletus tähendab seal i-hääletust (internet voting). E-hääletus tähendab välismaailma terminoloogias pabervalimiste tegevuste toetamist elektroonikaga, aga ka elektroonilist hääletust hääletusmasina, telefoni vms vahendusel (nagu seda kasutatakse näiteks Venezuelas).

    • Ühtse terminoloogia tähtsus. 2017 aasta parlamendivalimised toimusid Venezuelas e-hääletusena (NB e- vs i-hääletus). Riigiga lepingut omav ja kogu Venezuela riigi e-hääletamise masinatega katnud ning hiljem riistvara üle järelevalvet teinud Briti firma Smartmatic teatas peale valimisi [vi], et nende analüüs näitab valimistel osalenud inimeste ametlikus arvus ja tegelikus arvus suurt erinevust. Presidentdiktaator Maduro ja tema kontrolli all olev valimisteenistus lükkas teate ümber. Järgnesid rahutused, leping Smartmaticuga lõpetati. Tänaseks on miljonid inimesed kunagisest rikkaimast Ladina-Ameerika riigist lahkunud, kuid Maduro peab oma võimu endiselt legitiimseks, juhatamaks inimesi helgemasse sotsialismi.
  10. Venetsueela e-hääletuse manipuleerimisele järgnesid rahutused.
    Kaader Aljazeera videost
    Maduro asus põhiseadust muutma.
    Kaader Aljazeera videost
  11. Meediakajastus. Koalitsiooni tegevusprogramm [x] on suunatud aastakümneid kestnud e-hääletamise süsteemi AUSUSE ümber toimuvasse diskussiooni [xi] lahendi loomisele. Seega on ka meediakajastus üks meie töö tulemuslikkuse võtmemomentidest.

  12. Nagu nägime, töörühma tööpõld on nagu Augeiase tall. Hakakem siis seda rookima !


[i] Põhjaranniku 04.03.2019 artiklist koopia (veebis on artikkel tänaseks blokeeritud) [ii] Riigi valimisteenistuse asejuhi Arne Koitmäe 22.03.2019 13:41 meil keeldumisest minu RIA-le saadetud teabenõuet täita, tulenevalt vajadusest kaitsta hääletajate logides sisalduvaid isikuandmeid. [iii] VVK statistika https://www.valimised.ee/et/valimiste-arhiiv/elektroonilise-h%C3%A4%C3%A4letamise-statistika [iv] Minu artikkel vaatlemisest http://valdekseeder.blogspot.com/2019/02/e-haaletuse-vaatlejana-riigikogu-2019.html [v] Minu artikkel logide küsimisest http://valdekseeder.blogspot.com/2019/04/valijarakendus-logib-e-haaletaja.html [vi] https://www.aljazeera.com/news/2017/08/smartmatic-venezuela-turnout-figures-manipulated-170802131338450.html [vii] https://www.aljazeera.com/news/2017/08/smartmatic-venezuela-turnout-figures-manipulated-170802131338450.html [viii] https://www.france24.com/en/20170730-venezuela-violence-demonstrations-vote-nicolas-maduro-constituent-assembly-protests [ix] https://twitter.com/AFPphoto [x] Valitsuse tegevusprogramm https://www.valitsus.ee/sites/default/files/content-editors/valitsus/RataseIIvalitsus/vabariigi_valitsuse_tegevusprogramm_2019-2023_esitatud_300519.pdf [xi] Michigani professori Alex Haldermani esitlusvideo Eesti e-hääletamise süsteemist eestikeelsete subtiitritega https://www.youtube.com/watch?v=3FywJKdT90U&fbclid=IwAR2n2H_TrrkyV3gwD0rSgbRaolvsiGAkmBvymaKIvA6g6LbR2qWuZE39GFM


