Vaatlejate eelraport: hääle salajasus KOV valimistel pole tagatud

Raport on koostatud MTÜ Ausad Valimised poolt lähtuvalt 2025. aasta KOV valimiste elektroonilise hääletuse ettevalmistavate toimingute vaatlemisel osalenud või osaleda soovinud, aga lõpuks osaleda mitte saanud vaatlejate sisendist. Raporti tähelepanekuid on tutvustatud Vabariigi Valimiskomisjonile nende 9. oktoobri koosolekul. Tegu on toimetamata eelraportiga enne elektroonilise hääletuse avamist valijatele 13. oktoobril ning selle järeldused ei pruugi olla lõplikud.

  • Osalemine vaatlejatena elektroonilise hääletuse võtmete loomisel 29. septembril ja proovihääletusel 30. septembril ei tähenda, et valimisvaatlejad kinnitaks nende toimingute või elektroonilise hääletuse õigusraamistiku enda vastavust demokraatlike valimiste põhimõtetele, vaid vaatlejad on osalenud toimingutel pigem puudujääkide dokumenteerimiseks.

  • Riigikohus on 12. detsembril 2023 osutanud, et “vaatlejad mängivad olulist rolli selles, et valimised toimuksid valimispõhimõtteid järgides ja oleksid lõppkokkuvõttes demokraatlikud” ning lisanud, et “seda rolli peaksid vaatlejad saama täita ka elektroonilise hääletamise puhul, mida eelistab aina suurem hulk Eesti valijaid”.

  • ODIHR on käesoleva aasta 18. juuni õigusraportis osutanud, et Riigikohtu lahendites väljendatud põhimõtted “sisuliselt takistavad vaatlejatel e-hääletamise protsessi mõistlikult vaadelda ja keelavad tõhusa õiguskaitse nende väidete puhul, mis käsitlevad eeskirjade rikkumisi ja kohaldatavate eeskirjade põhiseaduslikkuse vaidlustamist”.

  • ODIHR oma õigusraportis läbivalt soovitab kaasata kodanikuühiskonna vaatlejad seadusandluse ja reeglite täiendamisse, tagada valimisvaatlejatele vajalikud ligipääsud valimiste korralduse ja tulemuste kindlakstegemise sammude sisuliseks hindamiseks ning anda vaatlejatele õigus esitada kaebusi avalikes huvides (vt soovitused A, F, H, I ja J).

  • Riigikohtu üldkogu keeldus 3. oktoobri määrusega kaasamast valimisvaatlejate MTÜd vaatlejate õigusi puudutava kaasuse 5-25-7 arutellu menetlusosalise ning seisukoha andjana, kõrvaldades pärast kolme kuud menetlemist MTÜ esindaja väidetava kaebeõiguse puudumise tõttu, kuigi MTÜ oli osaline vaidlusalustes toimingutes ning kohtult korduvalt taotlenud kaasamist.

  • Ainuüksi kuu aja jooksul enne netihääletuse toimingute algust on valimiskomisjon olnud sunnitud tunnistama seadusvastaseks valimiste korraldaja improviseeritud auditiprogrammi (16. septembri otsus nr 45) ja riigikohus tunnistama seadusvastaseks valimiskomisjoni otsuse ja koosoleku, vaatleja mitte lubamise koosolekule, vaatleja eemaldamise koosolekult ning vaatleja ligipääsu piiramise koosoleku salvestisele (kaasused 5-25-24, 5-25-27, 5-25-45, 5-25-47, 5-25-48).

  • Valimisvaatlejate võimalused täita oma seadusele vastavat ülesannet valimiste ettevalmistamise, korraldamise ja tulemuste kindlakstegemise sammude korrektsuses veendumisel on elektroonilise hääletuse puhul äärmiselt piiratud, valimistoimingud ja nende piiratud vaatlemine leidsid aset surve, tõrjumise ja õiguslike tagatiste puudumise olukorras, mis pole kohane küpsele demokraatiale.

Vaatlejate olulisemad tähelepanekud ettevalmistavate toimingute kohta

1. Toimingud ei olnud avalikud

Riigi valimisteenistus (RVT) seaduse järgi “loob avalikult elektrooniliste häälte krüpteerimiseks häälte salastamise võtme ja häälte dekrüpteerimiseks häälte avamise võtme” ja “enne elektroonilise hääletamise algust korraldab riigi valimisteenistus avalikult proovihääletamise”.

