Anto Veldre: Mobiilihääletamine saab tulla ainult üle minu laiba

Anto Veldre. Foto: Erik Prozes/PM/Scanpix

Pole saladus, et nutivalimise ärategemine iga hinna eest on pikalt olnud ühe konkreetse poliitilise partei programmis. Tegemist on ühega neist parteidest, kelle elektoraati pole ma eales kuulunud.

Mobiil-ID koidikul, aastal 2008, analüüsis m-ID turvalisust professor Jaak Tepandi. Tema järelduseks oli, et (professor jättis ütlemata – poliitilise eelduse kohaselt) on ID-kaart ja m-ID turvalisuselt samaväärsed.

Tepandi analüüsist eksisteerib kaks versiooni – üks avalikult kättesaadav, kust kriitilised lõigud on välja tsenseeritud ning teine, kättesaadav üksnes priviligeeritud isikutele, kus neid kriitilisi tingimusi analüüsitakse põhjalikumalt.

Aastal 2008 puudus majandus- ja kommunikatsiooniministeeriumil veel käeline oskus ebameeldivat turvainfot riigisaladuse kohvrisse peita, sestap ei kanna see riigisaladuse pitserit, ent huvitatutel puudub sellele ligipääs sellegipoolest.

Foto: Peeter Langovits / Postimees / Scanpix Baltics

Eraldi huvitav on teema, et kuidas tarkvaratoodete turvalisust üldse tagada. Ma siiralt usun, kui mõne disainiobjekti kasutajaskond jääb alla 100 000 inimese, siis pole turvalisusest mõtet tõsisemalt rääkida, alles sellest latist on tagasiside piisav ja vead hakkavad välja tulema.

Paraku enamik tootjaid ei saa endale säärast otsekohesust lubada, mistõttu turvalisuse meem pigem sisustatakse alternatiivsete vahenditega.

Üks põhjuseid, miks m-ID tuleb enne kasutamist ID-kaardiga aktiveerida, seisneb just ID-kaardi ja m-ID erinevas turvatasemes. Kui suur on erinevus täpsemalt, on küll uuritud, ent liiga pealispindselt.

On teada, et mõned pangad on probleemi analüüsinud ka iseseisvalt ning sisemiseks riskihalduseks kehtestanud erinevatele identiteedikandjatele erinevad riskitasemed,  mis on praktilises riskihalduses igati normaalne samm.

Vaikiv kokkulepe

Siiski on seni Eesti eID ökosüsteemis valitsenud vaikiv kokkulepe, et neist erinevustest avalikult ei räägita ning jäetakse riigile tema nägu vastavalt professor Tepandi 2008. aasta teoloogilisele väitele. Nutivalimise peatse tulekuga see tasakaal kahjuks laguneb koost.

Millalgi väga ammu käis koos e-hääletuse turvakontseptsiooni arutav küberturblaste seltskond. Pika töö tulemusel väljastati riske analüüsiv dokument. Seda dokumenti lugedes on detailideni ilmne, et “hääletaja keskkonna” all mõistetakse üheselt arvutit ja üldsegi mitte nutiseadet.

Samas ei maksaks ka paanikasse langeda, sest m-ID puhul pruugitakse lihtsalt pisut teistsugust tehnoloogiat, mistõttu riskid on (ja peavadki olema) teistsugused. Kui just on vaja verist näidet, siis vältimaks märkimisväärse hulga SMS-teadete vahetamist serveri ja otspunkti vahel on tehniliselt vägagi mõttekas sooritada allkirjastamine hoopis serveri poolel.

Paraku e-hääletuse kontekstis ei kõla erakapitalil põhineva mobiilteenusepakkuja kontrolli all olev taristu ja allkirjastamisserver just ülearu hästi kokku. Lahendused on vaieldamatult olemas, ent teadmata on sääraste lahenduste ulatus ja hind.

Mobiil-ID-d e-hääletusega suhtestades tehakse sageli kaabutrikk. Öeldes, et aga me ju juba kasutame valimisteks mobiil-ID-d. Seejuures unustatakse tõsiasi, et toimetatakse ikkagi vaid suures arvutis, nutifööni roll on taandatud kaardilugejana talitlemisele.

Tänane uus kaabutrikk tehakse väitega, et kui erinevuseks ongi vaid platvorm (näiteks PC vs Android), siis tuleb lihtsalt analüüsida nutiseadmete turvat ning see ometi on ju aegade jooksul üha paranenud?!

Hääletajad on puuris

Rääkimata jäetakse oluline erinevus, et kui suure arvuti puhul on teenindav taristu talutavalt läbipaistev ja selle kuuluvus jaotub erinevate poliitiliste toimijate vahel talutavalt ühtlaselt, siis mobiilse taristu puhul puudub kasutajal puurist väljarabelemise võimalus üldse (kui selleks mitte pidada kodust ebaturvalist wifit).

Olen sel teemal ammendavalt kirjutanud siin. Lugeda tasub peatükke “Kasutusmalli G turvakriitika” ja “Edasised perspektiivid”.