LISA: TÕLGENDUSED MINISTRI KÄSKKIRJA JUURDE


Töörühm
  • Moodustati minister Kert Kingo poolt 21.06.2019 käskkirjaga.
  • Esimene koosolek on kokku kutsutud 4. juuliks 2019.
  • Töö tulemusena esitab olemasoleva süsteemi analüüsi 12.12.2019.
  • Kehtiv koalitsioonilepe näeb ette eesmärgi „3.20.Säilitame e-hääletamise võimaluse, kuid süsteem peab olema kontrollitav, turvaline ja läbipaistev“ täitmise tähtajaga 12.2020.
  • Kehtiva koalitsioonileppe eesmärk 3.22 näeb ette vajalike muudatuste sisseviimiseks seadustesse (muudatusprojektide väljatöötamise) veebruariks 2021.
  • Järgmised valimised on president ja KOV 2021, Riigikogu 2023.
Seega näeb koalitsioonilepe ette ajagraafiku, mis on suuteline tagama järgmiste valimiste muutmise e-hääletuse tulemuste võltsimise võimalustest vabaks – kontrollitavaks, turvaliseks ja läbipaistvaks.

Kõige tähtsam on esimene – analüüsietapp. Mida sinna sisse ei kirjutata, seda hiljem teostama ei hakata. E-hääletamise osatähtsus aga kasvab ja kui süsteem võimaldab kasvõi ainult administraatoril tulemusi võltsida, siis ei pruugi olla näiteks mõnel välisriigil kahju pakkuda sellele adminnile altkäemaksuks „koostöö“ eest mitte ainult miljon, vaid miljard eurot. Niisuguseid ohte tuleb teadvustada ja arvestada.

Koalitsiooni kõik osapooled on olemuslikult huvitatud, et töörühma tegevustulemus oleks edukas. Koalitsioonileppes sätestatut saab mõista, et e-hääletuse süsteem tuleb muuta keskmisele inimesele VAADELDAVAKS ja sellega edaspidi maha võtta inimeste hirmud ja välisekspertide kriitika.

Töörühmana me peame ümber pöörama praktika, kus IT nokitses midagi valmis ja valitsus ning Riigikogu vormistasid tehtu seadustesse … ja et IT liiga sageli ei tüütaks, siis suurema osa jätsid IT-le endale trükkimiseks oma määrustesse või lihtsalt juhenditesse. Sellised praktikad tuleb lõpetada.

Vastavalt käskkirjale on vaja valimissüsteemi vastavust hinnata ka „valimiste korraldamist käsitlevatele regulatsioonidele“. Mida peaksime tõlgendama, et tuleb hinnata:
  • Kas rakendusseadused on piisavad, et e-hääletus toimuks põhiseadusega kooskõlas ja tagavad vabu ja õiglasi e-hääletusi?
  • Kas alamregulatsioonid ja juhendid lähtuvad seadustest ja on proportsionaalsed?
  • Kas kasutatav tehnoloogia on asjakohane e-hääletuse teenindamiseks?
Töörühma moodustamise käskkiri:

esmaspäev, 29. aprill 2019

Miks peaks Riigikogu jätma 3 riigikohtunikku ametisse nimetamata

Peatselt jõuab Riigikogu ette otsuse eelnõu kolme uue riigikohtuniku ametisse nimetamise kohta[1].
See on Riigikogul harvaesinev ja õige moment alustada nõukoguliku pärandina saadud tõejärgse kohtusüsteemi uutmisega.

Nimetamise OTSUS oleks õige toetuseta jätta, sest riigikohtunikeks kohtusüsteemi poolt pakutavad kandidaadid SATUKSID AMETISSE LIIGA KAUAKS. Ehk ligi 30-ks aastaks!


Miks presidendile ja mitmetele tippotsuseid tegevatele ametikohtadele on kehtestatud ametisoleku piiratud aeg või isegi kogupiirang 2 ametiaega? Aga selleks, et ühel ametikohal püsimine pikka aega nõuab ebainimlikke isiksuseomadusi, kui tahetakse vastata rahva ootustele. Nendel ametikohtadel ka ei kontrollita ametisolija tervist ega vormi ei füüsiliste, vaimsete ega kutsealaste testidega. Aastakümneteks ametikohale nimetamine viib isiksuse kõlbelise ja moraalse allakäiguni.