Isegi kui eelnevat soovituslikku registreerimist toimingute vaatlemisele võib pidada aktsepteeritavaks, siis nende toimumine Riigikogu konverentsisaalis 29. ja 30. septembril kogunemisajaga hiljemalt kl 9:45 muutis need praktiliselt kättesaamatuks paljudele väljastpoolt Tallinna pärit vaatlejatele, kellele ei pakutud asenduseks ka toimingute veebiülekannet, kuigi selleks taotlus esitati ja kinnitati Riigikogu kantselei poolt võimekust selliseks ülekandeks.

Valimiste korraldaja kinnitas seejuures, et avalikest toimingutest tehakse videosalvestus, kuid avalikkusega seda ei jagata. Kuigi vaatlejatel ei keelatud toiminguid jäädvustada, siiski lubati seda üksnes “enda tarbeks”, mis jättis lahtiseks, kas vaatlejad võivad salvestusi jagada üksteisega või mis tingimustel on nad õigustatud neid oma vaatlejarollis avalikustama. Kuigi vaatlejatel keelati salvestamist ajal, mil töödeldakse isikuandmeid, ei teavitatud vaatlejaid toimingute käigus sellistest hetkedest, mistõttu polnud praktikas seda juhist võimalik järgida.

Vaatlemise füüsilise korralduse mõttes suunati vaatlejad konverentsisaali publikule mõteldud toolidele, millelt sai osaliselt jälgida üksnes arvutiekraanil toimuva projitseeringut suurel ekraanil, millel näidatu polnud sellest kaugusest sageli loetav. Kuna vaatlejate ülesanne on anda hinnang ka toimingutele, kus arvutitega ühendatakse seadmeid nagu kõvakettad ja kiipkaardid, mida pitseeritakse turvakleebistega, ning jälgida ka audiitori toiminguid nende pitseerimisel, siis pidid nad tegelikuks vaatlemiseks sageli tungima kitsale alale arvutit opereerinud töötajate ja audiitorite selja taga.

Vaatlejate teavitamine avalikest toimingutest ja nende korraldusest toimus registreerunud vaatlejatele mitte-avalike elektronkirjade saatmise teel, mis seadis ebavõrdsesse olukorda avalikkuse esindajad, kes polnud veel toimingute vaatlemisele registreerunud või kes soovisid avalike toimingute korralduse asjaoludega tutvuda ilma neil osalemata, ja juba registreerunud osalejad.

Toimingute sisuliseks jälgimiseks vajalik dokumentatsioon polnud avaldatud veel 26. septembriks ning seda asuti allkirjastama ja avaldama esmaspäeval toimuma pidavatele toimingutele eelneva reede pärastlõunal pärast 26. septembri hommikul valimiste korraldajale edastatud avaldust, mis dokumentatsiooni puudumist alla joonis. Dokumentatsioon avaldati vaatlejate teavituses osutatud veebilehel alles 30. septembri toimingute järel pärast järjekordset puuduse avaldust dokumentatsiooni osalise avaldamise kohta.

Elektroonilise hääletamise süsteemi ja kontrollrakenduse lähtekood avaldati 3. oktoobril alles puuduste avalduse tegemise järel pärast toiminguid, mis viidi 29. ja 30. septembril läbi eeldatavasti sellel põhinevat tarkvara kasutades (vt täpsemalt punkt 3).

Kuigi dokumentatsioon allkirjastati 26. septembri pärastlõunal, sõlmiti audiitoriga leping 24. septembril, mil edastati audiitori sõnul neile lepingu täitmiseks vajalik dokumentatsioon ja lähtekood, kuigi dokumentatsioon kinnitati ametlikult alles 26. septembril ja lähtekood avaldati alles 3. oktoobril. Järelikult nõustus audiitor töötama mitte-avaliku ning kinnitamata dokumentatsiooni ja veel avalikustamata lähtekoodi alusel, mis oli valimiste korraldaja sisekasutuses ning seab seetõttu kahtluse alla audiitori professionaalse sõltumatuse (vt täpsemalt punkt 4).

Vaatlejatele ei võimaldatud ligpääsu toimingutele, mis olid toimunud enne 29. ja 30. septembri toiminguid, nt valijate nimekirjade koostamisele või võtmeloomeks kasutatud arvutisüsteemi ettevalimistamisele (vt täpsemalt punkt 2), mis mõlemad on olulise tähtusega sammud valimistulemuse määramisel, seejuures pole tagatud võimalust vaadelda toiminguid häältekogumise serveris, ajatembeldamise-, isikutuvastuse ning sertifitseerimise teenustes, tutvuda hääletajate profiilide tehnilistele logidega, mis on kõik vajalikud hääletustulemuse korrektsuse hindamiseks.

