Ettepanek
Käesoleva algatusega soovime:
- Et riigikogu arutaks läbi ning otsustaks, kuidas viiakse e-hääletuse süsteem vastavusse otsast lõpuni kontrollitavuse nõuetele
- Huvigruppe kaasavat ja rahvusvahelisele üldsusele avatud arutelu Eesti e-hääletuse uuenduste üle
- E-hääletamisele seatavate nõuete ühemõttelist seadusandlikku määratlemist ning poliitilise vastutuse võtmist riigikogu poolt
Probleemid
Tänaseks pole suudetud ellu viia 2001. aastal eesmärgiks seatud kontrollitavuse nõudeid e-hääletusele ning järjekindlalt on eiratud vastavat kriitikat välisekspertide poolt. Rohkem kui kümne aasta jooksul pole suudetud luua valimiskomisjoni juurde laiapõhjalist töörühma, mis suudaks arutada läbi e-hääletuse küsimused piisaval teoreetilisel tasemel ning teha nende sisu selgeks ka riigikogule ja üldsusele, kes e-hääletuse küsimuses jätkuvalt lõhestunud on.Eesti e-hääletust on kritiseerinud paljud rahvusvaheliselt tunnustatud organisatsioonid: Euroopa Julgeoleku- ja Koostööorganisatsioon (OSCE), Rahvusvaheline Hääletusüsteemide Sihtasutus (IFES), Euroopa Vaba Tarkvara Fond (FSFE). Lisaks sellele mitmed väliseksperdid: Jason Kitcat (Open Rights Group, UK), J. Alex Halderman (Michigani Ülikooli abiprofessor), Harri Hursti (legendaarne Soome internetiturvalisuse ekspert), Margaret MacAlpine (USA e-valimiste nõustaja).
Ei piisa väitest, et e-hääletus on nii keeruline teema, et selle arutamise peab jätma paari erialaspetsialisti ülesandeks ning teistel ei jää üle muud, kui neid lihsalt uskuda. Soovi korral on ka keerulised teemad võimalik üldsusele nii lahti seletada, et rohkem spetsialiste suudaksid jälgida süsteemi turvalisust.
E-hääletuse süsteem arutati riigikogus läbi enne sellega alustamist 2005. aastal ja 2011. aastal loodi e-hääletamise töörühm kontrollitavuse arutamiseks. Need arutelud kahjuks rahuldavate lahendusteni ei viinud. Praeguseks on tehnoloogia läbinud arenguhüppe — suurenenud on rünnete oht infosüsteemidele ning lahenduse leidmine on muutunud hädavajalikuks.
Individuaalne ja universaalne kontroll
Individuaalse ja universaalse kontrolli mehhanismid koos tagavad e-hääletuse süsteemi vastavuse otsast lõpuni kontrollitavuse nõuetele:- Hääle individuaalse kontrolli mehhanism peab tagama igale valijale võimaluse veenduda, et tema hääl anti, võeti vastu, talletati ning läks lugemisele vastavalt valija algsele tahteavaldusele.
- Hääle universaalse kontrolli mehhanism peab tagama kõigile valijatele ning valimiste vaatlejatele võimaluse isiklikult veenduda, et valijate hääled loeti kokku korrektselt.
Need kontrolli mehhanismid on määratletud e-hääletuse lähteuuringutes, rahvusvaheliste organisatsioonide soovitustes ning teaduskirjanduses.
Algatuse autorid: Märt Põder, Teilo T. London
Anna oma allkiri, kui sinu jaoks on oluline, et e-hääletus oleks õiglane ja kontrollitav!
JÄRGNEV TEKST ON RIIGIKOGULE LUGEMISEKS:
Põhjendus
E-hääletuse uue süsteemi arendamisega [1] plaaniti viia selle tarkvara 2017. aasta KOV valimisteks vastavusse otsast lõpuni kontrollitavuse (ingl k end-to-end verifiability) nõuetega [2], mis seati e-hääletuse jaoks kriteeriumiks juba 2001. aasta lähteuuringutes ning mille eesmärgiks on tagada vabade valimiste põhimõtete järgimine e-valimistel [3].Siiski on 2019. aasta Riigikogu valimiste ajaks selgunud, et valimiskomisjoni loodud lahendusega on tõsiseid probleeme ning see ei vasta tunnustatud standarditele.
