ความกังวลที่เกิดขึ้นเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานการลงคะแนนในการเลือกตั้งระยะกลาง

จากการเพิ่มความกังวลเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานการลงคะแนนของประเทศในระหว่างการเลือกตั้งกลางภาค 2561-แม้กระทั่งกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) มีการกำหนดโครงสร้างพื้นฐานที่ไม่ได้กำหนดไว้ บริการวิจัยรัฐสภา (CRS) การบรรยายสรุปโดย Catherine A. Theohary ผู้เชี่ยวชาญด้านนโยบายความมั่นคงแห่งชาติการดำเนินงานทางไซเบอร์และการดำเนินงานด้านข้อมูลและ Eric A. Fischer ผู้เชี่ยวชาญอาวุโสด้านวิทยาศาสตร์และเทคโนโลยีที่ CRS

การแต่งตั้งการบริหารการเลือกตั้งในปี 2560 ของ DHS ในฐานะ CI ทำให้สำนักงานของรัฐและท้องถิ่นและหน่วยงานภาคเอกชนที่เกี่ยวข้องในการดำเนินการเลือกตั้งที่มีสิทธิ์ได้รับความช่วยเหลือด้านเทคนิคของรัฐบาลกลางที่ได้รับการปรับปรุงและการแบ่งปันข้อมูลสำหรับทั้งทางกายภาพและความปลอดภัยทางไซเบอร์

“ อย่างไรก็ตาม” การบรรยายสรุปของ CRS เตือนว่า“ การใช้การเชื่อมต่ออินเทอร์เน็ตที่เพิ่มขึ้นในทั้งสามมิติ [การบริหารการเลือกตั้งกิจกรรมการรณรงค์และการครอบคลุมสื่อ] กำลังสร้างการบรรจบกันของความเสี่ยงด้านความปลอดภัยไม่เพียง แต่ภายในมิติ แต่ข้ามพวกเขา” (ได้รับข้อมูลอย่างลับๆ) เช่นไฟล์ผู้มีสิทธิเลือกตั้งเพื่อขัดขวางกระบวนการเลือกตั้งหรือแม้แต่เปลี่ยนการนับคะแนนและผลลัพธ์”

การโจมตีแต่ละประเภทเหล่านี้สามารถประนีประนอมฐานข้อมูลการเลือกตั้งที่มีไบโอเมตริกส์ของผู้มีสิทธิเลือกตั้งรวมถึงการเลือกตั้งและการบริหารและการบริหารไบโอเมตริกซ์ข้อมูลส่วนตัวที่สามารถระบุตัวตนได้ (PII) ที่สามารถเข้าถึงฐานข้อมูลที่มีไบโอเมตริกซ์ของตัวเองการเข้าถึงสิ่งอำนวยความสะดวกทางกายภาพการบำรุงรักษา

อันที่จริงผู้เขียนการบรรยายสรุป CRS ระบุว่า“ การโจมตีพรรคการเมืองและแคมเปญอาจเกี่ยวข้องกับการ exfiltration ของข้อมูลผู้สมัครหรือการสื่อสาร” เช่นการขโมย“ ข้อมูลจากเครือข่ายข้อมูลของพรรคการเมือง

ผู้มีสิทธิเลือกตั้งส่วนบุคคล PII - รวมถึงข้อมูลไบโอเมตริกซ์ที่อาจเกิดขึ้น - นอกจากนี้ยังสามารถ“ ได้รับจากการโจมตีพรรคการเมืองหรือหน่วยงานของรัฐหรือโดยวิธีอื่น ๆ

การบรรยายสรุปของ CRS เตือนว่า“ นักวิเคราะห์บางคนยืนยันว่าการแก้ปัญหาทางเทคนิคและการทำให้เป้าหมายที่อาจเกิดขึ้นจะล้มเหลวในการก้าวไปสู่การพัฒนากลยุทธ์การพัฒนาของฝ่ายตรงข้ามดังกล่าว

DHS เองได้กำหนดช่องโหว่ของเซิร์ฟเวอร์ที่คาดว่าจะถูกนำไปใช้เพื่อให้สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้โดยไม่ได้รับอนุญาต “ การโจมตีเซิร์ฟเวอร์ที่ได้รับการกำหนดค่าไม่ดีที่ใช้เว็บไซต์ลงทะเบียนผู้มีสิทธิเลือกตั้งอาจอนุญาตให้มีการเข้าถึงข้อมูลที่สำคัญของฝ่ายตรงข้ามและไปยังฐานข้อมูลการลงทะเบียนผู้มีสิทธิเลือกตั้งที่สนับสนุนตัวเอง” พวกเขาเตือน

