Kaimar Karu näotuvastusest e-valimistel: kas eurose riski vähendamiseks on mõistlik kulutada sada eurot?
Kaimar Karu jagas ühismeedias omapoolseid mõtteid. "Esiteks. Nii, nagu e-valimiste usaldamine ei saa olla usu küsimus, ei saa seda olla ka e-valimiste mitteusaldamine. Fundamentalism ei ole aktsepteeritav kummalgi suunal," kirjutas ta.
"Teiseks lähtun ma all olevas tekstis eeldusest, mille kohaselt sooviksime me põhimõtteliselt ka edaspidi kasutada e-valimiste võimalust – eeldusel, et täidetud on mitmed olulised tingimused. Minu järgneval mõttekäigul puudub ühisosa seisukohaga, mille kohaselt on e-valimised a priori väär ning lubamatu," ütles Karu.
"Kolmandaks arvestan ma faktiga, et tänase päeva seisuga ei ole tõendatud Eesti e-valimiste teel või vahendusel läbi viidud valimispettust. Ringleb mitmeid lugusid ning hüpoteese, kuid tõendatud juhtumid puuduvad. Minu mõttekäigul puudub ühisosa süüdistustega, mille kohaselt on valimispettus küll toimunud, kuid seejärel politsei ning kohtute koostöös kinni mätsitud ja kalevi alla maetud," selgitas ta.
Täielikku kindlust ei saagi
"Digilahenduste turvalisuse parendamise võimaluste uurimine on mõistlik ning vajalik. Iga juurutamiseks valitud parendusvõimaluse puhul tuleb kaaluda meetme proportsionaalsust, arvestades turvariski suurust ning meetme rakendamisega seotud kulusid ja keerukust. Ehk siis väga lihtsustatult öeldes tuleb kaaluda, kas €1 riski vähendamiseks on mõistlik kulutada €100. Riskide – olgu need tehnoloogilised või mitte – maandamine on lisaks põhjalikule analüüsile ka kompromisside tegemine. On palju riske, mida pole võimalik 100% välistada."
"Ükski digilahendus pole 100% kräkkimiskindel. Käib pidev töö selle nimel, et uusi riske maandada ning selle nimel, et riski realiseerumisel toimuks nii avastamine kui taastumine, sealhulgas korrigeerimine võimalikult kiiresti. Tehnoloogia areng on kiire ning võidujooks kräkkerite ja ehitajate-kaitsjate vahel on lõputu sprintide jada."
"Üheks digilahenduste turvalisust oluliselt tõstvaks meetodiks on kaheastmelise autentimise sisseviimine, mis nõuab isiku tuvastamist kahel sõltumatul viisil ning muudab kurjategija lubamatu ligipääsu oluliselt keerulisemaks. Paljude tänapäevaste digilahenduste puhul on see soositud ning soovitatud lisaturbelahendus," märkis Karu.
"Esmapilgul võib tunduda, et näotuvastus ongi teine, lisanduv tase e-valimiste turvalisuse täiendamiseks. See oletus ei arvesta aga tõsiasjaga, et Eesti ID-kaart juba kasutab kahetasemelist autentimist – kaarti pole digitaalselt võimalik kasutada ilma PIN-koode teadmata ning PIN-koode pole võimalik kasutada ilma kaarti enda valdusesse saamata. Näotuvastus on Eesti ID-kaardi ja e-valimiste kontekstis kolmanda taseme lisamine."
"Mida turvalisem, seda parem, eksole? Nagu ma juba eelpool põgusalt mainisin, päris nii lihtne see paraku pole. Me peame muuhulgas hindama tehnilist teostatavust, lahenduse maksumust ning kaasnevat ebamugavust ja kõrvutama seda kõike riski suurusega."
"Üks tehnoloogiliselt turvalisemaid lahendusi e-valimiste läbiviimiseks oleks kasutada vaid üht, turvatud ruumis asuvat valimisarvutit, millele pääsevad valijad ligi järjekorra alusel pärast dokumentide ning biomeetriliste andmete (sõrmejäljed pluss silmaiiris pluss südamerütm) kontrolli, kusjuures iga klahvivajutus ning hiireklõps, sealhulgas valimiseelistus, salvestatakse."
"Üks tehnoloogiliselt vähemturvalisi lahendusi oleks see, kus valija tuvastamine käib tubli-poliitik.ee veebisaidil valimishuvilise poolt vabas vormis sisestatud nime ja identiteedi kontrolliks lisatud postiindeksi abil, kusjuures hääli loetakse selle hetkeni, kuni täitub valimisõigusega isikute arv.
Meie eesmärgiks on leida mõistlik, turvaline lahendus kahe sellise äärmusliku lahenduse vahel.
Niisiis, tulles tagasi näotuvastuse juurde."
