basahin ang I-download ang Buong Ulat: ” Pagboto sa Email at Internet: Ang Hindi Napapansing Banta sa Seguridad ng Halalan”

Executive Summary

Sa nakalipas na dalawang taon, ang mga paghahayag na ang aming mga sistema ng halalan ay na-target para sa cyberattack ay nagpagulo sa mga Pinuno ng US ng aming pambansang kagamitan sa seguridad na paulit-ulit na nagbabala na ang aming imprastraktura ng halalan ay patuloy na tinatarget para sa mga online na pag-atake ng dayuhang intelligence. Habang ang mga opisyal ng halalan ng estado ay nakikipagbuno sa nagbabantang banta ng cyberattack sa teknolohiya ng halalan, mayroong isang malaking kahinaan na lubusang hindi pinansin: pagpapadala ng mga balota sa internet, kabilang ang sa pamamagitan ng email, fax at mga sistema ng blockchain.

Sinusuri ng ulat na ito ang pananaliksik na isinagawa ng pamahalaang pederal na nagtatapos na ligtas
ang online na pagboto ay hindi pa magagawa. Sinusuri namin ang hindi malulutas na mga problema sa seguridad na likas sa paghahagis ng mga balota online, kabilang ang mga pag-atake sa pagpasok ng server, malware ng device ng kliyente, mga pag-atake sa mga naka-email at na-fax na balota sa transit, mga pag-atake sa pagtanggi sa serbisyo, mga pag-atake sa pagkaantala at ang hamon sa mapagkakatiwalaang pagpapatunay ng mga botante.

Ang ulat ay naglalarawan sa isang seryoso, ngunit malawak na hindi napapansin na banta sa cybersecurity sa imprastraktura ng halalan ng estado at county na tumatanggap ng mga balota na ipinadala bilang mga attachment sa anyo ng mga email o digital fax. Sa mga hurisdiksyon na tumatanggap ng mga balota sa pamamagitan ng PDF o JPEG attachment, ang mga manggagawa sa halalan ay dapat na regular na mag-click sa mga dokumento mula sa hindi kilalang mga mapagkukunan upang iproseso ang mga naka-email o na-fax na mga balota, na inilalantad ang computer na tumatanggap ng mga balota — at anumang iba pang mga aparato sa parehong network — sa isang host ng cyberattacks na maaaring ilunsad mula sa isang huwad na balota na puno ng malisyosong software. Ang isang nahawaang maling balota ay papasok sa server tulad ng iba pang balota, ngunit sa sandaling mabuksan, ito ay magda-download ng malware na maaaring magbigay sa mga umaatake ng backdoor na access sa network ng opisina ng mga halalan.

Ang pagsusuri sa mga publikasyon sa pinakamahuhusay na kagawian sa seguridad mula sa US Election Assistance Commission (EAC), Department of Homeland Security (DHS) at National Association of Election Officials ay walang nakitang na-publish na gabay tungkol sa seguridad ng mga naka-email na balota o rekomendasyon para sa pag-secure ng terminal ng computer pagtanggap ng mga naka-email na balota.

Mga natuklasan:

• Sinuri ng mga pag-aaral ng pederal na pamahalaan, militar at pribadong sektor ang pagiging posible ng pagboto na nakabatay sa internet at napagpasyahan na hindi ito ligtas at hindi dapat gamitin sa mga halalan sa gobyerno ng US.
• Pinahihintulutan ng tatlumpu't dalawang estado ang online na pagboto para sa ilang subset ng mga botante.
• Sa pangkalahatang halalan noong 2016, mahigit 100,000 balota ang iniulat na nai-cast online, ayon sa data na nakolekta sa Election Administration at Voting Survey ng EAC. Ang aktwal na bilang ay malamang na mas mataas.
• Ang mga pederal na ahensyang sumusuporta sa mga estado sa pagpapabuti ng kanilang seguridad sa halalan ay hindi nagbigay ng anumang mga babala tungkol sa online na pagbabalik ng mga binotohang balota.
• Ang mga balota na ibinalik sa online ay maaaring hindi matukoy na mabago ng iba't ibang cyberattacks, kabilang ang sa pamamagitan ng malware sa computer ng user at mga pag-atake sa pagtagos ng server. Ang huli ay ipinakita nang live at sa isang "pagsubok" na halalan.
• Ang pagboto sa Internet ay nagpapalawak ng pagkakataon para sa isang umaatake na makisali sa mga nakakapinsalang pagkagambala at pag-atake sa pagtanggi sa serbisyo, na naglalayong i-disable ang system, pagbawalan ang mga botante na bumoto, at sirain ang tiwala ng botante sa halalan.
• Ang pagtanggap ng mga balota bilang mga attachment ay maaari ding maglantad ng isang estado o county na sistema ng halalan sa mga sistematikong pag-atake sa sistema ng halalan. Maaaring madaya ng mga sopistikadong umaatake ang mga email ng isang lehitimong botante at gumamit ng mga pekeng balota upang maghatid ng malware na maaaring magamit upang makapasok sa imprastraktura ng halalan ng county o estado.
• Ang mga bagong teknolohiya, kabilang ang blockchain, ay nabigo upang malutas ang hindi malulutas na mga isyu sa seguridad na likas sa online na pagboto. Kasama sa mga isyung ito ang mga pag-atake sa pagtagos ng server, malware ng device-kliyente, mga pag-atake sa pagtanggi sa serbisyo at mga pag-atake sa pagkagambala.