ในวันที่ 31 กรกฎาคมรองประธานาธิบดีไมค์เพนซ์เรียกร้องให้วุฒิสภาสหรัฐอเมริกาดำเนินการก่อนสิ้นปีเพื่อออกกฎหมายสร้างความปลอดภัยทางไซเบอร์และหน่วยงานความมั่นคงโครงสร้างพื้นฐานในขณะที่กล่าวถึงการประชุมสุดยอดไซเบอร์แห่งชาติ DHS ในนิวยอร์กซิตี้

นับตั้งแต่การเลือกตั้งในปี 2559 มีการพิจารณาคดีแปดครั้งเกี่ยวกับการเลือกตั้ง CI โดยคณะกรรมการสภาและคณะกรรมการวุฒิสภาและคณะอนุกรรมการ แต่ยังไม่มีการออกกฎหมายแม้ว่าจะมีการออกกฎหมายมากกว่า 60 รายการในสภาคองเกรสครั้งที่ 115 ซึ่งมีบทบัญญัติที่เกี่ยวข้องกับความมั่นคงในการเลือกตั้ง

แต่ CRS กล่าวว่า“ [ค่าใช้จ่ายเหล่านี้ส่วนใหญ่] จัดการกับความกังวลเกี่ยวกับความปลอดภัยของการบริหารการเลือกตั้งกับคนอื่น ๆ ที่มุ่งเน้นไปที่การขัดขวางการแทรกแซงจากต่างประเทศมีเพียงไม่กี่บทบัญญัติเกี่ยวกับความปลอดภัยของการรณรงค์”

การบรรยายสรุปเน้นว่า“ การจัดการกับข้อกังวลที่กว้างขึ้นเกี่ยวกับการแทรกแซงการเลือกตั้งและการรักษาความปลอดภัยน่าจะต้องใช้วิธีการตลอดวงจรชีวิตเพื่อความสมบูรณ์ของการเลือกตั้งซึ่งจะต้องสร้างความสมดุลระหว่างความต้องการความปลอดภัยที่ถูกกฎหมายด้วยการรักษาความคุ้มครองเพื่อการแสดงออกอย่างอิสระและข้อกำหนดอื่น ๆ สำหรับการทำงานที่เหมาะสมของกระบวนการประชาธิปไตย”

ในการคุ้มครองและโปรแกรมระดับชาติของ DHS ผู้อำนวยการ 26 มิถุนายนการรักษาความปลอดภัยข้อมูลการลงทะเบียนผู้มีสิทธิเลือกตั้งเอกสารสำหรับเจ้าหน้าที่บริหารการเลือกตั้งและบุคลากรแผนกมีความชัดเจนอย่างไม่น่าสงสัยว่า“ ฐานข้อมูลการลงทะเบียนผู้มีสิทธิเลือกตั้ง (VRDB) เป็นเป้าหมายที่หลากหลายและอาจเป็นเป้าหมายที่น่าสนใจสำหรับการบุกรุกคอมพิวเตอร์ปัญหานี้ไม่ซ้ำกับแต่ละรัฐ - มีการแบ่งปันทั่วประเทศ”

นอกจากนี้ในล่าสุดของ DHSการพิจารณาการระดมทุนด้านความปลอดภัยโครงสร้างพื้นฐานการเลือกตั้งเอกสารสำหรับสภาประสานงานโครงสร้างพื้นฐานการเลือกตั้ง (EIS) สภาการประสานงานของรัฐบาล (GCC) มัน“ กำหนดทิศทางไปยังชุมชนการเลือกตั้งเกี่ยวกับการพิจารณาที่เป็นไปได้ทั้งระยะสั้นและระยะยาวสำหรับการใช้เงินทุนเลือกตั้งที่มีอยู่ใหม่

เจ้าหน้าที่บริหารการเลือกตั้งจะทำสิ่งที่ดีในการฟังเอกสาร DHS ซึ่งกล่าวว่า“ เจ้าหน้าที่การเลือกตั้งได้รับคำแนะนำให้ปรึกษากับคณะกรรมการช่วยเหลือการเลือกตั้งสหรัฐ (EAC) ก่อนทำการซื้อใด ๆ เพื่อให้แน่ใจว่าเป็นค่าใช้จ่ายที่เหมาะสมของเงินทุน”

