Tutvu audiitoriga: perfokaartidega programmeerimisest Eesti e-valimiste auditeerimiseni
Eestis on tänavu ühed valimised seljataga ning teised kohe ukse ees. Valimiste seaduslikkust kontrollib Vabariigi Valimiskomisjon, kuhu kuulub ka Audiitorkogu juhatuse nimetatud infosüsteemide audiitor. Alates 2016. aastast on sellel positsioonil olnud endine KPMG Baltics IT nõustamisteenuste juht ja infoturbe audiitorettevõtte IS Audit OÜ tegevjuht Teet Raidma, kellega räägime nii Eesti e-valimiste turvalisusest kui IT- ja finantsaudiitorite koostööpunktidest.
KPMG IT nõustamisteenuste osakond on hea näide sellest, kuidas audiitorettevõtjad ei tegele vaid finantsauditiga. Finantsaudit on vaid üks osa AEV-de tegevustest ning seekord avame järgmist osa sellest, millega audiitorettevõtjad tegelevad.
Tuntud raadiohäältel on rohkelt lugusid, kuidas näo järgi neid ära ei tunta, kuid hääle järgi küll. Augusti viimastel päevadel näidati Teetu iga kanali igas uudistesaates – põhjuseks presidendi valimised –, nii et tõenäosus äratundmiseks võiks olla suur. Oktoobris toimuvatel kohalike omavalitsuste valimistel on tööd oluliselt rohkem ja vastutus suurem, kuid meediatähelepanu väiksem. Seekord pakub valimiskomisjonile rohkelt tööd nii murettekitav koroonaolukord kui esmakordselt kasutatav uus Valimiste Infosüsteem, mis muu hulgas võimaldab valimisjaoskondades loobuda paberil peetavatest valijanimekirjadest. Ettevalmistused on aga korralikud ning põhjust augustile sarnaselt mitmeid õhtuid järjest teleekraane täita ei tohiks valimiskomisjonil olla.
Endine KPMG Baltics IT nõustamisteenuste juht ja infoturbe audiitorettevõtte IS Audit OÜ tegevjuht Teet Raidma
Perfokaartidega programmeerimisest IT-auditini
Teet õppis põhikooli lõpuni väikeses maakoolis Võrumaal, kuid keskkooli läks Nõkku, kus tekkis sügavam huvi tehnika ja arvutite vastu. „Nõo Keskkoolis oli pea toasuurune arvuti, millel sai perfokaartidega programmeerida, mis oli omamoodi põnev! Sellest innustatuna astusingi TPI-sse (tänane TalTech) automaatikat õppima,“ kirjeldab Teet, kuidas ta juba 1990. aastate alguses jõudis arvutiteni. Toona oli aga selline aeg, kus põnevust pakkus ka uus ja huvitav majanduskeskkond ning nõnda läks ta automaatikast üle majandusteaduskonda, mille ta ka lõpetas.
Juba ülikooli ajal tegeles Teet arvutitega erinevates töökohtades ning erinevatel positsioonidel. Näiteks osales ta ühe raamatupidamisprogrammi loomisel, haldas servereid ning enne ja ka pärast audiitorlusega tutvuse tegemist jõudis ta nii mõneski tuntud ettevõttes (nt Saku Õlletehas) leiba teenida IT-juhina. Auditi põhitõdedeni jõudis ta aga tänu Sampo Pangale, kus töötas siseauditi osakonnas IT-audiitorina. Just seda aega ning samal ajal sooritatud sertifitseeritud infosüsteemide audiitori (CISA) eksami sooritamist peabki Teet peamiseks põhjuseks, miks ta nüüd serverikastide ja arvutite asemel hoopis äriprotsesside ja infoturbe haldusega tegeleb. Tänaseks päevaks on Teet pikalt olnud seotud KPMG-ga, kus ta juhtis IT nõustamisteenuste osakonda. Hetkel on Teedu tööalane fookus suunatud uue Eesti infoturbe standardi koostamisse, mille eestvedaja on Riigi Infosüsteemi Amet.
Teet on pikalt olnud setud KPMG-ga, kuid hetkel on ta tööalane fookus suunatud Eesti infoturbe standardi koostamisse.
„Suurtes audiitorettevõtetes on lisaks IT-auditi projektidele IT-audiitoritel täiendav roll toetada finantsaudiitoreid IT-alal ning osaleda ka ise finantsauditite läbiviimises. IT-audiitoril on sealjuures laias laastus kahte liiki ülesandeid – esiteks vaadatakse, kas üldine IT-turvalisusega on ettevõttes kõik korras; kas pääsuõiguste jagamine, IT-süsteemide muudatused ja andmete varundamine toimub korrakohaselt ja turvaliselt. Teiseks analüüsib audiitor põhjalikult raamatupidamissüsteemi, kus finantsandmeid töödeldakse ja hoitakse,“ selgitab Teet IT- ja finantsaudiitorite kokkupuutepunkte. „Mida paremini toimivad automaatkontrollid ja vähem võimalusi on andmeid käsitsi muuta, seda vähem käsitsitööd peab finatsaudiitor tegema“.
