Kongres się porusza bliżej do poddania technologii wyborczej w USA bardziej rygorystycznemu mikroskopowi cyberbezpieczeństwa.
Wbudowany wewnątrz tegoroczna ustawa o autoryzacji wywiadu, która finansuje agencje wywiadowcze, takie jak CIA, to ustawa o wzmocnieniu cyberbezpieczeństwa wyborów w celu utrzymania poszanowania wyborów poprzez niezależne testowanie (SECURE IT), która wymagałaby testów penetracyjnych certyfikowanych przez władze federalne maszyn do głosowania i skanerów kart do głosowania oraz stworzyłaby pilotażowy program badający wykonalność umożliwienia niezależnym badaczom badania wszelkiego rodzaju systemów wyborczych pod kątem wad.
Ustawa SECURE IT —pierwotnie wprowadzony przez Amerykańscy senatorzy Mark Warner, Demokrata z Wirginii i Susan Collins, Republikanka ze stanu Maine, mogliby znacząco poprawić bezpieczeństwo kluczowych technologii wyborczych w czasach, gdy zagraniczni przeciwnicy w dalszym ciągu zamierzają podważać amerykańską demokrację.
„To prawodawstwo umożliwi naszym badaczom myślenie w sposób, w jaki myślą nasi przeciwnicy, i ujawnianie ukrytych luk w zabezpieczeniach poprzez próby penetracji naszych systemów przy użyciu tych samych narzędzi i metod, których używają złoczyńcy” – mówi Warner, który przewodniczy Senackiej Komisji ds. Wywiadu.
Nowy nacisk na te programy podkreśla fakt, że nawet gdy obawy dotyczące bezpieczeństwa wyborów przesunęły się na bardziej wewnętrzne zagrożenia, takie jak groźby śmierci wobec urzędników okręgowych, przemoc w lokalach wyborczych i dezinformacja napędzana sztuczną inteligencją, prawodawcy nadal niepokoją się możliwością przedostania się hakerów do głosowania systemy, które są uważana za infrastrukturę krytyczną ale podlegają niewielkim regulacjom w porównaniu z innymi istotnymi gałęziami przemysłu.
Ingerencja Rosji w wybory w 2016 r. rzuciła światło na zagrożenia dla maszyn do głosowania i pomimo znacznej poprawy nawet nowoczesne maszyny mogą mieć wady. Eksperci konsekwentnie nawołują do zaostrzenia standardów federalnych i bardziej niezależnych audytów bezpieczeństwa. Nowy projekt ustawy próbuje rozwiać te obawy na dwa sposoby.
Pierwszy przepis kodyfikowałby działania amerykańskiej Komisji ds. Pomocy Wyborczej niedawny dodatek testów penetracyjnych do procesu certyfikacji. (EAK niedawno odnowiony swoje standardy certyfikacji, które obejmują maszyny do głosowania i skanery kart do głosowania, i które wymaga tego wiele stanów spotkanie ich dostawców.)
Podczas gdy poprzednie testy po prostu sprawdzały, czy maszyny zawierają szczególne środki ochronne — takie jak oprogramowanie antywirusowe i szyfrowanie danych —testy penetracyjne będą symulować ataki w świecie rzeczywistym mające na celu znalezienie i wykorzystanie słabych punktów maszyn, potencjalnie dostarczając nowych informacji o poważnych wadach oprogramowania.
„Ludzie wzywali do wprowadzenia obowiązkowych [penetration] latami testujemy sprzęt wyborczy” – mówi Edgardo Cortés, były komisarz ds. wyborów w Wirginii i doradca zespołu ds. bezpieczeństwa wyborów w Brennan Center for Justice na Uniwersytecie Nowojorskim.
Drugi przepis ustawy wymagałby od EAC eksperymentowania z programem ujawniania luk w zabezpieczeniach technologii wyborczych – w tym systemów, które nie podlegają testom federalnym, takich jak bazy danych rejestracji wyborców i strony internetowe z wynikami wyborów.
Programy ujawniania luk w zabezpieczeniach są w zasadzie poszukiwaniem skarbów dla cyberekspertów o obywatelskich poglądach. Sprawdzeni uczestnicy, działający według jasnych zasad określających, które systemy komputerowe organizatora są uczciwą grą, próbują zhakować te systemy, znajdując błędy w ich projektowaniu lub konfiguracji. Następnie zgłaszają organizatorowi wszelkie wykryte wady, czasem za nagrodę.
Umożliwiając zróżnicowanej grupie ekspertów wyszukiwanie błędów w wielu różnych systemach wyborczych, ustawa Warnera-Collinsa mogłaby radykalnie rozszerzyć kontrolę nad machiną amerykańskiej demokracji.