SAN FRANCISCO - Kuna valijad suundusid valimistele hiljem sel aastal, oli Ameerika valimiste tagamine RSA konverentsil sagedane teema, kuid hääletusmasinad on taganenud muredele nagu hääletusnimekirjad ja tulemuste teatamiseks kasutatud tarkvara.
Interneti-turvalisuse keskuse (SRÜ) valimisturvalisuse vanemdirektor Aaron Wilson ütleb, et tema organisatsioonil on lahendus olemas.
Valimiste vähendamine kolme lihtsa sammuna
Valimistehnika on midagi enamat kui lihtsalt hääletusmasinad, selgitas Wilson.
Elektroonilised küsitlusraamatud sisaldavad näiteks valimisõiguslike hääletajate nimekirju, valimisööde aruandlussüsteeme, valijate registreerimissüsteeme ja välismaal elavate kodanike elektroonilist hääletussedelit.
Ja neil raamatutel on "suurem rünnakupind kui meie hääletussüsteemidel, sest [they're] internetiühendus ühel või teisel viisil, "ütles ta.
Võtke rakendus, mida kasutati Iowa peakoosoleku tulemuste teatamiseks, kus halb disain viis tulemuste avaldamiseni pika viivituse.
Teenuse keelamise rünnak
Wilsonil on kolm valimistega seotud muret, mis tema arvates tõenäoliselt tekivad.
Esimene neist on teenuse keelamise (DoS) rünnak.
Selle stsenaariumi korral võivad ründajad kriitilisi veebisaite või teenuseid üle ujutada võltspäringutega, mis muudavad need kasutuskõlbmatuks.
See "puudutab mind eriti, sest teate täpselt, millal rünnak korraldada," ütles Wilson.
Lunavara rünnak
Samamoodi kardab Wilson lunavara rünnakut, mis võib pantvangis hoida elutähtsat infrastruktuuri või andmeside ja valimised kaosesse ajada.
Eelmine aasta oli lunavara reklaamleht, ohvrite seas olid haiglad ja omavalitsused.
Nagu DoS-i rünnaku puhul, teaksid ka pahad, et kui nad rünnaku alustavad valimispäeval, on ametnikel palju raskem taastuda ja tulemustest teatada.
Need kaks rünnakut pakuvad "ratsionaalsele ründajale parimat investeeringutasuvust ...
ja me oleme nõus, et nad on ratsionaalsed tegijad", ütles Wilson.
Andmete omavoliline muutmine
Viimane tõenäoline rünnak, mida Wilson ette kujutab, on andmete loata muutmine.
See hõlmaks „kõike alates veebisaidi rüvetamisest kuni veebiportaali edastatud tulemuste manipuleerimiseni“.
Puudutatud veebisaiti võidakse kasutada desinformatsiooni, võib-olla valede kuupäevade või hääletamiskohtade levitamiseks.
Manipuleeritud häälte kogusummad on tõeline õudusunenägu ja see näitab, kuidas tulemusi võis kõikuda või usaldust valimistes kõigutada, puudutamata hääletusmasinaid või hääletussedeleid.
Varundage see varakult ja sageli
Valimistehnoloogia on alati olnud natuke nišitööstus ja see kehtib veelgi enam tehnoloogiate toetamise kohta, ütles Wilson.
Seda ruumi teenindavatest ettevõtetest on suurimas 40–50 töötajat.
Wilson ja SRÜ on kokku pannud 160 parimat tava, mis on jagatud rühmadesse alates lihtsast kuni arenenumaks taktikaks, nii et ettevõtted saavad baasturvalisust kiiresti tõsta.
"Ehkki me pakkusime seda tehnoloogia pakkujatele, tahtsime anda valimisametnikele ka midagi lugeda ja mõista," ütles Wilson.
Eesmärk on "õpetada neile õigeid küsimusi, mida oma tehnoloogia pakkujatelt ja töötajatelt küsida".
Ettevõtted ja valimisorganisatsioonid peaksid näiteks looma varusuhtluse juhuks, kui väljakujunenud liinid on keelatud.
Iowa koosolekute ajal sidusid 4chani trollid tulemuste teatamiseks varutelefoninumbri.
Soovitasid meie toimetajad
Wilson rõhutas ka täiustatud planeerimist.
Inimesed peaksid teadma oma rolli näiteks hädaolukorras.
Samuti rõhutas ta, et ettevõtetel ja valimisagentuuridel peaksid olema oma seadmetest täielikud süsteemikoopiad ja koolitama, kuidas neile varukoopiatele kiiresti juurde pääseda ja neid levitada.
Keeruliste ja kulukate seadmete värskenduste pakkumine
CIS lõi ka süsteemide ja nende süsteemide värskenduste testimiseks ja valideerimiseks nimega RABET-V.
"Praegune hääletussüsteemi protsess ei toeta muutusi eriti hästi," ütles Wilson.
"Muudatuste, sealhulgas turvapaikade, juurutamine on kulukas."
Teised RSA konverentsi esinejad puudutasid valijate varustuse sertifitseerimise küsimust, kus praegu on "takistusi selle varustuse ajakohastamiseks", ütles Senati sisejulgeoleku ja valitsusküsimuste komisjoni vanemtöötaja Jeffrey Rothblum.
Küsimus on selles, et värskenduse rakendamine nõuab seadmete uuesti sertifitseerimist, luues "vale valiku sertifitseeritud asja või turvalisema asja vahel", ütles Rothblum.
RABET-V kasutamisel võib süsteemil esmase ülevaatuse läbimiseks kuluda 2–3 kuud, kuid järgnevad ülevaated oleksid palju kiiremad.
Sel kuul käivitati RABET-V pilootprogramm koos kahe küsitlusraamatu süsteemiga, kahe tulemuste aruandlussüsteemiga ja ühe auditiplatvormiga ning eesmärk on RABET-V-i veelgi täpsustada ja muuta see elujõuliseks protsessiks.
"Esitame, et saame süsteemi korduvkontrolli kulusid vähendada," ütles Wilson.
"Kuid me peame suutma seda tõestada."