Veelgi hukutavam on aga uute riigikohtunike ametisse nimetamine ligi kolmeks aastakümneks Eesti õigussüsteemile. Järgmiselt juristide põlvkonnalt võetakse ära võimalused arenguks, väljakutseteks. Sest ametikohad kõige kõrgemal professionaalsel tasandil ehk Riigikohtus on usurpeeritud. Kas me tahamegi breznevismi külvata? Rooma riik hävis just siis, kui ta oli saavutanud oma kõige kõrgema tipu.

Seega riigikohtuniku ametisse nimetamisel peaksime suutma teha lihtaritmeetilise arvutuse – mitmeks aastaks jääb see isik ametisse?

Kuigi seadusesse ei ole riigikohtunikule ametiaja piirangut kirjutatud, siis ametisse nimetamisel oleks Riigikogul õige siiski järgida põhimõtet – et nimetamise läbi ei satutaks ametisse kauemaks kui 10-12 aastaks.

Seega oleks õige riigikohtunikeks nimetada vaid tunnustatud juriste, kelledel on riigikohtuniku pensionivanuse ülempiirist (72 aastat) puudu 10-12 aastat.

Ainult sellise põhimõtte – et riigikohtuniku amet jääks juristi karjääri viimaseks ja kõrgeimaks - järgimine tagaks eesti õigussüsteemile sisulise toimimise ja suhtelise sõltumatuse. Siis võiksime hakata rääkima dialektilise ehk tõejärgse õiguse rakendamise asemel juba püüdlemisest õigluse poole.

Otsuse eelnõuga taotletakse Riigikogu heakskiitu järgmiste isikute nimetamiseks riigikohtunikeks, eeldatava ametikohale jäämise tähtajaga:

  •        Kai Kullerkupp (sünd 1975) – ametiaeg kuni aastani 2047;
  •        Kalev Saare (sünd 1974) – ametiaeg kuni aastani 2046;
  •        Kaupo Paal (sünd 1977) – ametiaeg kuni aastani 2049.

Riigikohtu halduskolleegiumi esimees Ivo Pilving ja tema
abikaasa doktor Kai Kullerkupp. Foto Andres Putting 2015.
Seega kui Riigikogu praegu kummitemplina organite poolt pakutud kandidaadid heaks kiidab, saame kolm uut riigikohtunikku eeldatud ametiaegadega 27-30 aastat (!). 

Statistikast on teada, et kogu taasiseseisvunud Eesti ajaloos on kõik süsteemi poolt esitatud Riigikohtu kandidaadid heaks kiidetud, v.a üks (tagasi lükati Jüri Ginter 1994). 

Kokku on Riigikohtus 19 kohtunikukohta, milledest hetkel on täidetud 18. Käesoleval aastal lahkuvad pensionile Malle Seppik (Ain Seppiku abikaasa) ja Eerik Kergandberg, mõlemad sündinud 1953. Riigikohtunikest 4 on praegu naised.
Kalev Saare. Foto Juridica.
Kaupo Paal. Foto Juridica.

Riigikohus peaks ka kuvandina näima eetiline.

Praegune vanim ametisolev riigikohtunik ja ühtlasi riigikohtunike kandidaatide valikukomisjoni asendusliige on Peeter Jerofejev (sündinud 1952). Meest on süüdistatud 1988 aastal teisitimõtlejate represseerimises nõukogude võimu esindava kohtunikuna. Jutustab üks represseeritutest – tollane bussijuht ja hilisem ettevõtja Johannes Sirel:[2]

"Kohal oli hulk miilitsaid koerte ja kilpidega. Jalutasin paari tuttavaga zooloogiamuuseumi auditooriumi, kus Tõnu Anton (s.t hilisem riigikohtunik 1993-2016 ja tänase õiguskantsleri Ülle Madise isa – autori märkus) püüdis nõukogude võimu esindajana partei seisukohti seletada, kuid lõpuks kujunes nõukogude propagandaüritusest hoopis nõukogudevastane üritus".

