Door Tony Anscombe, ESET Chief Security Evangelist

Veiligheid bij de VS-verkiezingen

ESET
ESET
Advertorial

Advertorial verbindt organisaties met de lezers van en doet een beroep op de specialisten van Roularta Brand Studio voor tekst en illustraties. De inhoud wordt eventueel aangebracht door de partner en valt buiten de verantwoordelijkheid van de redactie.

25 september 2024, 10:41 Bijgewerkt op: 30 september 2024, 11:30

Het vermelden van verkiezingsveiligheid, zeker in een jaar waarin zowel de meerderheid van de wereldbevolking als de VS gaat stemmen, doet denken aan stemmachines of zelfs aan een vorm van ondermijning van online stem- of telprocessen.

Het was dan geen verrassing dat de hoofdtoespraak op de Black Hat USA-conferentie van dit jaar “Democracy’s Biggest Year: The Fight for Secure Elections Around the World” was. Kort voor de conferentie werd het cybersecurity-ecosysteem opgeschrikt door het CrowdStrike-incident, dat op wereldvlak grote storingen veroorzaakte.

Het was dus normaal dat een panel van leiders van overheidsinstanties zich over dit onderwerp zou buigen. Eén van hen, Hans de Vries, COO van het European Cyber Security Agency, maakte een interessante opmerking: “Voor de slechteriken was het een interessante les.” Dit perspectief lag niet meteen voor de hand, daar het incident in kwestie niet kwaadaardig was.

Maar als een natiestaat of cybercrimineel een simulatie wilde van hoe een cyberaanval zich in de echte wereld zou kunnen ontvouwen en ontwrichtingen op wereldvlak zou kunnen veroorzaken, leverde dit incident een complete ‘proof-of-concept’ op, met inzicht in de hersteltijd en hoe de samenleving, als een geheel, de veroorzaakte schade heeft afgehandeld.

Jen Easterly, directeur van de U.S. Cybersecurity and Infrastructure Security Agency, en Felicity Oswald OBE, CEO van het UK National Cyber Security Centre, spraken ook over verkiezingsveiligheid. Dit werd afgesloten met een consensus die suggereerde dat ondanks pogingen om verkiezingen te verstoren – zoals denial-of-service-aanvallen – het risico op manipulatie van resultaten na een aanval op infrastructuurtechnologie vrijwel onbestaande is. Processen zijn ingevoerd om te zorgen dat bij elke stem, of deze op papier of elektronisch wordt uitgebracht, talrijke beveiligingsmechanismen zijn ingebouwd zodat deze op de juiste manier wordt geteld. Dit is geruststellend nieuws.

De discussies hadden ook betrekking op de verspreiding van valse informatie rond het verkiezingsproces. Sprekers suggereerden dat tegenstanders die de resultaten willen manipuleren, meer de illusie willen wekken dat het verkiezingsproces gebrekkig is, dan het direct te hacken. In feite willen ze de kiezers doen geloven dat hun stem niet veilig is en besteden ze meer moeite aan het zaaien van angst dan aan aanvallen.

Een andere presentatie beoordeelde de nationale cyberveiligheidsmaatregelen. Fred Heiding van Harvard presenteerde een onderzoek over de manier waarop verschillende overheden de bescherming van hun nationale cyberveiligheid benaderen. Het onderzoeksteam beoordeelde 12 landen op basis van een raster van 67 punten en classificeerde ze als vernieuwers, leiders of onderpresteerders volgens hun benadering van cyberbeveiliging.

De scorekaart bevatte verschillende interessante categorieën, waaronder de bescherming van mensen, instellingen en systemen, het opbouwen van partnerschappen en het communiceren van een duidelijk beleid. Zelfs de lengte van het strategiedocument van elk land beïnvloedde de score. Deze lengte varieerde van 133 pagina’s voor Duitsland en 130 voor het Verenigd Koninkrijk, tot slechts 24 voor Zuid-Korea en 39 voor de VS.

Australië en Singapore presteerden op meer vlakken beter dan andere landen en scoorden in alle categorieën hoog of gemiddeld. Groot-Brittannië stond in de middenmoot met zes hoge en vier gemiddelde scores. De VS bevond zich in de tegenovergestelde situatie, met vier hoge en zes gemiddelde scores.

Slechts twee landen, Duitsland en Japan, scoorden op sommige vlakken lager. Het is opmerkelijk dat de gepresenteerde evaluatieformulieren slechts betrekking hadden op zeven van de twaalf landen. Bovendien zijn dit de resultaten van een academisch onderzoek dat zich richt op beleid in plaats van op implementatie: sommige landen doen uitstekend werk bij het ontwikkelen van strategieën, maar zijn niet in staat deze te implementeren, of omgekeerd.

Het is dus belangrijk dat we onze regeringen ter verantwoording roepen voor hun cyberveiligheidsbeleid en hun paraatheid om onze samenleving en burgers te beschermen.