สภาคองเกรสได้ให้บริการแก่รัฐและเจ้าหน้าที่การเลือกตั้งท้องถิ่น 380 ล้านดอลลาร์ในการระดมทุนเพื่อการปรับปรุงการเลือกตั้งของรัฐบาลกลางและ“ มีวัตถุประสงค์เพื่อช่วยให้รัฐสร้างเงินทุนที่มีอยู่และการลงทุนทุนมนุษย์โดยให้เงินทุนเพิ่มเติมสำหรับทรัพยากรและบุคลากรใหม่เพื่อปรับปรุงการเลือกตั้งของรัฐบาลกลาง”

เกี่ยวกับความปลอดภัยในปี 2559 ทีมงานความพร้อมฉุกเฉินคอมพิวเตอร์ของสหรัฐอเมริกา (CERT) แนะนำสิ่งต่อไปนี้:

•การรับรองความถูกต้องแบบหลายปัจจัย: การตรวจสอบความถูกต้องโดยใช้ปัจจัยสองประการขึ้นไปเพื่อให้ได้การรับรองความถูกต้อง ปัจจัยรวมถึง: (i) สิ่งที่คุณรู้ (เช่นรหัสผ่าน/พิน); (ii) สิ่งที่คุณมี (เช่นอุปกรณ์ระบุการเข้ารหัส, โทเค็น); หรือ (iii) สิ่งที่คุณเป็น (เช่นไบโอเมตริกซ์) การอัพเกรดระบบการลงทะเบียนผู้มีสิทธิเลือกตั้งระบบการรายงานการเลือกตั้งคืนหรือระบบการเลือกตั้งอื่น ๆ เพื่อการตรวจสอบความถูกต้องแบบหลายปัจจัยสามารถ จำกัด ความเสี่ยงของการโจมตีแบบฟิชชิ่งได้อย่างมาก

•การรับรองความถูกต้องทางอีเมล: การอัพเกรดระบบอีเมลของสำนักงานการเลือกตั้งเพื่อรวม SPF (กรอบนโยบายผู้ส่ง) และ DKIM (DomainKeys Mail ที่ระบุ) อนุญาตให้โดเมนส่งไปยังอีเมลของพวกเขาอย่างมีประสิทธิภาพ เมื่อได้รับอีเมลซึ่งไม่ผ่านกฎ SPF/DKIM ที่โพสต์ของเอเจนซี่ DMARC (การตรวจสอบข้อความตามโดเมนการรายงานและความสอดคล้อง) จะบอกผู้รับว่าเจ้าของโดเมนต้องการทำอะไรกับข้อความ การตั้งค่านโยบาย DMARC ของ“ การปฏิเสธ” ให้การป้องกันที่แข็งแกร่งที่สุดจากอีเมลที่ปลอมแปลงเพื่อให้มั่นใจว่าข้อความที่ไม่ผ่านการตรวจสอบจะถูกปฏิเสธที่เซิร์ฟเวอร์เมลแม้กระทั่งก่อนส่งมอบ นอกจากนี้รายงาน DMARC ยังมีกลไกสำหรับหน่วยงานที่จะต้องตระหนักถึงแหล่งที่มาของการปลอมแปลงที่ชัดเจนข้อมูลที่พวกเขาจะไม่ได้รับเป็นอย่างอื่น สามารถกำหนดผู้รับหลายรายสำหรับการรับรายงาน DMARC

และ,อย่างสำคัญ, การควบคุมการเข้าถึง ใบรับรองกล่าวว่า“ แนวทางปฏิบัติในการควบคุมการเข้าถึงเช่นการควบคุมการเข้าถึงตามบทบาทจะไม่ป้องกันการโจมตีแบบฟิชชิง แต่อาจ จำกัด ผลกระทบที่อาจเกิดขึ้นจากข้อมูลรับรองที่ถูกขโมยโดยใช้การประเมินของบุคคลที่สามหรือการตรวจสอบเพื่อระบุช่องโหว่และกำหนดนโยบายการควบคุมการเข้าถึงที่มีประสิทธิภาพและการกำหนดค่าสำหรับระบบของคุณ

ใบรับรองกล่าวย้ำว่า“ การโจมตีแบบฟิชชิ่งสามารถนำไปสู่การขโมยข้อมูลรับรอง (เช่นรหัสผ่าน) หรืออาจทำหน้าที่เป็นจุดเริ่มต้นสำหรับนักแสดงภัยคุกคามที่จะแพร่กระจายมัลแวร์ทั่วทั้งองค์กรขโมยข้อมูลผู้มีสิทธิเลือกตั้งหรือขัดขวางการดำเนินการลงคะแนน” (SQL) การฉีดซึ่งทำลายความสัมพันธ์ระหว่างหน้าเว็บและฐานข้อมูลที่สนับสนุนโดยทั่วไปเพื่อรับข้อมูลที่มีอยู่ภายในฐานข้อมูลการลงทะเบียนผู้มีสิทธิเลือกตั้ง