Viimastel aastatel tekib aga koostöökohti üha juurde: „Kahtlemata on näiteks krüptograafia, masinõpe kui isegi näiteks pilvemajutus teemad, kus spetsiifiliste oskusteta ei ole võimalik süsteemi usaldusväärsusele adekvaatset hinnangut anda. Seepärast on auditi läbiviimisel vaja kaasata väga erineva kvalifikatsiooniga spetsialiste. Teatud teenused jäävadki aga ilmselt usaldusel põhinema, sest audiitoril ei ole võimalik Iirimaal asuvat andmekeskust ise auditeerima sõita.“ Teet selgitab, et näiteks krüptorahaga kauplejate või suurte pangasüsteemide auditeerimine on suurematele Eesti audiitorettevõtetele kindlasti jõukohane, kuid järjest olulisemaks saavad audiitorite IT-oskused ja IT-audiitori ning finantsaudiitori omavaheline koostöö.
IT-auditist Riigikogu valimiste korraldamiseni
Oma esimest valimiskogemust Teet detailselt ei mäleta, kuivõrd see ei olnud kindlasti võrreldavad meie praeguste valimistega: „Põhiline erinevus on asja üldises eesmärgis ja info kättesaadavuses – kui toona sa läksid ja tegid, mida kästi, siis nüüd on võimalik vabalt valida ja uurida, kelle poolt sa tahad oma hääle anda. See muudab oluliseks tunde, et sinu valikust reaalselt sõltub midagi.“
Presidenti valides ei pea e-hääletusest rääkima, kuid üldiselt kinnitab Teet, et Eesti e-valimiste ja e-hääletuse protsess on väga turvaline. Foto autor: Erik Peinar.
Teedust sõltub valimiste juures aga rohkem kui vaid hääle andmine. 2016. aastaks oli tal väga hea ülevaade e-hääletusest, sest KPMG oli korduvalt olnud e-hääletuse läbiviimise protsessis audiitor. „Tänu sellele teadsin ma väga hästi, kuidas e-hääletus toimub ja milles see tehniline keerukus seisneb. Nõnda olin ma nõus Audiitorkogu juhatuse poolt pakutud Vabariigi Valimiskomisjoni (edaspidi VVK) liikme positsiooni vastu võtma,“ selgitab infosüsteemide audiitor, kuidas temast sai üks seitsmest valitud VVK liikmest. Vabariigi Valimiskomisjoni peamine ülesanne on jälgida, et valimistel järgitaks valimiste vabaduse, üldisuse, ühetaolisuse ja hääletamise salajasuse põhimõtteid.
VVK teostab järelevalvet valimiste korraldaja üle ning nõnda tuleb kätt pulsil hoida ka valimistevälisel ajal. Kui 2017. aasta septembri alguses teavitati Eesti avalikkust, et ID-kaartide kiipides olevast tarkvarast avastati turvaviga, siis mõjutas see otseselt ka valimiskomisjoni tööd, sest oktoobri keskel ootasid kohaliku omavalitsuse valimised. Just VVK otsusest sõltus, kas e-hääletus toimub või mitte: „Toona hindasime, et häälte võltsimise oht on niivõrd madal, et me ei jätnud e-hääletust ära.“
Sellegipoolest kimbutab e-valimisi iga mõne aja tagant küsimus, kas see on ikka usaldusväärne. Teet kinnitab aga resoluutselt, et Eesti e-valimiste ja e-hääletuse protsess on väga turvaline: „Nagu iga IT-süsteem, nii on ka valimisi toetavad IT-süsteemid pidevas muutumises – need muutuvad pidevalt paremaks. Me ei saa näiteks võrrelda esimest, 2005. aastal kasutatud elektroonilise hääletamise süsteemi tänaste süsteemidega – need on tehniliselt ja riskide poolest võrreldamatud. Tehnilise poole pealt lisandub täiendavaid turva- ja tervikluskontrolle. Riskide vaatest teeb tegelikult hoopis rohkem muret see, kui edukalt riikide parlamendi- või presidendivalimistel valijaid läbi valeinfo levitamise mõjutatakse. E-hääletamise turvalisus on samuti üks selliseid teemasid, mis erinevates jutuportaalides palju käsitlust leiab. Üks meie eesmärkidest hetkel ongi üritada muuta süsteemi veelgi läbipaistvamaks ning „tavainimesele“ arusaadavamaks. Soovitakse isegi, et võimalikult paljud spetsialistid prooviksid süsteemi vigade leidmiseks ja annaksid neist teada,“ selgitab valimiskomisjoni liige tänast e-valimiste seisu ja lisab, „kui e-hääletus oleks ebaturvaline, siis oleks see aja jooksul korduvalt lahti muugitud, aga siiani ei ole vähemalt Eesti e-hääletussüsteemi kohta teada ühtegi fakti, et keegi oleks suutnud antud e-häält või hääletamise tulemust võltsida!“
Kokkuvõtteks soovitab Teet kindlasti valima minna, ükskõik kas siis valimisjaoskonda või hääletada elektrooniliselt: „Tee see kaalutletud otsus selle asemel, et hiljem viriseda, et poliitikud on rumalad ja teevad halbu otsuseid – tegelikult otsustab valija tahe, kellest meie esinduskogud koosnema saavad.“