Sirel pandi arestikambrisse ja veeti Tartu linnakohtusse, kust tal õnnestus teda konvoeerinud miilitsa eest plehku panna. Viis päeva varjas Sirel end Tallinnas, enne kui usaldas Tartusse tagasi minna. Kuid miilits jälitas teda endiselt ja sai töölt kätte.

"Mulle pandi süüks, et olen kisanud ja huligaanitsenud – mida absoluutselt polnud," meenutab Sirel. "Kuna süüdistus oli vene keeles, küsisin, miks see nii on. Jerofejev (tänane riigikohtunik) vastas mulle, et nõukogude inimene peab oskama vene keelt."

Pall on Riigikogu käes – kas kummitemplina või maailmaparandajana?


Kui nüüd süsteemi poolt esitatud absurdselt pika eeldatava ametiajaga kandidaadid ametisse nimetatakse, siis eesti õigussüsteemis puhastumist on raske oodata. Jääb subkultuurne ringkäendus, kus otsused sünnivad süvariigi kuluaarides.

"Ta (tänane riigikohtunik Jerofejev) on mulle öelnud, et pidi toona tegema seda, mida kästi" ütleb Johannes Sirel. Kas see on lõpp … Ei, kõik kestab edasi!

Riigikogul on nüüd võimalus selline valikuline õiguse rakendamine (siin näitena minu Riigikohtus subkultuurselt ja räpaselt lahendatud kaasus[3]), mis toimub läbipaistmatutel ajenditel ja süvariigi märguannete peale, lõpetada.

Riigikogu on oma otsustes vaba.
[3] http://valdekseeder.blogspot.com/2018/04/kaasus-eripensionaride-suvariigiga.html

kolmapäev, 3. aprill 2019

Valijarakendus logib e-hääletaja isikuandmeid

Artikli avaldas 3.04.2019 ka Uued Uudised.

Riigi valimisteenistus keeldus 22.03.2019 minul kui e-hääletamise vaatlejal e-hääletamise logidega tutvumise, kuna logid sisaldavad isikuandmeid (valija kohta isikukoodi, nime, hääletamise aega, IP-aadressi).

Tekib küsimus, miks RIA kogub e-hääletaja arvutisse kohustuslikult paigaldatava valijarakenduse kaudu e-hääletaja isikuandmeid? Riigi valimisteenistuse veebis selgitust ei ole. Ei ole isegi logimispoliitika üldsõnalist kirjeldust. Logimine peaks piirduma tehniliste detailidega. Isikuandmed ei tohiks olla logitavad andmed, vaid tuleks eksklusiivselt salvestada vaid e-häälte urnis.

Tehnilisest aspektist saab logida ainult neid andmeid, mida serveri suhtlemine kliendirakendusega ise „toodab“ või mida valijarakendus on seadistatud serverile edastama.

·       Turvalisuse otstarbel võib olla põhjendatud „õnnestumine/ebaõnnestumine + ajatempel + IP“ formaadis valijarakenduse installeerimine, hääletuskeskkonda sisse logimine, antud hääle allkirjastamine, allkirjastatud hääle serverisse salvestamine, valijarakendusest väljumine sündmuste logimine.

·       Statistika kogumise otstarbel võib olla põhjendatud veel e-hääletaja operatsioonisüsteemi ja arvuti riistvara ning MAC aadressi logimine. Seega need andmed, mida ei saa üldjuhul lugeda isikuandmeteks.

E-hääletamise komisjon tööhoos. Autori foto
Liigse andmekorjega on sattunud löögi alla mitte ainult e-hääletajate privaatsus, vaid ka e-hääletamise usaldusväärsus. Kõikidel valimistel (nii paberil kui elektrooniliselt) on usaldusväärsuse tagamise abinõuks hääle liikumise ja tulemuseks vormumise VAADELDAVUS. Vaadeldavusega tagatakse, et väljaspool ametlikke protseduure mitte keegi hääli või häälte lugemist omavoliliselt muuta ei saa. Kui vaatlejatel ei ole lubatud e-hääletamise logidega tutvuda, siis on kogu e-hääletamise usaldusväärsus piiratud man-in-the-middle (ehk RIA administraatori) usaldusväärsusega.
 
