In the wake of mounting concerns over the security of the nation's voting infrastructure during the 2018 midterm elections – despite the Department of Homeland Security (DHS) having last year designated election-administration infrastructure as a critical infrastructure (CI) subsector which “expressly applies only to the election-administration dimension … malicious actors are unlikely to respect such limitations,” says a new non-public CATHERINE A. THEOHARY,国家安全政策,网络和信息运营专家Catherine A. Theohary以及CRS科学技术高级专家Eric A. Fischer的国会研究服务局(CRS)简介。
国土安全部2017年将选举管理指定为CI,使州和地方办事处以及参与选举的私营部门以及有资格获得增强的联邦技术援助和信息共享的私营部门实体。
CRS简报警告说:“然而,在所有三个维度(选举管理,活动活动和媒体报道)中,互联网连通性的日益增长的使用不仅在维度内,而且在范围内造成了安全风险的融合,例如,对选举基础结构的攻击可能涉及注册数据库,或其他进一步的范围,或者进一步的范围或其他进程,或者进一步批准库的范围或其他进程。 (秘密获取)信息,例如选民文件,破坏选举过程,甚至更改投票的计数和结果。”
每种攻击中的每一种都可以轻松地损害包含选民生物识别技术的选举数据库,以及选举和管理和承包商的生物识别信息(PII),这些信息(PII)有能力访问包含自己的生物特征,物理设施访问,维护,存储等的数据库
的确,CRS简报的作者说:“对政党和运动的攻击可能涉及候选信息或沟通的筛查,例如窃取“从政党信息网络中窃取数据的数据,这可能会为外国对手提供对潜在的行动,优先事项,优先事项,优先事项和易受影响的政府的影响,如果政党的范围为止。”
个人选民PII(包括潜在的生物识别数据)也可以“通过对政党或政府实体的攻击或其他方式来获得(可以用来针对被认为容易受到这种错误信息的选民的目标)。
CRS简报警告说:“一些分析师认为,技术解决方案和潜在目标的硬化将无法与这种对手的不断发展的策略保持同步,并且刑事起诉尚未达到所需的威慑水平。”
DHS本身已确定应利用服务器漏洞,以允许未经授权访问敏感信息。他们警告说:“针对运行选民注册网站的配置较差的服务器的攻击可能允许对手访问关键信息以及支持选民注册数据库本身。”
7月31日,副总统迈克·彭斯(Mike Pence)呼吁美国参议院在年底之前采取行动,以制定立法,创建网络安全和基础设施安全局,同时在纽约市的DHS国家网络安全峰会上介绍
自2016年大选以来,众议院和参议院委员会和小组委员会都进行了八次关于选举CI的听证会,但没有通过立法,尽管在第115届国会大会上提出了60多个法案,其中包含与选举安全有关的规定。
但是,CRS说:“大多数[这些法案中的大多数]解决了对选举管理安全的担忧,其他人则专注于阻止外国干预。一些关于竞选安全的规定。”
简报强调,“解决对选举干预和安全的更广泛的担忧可能需要全生公司的选举诚信方法;这将需要平衡满足合法的安全需求,并维持自由表达的保护和对民主进程正确运作的其他要求。”
在DHS的国家保护和计划局6月26日确保选民注册数据选举管理官员和人员的文件,该部门明确清楚地表明:“选民注册数据库(VRDB)是丰富的目标,可能是计算机侵入的有吸引力的目标。这个问题并不是个人国家独特的 - 它在全国范围内共享。”
此外,在DHS的最近选举基础设施安全资金考虑选举基础设施子部门(EIS)政府协调委员会(GCC)的文件,“为选举社区提供了有关短期和长期考虑因素的指示,用于使用新可用的选举资金,并提供有关资金使用的采购决策的支持。它对ID Authentication Contertication Contertication Contertication Contertication和DataBase Contracts进行了相当大的强调。
