Cyberbezpieczeństwo systemu wyborczego USA. Ciąg dalszy.
Cyberoperacje ingerujące w systemy wyborcze to nowa rzeczywistość geopolityki. W końcu roku 2016 miała miejsce głośna decyzja administracji USA - oficjalna odpowiedź na rosyjskie ingerencje w proces wyborczy w Stanach Zjednoczonych. Odpowiedź “tradycyjna”, włącznie z sankcjami nałożonymi na funkcjonariuszy i zewnętrzne osoby, także firmy podejrzewane o zaangażowanie w te działania.
Sprawa badania rosyjskich interferencji z systemem wyborczym USA dalej się rozwija. W Ameryce fakt zewnętrznej ingerencji w proces wyborczy jest już właściwie przyjęty do wiadomości przez wszystkie strony - Demokratów i Republikanów. Coraz więcej wiadomo z upublicznianych informacji (o pierwszych pisałem tutaj) i regularnych już wycieków tajnych raportów. Według tych dokumentów, zewnętrzne zainteresowanie było o wiele głębsze, niż mówiło się o tym dotychczas. System wyborczy to przecież dużo więcej niż maszyny do głosowania. To infrastruktura, ludzie, szereg firm prywatnych. Same cyberataki niekoniecznie muszą mieć na celu zmianę wyniku wyborów. Jednym z celów w społeczeństwach demokratycznych może być choćby podkopanie zaufania do samego procesu wyborczego.
Od marca ta potencjalna działalność jest oficjalnie badana, w publicznych wysłuchaniach uczestniczyło wiele ważnych osób. W tym tygodniu mają miejsce kolejne - w Senacie USA. I rzecz istotna, jedną z tych osób był uznany ekspert cyberbezpieczeństwa, J.A. Halderman. Ma on duże doświadczenie w dziedzinie cyberbezpieczeństwa systemów wyborczych i był jednym z pierwszych badaczy przełamujących zabezpieczenia maszyny do głosowania. W swoim zeznaniu w Senacie, Halderman przedstawił szereg scenariuszy w jaki sposób Rosja (albo inne kraje) mogą wykorzystać słabości systemu wyborczego w USA i wezwał do zabezpieczenia kolejnych wyborów.
Wysłuchaniu Haldermana towarzyszy inna ważna inicjatywa. Do członków Kongresu USA wystosowano list otwarty wzywający do zabezpieczenia infrastruktury wyborczej kraju, której podatność stanowi duże ryzyko dla zaufania do procesu wyborczego. Pod merytorycznym listem podpisało się ponad 100 uznanych ekspertów informatyki i cyberbezpieczeństwa z firm prywatnych, uniwersytetów i innych organizacji, a także ekspertów ds. głosowania i bezpieczeństwa narodowego. Rady są proste, ale całkiem konkretne: zwiększenie zabezpieczeń systemów informacyjnych, ustanowienie możliwości audytu infrastruktury wyborczej, wbudowanie w proces wyborczy dodatkowych zabezpieczeń w postaci wydrukowanych potwierdzeń głosowania umożliwiających weryfikację.
Jednym z ciekawszych zaleceń w liście ekspertów jest wręcz zniechęcanie obywateli do głosowania poprzez nietradycyjne formy - np. za pomocą Internetu, faksu czy e-maila, i informowanie ludzi o tym, że głosy dostarczone elektronicznie mogą potencjalnie ulec modyfikacji lub przepaść.
Na fali rozwoju internetu coraz więcej usług państwowych dostępnych jest przez Internet. Usprawnia to życie milionom ludzi, ale powoduje też wyzwania. Dotychczas w analizie ryzyka często nie przyjmowano, że systemy państwowe mogą stać się ofiarą ataku państw zewnętrznych. Ryzyko takie powoduje jednak kalkulacje ryzyka ulegają zasadniczej zmianie. System państwowy, np. wyborczy - to newralgiczna część państwa i struktury społeczeństwa demokratycznego. Społeczeństwo ma prawo wymagać, by jego zabezpieczenia traktowano jakościowo dużo poważniej niż np. te cechujące sklep internetowy. Takie podejście cechuje szwajcarski Kanton Genewy, gdzie trwające prace nad bezpiecznymi systemami do głosowania to projekt strategiczny, obliczony na ok 20 lat. Docelowo system ten być może obejmie całą Szwajcarię.
Wydarzenia z roku 2016 ukazały światu, że ryzyko jest realne. Analiza zagrożeń i ryzyka musi być zatem szeroka i uwzględniać zagrożenia często do niedawna pomijane.