E-hääletaja isikuandmete logimine tõstatab eetilise küsimuse. Logidest on loetavad kolmandiku eesti valijaskonna andmed – kes kellegi teise arvutist või ruumist (ja kellega koos) hääletas, mitu korda, milliselt tänava-aadressilt, kui kaua valikuga kohmitses ... Ja kuna vaatlejad logisid pole näinud, siis jääb loota – et logidesse ei ole lisaks juba riigi valimisteenistuse poolt teatatud isikuandmetele salvestatud ka valitud kandidaadi nime või numbrit.

Hääletaja isikuandmed e-hääletamise logides on tõsine probleem, mille likvideerimisega tuleb tegeleda.
Riigi valimisteenistuse keeldumine teabenõuet täita.


kolmapäev, 20. veebruar 2019

E-hääletuse vaatlejana Riigikogu 2019 valimistel (täiendatud)

1) AUSATE VALIMISTE TUNNUSEKS ON VAADELDAVUS


Olin Riigikogu 2019 valimiste e-hääletusel vaatlejana, soovides selgust saada - kas osa rahva seas jätkuval umbusul e-hääletuse aususe suhtes on reaalne alus või pole muretsemiseks põhjust.

Seadsin eesmärgiks tuvastada, kas e-hääle liikumine alates hääletajast kuni kokkulugemiseni on täies ulatuses vaadeldav. Süsteem seda ei olnud ja vaatlejale hääle liikumise jälgitavuse asemel pakuti arvutiekraanile süsteemi poolt kuvatavaid teateid. Enamasti a la, et kõik on õige ja süsteem tõendab süsteemi töötulemuse õigsust. Seega ei saanud vaatleja kindlust, et manipulatsioone ei esinenud. Kuid ei ole teada ka fakte, et hääletamistulemusi oleks võltsitud.

"Usume Veerpalu"? E-hääletamise komisjon 4.03.2019 VVK-s e-häälte kokkulugemist kontrollimas.
Kuid kes komisjoniliikmetest tunnetab missiooni ja kes näeb komisjoni liikme rolli
häälte dekrüpteerimise kaardi kohaletoomise postiljonina? Autori foto. 

2) USALDUSVÄÄRSUSE JA PRIVAATSUSE KOLLISIOON


Küsisin e-hääletuse juhilt, kuidas vaatlejal oleks võimalik tutvuda Koguja logidega (Koguja on server RIA-s, kuhu e-hääled laekuvad). Juht vastas, et vaatlejal ei olegi võimalik Koguja logidega tutvuda. 13.03.2019 esitasin RIA-le teabenõude koguja logidega tutvumiseks. 19.03.2019 edastas RIA valimiste infosüsteemide arenduse osakonna juhataja Alo Einla teabenõude täitmiseks VVK-le, kuna logid on üle antud VVK-le. 22.03.2019 sain riigi valimisteenistuse asejuhilt Arne Koitmäelt keelduva vastuse:

"Teie soovitud teabenõuet ei ole võimalik täita, sest viidatud logid sisaldavad elektrooniliselt hääletanute isikuandmeid, sh võimaldab logide analüüs saada hääletamisinfot individuaalse valija kohta. Nende avaldamine läheb vastuollu hääletamise salajasuse põhimõttega".

Teine kord jälle tegin riigi valimisteenistusele ettepaneku Miksija vahelt ära jätta. Ka seda ettepanekut ei rahuldatud - ettekäändega tagada hääletajatele privaatsuse "backup" juhuks, kui keegi töötlemiselt hääled nii allkirjadega kui ka dekrüpteeritult omale (salaja ja ebaseaduslikult) ära kopeerib. Kuigi hääletamise privaatsust on võimalik tagada ka administratiivsete vahenditega (mitte võimaldades andmelekkeid), loob vähene usaldus VVK administratiivsete abinõude vastu olukorra - kus me peame valima e-hääletuse suurema usaldusväärsuse ja suurema -privaatsuse vahel.