Kontrollitavuse kriteeriumide rakendamist alustati 2013. aasta e-hääletuse täiendustega, millega sooviti realiseerida hääle individuaalne kontroll [4]. Universaalse kontrolli piloteerimise järel 2017. aasta KOV valimistel pidi 2019. aasta Riigikogu valimisteks olema süsteem vastavusse viidud otsast lõpuni kontrollitavuse nõuetaga.
Otsast lõpuni kontrollitavuse rakendamine on olnud OSCE/ODIHR valimisvaatlejate soovitustest olulisim e-hääletuse arhitektuuri ning õiguslikke aluseid puudutav soovitus [5], mille nad esitasid 2011. aastal. Kontrollitavuse tagamine on oodanud oma aega juba e-hääletuse lähteuuringutest saadik 2001. aastal [6], see kajastus e-hääletuse tehnilises dokumentatsioonis kuni 2003. aastani [7] ning selle puudumist on seejärel aastate jooksul rõhutanud eri sõltumatud väliseksperdid [8]. Valimisvaatlejad ise andsid 2015. aasta riigikogu valimiste järel tagasiside, et kontrollitavusega on muudatuste raames tegeldud ainult “osaliselt” [9], kuigi põhiseaduskomisjoni poolt kinnitati 2012. aastal riigikogus, et soovitustest “arvestati peaaegu kõike, mis puudutas elektroonilist hääletust” [10]. Riigikogu pole seega teinud otsust otsast lõpuni kontrollitavuse rakendamiseks, andnud ette suuniseid, missugustest põhimõtetest lähtuvalt seda teha ega ole võtnud seega ka vastutust protsessi eest.
Võib vaielda, kas algelise ja lihtsa e-hääletuse süsteemi eelistamine pärast 2003. aastat oli õigustatud või kes selle eest tagantjärele vastutab, kuid hetkel on oluline, et kui nüüd lõpuks on valmisolek viia e-hääletus vastavusse välisekspertide ja -organisatsioonide soovituste ning vabade valimiste põhimõtetega, siis tehtaks seda õigesti ning me ei seo end taas järgmiseks kümneks aastaks ebarahuldava lahendusega.
[1] http://www.vvk.ee/uudised/cybernetica-as-uuendab-elektroonilise-haaletamise-susteemi, https://riigihanked.riik.ee/register/hange/171780, http://vvk.ee/public/EHS/IVXV-UK-0.99-est.pdf
[2] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[3] https://et.wikipedia.org/wiki/Otsast_lõpuni_kontrollitavus
[4] https://www.riigikogu.ee/tegevus/eelnoud/eelnou/abc6bd69-0c8f-4012-8616-9277a7cbfec8/Riigikogu valimise seaduse ja teiste seaduste muutmise seadus
[5] http://www.osce.org/odihr/77557
[6] http://vvk.ee/public/dok/lipmaamyrk.pdf
[7] http://vvk.ee/public/dok/Kontsept-03.pdf
[8] http://boamaod.github.io/blog/2015/03/30/rohkem-kryptot-v2hem-usaldust/
[9] http://www.osce.org/odihr/elections/estonia/160131
[10] http://stenogrammid.riigikogu.ee/et/201205081000#PKP-10289
Probleemid arusaamaga kontrollitavusest
- Uue e-hääletuse süsteemi spetsifikatsioon [1] lähtub kitsast otsast lõpuni kontrollitavuse määratlusest [2] ning kitsendab seda omakorda veelgi. Selle tulemusel ei pruugi loodav lahendus vastata otsast lõpuni kontrollitavuse nõuetele [3] ning Eesti e-hääletus võib jääda jätkuvalt rahvusvahelise tunnustuseta. Kuigi kontrollitavuse kitsale määratlusele vastavad süsteemid võivad sobida kasutamiseks ettevõtetes vmt organisatsioonides, ei pruugi need vastata vabade valimiste nõuetele demokraatlikes riikides.
