Hiljuti tõusis taas päevakorda e-valimiste teema ning selle turvalisuse täiendamise küsimus. Välja pakuti avalikkuses vähem arutatud, kuid kuluaarides mõnda aega ringelnud näotuvastuse variant, mis koheselt ka (peamiselt kriitilist) tagasisidet sai.

Esiteks. Nagu e-valimiste usaldamine ei saa olla usu küsimus, ei saa seda olla ka e-valimiste mitteusaldamine. Fundamentalism ei ole aktsepteeritav kummalgi suunal.

Teiseks lähtun ma allolevas tekstis eeldusest, mille kohaselt sooviksime me põhimõtteliselt ka edaspidi kasutada e-valimiste võimalust – eeldusel, et täidetud on mitmed olulised tingimused. Minu järgneval mõttekäigul puudub ühisosa seisukohaga, mille kohaselt on e-valimised a priori väär ning lubamatu.

Kolmandaks arvestan ma faktiga, et praeguse seisuga ei ole tõendatud Eesti e-valimiste teel või vahendusel läbi viidud valimispettust. Ringleb mitmeid lugusid ning hüpoteese, kuid tõendatud juhtumid puuduvad. Minu mõttekäigul puudub ühisosa süüdistustega, mille kohaselt on valimispettus küll toimunud, kuid seejärel politsei ning kohtute koostöös kinni mätsitud ja kalevi alla maetud.

Riskide maandamine on ka kompromisside tegemine

Digilahenduste turvalisuse parendamise võimaluste uurimine on mõistlik ning vajalik. Iga juurutamiseks valitud parendusvõimaluse puhul tuleb kaaluda meetme proportsionaalsust, arvestades turvariski suurust ning meetme rakendamisega seotud kulusid ja keerukust.

Ehk siis väga lihtsustatult öeldes tuleb kaaluda, kas ühe euro suuruse riski vähendamiseks on mõistlik kulutada sada eurot. Riskide – olgu need tehnoloogilised või mitte – maandamine on lisaks põhjalikule analüüsile ka kompromisside tegemine. On palju riske, mida pole võimalik sajaprotsendiliselt välistada.

Ükski digilahendus pole sajaprotsendiliselt kräkkimiskindel. Käib pidev töö selle nimel, et uusi riske maandada ning selle nimel, et riski realiseerumisel toimuks nii avastamine kui ka taastumine, sealhulgas korrigeerimine, võimalikult kiiresti. Tehnoloogia areng on kiire ning võidujooks kräkkerite ja ehitajate-kaitsjate vahel on lõputu sprintide jada.

Üheks digilahenduste turvalisust oluliselt tõstvaks meetodiks on kaheastmelise autentimise sisseviimine, mis nõuab isiku tuvastamist kahel sõltumatul viisil ning muudab kurjategijale lubamatu ligipääsu oluliselt keerulisemaks. Paljude tänapäevaste digilahenduste puhul on see soositud ning soovitatud lisaturbelahendus.

Esmapilgul võib tunduda, et näotuvastus ongi teine, lisanduv tase e-valimiste turvalisuse täiendamiseks. See oletus ei arvesta aga tõsiasjaga, et Eesti ID-kaart juba kasutab kahetasemelist autentimist – kaarti pole digitaalselt võimalik kasutada ilma PIN-koode teadmata ning PIN-koode pole võimalik kasutada ilma kaarti enda valdusesse saamata. Näotuvastus on Eesti ID-kaardi ja e-valimiste kontekstis kolmanda taseme lisamine.

Mida turvalisem, seda parem, kas pole? Nagu ma juba eelpool põgusalt mainisin, päris nii lihtne see paraku pole. Me peame muuhulgas hindama tehnilist teostatavust, lahenduse maksumust ning kaasnevat ebamugavust ja kõrvutama seda kõike riski suurusega.

Üks tehnoloogiliselt turvalisemaid lahendusi e-valimiste läbiviimiseks oleks kasutada vaid üht, turvatud ruumis asuvat valimisarvutit, millele pääsevad valijad ligi järjekorra alusel pärast dokumentide ning biomeetriliste andmete (sõrmejäljed pluss silmaiiris pluss südamerütm) kontrolli, kusjuures iga klahvivajutus ning hiireklõps, sealhulgas valimiseelistus, salvestatakse.

Üks tehnoloogiliselt vähemturvalisi lahendusi oleks see, kus valija tuvastamine käib tubli-poliitik.ee veebisaidil valimishuvilise poolt vabas vormis sisestatud nime ja identiteedi kontrolliks lisatud postiindeksi abil, kusjuures hääli loetakse hetkeni kui täitub valimisõigusega isikute arv. Meie eesmärk on leida mõistlik, turvaline lahendus kahe sellise äärmusliku lahenduse vahel.