Konklusyon

Hanggang sa magkaroon ng isang malaking teknolohikal na tagumpay sa o pangunahing pagbabago sa likas na katangian ng internet, ang pinakamahusay na paraan para sa pag-secure ng mga halalan ay isang sinubukan at totoo: mga balotang papel na ipinadala sa koreo. Ang mga papel na balota ay hindi tamper-proof, ngunit hindi sila mahina sa parehong pakyawan na panloloko o pagmamanipula na nauugnay sa pagboto sa internet. Ang pakikialam sa mga balotang papel na ipinadala sa koreo ay isa-isang pag-atake. Ang pag-infect sa mga computer ng mga botante ng malware o pag-infect sa mga computer sa opisina ng mga halalan na humahawak at nagbibilang ng mga balota ay parehong mabisang paraan para sa malakihang katiwalian.

Ang mga botante ng militar ay walang alinlangan na nahaharap sa mas malalaking hadlang sa pagboto. Karapat-dapat sila sa anumang tulong na maibibigay sa kanila ng gobyerno upang makilahok sa demokrasya nang pantay-pantay sa lahat ng iba pang mamamayan. Gayunpaman, sa kapaligirang ito na puno ng banta, ang online na pagboto ay naglalagay sa panganib sa mismong demokrasya na sinisingil ng militar ng US sa pagprotekta.

Isinasaalang-alang ang kasalukuyang teknolohiya at kasalukuyang mga banta, ang postal return ng isang binotohang balota ay ang pinaka responsableng opsyon. Ang mga estado na nagpapahintulot sa online na pagbabalik ng mga binotohang balota ay dapat na suspindihin ang pagsasanay. Dapat kilalanin ng mga pederal na ahensya tulad ng DHS at EAC ang mga kahinaang ipinakilala sa pamamagitan ng pagpapahintulot sa online na pagboto at inirerekomenda na bawasan ng mga estado ang lahat ng pagbabalik ng online na balota. Hanggang sa gawin nila, ang integridad ng mga boto ng mga Amerikano ay nakataya, at sa maraming kaso, ang integridad ng sistema ng halalan ay nasa panganib.

Mga Rekomendasyon ng Buod

Inirerekomenda namin ang ilang pangunahing pag-iingat na dapat sundin ng mga opisyal ng halalan at mga botante. [Ang isang komprehensibong hanay ng mga rekomendasyon ay nasa dulo ng ulat na ito.]

Mga rekomendasyon para sa mga administrador ng halalan:

• I-map ang network upang matiyak na ang computer na ginamit upang makatanggap ng mga naka-email o naka-digital na naka-fax na mga balota ay hindi nakakonekta sa o sa parehong network ng network ng voting machine, election management system (EMS) o voter registration system sa pamamagitan ng wired o wireless na paraan.
• I-scan ang lahat ng papasok na email at digital attachment na formalware. Ang mail program ay dapat na i-configure upang i-verify na ang mga attachment ay nasa inaasahang uri at nahuhulog sa karaniwang hanay ng laki. Mahalaga: Ang pag-scan ay maaaring makakita ng mga attachment para sa mga executable na malware program ngunit maaaring hindi matukoy ang malware sa loob isang PDF o JPEG file. Ang malware sa loob ng naturang mga file ay mas kumplikado.
• Tiyakin na ang lahat ng mga balota na ibinalik sa pamamagitan ng elektronikong paraan ay naka-print para sa pagbibilang at hindi elektronikong ipinadala sa EMS para sa tallying.
• Bigyan ang lahat ng mga botante ng impormasyon at mga opsyon para sa pagpapadala ng mga balota pabalik sa pamamagitan ng koreo.
• Tiyaking alam ng mga botante ng militar ang libreng pinabilis na opsyon sa koreo na magagamit sa kanila. Mga rekomendasyon para sa mga botante:
• Ang mga botante na tumatanggap ng mga blangkong balota sa koreo ay hinihikayat na markahan ang mga balota at ipadala ang mga ito pabalik.
• Ang mga botante na tumatanggap ng mga blangkong balota sa pamamagitan ng email ay hinihikayat na i-print ang balota at markahan ito sa pamamagitan ng kamay kung maaari. Kung minamarkahan ang balota gamit ang isang computer, i-print ang huling bersyon at maingat na suriin ang mga pagpipilian bago ipadala ito pabalik.
• Ibalik ang balota sa pamamagitan ng koreo. Ang mga tauhan ng militar sa mga lokasyon ng army, fleet o diplomatic post office (APO/FPO/ DPO) ay maaaring magbalik ng mga balota ng absentee sa pamamagitan ng Priority Mail Express gamit ang libreng Express Mail Label 11-DOD.

Pagkatapos ng pangkalahatang halalan ng 2018, nagsasaad na ang pagpapahintulot sa online na pagbabalik ng mga binotohang balota ay dapat alisin ang kasanayan. Mangangailangan ito ng aksyong pambatasan sa karamihan ng mga estado. Bagama't nakatutulong ang pagpapataw ng kuwarentenas sa mga papasok na balota, hindi nito mapipigilan ang isang sopistikadong umaatake mula sa pagtatangkang gumamit ng mga balota sa isang sibat na pag-atake sa phishing o pagsira sa mga balota sa transit. Karagdagan pa, ang mga ahensyang pederal na sinisingil sa pagtulong sa mga estado sa pagpapalakas ng kanilang seguridad sa halalan ay dapat magpatupad ng pamumuno at mag-publish ng mga babala tungkol sa online na pagbabalik ng mga binotohang balota.

basahin ang I-download ang Buong Ulat: ” Pagboto sa Email at Internet: Ang Hindi Napapansing Banta sa Seguridad ng Halalan”