选举管理官员会很好地注意DHS文件,该文件指出:“建议选举官员在进行任何购买之前与美国选举援助委员会(EAC)进行咨询,以确保这是适当的资金支出。”
国会已向州和地方选举官员提供了3.8亿美元的资金,以改善联邦选举,并“旨在通过向新资源和人员提供额外的资金来改善联邦选举,以帮助各州建立其现有资金和人力资本投资。”
关于安全性,2016年,美国计算机紧急准备小组(CERT)建议以下内容:
•多因素身份验证:使用两个或更多不同因素实现身份验证的身份验证。因素包括:(i)您知道的东西(例如,密码/PIN); (ii)您拥有的东西(例如,加密身份设备,令牌);或(iii)您是某物(例如,生物识别)。升级选民注册系统,选举夜报告系统或其他选举办公室IT系统将其升级到多因素身份验证可以大大限制网络钓鱼攻击的风险。
•电子邮件身份验证:升级选举办公室的电子邮件系统包括SPF(发件人策略框架)和DKIM(Domainkeys已确定的邮件)允许发送域有效地“水印”其电子邮件,从而使未经授权的电子邮件(例如,垃圾邮件,垃圾邮件,播放电子邮件)易于检测到。当收到一封没有通过代理机构发布的SPF/DKIM规则的电子邮件时,DMARC(基于域的消息身份验证,报告和合格)告诉收件人域所有者对消息有什么要做的事情。设定“拒绝”的DMARC策略为欺骗电子邮件提供了最强大的保护,以确保在邮件服务器上,甚至在交付之前都拒绝了未经验证的消息。此外,DMARC的报告还提供了一种机制,使机构可以意识到明显的伪造的来源,这些信息通常不会收到否则。可以为收到DMARC报告的多个收件人定义。
和,重要的是,访问控制。 CERT说:“访问控制实践,例如基于角色的访问控制,不会防止网络钓鱼攻击,但可能会限制被盗凭证的潜在影响。使用第三方评估或审核来识别漏洞,并主动定义有效的访问控制政策和对系统的配置有助于限制网络钓鱼运动的影响。”
CERT重申,“网络钓鱼攻击可能导致凭证盗窃(例如密码),或者可以作为威胁参与者在整个组织中传播恶意软件,窃取选民信息或中断投票操作的切入点,并且“注射缺陷是广泛的Web应用程序攻击技术可以将命令发送到爆发器,允许使用的命令,以允许使用常见的命令,以允许使用常见的系统,以构建最常见的行为。 (SQL)注入,它颠覆了网页及其支持数据库之间的关系,通常以获取选民注册数据库中包含的信息。
CERT还在2016年警告说:“跨站点脚本(XSS)漏洞使威胁参与者可以在Web应用程序中插入和执行未经授权的代码。成功的XSS攻击对选民注册网站可以为攻击者提供未经授权的对选民信息的访问。”
关于州和地方选举CI官员,人员,承包商以及其他任何人都有选民PII,数据库和物理设施的访问,一些当局 - 包括仅在后台上发表的联邦政府官员,建议的立法或其他法律手段,例如穆斯,如果可能的话,可以利用FBI的使用。下一代识别(NGI)RAP支持服务,以审查所有这些人在投票CI频谱中参与其中。
一位国会工作人员告诉,一位国会工作人员告诉我:“我还没有听说过国会或国土安全部中的任何人或其他任何地方提出的,但是对我而言,这是解决选举基础设施中个人的另一层安全层,而不仅仅是专注于确保这项技术的确保。”生物识别更新谁在这些网络安全方面工作。
RAP支持服务允许授权机构收到有关在州,地方,承包商或非政府组织级别担任信任职位的个人的活动通知,或者在刑事司法监督或调查下,从而消除了对同一申请人机构的人员进行重复背景调查的需求。
在说唱退回之前,国家犯罪历史背景检查系统对个人的犯罪历史状况进行了一次快照的观点。借助说唱,授权机构可以收到对FBI报告的任何犯罪历史的持续状态通知,该通知在最初的处理和保留犯罪方面的犯罪方面,并使用犯罪分子置于指定的情况下。关于后续行动的非犯罪司法当局。”
为了利用新技术,并改善了十销和潜在的指纹搜索的应用,FBI的刑事司法信息服务(CJIS)部门(CJIS)部门(CJIS)逐步整合了一个新系统,以替换综合的指纹识别系统(IAFIS)。该新的系统,下一代官方司法社区和刑事官方的限制性范围和最多的犯罪级别。
联邦调查局说:“ NGI []内的传记和生物识别数据是……与地方,州,联邦,部落,外国,外国,国际和联合机构共享,该机构允许的联邦和州法规,联邦和州行政命令,律师或律师的法规或命令与律师的一般命令。法律,法规和政策。