Tagasi näotuvastuse juurde

Esiteks peame me selgelt sõnastama probleemi, mida püüame lahendada. Sagedamini esinenud arvamusavalduste põhjal võiks probleemi üldine vorm olla stiilis: "Püüame vähendada tõenäosust, et kurjategija saaks valimisõigusliku kodaniku ID-kaarti omades ning tema salajasi PIN-koode teades anda valimistel hääle selle kodaniku eest (ilma kodaniku teadmata)".

Teiseks peame analüüsima probleemi/riski suurust. Kas on tõendatud juhtumeid, et selline olukord on aset leidnud? Millistel tingimustel on tõenäoline, et selline olukord võib tulevikus aset leida? Kui suurt osa valimisõiguslikest kodanikest see risk puudutab?

Kolmandaks peame kaaluma riski maandamise alternatiivlahendusi. Kas parim lahendus oleks tehnoloogiline, näiteks näotuvastuse lisamine? Või oleks kasu seadusemuudatusest, mille järel tõuseb valimispettuse karistusmäär? Või tuleb tugevdada järelevalvet, et tõsta valimispettuse avastamismäära (praeguselt nullilt)?

Iga alternatiivi juures peame analüüsima teostatavuse ja potentsiaalse efekti suurust. Jäädes oma liistude juurde, vaatan ma siinkohal vaid tehnoloogilist lahendust ja piirdun teemas püsimiseks näotuvastusega.

Esiteks: kas valitud meetod on tehnoloogiliselt rakendatav? Praegu saab e-valimistel osaleda spetsiaalse arvutiprogrammi abil, mis tuleb valijal enda arvutisse laadida. Mobiiltelefonidelt hääletamine pole võimalik, mistõttu peame arvestama personaalarvutite võimaluste ja piirangutega.

Kui paljudel potentsiaalsetel e-valijatel on arvutis veebikaamera? Kui paljud oskavad või soovivad seda kasutada? Milliste riistvaraliste konfiguratsioonide ning operatsioonisüsteemide versioonidega peab tagama valimisrakenduse töökindluse, arvestades kaameratootjate poolt pakutavate ajurite (i.k - driver) eripärasid, töökindlust ning turvalisust?

Teiseks: milliseid arendustöid valitud meetod vajab? Siin tuleb vaadata nii aja- kui rahakulu ning protsesside ja protseduuride poolt. Näotuvastuse puhul räägime me tarkvara arendusest, töökindluse ja turvalisuse testimisest ning järjepidevast hooldamisest ja sellele kõige maksumusest ja realistlikust ajakavast.

Võimalik, et tarvilik on ka seadusemuudatuste sisseviimine. Võimalik, et muuta tuleb valimiste auditeerimise protseduuri. Võimalik, et muuta tuleb mitmeid seotud infosüsteeme.

Kolmandaks: kas projektina edukalt juurutatud valitud meetod täidaks oma sisulisi eesmärke? Kui sihiks on seatud riski elimineerimine, siis kas see on realiseeritav? Näiteks võib ette kujutada olukorda, kus kurjategija palub (või "palub") ohvriks valitud hääleõiguslikul kodanikul korraks kaamerasse vaadata ning ühel või teisel põhjusel ohver seda ka teeb.

Kui sihiks on seatud riski vähendamine, siis millisel määral (ja kuidas mõõdetavalt) peab see langema, et eesmärk saaks täidetud?`

Neljandaks: kas valitud meetodi juurutamisega kaasnev efekt on summa summarum positiivne? Iga valimistarkvarasse ning -protseduuridesse lisatud komponent on potentsiaalne turvarisk. Iga muudatusega tekivad nii etteaimatavad kui mitte-etteaimatavad kaasmõjud. Iga protseduuriline ja tehnoloogiline täiendus avaldab positiivset või negatiivset mõju valimisaktiivsusele.

Parima võimaliku suuna valikul peame ühelt poolt arvestama valimissüsteemi kui terviku keerukusega ning teiselt poolt püüdma eristada valimistega seotud konkreetseid muresid, väljakutseid ning etteheiteid.

Valimistejärgne häälte hävitamine näiteks pole e-valimiste küsimus, vaid meie valimissüsteemi eripära ning sätestatud riigikogu valimise seaduse paragrahvis 77¹, kusjuures paberhääli ning elektroonilisi hääli koheldakse sarnaselt. Samamoodi on meie valimissüsteemi eripäraks hääletamise salajasuse printsiip, mis on sätestatud põhiseaduse paragrahvis 60 ning paragrahvis 156.

Kokkuvõtteks. Näotuvastuse saaks e-hääletamisele lisada. Küsimus on selles, et kas ka peaks.

Kommentaar ilmus algselt Kaimar Karu Facebooki-leheküljel.