Bất chấp những tuyên bố của các nhà cung cấp hệ thống bỏ phiếu trực tuyến, House Vote Today có nguy cơ đe dọa đến tính bảo mật của các lá phiếu của quân đội ở nước ngoài

Khi Hạ viện Kentucky chuẩn bị bỏ phiếu cho SB 1, một dự luật được thiết kế nhằm tạo điều kiện thuận lợi hơn cho người dân Kentucky ở nước ngoài và quân nhân, Pamela Smith, chủ tịch của Verified Voting, một nhóm phi đảng phái toàn quốc chuyên bảo vệ các cuộc bầu cử của chúng ta trong thời đại kỹ thuật số, và Richard Beliles của Common Cause Kentucky, đã đưa ra tuyên bố sau:

“Chúng tôi kêu gọi các thành viên Hạ viện đánh giá những nguy cơ của việc bỏ phiếu qua Internet một cách sáng suốt. Thay vì bảo vệ lá phiếu của quân đội chúng ta, việc cho phép bỏ phiếu của cử tri ở nước ngoài qua Internet khiến những lá phiếu đó có nguy cơ bị tin tặc tấn công và can thiệp – vào thời điểm chúng ta đang ngày càng biết nhiều hơn về mức độ xâm nhập của Trung Quốc và những nước khác vào mạng lưới quốc gia của chúng ta.

Bỏ phiếu qua Internet là hình thức bỏ phiếu kém an toàn nhất và những người cho rằng hệ thống bỏ phiếu hiện tại sử dụng các tiêu chuẩn mã hóa và bảo vệ cao đã bỏ qua thực tế công nghệ rằng không có hệ thống nào hiện tại an toàn trước sự xâm nhập.

Các mục tiêu đằng sau SB 1 là đáng khen ngợi, cũng như mục đích đằng sau nỗ lực làm cho việc bỏ phiếu dễ tiếp cận hơn đối với quân đội của chúng ta. Nhưng những nguy hiểm của việc bỏ phiếu qua Internet là, trong nỗ lực tăng cường quyền bỏ phiếu cho các thành viên quân đội, Hạ viện có nguy cơ đe dọa quyền đó.

Chúng tôi kêu gọi Hạ viện thông qua SB 1 mà không có điều khoản cho phép trả lại phiếu bầu đã bỏ qua bằng điện tử.”

Sự thật và hư cấu về bỏ phiếu điện tử

1. Sai lầm: Hệ thống bỏ phiếu trực tuyến hoàn toàn an toàn hoặc không thể xâm phạm.

Sự thật: Những người khẳng định rằng hệ thống bỏ phiếu qua Internet an toàn không phải là chuyên gia an ninh quốc gia. Họ là những nhà cung cấp hệ thống bỏ phiếu trực tuyến, những người đang tiếp thị sản phẩm của mình cho các viên chức bầu cử trên khắp cả nước, đưa ra lời hứa về tính bảo mật, xác thực cử tri và khả năng xác minh. Những tuyên bố của họ chưa được kiểm tra công khai hoặc bất kỳ loại chứng nhận nào của chính phủ.

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) là cơ quan liên bang chịu trách nhiệm nghiên cứu và đánh giá bảo mật bỏ phiếu qua Internet. Trong nhiều năm, NIST đã nghiên cứu và đánh giá các công cụ bảo mật có sẵn để bảo vệ các lá phiếu đã bỏ phiếu được truyền qua Internet. NIST đã xem xét kỹ lưỡng những gì có thể và không thể thực hiện để bảo vệ các lá phiếu trực tuyến và ngăn chặn các cuộc tấn công thành công. NIST đã công bố một số báo cáo về các phát hiện của mình và năm ngoái đã ban hành một tuyên bố tóm tắt công việc và kết luận của mình cho đến nay. NIST khuyến cáo rằng với các công cụ bảo mật hiện có, bỏ phiếu qua Internet an toàn là không "khả thi"[1] và cần phải nghiên cứu thêm trước khi có thể khắc phục các thách thức về bảo mật. Bất kỳ tuyên bố nào của nhà cung cấp rằng họ đã phát triển một hệ thống bỏ phiếu qua Internet an toàn đều trái ngược hoàn toàn với đánh giá tốt nhất của NIST sau nhiều năm nghiên cứu và phân tích.

