Yazan: Zac Amos, Özellik Düzenleyicisi, ReHack
Siber güvenlik gözetimleri ABD’deki altyapıyı tarihteki en kırılgan hale getiriyor. Bilgisayar korsanları, oy verme de dahil olmak üzere kritik toplumsal sistemleri devirmek için sürekli olarak yeni stratejiler geliştiriyor. Seçim sezonu geldi ve uzmanlar uygun savunmalar tasarlamak için en belirgin tehditleri analiz ediyor. Bu neye benziyor ve bu eğilimler siber güvenli oy verme uygulamalarının yeni bir geleceğine işaret ediyor mu?
Seçim Altyapı Görünümü
Oy verme alanlarında siber saldırılar nadir değildir. Ancak bunların artan ciddiyeti ve sıklığı, düzenleyici kurumlar arasında daha fazla işbirliği ve eylem gerektirmektedir. Kesintiler arasında fidye yazılımı, kimlik avı çeşitleri ve dağıtılmış hizmet reddi (DDoS) tehditleri yer alıyordu.
Bilgisayar korsanları hala bu stratejileri kullanıyor ancak sağlamlık ve karmaşıklık açısından gelişiyorlar. Yenilikler, analistlerin olaylara müdahale etmesini ve tehditleri izole etmesini zorlaştırıyor. Her yıl halkın güvenini tehlikeye atmaya ve demokratik sistemleri ortadan kaldırmaya kararlı yeni teknikler ortaya çıkıyor.
Tarihsel olarak yıkıcı saldırılar, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı (CISA) harekete geçmeye motive etti. Örgüt, 2016 yılında Rusya’nın katalize ettiği oylama sunucularının hizmet dışı bırakılmasından sonra kuruldu; bu olay, gizli aday iletişimlerinin yayınlanmasına ve sonuçları etkilemek amacıyla hedef odaklı kimlik avı e-postalarının başlatılmasına neden oldu.
Grup, dijital riskleri azaltmak için Ulusal Eyalet Seçim Direktörleri Birliği ve Ulusal Dışişleri Bakanları Birliği’ne bir seçim güçlendirme programı sundu. Seçim uzmanlığına sahip yeni işe alımları işe aldı ve bunları ülke çapında dağıttı. Eyalete özgü seçim süreçleri ve mekanizmalarına ilişkin incelemeler yapacak.
Yapay Zeka ve Deepfake’ler
Eyalet ön seçim penceresine yaklaşırken New Hampshire’da yapay zeka telefon çağrıları yaygınlaştı. Otomatik aramalar Başkan Joe Biden’a benziyordu ve arayan kimlikleri yanlışlıkla eski parti başkanı Kathy Sullivan’ın adını gösteriyordu. Kimliğe bürünme, insanları oy vermekten caydırmak için bir mesaj iletti. İyileştirme için FCC’nin müdahalesi, müfettişler ve suçlu telekom şirketine birden fazla durdurma ve vazgeçme emri verilmesi gerekiyordu.
Etkinlik, tehdit aktörlerinin dezenformasyonu yaymak ve oy haklarını ortadan kaldırmak için yapay zeka yeteneklerinden nasıl yararlanacağını gösteren bir değişime işaret ediyordu. Üretken yapay zeka, derin sahtekarlıklar ve sohbet robotları sorunu daha da derinleştiriyor çünkü yapay zekanın çok yönlülüğü artmaya devam ediyor. Örneğin bilgisayar korsanları, çıktıları düzeltmek için makine öğrenimi veritabanındaki veri zehirlenmesini kullanabilir ve bu da yanlış bilgilendirilmiş tespitlere yol açabilir.
Bu benzeri görülmemiş saldırı türlerini çözmek çok yönlü bir plana ihtiyaç duyuyor. New Hampshire, seçmenleri bastırma yasası oluşturarak hazırlandı, ancak yapay zekaya özgü kuralların federal düzeyde açıklanması için daha fazla eylem gerekiyor. Biden yönetimi, ne kadar çok veriyi eğittikleri ve gelişimlerinin hızlanması nedeniyle çift kullanımlı temel modellere yönelik politikalar oluşturmak üzere 2023’te bir idari emir yayınladı.
NIST, ISO ve OWASP gibi kuruluşlardan gelen CISA önerileri ve gelecek vaat eden uyumluluk çerçevesi önerileri, oylama sistemleri için geçerli yapay zeka güvenlik fırsatlarının ana hatlarını çiziyor.