Olukorras, kus ühe põhiõiguse tagamine võib riivata teise põhiõiguse tagamist, jääb üle panna mõlemad õigushüved kaalule:

  • E-hääletuse USALDUSVÄÄRSUSE kompromiteerimine on oht valitsusele ja riigi iseseisvusele (vt tabel e-hääletuse osakaalu kasvu dünaamika). Rahaliselt pole selline kahju hinnatav, kuid kui võtta aluseks ärisektori praktika ettevõtete hindamisel, siis ehk on maksumus 20 aasta SKP ehk ca 700 miljardit eurot.
  • E-hääletuse PRIVAATSUSE kompromiteerimine võimaldab autoriseerimata isikul saada teada, millise kandidaadi poolt e-hääletaja hääletas. Ka hääletamissaladuse avalikustamine ei ole enamasti rahaliselt hinnatav. Kuid saame vaadata karistusseadustikust hääletussaladuse rikkumise eest määratavat karistust (karistus on seadusandja väärtushinnang, milline suurus tagab hüve puutumatuse). Ja KarS § 166 näeb hääletussaladuse rikkumise eest ette rahatrahvi kuni 400 eurot või aresti.
Seega e-hääletamise usaldusväärsuse kompromiteerimise hind 700 miljardit eurot ja privaatsuse kompromiteerimise hind 400 eurot pole võrreldavad suurusjärgud. Kuid praegune e-hääletamise süsteem eelistab suuremat privaatsust suuremale usaldusväärsusele. 

Mis on täiesti vale lähenemisviis! Alati on hääletajal ka võimalus hääletada paberil traditsioonilise sedeliga, kui hääletajale on mingil põhjusel absoluutne privaatsus tähtis (kui näiteks tegeliku valiku teadasaamine võiks põhjustada peretüli või tööandja poolt repressioone).

E-hääletuse mõju kasv. Autori tabel

3) Milline oleks usaldusväärne e-hääletamise süsteem?

  • Kliendirakendusest serverini RIA-s ei vaja süsteemi arhitektuuris suuri muutusi. Norra eeskujul rakendas Eesti esmakordselt KOV2013 valimistel e-hääle kontrollimise võimaluse mobiiltelefoni kaudu (Norra hiljem loobus e-hääletuste korraldamisest).
  • Loobuda tuleb identifikaatori lisamisest hääle krüpteeringusse.
  • Vaatlejatele tuleb kättesaadavaks teha RIA serveri logid.
  • Seatakse sisse e-hääletamise protsessi ülevaatlik protokollimine. Protokolli kantakse koondandmed olulisematest sündmustest ja statistilistest tulemustest. Esinenud probleemid ja lahendamise tulemused. Protokoll allkirjastatakse ja avalikustatakse.
  • Loobutakse Miksija kasutamisest.
  • Kogujasse laekunud häältelt eraldatakse digiallkirjad (s.t seosed isikutega). Häälte seosed valimisringkonnaga säilitatakse.
  • Hääled dekrüpteeritakse.
  • MS Excelis avatakse (ainult) dekrüpteeritud häälte ja valimisringkondade veerud. Need saadetakse MS Exceli Pivot tabelisse (see on võimas ja usaldusväärne tööriist), mis kuvab analüütilised ja summeeritud tulemused ekraanile. Igat summat saab visuaalselt üle kontrollida andmete lehelt. Töötlemisvigade suuremaks usaldusväärsuseks teevad sama protseduuri paralleelselt 3 sõltumatut isikut ja otseülekande võiks teha ka televisioon.
  • Kogujasse laekunud häälte faili ja selle avamise võtmed antakse üle säilitamiseks turvalises seifis. Praegu hävitatakse e-häälte fail (tegelikult selle avamise võtmed) 30 päeva jooksul peale valimisi.

4) Ohukohti e-hääletusel, kus vaatlemine ei olnud võimalik.