2. Sai lầm: Bỏ phiếu qua email không phải là bỏ phiếu qua Internet.

Sự thật: Có một sự hiểu lầm phổ biến rằng việc gửi lại phiếu bầu đã bỏ phiếu qua email hoặc fax kỹ thuật số không phải là bỏ phiếu qua Internet. Email và fax kỹ thuật số đều được truyền qua Internet và có thể bị tấn công, xóa hoặc giả mạo. Bất cứ khi nào một lá phiếu đã bỏ phiếu được truyền qua email, fax kỹ thuật số hoặc cổng bỏ phiếu Internet, những lá phiếu đó sẽ được truyền qua Internet và có thể bị kẻ tấn công giả mạo hoặc xóa ở bất kỳ đâu trên thế giới.

3. Sai lầm: Hàng chục tiểu bang đã cho phép bỏ phiếu qua Internet và chưa có vụ tấn công nào thành công.

Sự thật: Mặc dù đúng là nhiều tiểu bang đã cho phép bỏ phiếu trực tuyến, nhưng bất kỳ giả định nào cho rằng hệ thống của họ an toàn và không bị xâm phạm đều chưa được chứng minh. Những tin tặc lành nghề có thể xâm nhập hệ thống và xóa mọi dấu vết về hành động của chúng, vì vậy không có cách nào để biết liệu những hệ thống này đã bị xâm nhập và xâm phạm hay chưa. Người ta ước tính rằng hầu hết các vụ tấn công mạng không được phát hiện trong hơn một năm. Chỉ vì các tiểu bang chưa xác định được cuộc tấn công mạng vào hệ thống bỏ phiếu trực tuyến không có nghĩa là nó không bị xâm phạm hoặc sẽ không bị xâm phạm trong các cuộc bầu cử trong tương lai.

4. Sai lầm: Hệ thống bỏ phiếu trực tuyến được truyền qua mạng lưới an toàn của Bộ Quốc phòng.

Sự thật: Ngay cả đối với cử tri quân đội, các hệ thống bỏ phiếu qua Internet hiện nay cũng không sử dụng mạng lưới DoD. Bất kỳ hệ thống nào được sử dụng hiện nay đều kết nối với Internet công cộng và có thể bị tin tặc tấn công ở bất kỳ đâu trên thế giới. Một số nhà cung cấp tuyên bố hoặc ám chỉ đến việc sử dụng các hệ thống riêng tư tách biệt với Internet công cộng. Nhưng ngay cả các hệ thống riêng ảo vẫn dựa vào Internet công cộng và dễ bị tấn công.

5. Sai lầm: Hệ thống bỏ phiếu qua Internet hiện đang sử dụng đã được Bộ Quốc phòng chấp thuận.

Sự thật: Các nhà cung cấp đã khoe khoang rằng hệ thống của họ đã được Bộ Quốc phòng mua lại. Điều này ngụ ý rằng Bộ Quốc phòng đã chấp thuận sử dụng các hệ thống này để bỏ phiếu trực tuyến. Điều này không chính xác. Bộ Quốc phòng đã mua một số hệ thống này chỉ để chuyển phiếu trắng trực tuyến, nhưng không phải để truyền (trả lại) các lá phiếu đã bỏ phiếu. Chính phủ liên bang không có ý định sử dụng các hệ thống này để truyền phiếu đã bỏ phiếu qua Internet vì những rủi ro bảo mật chưa được giải quyết.[2]

6. Hư cấu: Hệ thống bỏ phiếu trực tuyến có thể cung cấp xác thực cử tri an toàn. Hoặc, hệ thống bỏ phiếu trực tuyến sử dụng thẻ CAC của quân đội.