- Uue süsteemi spetsifikatsiooni järgi saab valija hääle individuaalse kontrolli mehhanismi abil endiselt veenduda ainult tahteavalduse soovikohases talletamises, aga mitte selle lugemisele minemises vastavalt algsele tahteavaldusele. See ei vasta käibivale arusaamale individuaalsest kontrollitavusest ning võib tekitada olukorra, kus universaalse kontrollitavuse rakendamisel ei ole hääle individuaalse kontrolli mehhanismi puuduste tõttu täidetud e-valimiste otsast lõpuni kontrollitavuse nõuded.
- Hääle individuaalse kontrolli mehhanism avaldab valija tahteavalduse sisu. 2012. aastal riigikogu otsusega kasutusele võetud lahendus võib teha takistuse süsteemi vastavusse viimisele otsast lõpuni kontrollitavuse nõuetega, sest ei võimalda hääle individuaalse kontrolli laiendamist häälte kokkulugemise momendini.
- Häälte kokkulugemise universaalne kontroll on plaanitava süsteemi spetsifikatsiooni järgi avatud ainult andmeaudiitorile, mis on vastuolus käibivate otsast lõpuni kontrollitavuse määratlustega teaduskirjanduses [5] ning ambivalentses seoses e-hääletuse riigihanke ning e-hääletuse süsteemi uue raamistiku üldkirjeldusega [6]. Ka on vastuoluline informatsioon sellest, kas universaalse kontrollitavuse mehhanism valmib 2017. aasta KOV valimisteks ning kas selle selle kasutamine on uues süsteemis nõutud või ainult valikuline [7].
[1] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[2] https://www.usenix.org/legacy/event/evtwote10/tech/full_papers/Popoveniuc.pdf
[3] https://et.wikipedia.org/wiki/Otsast_lõpuni_kontrollitavus
[4] http://www.vvk.ee/public/otsused/2013/Mis_on_haale_kontrollimine.pdf
[5] https://arxiv.org/abs/1504.03778, https://eprint.iacr.org/2016/287.pdf
[6] http://vvk.ee/public/EHS/IVXV-UK-0.99-est.pdf
[7] http://epl.delfi.ee/news/eesti/halva-onne-korral-voivad-e-valimised-toimuda-12-aasta-vanuse-tarkvaraga?id=77579756, http://www.pealinn.ee/tagid/koik/it-eksperdid-ulistatud-e-haaletusest-valijate-haali-saab-voltsida-n191310, http://p6drad-teel.net/~p6der/20170418-heiberg-ut-en.pdf
Probleemid protsessiga, sh läbipaistvuse ja vastutusega
- Riigikogu ja selle põhiseaduskomisjon pole arutanud otsast lõpuni kontrollitavuse küsimusi ega võtnud vastu otsust plaanitava lahenduse kasuks. E-hääletuse süsteemi eest otsustamise on ilma poliitilist vastutust kandmata võtnud enda peale elektroonilise hääletuse komisjon, mille mantlipärijaks peaks 2017. aastast olema riigi valimisteenistus, kuid mille seotusest e-hääletuse süsteemi kavandamisega puudub avalikult kättesaadav teave.
- Vastupidiselt kodanikuühiskonna nõudmistele protsessi mh rahvusavahelise üldsusele avamiseks ja OSCE/ODIHR valimisvaatlejate 2011. aasta ettepanekule “moodustada avatud töörühm, et kaaluda võimalust võtta kasutusele kontrollitav internetihääletus” [1] on süsteemi uuendusi ametlikult, aga ilma protsessi dokumenteerimata arutatud elektroonilise hääletamise komisjoni suletud ringis, riigikogu ega selle komisjone ei ole kaasatud, uuenduste üle puudub avalik ja parlamentaarne debatt.
- Kuigi võib nentida, et riigikogu ega selle komisjonid pole suutnud teha endale piisaval tasemel selgeks e-hääletuse tehnilisi ega õiguslikke küsimusi, siiski on arutelud seadusandja tasemel tähendanud parlamentaarse vastutuse võtmist olulise muudatuse eest valimisõigusse. Kuna otsast lõpuni kontrollitavuse küsimused on olnud probleemide allikaks juba 2001. aasta lähteuuringutest ja 2003. aasta tehnilistest dokumentidest saadik [2] ning on siiani vastuolude allikaks, siis ei saa pidada e-hääletuse süsteemi uuendusi triviaalseks küsimuseks, mida delegeerida poliitilist vastutust võtmata e-hääletuse komisjonile või valimisteenistusele.
