NIST znajduje problemy bezpieczeństwa z zagranicznym głosowaniem elektronicznym

Wysiłki mające na celu umożliwienie członkom armii amerykańskiej i innym zagranicznym wyborcom oddawania głosów za pośrednictwem poczty elektronicznej lub Internetu napotykają poważne problemy związane z bezpieczeństwem, zgodnie z nowym raportem rządu USA.

Mimo że głosowanie za pomocą standardowej poczty ma własne problemy, raport z amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST), mówi, że elektroniczna transmisja zakończonych kart do głosowania, w tym także telefonu i faksu, "stanowi poważne wyzwanie dla uczciwości wyborów".

USA Departament Obrony eksperymentował z głosowaniem w Internecie w 2003 r., Ale zrezygnował z programu pilotażowego w następnym roku po pojawieniu się obaw o bezpieczeństwo. Kilka państw przeprowadziło eksperymenty z głosowaniem w Internecie, w tym na Florydzie i Alabamie w 2008 r., Z powodu obaw związanych z nieotrzymywaniem kart do głosowania w poczcie wojskowej.

Ustawa o pomocy dla głosowania w Ameryce z 2002 r. (HAVA) wymaga wyborów w USA Komisja Pomocy (EAC) do badania metod głosowania za granicą, a raport NIST jest częścią tego wysiłku. "Bezpieczeństwo IT jest ważnym aspektem tego problemu, dlatego EAC poprosił NIST o przeprowadzenie badania, które zbada zagrożenia dla bezpieczeństwa związane z potencjalnymi technologiami elektronicznymi do głosowania za granicą i wskaże możliwe sposoby złagodzenia tych zagrożeń", powiedział Nelson Hastings, autor raportu.

Raport NIST mówi, że względnie bezpiecznie można przesłać nieopełnione karty za pomocą faksu lub e-maila lub umieścić je w Internecie, ale wysyłanie wypełnionych formularzy za pomocą tych metod stwarza problemy z bezpieczeństwem lub prywatnością.

Głosowanie przez telefon wymagałoby podania PIN-ów, a kody PIN mogą zostać utracone lub skradzione, mówi raport. Ponadto można dzwonić na rozmowy telefoniczne, w szczególności rozmowy VoIP (głos przez Internet),

Transmisje faksów mogą być względnie bezpieczne, ale faksy mogą być pozostawione bez nadzoru "przez kilka godzin", mówi raport. "Faksy prawdopodobnie pozostałyby w pokoju w biurze wyborczym, odbierając faksy przez cały dzień", głosi raport. "Daje to potencjalnym napastnikom czas na przeglądanie wrażliwych danych osobowych lub niszczenie ważnych formularzy rejestracyjnych."

E-mail może zostać przechwycony lub zablokowany, raport dodaje. "E-mail nie daje żadnej gwarancji, że zamierzony odbiorca otrzyma wiadomość" - głosi raport. "Atak na serwery DNS [Domain Name System] mógłby skierować wiadomości e-mail do atakującej strony, co nie tylko doprowadziłoby do pozbawienia wyborców prawa głosu, ale także do utraty wrażliwych informacji o wyborcach."

Chociaż nie ma takich doniesień atak zakończył się sukcesem, wykryto niedawną lukę w zabezpieczeniach serwerów DNS, która mogła zostać wykorzystana do stworzenia takiego ataku, mówi raport.

Istnieje również szereg mniej wyrafinowanych ataków, które mogą zakłócić głosowanie drogą elektroniczną, raport mówi. "Atak typu" odmowa usługi "może zalać urzędników wyborczych ogromną liczbą fałszywych wiadomości e-mail" - czytamy w raporcie. "Liczba e-maili może szybko przerosnąć serwer e-mailowy urzędnika wyborczego, uniemożliwiając dotarcie legalnych formularzy do urzędników wyborczych."

Głosowanie przez Internet może wykorzystywać szyfrowanie w celu ochrony przed wyciekami danych, ale odmowa usługi ataki oparte na botnetach nadal stanowią potencjalny problem. "Udany atak typu" odmowa usługi "przytłoczyłby serwer wyborczy WWW ruchem, uniemożliwiając legalnym wyborcom wysyłanie dokumentów rejestracyjnych i wniosków o głosowanie" - napisano w raporcie. "Bardzo trudno jest zabezpieczyć się przed atakami Denial of Service od atakującego z dużą ilością zasobów."

Kilka stanów już rozdaje karty do głosowania pocztą e-mail lub faksem, a raport NIST zaleca Komisji ds. Wyborów opracować wytyczne dla robiąc tak. Oferuje niewiele wskazówek na temat alternatywnych rozwiązań dla tradycyjnej poczty elektronicznej, ale twierdzenie, że poprawa bezpieczeństwa musi być monitorowana.

"Systemy faksowe, e-mailowe i internetowe mogą szybko i rzetelnie dystrybuować puste karty wyborcze dla wyborców, znacznie redukując czasy oddania kart do głosowania, w obliczu wysyłania kart do głosowania wyborcom i poprawiając … doświadczenie głosowania obywateli za granicą" - czytamy w raporcie. "Ponadto wnioski o rejestrację i głosowanie mogą również skorzystać z tych metod dystrybucji, ale istnieje więcej zagrożeń podczas przetwarzania danych osobowych od wyborców. Głosowanie w sprawie głosowania pozostaje trudniejszym zagadnieniem."

Rola NIST w systemach wyborczych jest "czysto techniczny", powiedział współautor raportu Andrew Regenscheid. "NIST nie ustala ani nie rekomenduje decyzji politycznych" - powiedział. "To zależy od stanu i lokalnych urzędników wyborczych, aby zdecydować, na jaki poziom ryzyka są gotowi przyjąć, w oparciu o procedury i kontrole, które wprowadzają."