211service.com
Het is 2020. Amerikaanse verkiezingen zijn nog steeds angstaanjagend gemakkelijke doelen.
gestemd stickers isa Element5 Digitaal op Unsplash
Voor de eerste keer ooit hebben leidinggevenden van Amerika's grootste stemtechnologiebedrijven voor het Congres getuigd over bezorgdheid over de verkiezingsveiligheid. En het oordeel van bestuurders, politici en onafhankelijke experts? Er is echte vooruitgang geboekt sinds de beladen verkiezingen van 2016, maar er moet nog veel meer worden gedaan.
De CEO's van Election Systems & Software, Hart InterCivic en Dominion Voting Systems - die samen meer dan 80% van alle Amerikaanse stemtechnologie leveren - spraken met wetgevers tijdens een commissiehoorzitting op donderdag. Alle drie waren ze het erover eens dat ze nieuwe transparantievereisten zouden ondersteunen die hen zouden dwingen meer te onthullen over cruciale veiligheidskwesties, waaronder productieketens, insiderbedreigingen, eigendomsstructuur, buitenlandse investeringen, personeelsbeleid en cyberbeveiligingspraktijken.
Het is een groot probleem om de CEO's onder ede te krijgen en officieel de nieuwe verplichte federale rapportagevereisten te ondersteunen. Momenteel moeten de verkiezingstechnologiebedrijven informatie over hun producten rapporteren, maar veel minder onthullen over hun bedrijven en activiteiten, zei Eddie Perez, voormalig directeur van de verkiezingsindustrie bij Hart InterCivic.
Het wijzigen van rapportagevereisten is echter niet zo eenvoudig.
Als je wilt dat mensen informatie op dat niveau vrijgeven, moet je consequenties hebben als iemand dat niet doet, zei Perez, eraan toevoegend dat de verkiezingsbijstandscommissie - het onafhankelijke federale agentschap dat bedoeld is om de verbinding te zijn tussen individuele staten en de nationale regering bij verkiezingen — heeft geen handhavingsbevoegdheden.
Federale normen zijn vrijwillig. Verkopers kunnen ze gebruiken of negeren; staten kunnen beslissen over naleving, zei hij.
Zelfs met de steun van toonaangevende bedrijven zouden nieuwe vereisten echter nieuwe wetten vereisen, iets wat sinds 2016 ondraaglijk is gebleken voor het Congres.
Transparantie, misschien
Liz Howard, die nu werkt voor het Brennan Center for Justice in Washington, DC, was eerder de plaatsvervangend commissaris voor verkiezingen in Virginia. Ze getuigde over de dringende noodzaak van alomvattend federaal toezicht vóór de verkiezingen van 2020.
De afwezigheid van federaal toezicht heeft een negatieve invloed op het vermogen van verkiezingsfunctionarissen om onze verkiezingsinfrastructuur verder te versterken en wordt het meest gevoeld in tijden van crisis, zoals ik uit eigen ervaring weet, getuigde Howard donderdag.
In 2017, drie maanden voor een verkiezing, waren papierloze stemmachines die in heel Virginia werden gebruikt... snel en gemakkelijk gehackt op de DEFCON cybersecurity-conferentie. Het wachtwoord voor een van die machines is openbaar gemaakt. Ondanks dat hij een hoge verkiezingsfunctionaris was, wist Howard niet welke acties er waren ondernomen.
Ik wist niet of de leveranciers op de hoogte waren van de kwetsbaarheden die door de hackers werden uitgebuit, of de leveranciers stappen hadden ondernomen om de kwetsbaarheden aan te pakken, wie de eigenaars waren van of de controle hadden over de leveranciers, of dat ze onmiddellijk en volledig zouden reageren op mijn vragen, aangezien ze waren toen niet en zijn nu niet onderworpen aan uitgebreid federaal toezicht, zei Howard. In geen enkele andere subsector die als kritieke infrastructuur wordt aangemerkt, mogen particuliere verkopers kritieke functies vervullen zonder toezicht door gezond verstand.
Audits of mislukking
Vrijwel iedereen op de hoorzitting was het er unaniem over eens dat verifieerbare audits nodig zijn om de integriteit en nauwkeurigheid van Amerikaanse verkiezingen aan te tonen. Audits zijn niet eenvoudig of gemakkelijk, zoals blijkt uit onderzoek dat gisteren is vrijgegeven, maar experts zeggen dat dit de enige manier is om verkiezingsresultaten te verifiëren in een tijdperk waarin door de overheid gesponsorde hackers mogelijk grote schade aanrichten.
Het is een algemeen erkend en echt onbetwistbaar feit dat elk stuk computerapparatuur dat tegenwoordig in stembureaus wordt gebruikt, gemakkelijk kan worden gecompromitteerd op manieren die de verkiezingsoperaties kunnen verstoren, firmware en software in gevaar kunnen brengen en mogelijk de stemmingen kunnen veranderen, zei Matt Blaze, een verkiezingstechnologie-expert en professor aan het Georgetown University Law Center.
Het houden van betrouwbare verkiezingen vereist het bijhouden van een papieren register van stemmen, betoogde Blaze, evenals het uitvoeren van regelmatige audits na elke verkiezing.
De technologie hiervoor bestaat al - het eenvoudigste voorbeeld zou het scannen en controleren van papieren stembiljetten zijn - en nu is het een kwestie van deze normen verplicht te stellen aan slechts een handvol staten en over te gaan naar nationale acceptatie.
Er zijn geen federale vereisten voor audits, zei Perez, die nu de wereldwijde directeur voor technologieontwikkeling is bij het Open Source Election Technology Institute.
Op het niveau van de staat is het verreweg een relatief kleine groep staten die bij wet controles na de verkiezingen vereist. Voor de overgrote meerderheid van de staten zijn ze niet verplicht om audits na de verkiezingen uit te voeren. Er zijn veel verkiezingsbeheerders die de term hebben gehoord, maar niet hebben geleerd hoe ze audits na de verkiezingen moeten doen. Het is een heel belangrijk onderwerp dat een zinvolle en bruikbare manier is om de integriteit van verkiezingen te vergroten, maar het is ook eerlijk om te zeggen dat de beweging om verkiezingsfunctionarissen voor te lichten over audits en om op wetgevingsniveau te werken om ze verplicht te maken zich nog in een vroeg stadium bevindt.
Voorbij het stemhokje
Hoewel stemmachines het leeuwendeel van de aandacht krijgen, zijn er andere bedreigingen waarmee rekening moet worden gehouden.
Grote risicopunten waarover de commissie hoorde, zijn onder meer kiezersregistratiedatabases en technologie voor resultaatrapportage. Al deze worden doorgaans gecontroleerd en beschermd door lokale verkiezingsfunctionarissen, die onderworpen zijn aan zeer weinig normen en te maken hebben met een kakofonie van cyberdreigingen. Het resultaat is een reeks doelen die vastberaden buitenlandse tegenstanders een angstaanjagend gemakkelijke taak zouden geven, zei Blaze. Hij vindt dat gek.
Net zoals we niet verwachten dat de lokale sheriff zich in zijn eentje verdedigt tegen invasies van militaire gronden, moeten we ook niet verwachten dat de IT-manager van de county zich verdedigt tegen cyberaanvallen door buitenlandse inlichtingendiensten, getuigde Blaze. Maar dat is precies wat we van ze hebben gevraagd.
Het artikel is bijgewerkt om de opmerkingen van Eddie Perez over de transparantievereisten van leveranciers van stemmachines over producten, bedrijven en activiteiten nauwkeurig weer te geven.