Šveitsi e-valimiste süsteemis oli ohtlik võltsimist võimaldav viga
Šveitsi e-hääletamise süsteemi puhul on tulnuv välja ohtlik viga, mille kaudu oleks teoreetiliselt olnud võimalik kõiki hääli võltsida ning mida keegi poleks ka märganud.
Motherboard ja Helsingin Sanomat kirjutavad, et süsteem oli kusjuures enne vea avastamist läbinud kolm ametliku küberturvalisuse kontrolli ning siis polnud keegi midagi kahtlast märganud.
Heaks uudiseks on siiski see, et nimetatud e-valimiste süsteemi pole Šveitsis veel riiklikul tasandil kasutusele võetud ning nendes kantonites, kus seda kasutatakse, polnud kasutusel viga sisaldanud versioon. Viga parandati ning vea avastanud ekspertide sõnul polnud mingeid märke sellest, et vea näol oleks olnud tegu kellegi tahtliku tegevusega.
Täpsemalt leidsid eksperdid Šveitsi postiteenusele toodetud süsteemist nn tagaukse, mille kaudu oli võimalik keelatud ligipääs arvutile nii, et küberturvalisuse jaoks olulisest rakendusest sai mööda minna. Tagauks asus lähtekoodi selles osas, mille eesmärgiks oli tagada, et süsteemis näha olevad hääled on need samad hääled, mille valijad andsid.
Sisuliselt tähendas viga, et osutus võimalikuks vahetada kõik antud hääled ning võltsida e-hääletuse tulemust täies mahus ilma, et keegi seda õigel ajal märkaks.
Muret tekitav on ka asjaolu, et Šveitsi postiettevõte oli teinud süsteemile kolm ametlikku auditit, mille viis läbi konsultatsioonifirma KMPG. Viga avastati alles siis, kui postiettevõte kuulutas välja avaliku nn bug bounty võistluse võimalike vigade leidmiseks.
Vea avastasid Kanadas tegutsev organisatsioon Open Privacy ning Belgia Louvaini ülikooli ja Austraalia Melbourne'i ülikooli teadlased.
Open Privacy juht Sarah Jamie Lewis märkis, et juhtum tekitab palju küsimusi ametlike auditite kvaliteedi kohta. "Miks nii mitmed varasemad auditid, et suutnud leida seda, mille meie leidsime? Mis oleks juhtunud, kui meie poleks seda leidnud?" küsis ta.
Süsteemi ehitas Šveitsi postiettevõttele Hispaania firma Scytl. Postifirma teisipäevase pressiteate kohaselt parandas Scytl lähtekoodi koheselt.
Tähelepanuväärne on aga see, et erinevaid elektroonilisi hääletussüsteeme on sama firma teinud umbes 20 riigis - lisaks Šveitsile ka näiteks USA-s, Mehhikos, Prantsusmaal, Norras, Austrias ja Indias.
Toimetaja: Laur Viirand