- Elektroonilise hääletamise komisjonis toimunud arutelud pole olnud läbipaisvad, avalikkusele pole teada arutelude sisu, osalejad ega nende avaldatud seisukohad, ka puudub avalikkusel informatsioon sellest, mis on tehtud valikute põhjused, mh on valimiskomisjoni veebist kadunud elektroonilise hääletamise komisjoni lehekülg [3], kus olid toodud komisjoni protokollid aprillini 2015, mis siiski ei kajastanud arutelusid e-hääletuse süsteemi uuenduste üle.
- Põhiseaduskomisjoni juurde 2011. aastal loodud e-hääletamise töörühma protokollid, töörühmale ja põhiseaduskomisjonile esitatud eksperdihinnangud [4] jm materjalid ning töörühma aruanne [5] pole avalikud. See on seni ainuke ametlik töörühm, mis on teadaolevalt arutanud e-hääle kontrollimise mehhanisme ja töörühma tegevusest saab aimu ainult pressimaterjalidest ning riigikogu stenogrammidest. Avalikes materjalides ei kajastu, et oleks arutatud otsast lõpuni kontrollitavuse küsimusi või kaalutud eri lahendusi hääle individuaalse kontrolli mehhanismide või häälte kokkulugemise universaalse kontrolli jaoks.
[1] http://www.osce.org/odihr/77557
[2] http://vvk.ee/public/dok/lipmaamyrk.pdf, http://vvk.ee/public/dok/Kontsept-03.pdf, https://helger.wordpress.com/2011/03/05/paper-voted-and-why-i-did-so/
[3] http://web.archive.org/web/20161110013526/http://www.vvk.ee/valimiste-korraldamine/elektroonilise-haaletamise-komisjon/
[4] https://www.riigikogu.ee/download/cfe3b465-57ea-4853-b40b-1c5250f738b2, http://stenogrammid.riigikogu.ee/et/201304251000#PKP-12881, https://www.riigikogu.ee/download/c79e1805-8354-4dd0-a8db-ddfa792c8e60
[5] http://www.vvk.ee/uudised/valmis-elektroonilise-haaletamise-tooruhma-aruanne/
Puudub terviklik analüüs e-hääletuse vastavuse üle vabade valimiste põhimõtetele
- Kuigi otsast lõpuni kontrollitavus on abistav kontseptsioon, millega kirjeldatakse vabade valimiste põhimõtete ülekandmist digitaalsesse keskkonda [1] ning see on aluseks võetud ka e-hääletuse süsteemi uuendamisel [2], siiski ei lahenda see kõiki e-hääletuse õiguslikke ja tehnilisi küsimusi. See ei ole küll otseselt käesoleva petitsiooni fookus, aga väärib siiski tähelepanu, et senini puudub terviklik analüüs e-hääletuse vastavuse üle vabade valimiste põhimõtetele seadusandlikku järelevalvet teostava institutsiooni poolt.
- Riigikohus on küll arutanud hääle salajasuse põhimõtet aga ainult valimissunni aspektist ega ole sj arutanud valija tahteavalduse salajasuse passiivse rikkumise aspekti. Riigikohus on küll arutanud e-hääletuse ühetaolisuse põhimõtet, aga ainult valimiste perioodi aspektist ega ole sj arutanud valija õigust ühetaolistele garantiidele häälte kokkulugemisel ja valimiste vaatlemisel. [3]
- Õiguskantsler on küll 2011. aastal kinnitanud riigikohtu seniste otsuste korrektsust, aga jättis põhiseaduspärasuse tervikuna analüüsimata, kuigi avaldas lootust, et e-hääletuse küsimused lahendatakse tulevikus põhiseaduspäraselt: “Tehnilise lahenduse probleemid, mis vajavad lahendamist, ei tähenda veel automaatselt, et e-hääletamise idee ei ole üldse põhiseaduspäraselt teostatav.” [4]
- E-hääletuse turvaanalüüsides märgitakse paljud potentsiaalsed riived vabade valimiste põhimõtetele “aktsepteerimist vajavateks riskideks”, kuid need tähelepanekud on jäänud tehnilistesse dokumentidesse [5] ega ole viinud avalike aruteludeni sellest, mida võiks nende riivete kompenseerimiseks teha õiguslike jm vahenditega.
