“On viimane aeg suhtuda sellesse äärmise tõsidusega. Auditi eesmärgiks on saada rahvusvaheliselt tunnustatud audiitorite ja infoturbespetsialistide põhjendatud hinnang valimiste infosüsteemide turvalisusele ja ka parandusettepanekud turvalisuse tõstmiseks,” lisas Siem.
Tellitava töö käigus tuleb anda hinnang kehtivatele valimiste infosüsteeme käsitlevatele seadusandlikele aktidele, valimiste protseduuridele ning tehnilisele keskkonnale. Hindamisel tuleb võtta aluseks olemasoleva dokumentatsiooni asjakohasus ja piisavus ning reaalselt rakendatud infoturbe meetmed.
Hanke võitjal tuleb hinnata kõigi valimistega seotud protsesside turvalisust terviklikult ning analüüsida nii e-hääletuse süsteemi (EHS) kui valimiste infosüsteemi (VIS3) lähtekoodi. Koodianalüüsi eesmärk on tuvastada võimalike nõrkuste koht ja tüüp ja pakkuda välja ka parandusettepanekud. Samuti tuleb läbi viia infosüsteemide ja protsesside turvatestimised (sissemurdmistest RED-teaming).
Pole erakordne meede
Riigi küberturvalisuse juhi Raul Rikki sõnul ei ole sellise tervikliku turvaauditi läbiviimine erakordne meede, vaid mõistlik viis keerulise süsteemi turvalisuse tagamiseks.
„E-valimised on meie digiriigi kroonijuveel, mille usaldusväärsust on vaja tagada parimal võimalikul tasemel. Audit on selleks vajalik tööriist, mis annab tervikliku ülevaate süsteemide turbemeetmetest ning toob välja ka ettepanekud, kuidas neid veelgi parandada,“ ütles Rikk.
IKT asekantsler Siim Sikkuti kinnitusel on rahvusvaheline audit vaid üks osa e-valimiste turvalisuse tagamisest. Tema sõnul on MKM, Riigi Infosüsteemi Ameti ja riigi valimisteenistuse koostöös tegemisel erinevad arendused: valimiste infosüsteemile ja elektroonilise hääletamise süsteemi arendamine, valimiste veebilehe ja riskianalüüside uuendamine, küberruumi seire, juhendite ja infomaterjalide värskendamine, valimiste vaadeldavuse parandamine ja muu.
Tööd peavad läbi viima küberturvalisuse valdkonnas rahvusvaheliselt tunnustatud audiitorid koostöös pädevate spetsialistidega. Siemi sõnul on oluline, et audit ja turvatestimised valmiksid piisava ajavaruga enne järgmisi valimisi, et võimalikud parandused jõuaks ka ellu viia. Projekti lõpparuande esitamise tähtajaks on 1. oktoober 2021.