SAN FRANCISCO — Med vælgere, der gik til valgurnerne senere på året, var sikring af amerikanske valg et hyppigt tema på RSA-konferencen, men afstemningsmaskiner har taget bagsædet til bekymringer som valgruller og den software, der bruges til at rapportere resultater.
Aaron Wilson, seniordirektør for valgsikkerhed ved Center for Internetsikkerhed (CIS), siger, at hans organisation har løsningen.
Nedbringe et valg i 3 enkle trin
Valgteknologi er mere end bare stemmemaskiner, forklarede Wilson.
Elektroniske afstemningsbøger indeholder for eksempel lister over stemmeberettigede, rapporteringssystemer for valgnat, registreringssystemer for vælgere og den elektroniske afstemning, der leveres af borgere, der bor i udlandet.
Og disse bøger har "en større angrebsflade end vores stemmesystemer fordi [they're] internetforbundet på den ene eller anden måde, "sagde han.
Tag den app, der bruges til at rapportere resultater fra Iowa-rådgivere, hvor dårligt design førte til en lang forsinkelse i frigivelsen af ??resultaterne.
Denial-of-Service-angreb
Wilson har tre valgrelaterede bekymringer, som han mener sandsynligvis vil forekomme.
Den første er et denial of service (DoS) angreb.
I dette scenarie kan angribere oversvømme kritiske websteder eller tjenester med falske anmodninger, der gør dem ubrugelige.
Det er "især bekymrende for mig, fordi du ved nøjagtigt, hvornår du skal gennemføre angrebet," sagde Wilson.
Ransomware Attack
Tilsvarende frygter Wilson et ransomware-angreb, der kan holde kritisk infrastruktur eller data som gidsler og kaste et valg i kaos.
Sidste år var et bannerår for ransomware med hospitaler og kommuner blandt de ofre.
Som med et DoS-angreb, ville de onde vide, at hvis de starter angrebet dagen for valget, vil det være meget sværere for embedsmænd at komme sig og rapportere resultater.
Disse to angreb giver "det bedste afkast af en rationel angriber ...
og vi er enige om, at de er rationelle aktører," sagde Wilson.
Uautoriseret dataændring
Det sidste sandsynlige angreb, Wilson forestiller sig, er uautoriseret dataforandring.
Dette vil omfatte "alt fra fordærvning af websted til manipulation af resultater transmitteret til en online portal." Et ødelagt websted kan bruges til at sprede desinformation, måske forkerte datoer eller valgsteder.
Stemmesummer, der manipuleres, er et ægte mareridtsscenarie og viser, hvordan resultaterne kan blive påvirket eller tillid til valget rykket uden at røre ved stemmeapparaterne eller stemmesedlerne.
Sikkerhedskopier det tidligt og ofte
Valgteknologi har altid været lidt af en nicheindustri, og det gælder endnu mere for understøttende teknologier, sagde Wilson.
Af de virksomheder, der betjener dette rum, har den største 40 til 50 ansatte.
Wilson og SNG har samlet 160 bedste praksis, der er opdelt i grupper lige fra let til avanceret taktik, så virksomheder hurtigt kan hæve basissikkerheden.
”Mens vi gearede det til teknologileverandører, ville vi også give valgembedsmænd noget at læse og forstå,” sagde Wilson.
Målet er at "lære dem de rigtige spørgsmål at stille til deres teknologileverandører og deres personale."
Virksomheder og valgorganisationer bør f.eks.
Oprette backupkommunikation, hvis etablerede linjer er deaktiveret.
Under Iowa-konklusionerne blev reservetelefonnummeret til rapportering af resultater bundet af trolde fra 4chan.
Anbefalet af vores redaktører
Wilson understregede også avanceret planlægning.
Enkeltpersoner skal f.eks.
Kende deres roller i en nødsituation.
Han understregede også, at virksomheder og valgbureauer burde have komplet systemsikkerhedskopiering af deres udstyr og træne i, hvordan man hurtigt får adgang til og distribuerer disse sikkerhedskopier.
Forvise komplekse, dyre udstyrsopdateringer
CIS designede også et system til test og validering af systemer og opdateringer til disse systemer, kaldet RABET-V.
”Den nuværende proces til afstemningssystemet understøtter ikke ændring særlig godt,” sagde Wilson.
"Ændring, inklusive sikkerhedsrettelser, er dyre at implementere."
Andre talere på RSA-konferencen berørte spørgsmålet om certificering af vælgerudstyr, hvor der i øjeblikket er "afskrækkende virkning for at opdatere dette udstyr," sagde Jeffrey Rothblum, medlem af højtstående professionelle medarbejdere i Senatets Udvalg for Homeland Security and Governmental Affairs.
Problemet er, at det at anvende en opdatering kræver, at udstyret certificeres igen, hvilket skaber et "falsk valg mellem en certificeret ting versus en mere sikker ting," sagde Rothblum.
Med RABET-V kan et system tage 2-3 måneder at bestå en indledende gennemgang, men efterfølgende anmeldelser vil være meget hurtigere.
Et RABET-V-pilotprogram, der blev lanceret i denne måned med to afstemningsbogssystemer, to resultatrapporteringssystemer og en revisionsplatform, og målet er at forbedre RABET-V yderligere og gøre det til en levedygtig proces.
"Vi indsender, at vi kan reducere omkostningerne ved genbekræftelse af et system," sagde Wilson.
"Men vi skal være i stand til at bevise det."