[2] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[3] http://www.nc.ee/?id=11&tekst=RK/3-4-1-13-05
[4] http://stenogrammid.riigikogu.ee/201106131500#PKP-8652
[5] http://www.vvk.ee/public/dok/EH-02-02_2011-01-13.pdf
Valimissüsteemi alused peavad olema kõigile üheselt mõistetavad ja valimiste korraldus läbipaistev
Usaldust e-hääletuse vastu saab luua kampaania korras, aga sellel on piirid. Valimised on demokraatliku ühiskonnakorralduse alusprotsess, mille korrektsusele, arusaadavusele ja läbipaistvusele on nii avalikkusel kui valimistel konkureerivatel osapooltel õigustatud ootus. Kui aga seda ootust sisuliselt ei täideta, siis hakkab kampaania usaldust õõnestama. [1]Valimistel võimu nimel konkureerivad jõud saavad tunnistada edu saavutanute legitiimsust vaid juhul, kui nad on veendunud, et kõigil olid selles protsessis võrdsed võimalused. Seesama on eelduseks ka valijate ja valimiste vaatlejate usaldusele demokraatliku protsessi vastu. Valimissüsteemi alused peavad olema kõigile üheselt mõistetavad, valimiste korraldus läbipaistev ning rikkumiste ja manipulatsiooni esinemine ühemõtteliselt tuvastatav. Nii on ka praegune valitsus koalitsioonileppes lubanud asuda seda usaldust tagama: “Tagame e-hääletamise turvalisuse ja läbipaistvuse.” [2]
Kui väita, et e-hääletus on nii keeruline teema, et selle arutamise peab jätma paari erialaspetsialisti ülesandeks ning teistel ei jää üle muud, kui neid lihsalt uskuda, siis see pole viis, kuidas tagada usaldust demokraatia alusprotsesside vastu ning kehtestada ühiskondlikke baaskokkuleppeid. Seetõttu on demokraatia proovikiviks, kas vähemalt riigi kõrgeim valitud esinduskogu suudab omavahel selgeks rääkida e-hääletuse põhimõttelised küsimused ning teha informeeritud ning ühiselt läbitunnetatud otsuse, et valitud põhimõtted ning nende baasil loodud süsteem on õiglane ja tagab kõigile valimistel osalejatele konkureerimiseks võrdsed võimalused.
Püüe meelitada kodanikke kampaania korras usaldama hääletusmehhanismi, mille põhimõtteid ei suuda endale selgeks teha ning läbi arutada isegi mitte riigikogu, on täiesti vastuvõetamatu!
[1] http://www.ohtuleht.ee/665537/mart-poder-kohustus-usaldada-e-haaletust
[2] https://valitsus.ee/sites/default/files/content-editors/arengukavad/eesti_keskerakonna_sotsiaaldemokraatliku_erakonna_ning_isamaa_ja_res_publica_liidu_valitsusliidu_aluspohimotted_2016-2019.pdf
Autorid: Märt Põder, Teilo T. London
Kõige kriitilisem koht on häälte lugemine
Enda antud hääle kontrollisüsteem on olemas. Seal pole midagi täiendada. Ohtlik must kast, kus võib erinevaid hookus-pookuseid korraldada, on häälte kokkulugemise protsessis. Seda saab teha nii osava programmi mutsimisega mõne rea ulatuses, arvutisse mõjutava mikrolutika paigaldamisega. Mõlemate avastamine on võimalik, aga väga vähetõenõoline. Piisab sellest, kui kokkulugemisel "rahvavaenlaste" erakondadele antud häältest arvatakse maha 10% ja suunatakse see "õigele" erakonnale. Võimalik on ka testsüsteemide kuritarvitamine täiendavaks hääletamiseks, aga sedakaudu on võimalikud mutsimised väiksemad. Kokkulugemissüsteemi saaks usaldusväärseks muuta, kui kasutada sõltumatuid häälte lugemise programme. Aga ka nendesse saab "sõltumatult" paigutada mikromiine. Nii et anonüümsete häälte lugemissüsteemi ei saa turvaliseks muuta.
Anonüümsed e-valimised tuleb lõpetada. Neid ei saa usaldusväärseks muuta.