Mind häirib, et iseseisva nutiseadme abil hääletamist ei ole alustatud kohast, kus me eelmisel korral toppama jäime ehk professor Tepandi (täielikust) analüüsist. Selle asemel on sooritatud kuulaja teleportatsioon mingisse uude paika ja konstrueeritud alternatiivne reaalsus. No te ju kõik iga päev pruugite mobiiltelefone ja ju need riistad siis ikka on piisavalt turvalised.

Tegelik tõde on, et enne e-hääletamist nutipudina või külmkapi abil tuleb “kasutusviisile G” siiski teha turvaaudit ning olla ühtlasi valmis ka poliitiliselt ebasobivaks tulemuseks, missugune valmisolek aga on täna selgelt puudu, näha on vaid 110% edule orienteeritust.

Lisaks tuleb arvestada, et kogu poliitiline ja tehniline keskkond on möödunud kümne aasta jooksul oluliselt teisenenud. Me ei ole oma arvamustes enam iseseisvad, me peame kuulama ka oma sõprade ja liitlaste arvamusi, kellest osade kogemus valimistehnoloogia(te)ga on oluliselt valulikum kui meie oma.

Foto: Toomas Huik / Postimees / Scanpix Baltics

Me pole iseseisvad ka tehnoloogias. Eesti ei suuda energeetilisest printsiibist lähtudes (GDP, rahvaarv) eales iseseisvalt luua ega pidada tervet hulka e-hääletuseks olulisi alustehnoloogiaid. Selle asemel kasutame me tehnoloogiaid, mida meile sokutavad sõbrad ja liitlased ning milliste puhul, audiitori Aisopose keeles väljendudes, on möödapääsmatu nendega seonduvaid riske aktsepteerida.

Ma olen kindel, et väljast indutseeritud tehnoloogiline reaalsus õnnestub rahulikule elanikule ära selgitada küll ning ta mugavusest ja faktide survel seda ehk ka aktsepteerib. Smart-ID edukäik on säärase suhtumise kõige otsesem kinnitus.

Kas Eesti soovib seda?

Siiski pole ma kindel, kas Eesti soovib või tahab erapooletult analüüsida viimase 10-15 aasta jooksul globaalses IT-ökosüsteemis aset leidnud poliitilisi muudatusi. Tehniliselt oleks alternatiiviks öelda, et ärge põdege, demokraatia on kõigest üks idealistlik lauamäng, aga sellist jultumust Eesti endale poliitiliselt lubada ei saa – sõbrad saaksid infarkti.

On võimalik veel ka kirik-keset-küla kurss. Esmalt realiseerida mobiilseadmete tarbeks näiteks rahvaküsitluse ja rahvahääletuse funktsionaalsused, paraku need ideed ei harmoneeru Eestis viljelevate poliitikasuundadega ja sel juhul kaoks tagant ära ka mobiilivalimisi lükkav huvigrupp koos rahastusskeemiga.

Pole vist saladus, et väikeriigi jaoks on suurte poistega ühe laua taga püsimine päris keeruline – neid esemeid, mida kübersuverääni staatuse säilitamiseks eksportida, pole meil just ülearu palju, sestap ongi tehnilised hääletusplatvormid üsna kindlaks ekspordikandidaadiks.

Ärme lihtsalt tee ära!

Võtame kokku – kogu kaubandusliku efektiivsuse juures polnud ehk eetiliselt sobilik alustada M-hääletamise juurutamist start-up’i maailmas levinud seisukohast, et teeme ära! Kui isegi tegelikku demokraatiat ei eksisteeri, siis võinuks seda õige pisut etendada.

Kindlasti pole sobilik kõrvale heita professor Tepandi omaaegset analüüsi. Tuleb aru saada, et m-ID pruukimine kaardilugejana oligi oluliselt turvalisem kui oleks talle iseseisva poliitilise funktsiooni andmine nutihääletuseks.

Absoluutselt vajalikuks osutub e-hääletuse n-ö turvakomitee taaskordne kokkukutsumine koos kõigi riskide erapooletu analüüsiga (kuivõrd säärane praeguses välispoliitilises olukorras üldse oleks realistlik), kusjuures tulemus peaks kannatama avaldamist ka ilma piiravate konfidentsiaalsusklausliteta.

Arusaadavalt on hoopis kõrgemale tasemele jõudnud ka kvaliteedi- ja usaldusootused, võrreldes aastatega 2003 või 2011.

Olen varem korduvalt öelnud, et mobiilihääletamine saab tulla ainult üle minu laiba. Kuniks protsess ei naase lineaarse ja läbipaistva lähenemise juurde, peab sellega liitumisel ette vaatama tõesti. Eestile kübersuverääni staatust soovivad head inimesed peaksid mõistma, et eetika distsipliinina pigem ei näita kadumise märke ka politiseeritud küberajastul.

Eile ilmus Geeniuses uudis, et M-hääletamine võib kõige varem toimuda 2021. aastal.