E-dolandırıcılık
Kimlik avı seçim yetkilileri için her zaman bir sorun olmuştur. COVID-19 salgını, devamsız oy pusulalarının ve çevrimiçi oy verme kayıtlarının miktarını artırarak seçimlerle ilgili dijital iletişim sayısının hızla artmasına neden oldu.
E-postaların, chatbot konuşmalarının, anlık mesajların ve diğer iletişim biçimlerinin sayısı, bilgisayar korsanlarının ekleri bozması ve güvenilir kişilermiş gibi davranması için yüzey alanını genişletiyor. Yukarıda bahsedilen klon sesli çağrılar, bir tür kimlik avı veya sesli kimlik avıdır.
Bunu önlemeye yönelik eylemler arasında, yalnızca e-postaya güvenmek yerine veri toplamak ve başvuruları göndermek için çevrimiçi formlar oluşturulması yer alıyor. Seçim Altyapı Paylaşımı ve Analiz Merkezi (EI-IASC) gibi diğer girişimler, oy verme merkezleri ve şehir operatörleri için ücretsiz tespit araçları sağlıyor. Seçim Yardım Komisyonu ayrıca güvenli oylama yönetim sistemlerini savunmak için şu stratejileri önerdi:
- Hava boşluklu ağların kullanılması
- Çok faktörlü kimlik doğrulamayı kullanma
- Fiziksel güvenlik önlemlerinin dahil edilmesi
- Bağımsız yazılıma güvenme
- Seçmen gizliliği özelliklerinin geliştirilmesi
- Birlikte çalışabilirliğin teşvik edilmesi
Sosyal mühendislik
Sosyal manipülasyon onlarca yıldır bilgisayar korsanlığının temelini oluşturuyor ancak seçim sezonunda oldukça etkili oluyor. Siber suç örgütleri, seçim yetkililerine, adaylara ve seçmenlere sistemik saldırılara yardım etmeleri için rüşvet, şantaj veya ikna ediyor. Bunlar, sınırların ötesinde bile, radar altından içeriden erişim ve bilgi edinmenin kesin yollarıdır.
Sosyal mühendisliği önlemek incelikli bir çabadır çünkü genellikle değişen derecelerde etkiye sahip bireylere özgü zihinsel, duygusal ve fiziksel motivasyonları içerir. Oy verme merkezleri ve devlet daireleri, güvenilirliği doğrulamak için kapsamlı geçmiş kontrolleri, görüşmeler ve referanslar içeren sıkı işe alım süreçlerini kullanarak sosyal mühendislik potansiyelini azaltabilir.
Veri ihlalleri
Bilgisayar korsanları, eski oylama teknolojilerindeki birçok güvenlik açığını ve arka kapıyı ortaya çıkarmak için durmaksızın çalışıyor. Web siteleri ve oylama konsollarının, kişisel verileri korumaya yönelik yeni bilgisayar korsanlığı girişimlerine dayanabilmesi için güncellemelere ihtiyacı var. Washington DC, şehrin web sunucusunun hacklenmesinin ardından 2023’te 600.000 seçmenin sert tepkisini yaşadı.
Sayısız strateji ihlal girişimlerine dayanabilir. İşgücünü beyaz şapkalı bilgisayar korsanları ve penetrasyon testçileriyle doldurmak, siber suçlular ilerlemeden önce kritik oylama altyapısındaki gözetimleri hızlı bir şekilde tespit edecektir. Uzmanlar, siber güvenlik iyileştirmeleri için en değerli fırsatı belirleyen bir tehdit aktörü rolünü oynuyor.
Başka bir çözüm ise değişmez depolamadır. Yerel oy verme kuruluşları sayısız bayt vatandaş bilgisini saklıyor ve bu bilgileri dokunulmaz, düzenlenemez yedek donanımlarda saklamak, olası bir ihlalin yarattığı tahribatı hafifletebilir.
Seçim Güvenliğinin Korunması
Siber güvenlik profesyonellerinin yeterli düzeyde hazırlık yapabilmeleri için yeni saldırı girişimlerini ve tarzlarını öngörmeleri gerekir. Yapay zeka gibi yıkıcı teknolojiler, modası geçmiş hackleme tekniklerini revize ederek seçim altyapısına yönelik en sinsi ve en yıkıcı saldırıları gerçekleştirecek. Sektör profesyonelleri ve hükümetler, oy vermenin dürüstlüğüne yönelik darbelere karşı koymak için iki partili stratejiler geliştirme konusunda işbirliği yapmalıdır.
yazar hakkında
Zac Amos, ReHack’te Özellik Editörüdür ve burada siber güvenlik ve teknoloji endüstrisini ele almaktadır. İçeriğinin daha fazlası için onu takip edin heyecan veya LinkedIn.