Kas probleem on olemas?
"Esiteks peame me selgelt sõnastama probleemi, mida püüame lahendada. Sagedamini esinenud arvamusavalduste põhjal võiks probleemi üldine vorm olla stiilis „Püüame vähendada tõenäosust, et kurjategija saaks valimisõigusliku kodaniku ID kaarti omades ning tema salajasi PIN-koode teades anda valimistel hääle selle kodaniku eest (ilma kodaniku teadmata)“."
"Teiseks peame analüüsima probleemi/riski suurust. Kas on tõendatud juhtumeid, kus selline olukord on aset leidnud? Millistel tingimustel on tõenäoline, et selline olukord võib tulevikus aset leida? Kui suurt osa valimisõiguslikest kodanikest see risk puudutab?" küsis Karu.
"Kolmandaks peame kaaluma riski maandamise alternatiivlahendusi. Kas parim lahendus oleks tehnoloogiline – näiteks näotuvastuse lisamine? Või oleks kasu seadusmuudatusest, mille järel tõuseb valimispettuse karistusmäär? Või tuleb tugevdada järelvalvet, et tõsta valimispettuse avastamismäära (tänaselt nullilt)?"
"Iga alternatiivi juures peame analüüsima teostatavuse ja potentsiaalse efekti suurust. Jäädes oma liistude juurde, vaatan ma siinkohal vaid tehnoloogilist lahendust ja piirdun teemas püsimiseks näotuvastusega."
"Esiteks: kas valitud meetod on tehnoloogiliselt rakendatav? Tänasel päeval saab e-valimistel osaleda spetsiaalse arvutiprogrammi abil, mis tuleb valijal enda arvutisse laadida. Mobiiltelefonidelt hääletamine pole võimalik, mistõttu peame arvestama personaalarvutite võimaluste ja piirangutega.
Kui paljudel potentsiaalsetel e-valijatel on arvutis veebikaamera? Kui paljud oskavad või soovivad seda kasutada? Milliste riistvaraliste konfiguratsioonide ning operatsioonisüsteemide versioonidega peab tagama valimisrakenduse töökindluse, arvestades kaameratootjate poolt pakutavate ajurite (i.k. driver) eripärasid, töökindlust ning turvalisust?"
"Teiseks: milliseid arendustöid valitud meetod vajab? Siin tuleb vaadata nii aja- kui rahakulu ning protsesside ja protseduuride poolt. Näotuvastuse puhul räägime me tarkvara arendusest, töökindluse ja turvalisuse testimisest ning järjepidevast hooldamisest – ja sellele kõige maksumusest ja realistlikust ajakavast. Võimalik, et tarvilik on ka seadusemuudatuste sisseviimine. Võimalik, et muuta tuleb valimiste auditeerimise protseduuri. Võimalik, et muuta tuleb mitmeid seotud infosüsteeme."
"Kolmandaks: kas projektina edukalt juurutatud valitud meetod täidaks oma sisulisi eesmärke? Kui sihiks on seatud riski elimineerimine, siis kas see on realiseeritav? Näiteks võib ette kujutada olukorda, kus kurjategija palub (või „palub“) ohvriks valitud hääleõiguslikul kodanikul korraks kaamerasse vaadata ning ühel või teisel põhjusel ohver seda ka teeb. Kui sihiks on seatud riski vähendamine, siis millisel määral (ja kuidas mõõdetavalt) peab see langema, et eesmärk saaks täidetud?"
"Neljandaks: kas valitud meetodi juurutamisega kaasnev efekt on summa summarum positiivne? Iga valimistarkvarasse ning -protseduuridesse lisatud komponent on potentsiaalne turvarisk. Iga muudatusega tekivad nii etteaimatavad kui mitte-etteaimatavad kaasmõjud. Iga protseduuriline ja tehnoloogiline täiendus avaldab positiivset või negatiivset mõju valimisaktiivsusele."
"Parima võimaliku suuna valikul peame ühelt poolt arvestama valimissüsteemi kui terviku keerukusega ning teiselt poolt püüdma eristada valimistega seotud konkreetseid muresid, väljakutseid ning etteheiteid," kirjutas Karu.
"Valimistejärgne häälte hävitamine näiteks pole e-valimiste küsimus, vaid meie valimissüsteemi eripära ning sätestatud Riigikogu valimise seaduse §77-s, kusjuures paberhääli ning elektroonilisi hääli koheldakse sarnaselt. Samamoodi on meie valimissüsteemi eripäraks hääletamise salajasuse printsiip, sätestatud Eesti Vabariigi põhiseaduse §60-s ning §156-s.
Kokkuvõtteks. Näotuvastust e-hääletamisele lisada saaks. Küsimus on selles, kas ka peaks."