Läbiviidud toimingud olid parimal juhul üksnes osaliselt avalikud selles tähenduses, et Riigikogu konverentsisaali jõudnud vaatlejad said toimingute juures viibida, kuid praktiline ligipääs toimingute asupaigale oli piiratud mitmete selleks soovi avaldanud või varasematel aastatel vaatlemisel osalenud vaatlejate jaoks. Toimingute ettevalmistust ja korraldust ei saa pidada sisulist vaatlemist võimaldavaks teavituse mitte-avaliku iseloomu, dokumentatsiooni viimasel hetkel ja osalise avaldamise, lähtekoodi avaldamata jätmise, videoülekande tegemata jätmise ja ebaselgete ning piiravate salvestamise ja salvestise levitamise juhiste, toimingute vaatlemist mitte võimaldava füüsilise korralduse ja audiitori ambivalentse rolli tõttu.

Tervikuna ei olnud toimingud avalikud ja vaadeldavad selles tähenduses, et avalikkus oli üksnes osaline, ja vaatlemine oli korralduslike asjaolude tõttu takistatud isegi nendes äärmiselt piiratud raamides, millesse on vaatlejad sundinud vaatlemise puudulik õigusraamistik. Vaatlemise takistatuse tõttu ei saa vaatlejate kohalolust neil toimingutel järeldada toimingute demokraatlikkust või vastavust vabade valimiste põhimõtetele.

2. Häälte avamise võti loodi puudulikult

Häälte salastamise ja avamise võti loodi nii aastal 2023 kui 2024 viisil, mis ei välista võtmete ettesöötmist või tulemusi muutva pahavara olemasolu võtmeid töötlevas arvutisüsteemis. Seda on toonud välja vaatlejad oma valimiskaebustes (vt 5-23-40) ja raportites (vt Põder 2023 ja 2024) ning see on leidnud kajastamist ka akadeemilistes uurimistöödes (vt Ütsik 2024, lk 55-56).

Võtmeloome protseduuride puudulikkust joonib alla ka e‑hääletuse tootjafirma Cybernetica teadusdirektori juhtimisel toimetanud Teaduste Akadeemia küberturvalisuse komisjon oma 2024 aasta analüüsi lk 17:

“Näiteks ei ole audiitoril kohustust kontrollida võtme loomiseks ega sedelite töötlemiseks kasutatud tarkvara terviklust ja autentsust. Vaatlejatel ei ole lubatud niisuguseid kontrolle teostada. Kuna audiitorijuhend ei kata kõiki töötlemise samme, siis ei ole kindlust, et kõik etapid saavad auditeeritud. Lisakontrollide teostamine sõltub audiitori põhjalikkusest, e-hääletamise süsteemi ehituse mõistmisest ning audiitori tehnilistest oskustest.”

Need puudused polnud parandatud 29. septembril asetleidnud võtmete loomise toimingute ajaks ja pole teada, kas valimiste korraldajad on puudusi üldse sisuliselt arutanud või võtmetoimingute puudulikkusest informeerinud valimiskomisjoni.

Kuigi häälte avamise võtme loomisel, osakuteks jagamisel ja nende kiipkaartidele salvestamisel lubab võtmerakendus määrata kaardi kasutajale PIN-koodi, siis seda ei tehtud ja seetõttu on kolmandatel isikutel võimalik lugeda kiipkaartidelt häälte avamise võtmeosakuid välja füüsilise ligipääsu korral kiipkaardile ka võtmehoidja teadmata.

Kuigi elektroonilise hääletuse algses turvamudelis oli ette nähtud võtmeprotseduurideks kasutatava riist- ja tarkvara tarneahela kontroll avalike ettevalmistavate toimingute käigus, siis on sellest nüüdseks täielikult loobutud. Samamoodi oli elektroonilise hääletuse algses turvamudelis võtmehaldusel nõutud riistvaralise turvaseadme kasutamine, kuid ka sellest nõudest on ilma selge põhjenduseta loobutud.