  • Miksija

12.02.2019 kirjeldasin riigi valimisteenistusele "miksija" turvanõrkuse ja tegin ettepaneku miksija kasutamisest loobuda. Juhendid näevad ette, et kogu häälte kogumise ja töötlemise protsess toimib täisautomaatselt ja vaatlejatel on visuaalselt võimalik jälgida vaid automaatnäitajate toimimist
Väljavõte ettepanekust riigi valimisteenistusele.
vastavalt juhenditele ning peale automaatprotsessi lõppemist masina poolt esitatavaid koondtulemusi. Juhul kui vaatleja siiski soovib visuaalselt ka hääletamise tulemuste ekraanile kuvamist, siis tohib seda vaatlejale näidata ainult peale häälte eraldamist digiallkirjadest, lahtikrüpteerimist ja "miksijas" segamist. Miksija on selline programmijupp, mis segab kõik sinna sisestatud hääled ja kuvab need hiljem ekraanile segatult teistsuguses järjekorras. Saamaks kindlust, et tulemus on õige ja segamisel ei tehtud sohki, trükib masin vaatleja jaoks välja tulemuse õigsuse tõendi. Misjärel võib vaatleja hakata miksijast tulnud tulemust ekraanil vaatama. Miksija kasutamine ei anna mõtlevale inimesele mitte mingisugust kindlust. Valimistulemus on masina üle kontrolli omava isiku poolt täies ulatuses manipuleeritav.

  • Organiseeritud e-hääletused hooldusasutustes kasutavad ära patsientide sõltuvust administratsioonist.


Riik ei monitoori e-hääletamisel kuritarvituste ohtu haiglates, hooldus- ja kinnipidamisasutustes, milliste juhatajad või juhatajate sõbrad on kandideerimas. Tehniliselt oleks see IP ja MAC kaudu võimalik, aga ei rakendata.

Väljavõte ettepanekust riigi valimisteenistusele
Kui administratsioon pakub patsientidele võimalust hääletada nende asutuste arvutite kaudu, siis ei ole hääletamisvabadus ega -saladus tagatud, patsiendid on nii otse kui kaudselt administratsiooni mõju all. Ainuõige lahendus on vastavalt seadusele kutsuda hooldusasutusse valimiste jaoskonnakomisjonist hääletuskast kohapeale ja sedakaudu võimaldada hääletamine. 

Minu ettepanekule hooldusasutustele teavituskiri saata sain vastuse ja kirja näidise, et teavituskirja juba saadetaksegi. Kuid ettepanekule küsida valimiste jaoskonnakomisjonidelt peale valimisi tagasisidet, kuidas nende piirkonnas toimis hääletamine hooldusasutustes, haiglates ja kinnipidamisastustes, pole reageeritud.

  • Kliendirakendus ja RIA server

11.02.2019, olles RK2019 e-hääletuse vaatlejaks, kirjeldasin FB-s RIA serveris asuva turvanõrkuse (edaspidi TN1) tööpõhimõtet. Nädalaga sai see postitus 579 FB-jagamist.

"Niikaua kui mina loen hääli, mida saad sa muuta?"
Thomas Nast'i karikatuur.
TN1 põhineb hääletaja poolt valitud kandidaadi numbrile lisatava ja e-hääle sisse krüpteeritava identifikaatori ideel (nimetagem identifikaatorit edaspidi loendajaks). Loendaja lisatakse süsteemselt ja seda saab hiljem häälte kokkulugemise protsessis kasutada igale häälele soovitud kaalu andmiseks, kui hääled automaatlugemisel mitte loendada, vaid matemaatiliselt häältele lisatud loendajad liita. Kas automaatprotseduur hääled liidab või loendab, pole vaatlejale kehtivatest protseduurireeglitest tulenevalt jälgitav. Kui oleks digiallkirja ümbrikku krüpteeritud ainult hääl, siis oleks turvaline. Kuid loendaja lisamine krüpteeritavale häälele on ette nähtud VVK otsusega 08.10.2018 nr 57. E-hääletamise tehnilisest dokumentatsioonist ei selgu, et seda krüpteeringusse lisatavat loendajat mingil legaalsel moel hiljem kasutatake (mitte ajada segi juhenditest nähtuva juhuarvu genereerimisega QR-koodi tarvis kontrollrakendusele, kuivõrd viimane on kasutatav ainult paiknemise korral väljaspool krüpteeringut). Kuivõrd viidatud VVK otsus loendaja formaati ja kasutamisotstarvet ei spetsifitseeri, siis jääb kasutamine sekkuja (serveri üle kontrolli omaja) otsustada. Isegi kui juhendid spetsifitseerivad, ei ole juhendid õigusaktid (vt Riigikohtu otsus Raamatupidamise Toimkonna juhendite kohta). Neid võib mitte järgida, neid võib muuta. Sekkuja võib kontrollida ka hääletaja valijarakendust. Seega e-hääletus on rünnatav eelkõige seestpoolt. Tõe tooks päevavalgusele ainult VAADELDAVUS, mis on aga puudulik.