Sự thật: Các nhà cung cấp đã tuyên bố rằng hệ thống của họ có thể xác thực danh tính của cử tri, tuy nhiên việc xác thực cử tri qua Internet vẫn là một vấn đề chưa được giải quyết. Như NIST đã kết luận, "Hoa Kỳ hiện đang thiếu một cơ sở hạ tầng công cộng để xác thực cử tri điện tử an toàn". [3] Và trong khi việc sử dụng thẻ CAC có thể, một ngày nào đó, cung cấp xác thực cử tri đáng tin cậy, thì vẫn chưa rõ liệu bất kỳ hệ thống bỏ phiếu qua Internet nào hiện có có thể kết hợp việc sử dụng thẻ CAC hay không. Theo NIST, việc sử dụng thẻ CAC rất khó khăn và tốn kém để triển khai với công nghệ hiện có và không bao gồm các cử tri UOCAVA không phải là quân nhân. [4]

7. Sai lầm: Hệ thống bỏ phiếu trực tuyến có thể được kiểm tra độ chính xác.

Sự thật: Các nhà cung cấp thường tuyên bố rằng hệ thống của họ có thể được kiểm toán, nhưng không thể tiến hành kiểm toán có ý nghĩa đối với các lá phiếu được gửi qua Internet bằng công nghệ hiện nay. Các cuộc tấn công có thể thay đổi lá phiếu của cử tri mà cử tri không biết, giống như các cuộc tấn công vào hệ thống ngân hàng chuyển tiền mà không có sự cho phép của chủ tài khoản là không thể phát hiện được.[5] Các cuộc tấn công này cũng sẽ không thể bị nhà cung cấp hoặc quan chức bầu cử phát hiện và vì chúng ta bỏ phiếu kín nên hầu như không thể tiến hành kiểm toán có ý nghĩa đối với một cuộc bầu cử trong đó các lá phiếu được truyền qua Internet. Theo NIST, "đảm bảo các hệ thống bỏ phiếu điện tử từ xa có thể kiểm toán được phần lớn vẫn là một vấn đề đầy thách thức, không có công nghệ hiện tại hoặc được đề xuất nào đưa ra giải pháp khả thi".[6]

[1] http://www.nist.gov/itl/vote/uocava.cfm

[2] Theo thông báo của Bộ Quốc phòng gửi Quốc hội liên quan đến việc mua hệ thống bỏ phiếu trực tuyến từ Everyone Counts và các công ty khác, các hệ thống này được mua để chuyển các lá phiếu trắng trực tuyến, cho phép cử tri đánh dấu lá phiếu rồi in lá phiếu để gửi lại qua đường bưu điện; các hệ thống này không được sử dụng để gửi lại lá phiếu đã bỏ phiếu qua Internet. Thông báo nêu rõ “[c]ử tri sẽ có thể đánh dấu lá phiếu bằng tất cả các ứng cử viên đã chọn,[ .] rồi in lá phiếu kèm theo hướng dẫn bỏ phiếu cụ thể của Tiểu bang và phong bì có ghi địa chỉ trước để cử tri in ra bằng bản cứng, ký bằng chữ ký ướt và gửi lại qua đường bưu điện. Các hệ thống này giống như giao diện đầu tiên mà cử tri sẽ trải nghiệm trong hệ thống bỏ phiếu trực tuyến đầy đủ. [Hệ thống] dừng quy trình trực tuyến khi đánh dấu lá phiếu trực tuyến và hỗ trợ gửi lại qua đường bưu điện lá phiếu cứng, có chữ ký “ướt”. http://comptroller.defense.gov/defbudget/fy2012/budget_justification/pdfs/03_RDT_and_E/DHRA.pdf

[3] http://www.nist.gov/itl/vote/uocava.cfm

[4] NIST 7770 “Những cân nhắc về bảo mật cho việc bỏ phiếu điện tử từ xa UOCAVA” http://www.nist.gov/itl/vote/upload/NISTIR-7700-feb2011.pdf

[5] Tuy nhiên, trong trường hợp tiền bị đánh cắp thông qua phần mềm độc hại trong máy tính của người dùng, số tiền bị mất có thể được phục hồi do luật Liên bang hạn chế tổn thất ngân hàng bán lẻ. Những giới hạn này không áp dụng cho tài khoản ngân hàng thương mại.

[6] Như trên.