Audiitor ei teinud ka sel korral omapoolset pingutust võtmeloome arvutisüsteemi autentsuse hindamiseks lisakontrollide teostamisega, kuigi tuleb tunnistada, et sõltumata tema mistahes pingutustest poleks loodud tingimustes ja ajaraamis olnud võimalik veenduda, et võtmeloome arvutisüsteemis puudub pahavara või pole võtmete loomine muul viisil manipuleeritud.

Võtmetoimingute sellise korralduse juures on nende turvalisus ja kompromiteerimatus üksnes näiline, mis peegeldub ka valimiste korraldaja kerglases suhtumises toimingute läbiviimisse ja turvanõuete järgimisse (vt ka punkt 5).

3. Proovihääletus toimus avaliku lähtekoodita

Riigi valimisteenistus seaduse järgi “korraldab elektroonilise hääletamise süsteemi ja kontrollrakenduse lähtekoodi avalikustamise enne valimisi”. Kuigi valimisteenistus ja valimiskomisjon on esinenud seisukohaga, et “enne valimisi” tähendab siin enne 13. oktoobrist avanema plaanitud elektroonilist hääletust, siiski kasutati seda koodi juba valimiste võtmete loomisel ja prooviläbimisel, mis mõlemad on valimistoimingud. Seega oleks pidanud nõutud lähtekoodi avaldama kindlasti enne neid toiminguid, et nende läbiviimist oleks olnud vaatlejatel võimalik hinnata võrdluses avalikustatud lähtekoodis kirjeldatuga.

Lähtekood avaldati pärast puuduse avalduse tegemist järk-järguliselt GitHubi koodivaramus 3. oktoobri tööpäeva jooksul, mis on kümme päeva enne elektroonilise hääletuse algust ja kolm päeva pärast proovihääletust, mis oli avalik toiming, kuhu olid kutsutud selle korrektsust hindama ka vaatlejad. Vaatlejad tuvastasid ekraanil näidatud failinimedes toodud ajamääratluste ja failide loomise ajatemplite järgi, et oluline osa kasutatud tarkvarast oli pakendatud vahetult enne kl 10 alanud vaadeldavat toimingut, mis lubab oletada, et see valmis viimaseks hetkeks. Lähtekoodi avaldamata jätmise tõttu ei saanud vaatlejad selle toimingu raames oma ülesannet täita.

Lähtekoodi ja selle avaldamist tuleks vaadelda koos seda selgitava dokumentatsiooni ja tehniliste spetsifikatsioonide avaldamisega, mis peaks olema lähtekoodiga kooskõlas. Vaatlejatel peab olema võimalik veenduda, et toimingute juures ka tegelikult kasutatakse avalikustatud lähtekoodi, milleks lähtekoodi avaldamata võimalus puudub, ja seetõttu polnud vaatlejatel isegi võimalust pretendeerida sellisele veendumisele ei vahetult ise toimingute käigus kuvatud kontrollsummade abil ega audiitori sammude jälgimise teel.

Lähtekoodi põhiharus 3. oktoobril avaldatud seisuga on võrreldes seni avaldatud 2024. aasta valimistega muudetud 732 faili, lisatud 11 532 rida ja eemaldatud 39 893 rida, lisaks Androidi kontrollrakenduses muudetud 103 faili, mis sisaldab 1293 lisatud ja 3533 eemaldatud rida. Dokumentatsiooni kõige tehnilisemas protokollide kirjelduses on tehtud 1537 täiendust ja eemaldatud 471 fraasi, toimingute läbiviimise samme kõige vahetumalt kirjeldavas e-hääletuse käsiraamatus vastavalt 533 täiendust ja 342 eemaldust. Sellist muudatuste hulka lähtekoodis ja seda saatma pidavas dokumentatsioonis ei saa pidada väikeseks ning selline materjal tuleks vaatlemise võimaldamiseks avaldada aegsasti enne valimisi, et vaatlejad saaks selle läbi töötada ning vaatlemiseks sisuliselt valmistuda.

Kui lähtekoodi pole võimalik tervikuna avaldada enne toimingute algust näiteks vajaduse tõttu teha viimase hetke muudatusi või neid muudatusi avalikkuse eest varjata, siis tuleb pidada kasutatavat tarkvara eksperimentaalseks ja sellist tarkvara ei peaks valimiste läbiviimisel kasutama. Avatud lähtekoodiga tarkvara arenduse praktikad on tõestanud, et lähtekoodi avaldamine jooksvalt arenduse käigus reaalselt kompileeritaval, käivitamist ja testimist võimaldaval kujul on hea garantii sellele, et tarkvara sobib kasutamiseks kriitilisteks ja ühiskondlikku tähtsusega ülesanneteks.