Näide. Hääletaja valis kandidaadi nr 1084 (Seeder), millele süsteem lisas loendajaks näiteks 1-RK2019. "1" ees on hääle väärtuse loendaja, sekkujal on võimalus „1“ üle kirjutada „0“ või „361“-ga. Kui seejärel peale digiallkirjastamist hääletaja kontrollib mobiili abil, kas serveris on tema õige valik salvestatud, siis mobiilirakendus leidis õigesti üles QR-koodi abil ainult temale kättesaadava õige hääletamistulemuse. Seejärel dekrüpteeris allkirjaümbrikus oleva faktilise valiku ja kuvas hääletajale tema tehtud valiku „1084“. Kuid hääletajal jääb igavesti teadmata, kas sekkuja võis tema antud hääle väärtuse „1“ olla asendanud hoopis väärtusega näiteks „0“ või “361“. S.t kas häälte automaatsel kokkulugemisel saab hääletaja antud ühe hääle eest saadikukandidaadile liidetud 1, 0 või 361 häält.

Idee kasutamine juba praktikas. Eelkirjeldatud "loendaja" idee leidis juba 3.03.2019 kasutamist häälte kokkulugemisel Narva jaoskonnas nr 7,  loe Põhjarannik 4.03.2019. Ja seda paberhääletuse kontekstis. Valimiskomisjon märkis EKRE kandidaadile Kersti Krachtile tegelikult saadud 8 hääle asemel häälte arvuks tema kandidaadinumbri 743 ja Eesti200 kandidaadile Ahti Puurile tegelikult saadud 10 hääle asemel tema kandidaadinumbri 868. Pettuse avastas linna valimiskomisjon, kuhu jaoskonnad saadavad oma töötulemused vastavalt valimiste korraldusele ülekontrolliks. Pole teada, kas jaoskonnakomisjon võis saada inspiratsiooni minu varem avaldatud idee kirjeldusest.

  • Koguja logide salastamine.

Koguja (server RIA-s, kuhu hääled laekuvad) logisid VVK väitel vaatlejal ülekontrollimiseks pole võimalik küsida. Järgnevad paar kolmandate isikute postitust FB-st piltidena. Esimene pilt on utoopia valimisi reaalajas kajastanud (vist Delfi) veebilehest 03.03.2019 kell 21:19, mille järgi reformierakondlane ja eripensionär Laanet on esimestelt 20333 hääletajalt saanud juba 2299 e-häält. Loodame, et ekraanipilt on ehtne ja mitte võltsing, aga nii seda jagatakse FB-s. 

Esinenud tehniliste probleemide ja nende parandamise kohta peaks VVK avaldama reaalajas selgitused. Ja logid avalikustama või vähemalt vaatlejatele tegema kättesaadavaks. 

FB-s ringlev pilt e-hääletuse veebikajastusest 3.03.2019 21:19.
Jagatud kahtlustes FB-s saaks vastuse Koguja logidest.
Veel üks FB-arvamus, millele vastus peitub Koguja logides.
----------------
"Teate, seltsimehed," ütleb Stalin. "Ma pean täiesti ebaoluliseks, kes ja kuidas meil parteis hääletab. Kuid on erakordselt oluline, kes loeb hääled kokku ja kuidas" (Boris Bazhanov "Stalini endise sekretäri mälestused" peatükk 5, Pariis 1980).