ใบรับรองยังเตือนในปี 2559 ว่า“ ช่องโหว่ข้ามไซต์ (XSS) ช่องโหว่ช่วยให้นักแสดงภัยคุกคามสามารถแทรกและดำเนินการรหัสที่ไม่ได้รับอนุญาตในเว็บแอปพลิเคชันการโจมตี XSS ที่ประสบความสำเร็จในเว็บไซต์ลงทะเบียนผู้มีสิทธิเลือกตั้งสามารถให้การเข้าถึงข้อมูลผู้มีสิทธิเลือกตั้งโดยไม่ได้รับอนุญาต”

เกี่ยวกับเจ้าหน้าที่ของรัฐและท้องถิ่นการเลือกตั้งเจ้าหน้าที่บุคลากรผู้รับเหมาและผู้อื่นที่มีผู้มีสิทธิเลือกตั้ง PII ฐานข้อมูลและการเข้าถึงสถานที่ทางกายภาพเจ้าหน้าที่บางคน - รวมถึงเจ้าหน้าที่ของรัฐบาลกลางที่พูดเฉพาะกับพื้นหลังกฎหมายที่แนะนำหรือวิธีการทางกฎหมายอื่น ๆ เช่น MOUS หากเป็นไปได้บัตรประจำตัวรุ่นต่อไป(NGI) บริการแร็พกลับสำหรับการตรวจหาบุคคลเหล่านี้ทั้งหมดที่เกี่ยวข้องตลอดการลงคะแนน CI สเปกตรัม

“ ฉันไม่เคยได้ยินเรื่องนี้ที่เสนอโดยใครในสภาคองเกรสหรือ DHS …หรือที่อื่น ๆ แต่สำหรับฉันมันสมเหตุสมผลแล้วเป็นอีกชั้นหนึ่งของความปลอดภัยที่กล่าวถึงบุคคลในโครงสร้างพื้นฐานการเลือกตั้งแทนที่จะมุ่งเน้นไปที่การรักษาความปลอดภัยเทคโนโลยี” เจ้าหน้าที่รัฐสภาคนหนึ่งกล่าวการอัปเดตไบโอเมตริกซ์ใครทำงานเกี่ยวกับเรื่องความปลอดภัยทางไซเบอร์เหล่านี้

บริการ RAP Back ช่วยให้หน่วยงานที่ได้รับอนุญาตสามารถรับการแจ้งเตือนกิจกรรมสำหรับบุคคลที่ดำรงตำแหน่งที่ไว้วางใจในระดับรัฐท้องถิ่นผู้รับเหมาหรือองค์กรพัฒนาเอกชนหรือผู้ที่อยู่ภายใต้การควบคุมความยุติธรรมทางอาญาหรือการสืบสวน

“ ก่อนที่จะมีการปรับใช้แร็พกลับระบบประวัติความเป็นมาทางอาญาแห่งชาติให้มุมมองสแน็ปช็อตครั้งเดียวของสถานะประวัติอาชญากรรมของแต่ละบุคคลด้วยการแร็พกลับหน่วยงานที่ได้รับอนุญาตสามารถรับการแจ้งเตือนสถานะทางอาญาใด ๆ ความยุติธรรมทางอาญาและหน่วยงานด้านความยุติธรรมที่ไม่ใช่อาชญากรเกี่ยวกับการกระทำที่ตามมา”

“ ในความพยายามที่จะควบคุมเทคโนโลยีใหม่และเพื่อปรับปรุงการประยุกต์ใช้การค้นหาลายนิ้วมือสิบพิมพ์และแฝงอยู่แผนกบริการข้อมูลความยุติธรรมทางอาญาของ FBI (CJIS) ได้พัฒนาและเพิ่มระบบใหม่เพื่อแทนที่ระบบการระบุลายนิ้วมืออัตโนมัติของโลก ข้อมูล."

FBI กล่าวว่า“ ข้อมูลชีวประวัติและไบโอเมตริกซ์ภายใน NGI [IS] …แบ่งปันกับหน่วยงานท้องถิ่น, รัฐ, รัฐบาลกลาง, ชนเผ่า, ต่างประเทศ, ระหว่างประเทศและหน่วยงานร่วมตามที่ได้รับอนุญาตจากกฎเกณฑ์ของรัฐบาลกลางและรัฐ ตามกฎหมายกฎระเบียบและนโยบายที่เกี่ยวข้อง