Vaatlejad on seisukohal, et elektroonilise hääletuse keerukuse tõttu tuleks lähtekood avaldada mitte lihtsalt määramata ajal “enne valimisi”, vaid minimaalselt pool aastat või isegi aasta enne valimistoimingute algust. See ei välista viimase hetke täiendusi ka vahetult enne elektroonilise hääletuse algust, aga selliste muudatuste hulk peaks olema minimaalne ja need peaks tegema avalikult ning varustama ammendavate selgitustega.

Kuna lähtekoodi enne seda kasutatavate toimingute algust ei avalikustatud, siis polnud vaatlejatel võimalik anda hinnangut nende toimingute korrektsusele.

4. Audiitori sõltumatus on küsitav

Audiitori tegevust varjutas juba ette valimisteenistuse algselt saladuskatte all väljakuulutatud seadusväline auditeerimisprogramm, milles anti valitud erakondade esindajatele teada reedel, 5. septembril esitada nõutud sertifikaadiga kandidaat audiitori rolli tähtajaga juba 10. septembriks, st kolme tööpäeva jooksul. Isegi kui valimisteenistusel polnud eelnevat kokkulepet mõne erakonnaga täiendava audiitori väljapanekuks, poleks sellise audiitori leidmine kolme päevaga olnud realistlik ja ükski professionaalselt sõltumatu audiitor ei oleks võtnud sellist tööd ilma eelnevalt ametlikult avaldatud dokumentatsiooni ja lähtekoodita (vt punktid 1 ja 3).

Kuigi valimiskomisjon oli sunnitud kaebuste esitamise tulemusel 16. septembril tunnistama valimisteenistuse improviseeritud auditeerimisprogrammi seadusevastaseks, korraldati seadusega nõutud audiitori otsimist illegaalse audiitoriprogrammiga paralleelselt ja pakkumuskutsed kuuele auditeerimisega tegelevale ettevõttele, millest kaks teatas hankes mitte osalemisest, kolm ei vastanud ning pakkumise tegi üksainus, mis hankemenetluse protokolli järgi “otsustati valida hankelepingu sõlmimiseks”. Avaldatud pakkumuskutse sisaldab tehnilisi vigu ja on kvaliteediga, mis ei võimaldanuks tööd võtta audiitoril, kellel pole eelnevat teadmist ja kogemust elektroonilise hääletuse süsteemi auditeerimise ja kliendi tegelike ootustega.

Audiitoriks valitigi üheainsa pakkumise teinud ettevõtte seast FocusIT OÜ, kes auditeeris elektroonilist hääletust ka 2024. aasta Euroopa Parlamendi valimistel. Vaatlejate hinnangul ei pruugi piisata ühe kandidaadiga valikust sõltumatu auditeerimise tagamiseks ja kui demokraatliku ühiskonnakorralduse jaoks kaaluka tähtsusega teenuse hankes osaleb üks pakkuja, siis on ilmselt probleem hanke lähteülesandes ja korralduses, aga võimalik, et ka elektroonilise hääletuse süsteemi ning sellest tulenevalt ka selle auditeerimise nõuete endi ebapiisavas määratletuses.

Vaatlejate hinnangul ei olnud audiitori käitumine 29. septembri võtmeloome ja 30. septembri proovihääletamise juures professionaalselt sõltumatu, sest audiitor mitte ei hoidnud ametlikku distantsi valimiste korraldaja suhtes, vaid laskus valimiste korraldajaga aruteludesse toimingute üle ning jagas neile juhtnööre, mille kohta on markantsem näide audiitori oletatav roll häälte avamise võtme kompromiteerimise juures (vt punkt 5).

Audiitor kohtles eri vaatlejaid erinevalt, neist mõnedele näidates enda kirjapandud turvakeebiste numbreid või kutsudes vaatlejaid üles nendega tutvuma, teiste eest neid varjates, jagades mõnedele vaatlejatele omal algatusel toimuva kohta selgitusi, mida võis kohati pidada vaatlemisse sekkumiseks, ja hoidumata isiklikku laadi märkustest vaatlejate aadressil, mis samuti õõnestab audiitori sõltumatust.

