TANEL TAMMET: Kodanikud, võltsingud ja zombid
Eesti on üks esimesi riike, mis kasutab säärast võimalust. E-valimiste võimaldamisel on ühest küljest väike tähtsus, sest sarnane meetod – kirja teel hääletamine – on meil juba olemas, samuti võib avata, et e-hääletajaid on esialgu päris vähe. Samas on e-valimised valla päästnud mitme erakonna turmtule ja toonud kaasa presidendi lüüasaamise riigikohtus.
Ma ei usu hästi, et e-valimisi ründavad erakonnad ja poliitikud on sisuliselt mures nende valimiste turvalisuse pärast. Pigem paistab välja hirm, et perspektiivis võivad e-valimised suurendada nimelt noorema valijaskonna aktiivsust.
Ohud nagu ohud ikka
Kuid mitte ainult selles pole asi. E-valimiste edukas toimumine tekitab varsti mõtte mõne Sveitsi otsedemokraatia põhimõtte rakendamisest Eestis: e- ja posti teel hääletamise kaudu oleks suhteliselt lihtne ja odav korraldada paar korda aastas rahvaküsitlusi, mis nii otse kui ka kaude kärbiksid poliitikute võimu asju omapäi otsustada. Kas ehitada miljard krooni maksev maja või ei? Kui suur protsent eelarvest suunata teedeehitusse? Sveitsis otsustavad inimesed regulaarselt kohalike omavalituste suuremaid rahakulutusi. Korruptsioonile ja jõumeetoditele altid poliitikud kannataksid tegeliku demokraatia süvendamisest kõige enam.
Valimiste puhul ei tule vaadata glamuurset lõputseremooniat ja kogutud sildikeste hoolast kokkulugemist, vaid vähem silmapaistvat ettevalmistustööd.
Mis on tavavalimiste reaalne turvarisk? Kuidas riik üldse teab, kes on tema kodanikud ja kes seega tohivad hääletada? Kodanikkonna registrit ehk rahvastikuregistrit hoitakse riigi omanduses oleva AS-i Andmevara serverites. Täpset, regulaarset, sõltumatut kontrolli selle registri täitmise ja muutuste üle ei toimu.
Põhimõtteliselt saaksid Andmevara töötajad lisada kodanike registrisse täiendavaid libakodanikke, kes siis satuksid hääletamisnimekirjadesse ja kelle nimel äraostetud tegelased saaksid hääli kasti lasta. Kes valmistab ette hääletajate nimekirjad, mis suunatakse valimisjaoskondadesse? Seesama Andmevara. Kas kogu see protsess on üldse kergesti jälgitav? Muidugi ei ole.
Arusaadavalt ei ole mul mingit põhjust kahtlustada Andmevara kahtlastes sobingutes. Samas tuleb nentida, et pahatahtlikkuse korral oleks sedasama rahvastikuregistrit reaalselt võimalik ära kasutada valimiste võltsimiseks. Eesti riiklikke registreid on varemgi kasutatud massilisteks pettusteks.
Mida veel karta?
Tavavalimiste ebaausa mõjutamise võimalusi on palju, häälte ostmisest otsese šantaaini välja. Nende kõrval ei paista e-valimiste turvaküsimused enam erilised ja heidutavad. Juba esitatud ohtusid üle kordamata olgu märgitud, et piisavalt turvalisi ja mugavaid e-valimisi õnnestub praegusaja tehnoloogia abil korraldada ainult juhul, kui kodanikel on elektroonilised ID-kaardid. Eestis – küllalt haruldase erandina maailma riikide seas – on ühetaoline elektrooniline ID-kaart olemas. Kuid rünnak tuleb sealt, kust seda kõige vähem oodatakse.
Viimaste aastate põhimeetod suurte internetisüsteemide – pangad, telekomid, suurfirmad – ründamiseks on firma veebisaidi ja serverite lihtne ummistamine. Kümnete tuhandete arvutite pidev internetipanga pommitamine erisuguste harilike, legaalsete internetipäringutega kurnab internetipanga serverid ja internetiühendused hetkega välja ning süsteem lakkab sisuliselt töötamast. Rünnaku põhimõte on tihtipeale väga lihtne. Keeruline on küsimus, kuidas saada enda kontrolli alla kümneid tuhandeid arvuteid ja panna nad kõik tegema seda, mida sina tahad. Meetod selleks on arvutite nakatamine viiruste ja muu kuritahtliku tarkvaraga, mis jääb vaikselt ootele, kuni talle saadetakse võrgu kaudu aktiveerimiskäsk. Seepeale asub tarkvara ründama talle ettenäidatud servereid. Märgataval protsendil selle artikli lugejatest ootab selline kuritarkvara koduarvutis vaikselt oma hetke.
Selliseid suuri kogumeid kuritarkvaraga nakatatud arvuteid nimetatakese botnettideks (n-ö zombide kett).
Kuritegelikus maailmas on botnetid ja botneti rünnakud kaup, mida saab raha eest osta. Jah, ka sina, kallis lugeja, saad teatud pingutustega leida isiku, kes müüb sulle mingi summa eest botneti või lihtsalt korraldab tellimuse peale ummistusrünnaku. Enamasti tehakse sääraseid rünnakuid kas väljapressimiseks või konkurendi kahjustamiseks.
Samasuguse rünnaku alla võib langeda ka e-valimiste veebiserver. Olukord ei ole muidugi lootusetu. Botnettide rünnakuid on võimalik tagasi tõrjuda, sulgedes mõned internetikanalid, pannes teistele filtrid, tungides algallikateni jne. Kaitsemeeskond on ette valmistatud ka Eesti e-valimiste tarvis ning ma ei usu, et keegi suudaks e-valimiste serverit blokeerida kauemaks kui tunniks-paariks. Kuna valimiste takistamine on seaduse järgi ühemõtteliselt kuritegu, siis on rünnakute korraldamine päris riskantne.
Tanel Tammet, TTÜ võrgutarkvara professor