Kuigi vaatluse põhjal pole võimalik anda audiitori käitumisele ammendavat hinnangut, ei loonud audiitori tegevus tervikuna muljet valimisteenistuse läbiviidavate toimingute rangest ja sõltumatust hindamisest, vaid audiitor näis pigemini tegutsevat valimisteenistuse meeskonnaliikmena. Audiitori roll peaks olema toimingutele sõltumatu hinnangu andmine, mis peaks sisaldama ka võimalust jätta kinnitus läbitud toimingute korrektsusele andmata. Valimisteenistuse tiimiliikmena tegutsedes pole audiitoril selliste ülesannete täitmine realistlik.

Valimisteenistus pole 10. oktoobri seisuga avaldanud audiitori 29. septembri võtmeloome ja 30. septembri proovihääletuse vahearuannet, mille avalikustamine on hädavajalik selle hindamiseks, kas ettevalmistavad toimingud läbiti viisil, mis võiks lubada minna edasi elektroonilise hääletuse valijatele avamisega 13. oktoobril.

5. Häälte avamise võti kompromiteeriti

Kriitilise tähtsusega võtmeloome protseduuride turvamudeli ja auditeerimise ebapiisavust ning audiitori ambivalentset rolli protseduuride juures joonib alla häälte avamise ja valimistulemuse allkirjastamise võtme kompromiteerimine 30. septembril toime pandud proovihääletuse käigus. Kui kompromiteeritud võtit kasutatakse 13. oktoobril valijatele avatava elektroonilise hääletuse läbiviimiseks, siis infoturvapoliitika punktist 2.7 lähtuvalt ei ole hääletamise salajasus selle hääletuskanali kasutamisel tagatud.

Kuigi elektroonilise hääletamise turvamudelit pole avalikult kättesaadavates dokumentides selgelt sõnastatud, on elektroonilise häältuse käsiraamatu peatüki 2.3 väidetest siiski järeldatav, et häälte avamise võtme osakute talletamiseks mõeldud kiipkaarte ja võtme kasutamiseks mõeldud opsüsteemi sisaldavat välist kõvaketast tuleb väljaspool kasutamist hoida turvakleebisega pitseerituna. See on vajalik, et kõrvalised isikud ei saaks kiipkaartidel olevatele võtmeosakutele ligipääsu või kui see juhtub, siis on see rikutud turvakleebise järgi tuvastatav.

Riigikogu konverentsisaalis 30. septembril läbi viidud proovihääletusel kontrollis audiitor üle võtmehoidjate kiipkaartide turvakleebised ja eemaldas need kasutamiseks, kuid proovihääletusel antud häälte dekrüpteerimise järel võtsid valimiskomisjoni liikmed Olari Koppel, Ingrid Kullerkann, Sirje Kaljumäe, Epp Hannus ja Airi Mikli pärast kiipkaartide kasutamist kaardilugejas need endaga konverentsisaali kaasa, kus kiipkaardid olid 15 minutise ajavahemiku jooksul turvakleebisega kaitsmata kujul.

Seda tegid valimiskomisjoni liikmetest võtmehoidjad hoolimata RVT töötaja ja e‑hääletuse rakkerühma juhi Indrek Leesi eelnevalt antud selgest juhisest pärast kiipkardi kasutamist kaardilugejas minna uuesti pitseerimisele. Võtmehoidjad paistsid selle sammu juures lähtuvat audiitor Hillar Põldmaa vastupidisest juhisest.

Kuna häälte avamiseks vajaliku viie võtmeosakuga kiipkaardid olid orienteeruvalt veerand tunnise ajavahemiku jooksul kontrollimata keskkonnas oletatavalt valimiskomisjoni liikmete isiklike asjade hulgas, kus nende üle puudus valimisteenistuse, audiitori või vaatlejate järelevalve, siis on turvamudeli kohaselt häälte avamise võti kompromiteeritud, kui pole võimalik tõendada vastupidist.

Kuna kiipkaartidelt turvateipide eemaldamise ja kiipkaartide uuesti katmise vahele jäänud veerand tunni sees toimus dekrüpteeritud häälte käsitsi kokkulugemine konverentsisaali suurelt ekraanilt, millega kaasnenud aruteludes osalesid aktiivselt nii valimisteenistuse töötajad, audiitor kui isegi mõned vaatlejad, ja mille raames toimus konverentsisaalis märkimisväärne sagimine, siis on väga keeruline hankida objektiivseid tõendeid selle kohta, et võtmeosakuid selle kõige taustal ei kompromiteeritud.

Valimisvaatlejad Sulev Švilponis ja Märt Põder esitasid intsidendi kohta puuduse avaldused 1. oktoobril ja 3. oktoobril, millele 6. oktoobril kirjalikult vastates eitas RVT juht Arne Koitmäe turvareeglite rikkumist, püüdes häälte avamise võtme kompromiteeritust ümber lükata eksitavate või faktiliselt tõele mitte vastavate väidetega ja vastutuse veeretamisega valimiskomisjoni liikmete õlule:

  1. E‑hääletuse rakkerühma juht Indrek Leesi andis häälte dekrüpteerimist sisse juhatades sõnaselge juhise pärast kiipkaardi kaardilugejast eemaldamist “minna uuesti pitseerimisele” (“Kui on avatud kaart, panete kaardi lugejasse, ootate, kui on kaart välja loetud, ja siis saate eemaldada kaardi ja minna uuesti pitseerimisele.”), kuid sellele juhisele vastavalt ei suudetud talitada. Arne Koitmäe osutab oma vastuses rakkerühma juhi orienteeruvalt kümme minutit hiljem antud teistkordsele juhisele minna “tagasi turvakleebist lisama”, mille ta andis pärast seda, kui kaardid olid olnud valimiskomisjoni liikmete valduses turvanõudeid eiraval pitseerimata kujul kogu häältelugemisele läinud aja.

  2. Arne Koitmäe püüab sellest 10 minutit hiljem korratud juhisest järeldada, et “seega olid proovihääletamisel häälte avamisel ja lugemisel kasutatavad kiipkaardid ilma turvakleebiseta nende kasutamise ajal, mis toimus audiitorite juuresolekul”, kuid nende kasutamine lõppes pärast nende kaardilugejast väljavõtmist ja häälte dekrüpteerimise toiming tervikuna lõppes hiljemalt viienda võtmeosaku väljalugemisega viimaselt kiipkaardilt. Rakkerühma juht oma algses juhises suunas “minema uuesti pitseerimisele” kohe pärast iga kiipkaardi lugemist häälte avamise võtme rekonstrueerimiseks ja mitte pärast edukat rekonstrueerimist või häälte dekrüpteerimist võtme abil, veel vähem aga pärast sellele järgnenud hääletustulemuse arutelu. Kiipkaardid anti kohe pärast kaardilugejas kasutamist kõigi silme all audiitorile pitseerimiseks näiteks 2024. aasta Euroopa Parlamendi valimistel ja Arne Koitmäele peab olema teada, missugune on kiipkaartidega korrektse ümberkäimise praktika ettenähtud turvamudelis.

  3. “Audiitorite juuresolekul” toimus kiipkaartide kasutamine üksnes saali ette paigutatud arvuti külge ühendatud kaardilugejas ja ülejäänud aja vältel, mil kiipkaardid olid pitseerimata kujul valimiskomisjoni liikmete valduses, ei olnud audiitoril võimalik jälgida ei üksikuid kiipkaarte ega kõiki viite kaarti, eriti pidades silmas vähemalt seitse minutit toimunud häältelugemisel aset leidnud sagimist, milles osalesid ka mõlemad audiitorid, kelle tähelepanu oli suunatud konverentsisaali ekraanile. Kui võtta tõesena Arne Koitmäe järeldust, et “seega olid proovihääletamisel häälte avamisel ja lugemisel kasutatavad kiipkaardid ilma turvakleebiseta nende kasutamise ajal”, siis pidid valimiskomisjoni liikmed kasutama kiipkaarte ka selle 10 minuti jooksul saalis, mil need olid audiitorite ja vaatlejate nägemisulatusest väljas, aga täpselt sellise kasutamise vältimist turvamudel püüabki tagada.

  4. Arne Koitmäe osutab oma vastuses kaks korda, et kõrvaliste isikute ligipääsu vältimise eest võtmeosakutele vastutavad nende hoidjad, kuid turvamudel ei näe ette sellist vastutust turvakleebiseta kaardi puhul, vaid üksnes turvakleebisega pitseeritud kaardi puhul. Kaardihoidjatelt ei saa eeldada kõrget tehnilist teadlikkust sellest, mismoodi on võimalik kaardile ligi pääseda ja seetõttu on turvakleebised mõteldud ka kaardihoidja kaitsemiseks lubamatu ligipääsu riski eest. Valimisteenistus poleks tohtinud panna valimiskomisjoni liikmeid olukorda, kus neil pole võimalik rikkumata turvakleebise ettenäitamise abil tõendada, et nende valduses olnud võtmeosak pole kompromiteeritud. Turvakleebis on mõteldud kaitsma elektroonilist hääletamist ka olukorras, kus võtmehoidja on šantaaži abil või muul viisil kompromiteeritud ise kopeerima ja lekitama häälte avamise võtit. Seetõttu pole piisav ka Arne Koitmäe osutus, et võtmeosakute hoidjad 15 minuti jooksul saalist ei lahkunud, kuigi ta jätab osutamata allikatele, mille abil ta on selles veendunud ja mille abil võiks ta püüda selles veenda vaatlejaid ning avalikkust.

  5. Videojäädvustusest nähtuvate faktidega on otseses vastuolus Arne Koitmäe poolt vastuses Sulev Švilponisele esitatud väide, et “audiitor toiminguid ei juhendanud ega andnud ka juhiseid ega korraldusi, küll andis ta saalisviibijatele selgitusi”, sest audiitor Hillar Põldmaa vähemalt ühel korral nii seda kehakeelega väljendades kui sõnaliselt lükkas tagasi VVK esimehe Ingrid Kullerkannu algatuse tagastada kiipkaart audiitorile pitseerimiseks, üteldas: “Pärast, pärast. Teeme ringi ära ja siis hakkame kleepima.” Videojäädvustusest on mõnevõrra vähem selge, miks ei läinud kiipkaarti rakkerühma juhistele vastavalt kohe pärast kasutamist pitseerima VVK liige Olari Koppel. Siiski võib vidost näha, kuidas Hillar Põldmaa seisab kaardilugejat kasutava Olari Kopli ning turvakleebiste paigaldamise ja eemaldamisega tegelenud audiitori Jaan Oruaasa laua vahel vahetult Olari Kopli kõrval, blokeerides niimoodi tema tee audiitori laua juurde füüsiliselt. Oletatavalt kehakeele ja žestidega, aga võimalik, et ka sõnaliselt juhendades paistis audiitor Hillar Põldmaa suunavat Olari Koplit kaarti mitte tagastama, kusjuures kommenteerides oma teguviisi kohe ka seda küsitavaks pidanud vaatlejale: “Ta tuleb kohe uuesti uuesti. Teeme ühe selle ringi ära ja siis tulevad uuesti kleepima.”

Kuna valijatel ega vaatlejatel Riigikohtu praktika valguses teadaolevalt pole valimiskaebuste esitamise õigust avalikes huvides, kuigi seda on nõudnud valimisvaatlejad oma 2023. aasta pöördumises Riigikogule selle esimese punktina ja seda pani ette ODIHR oma 18. juuni õigusraporti soovituses märgisega “J”, siis on valimisvaatlejad Sulev Švilponis ja Märt Põder sunnitud leppima ametliku menetluse lõppemisega RVT juhi vastustega, mis on faktiliselt ebatõesed ja eksitavad ega esita arusaadavaid tõendeid, mille põhjal võiks veenduda, et turvamudeli põhjal kompromiteerituks lugeda tulevat häälte avamise võtit tuleks siiski pidada nõuetele vastavaks.

Arne Koitmäe ebaõigete väidete ümberlükkamiseks avaldavad valimisvaatlejad asjassepuutuvate toimingute videod.

Kuigi valimiskomisjoni liikmed andsid oma 9. oktoobri koosolekul MTÜ Ausad Valimised vaatlusraporti tutvustamise käigus ja järel teada, et valimisvaatlejatel pole õigust kaevata ei RVT eksitavate ja tõele mitte vastavate vastuste peale ega kaebeõigust ka häälte avamise võtme kompromiteerimise üle, siiski esitasid mõlemad valimisvaatlejad valimiskomisjonile samal õhtul menetlusliku perspektiviita n-ö protestikaebused, kus taotlesid uute häälte avamise võtmete loomist või elektroonilise hääletamise ärajätmist, kui seda pole võimalik teha. Kuna valimiskomisjon 10. oktoobri jooksul kaebustele ei reageerinud, siis ei kavatse nad neid sisuliselt menetleda ja elektroonilist hääletust alustatakse 13. oktoobril eeldatavasti sellele vaatamata, et turvamudeli kohaselt pole hääle salajasus elektroonilises hääletuskanalis tagatud.