Teknolojiye yönelik Koordineli Güvenlik Açığı Açıklama (CVD) veya Güvenlik Açığı Açıklama Politikaları (VDP), kullanıcılar ve paydaşlar arasında güven oluşturan bir güvenlik stratejisinin temel bileşenleridir. VDP, üçüncü tarafların potansiyel güvenlik açıklarını ve güvenlik açıklarını doğrudan etkilenen kuruluşlara bildirmesine olanak tanıyan bir “bir şey söyle bir şey gör” politikasıdır. Seçim teknolojisi üreticileri, yazılımdaki güvenlik açıklarını istismar edilmeden önce tespit edip düzeltmenin faydalarını fark eden en son sektördür. Ağustos 2018’de Bilgi Teknolojisi – Bilgi Paylaşımı ve Analiz Merkezi (IT-ISAC), seçim endüstrisi paydaşlarının BT-ISAC içinde özel ve güvenilir bir forum sağlaması amacıyla bir Seçim Güvenliği Özel İlgi Grubu’nun (EI-SIG) kurulmasını onayladı. Ağlarını ve varlıklarını fiziksel ve siber tehditlere karşı korumaya yardımcı olun. EI-SIG’in başlangıcından bu yana geçen beş yıllık yolculuk, genel seçim teknolojisi güvenliğine yönelik bir dizi girişimin ortaya çıkmasını sağladı; Bunlardan biri, VDP’lerin geniş çapta kabul görmesine yardımcı olmaktır. Çoğu seçim teknolojisi uzmanının VDP’leri bir süredir yürürlükte olsa da, yakın zamanda gerçekleşen bir olay, güvenlik açığının ifşa edilmesi uygulamasını ülkedeki en deneyimli ve yenilikçi etik bilgisayar korsanlarından bazılarının gerçekleştirdiği uygulamalı güvenlik testleri ile bir araya getirdi.
Seçim Güvenliği Araştırma Forumu’nun (ESRF) bir üyesi olan HackerOne, bu yolculuğun bir parçası oldu ve etkinlikleri koordine etmek ve güvenlik girişimlerinde tavsiyelerde bulunmak için içgörü ve yetenek sağlamaya devam ediyor. Bu blogda olayın arka planını, neden gerçekleştiğini, sonuçlarını ve öğrenilen dersleri paylaşıyoruz.
Etik Bilgisayar Korsanları Seçim Teknolojisinin Güvenliğine Yardımcı Oluyor
Seçim Güvenliği Araştırma Forumu (ESRF) etkinliği Eylül 2023’te McLean, VA’daki MITRE tesisinde gerçekleşti ve EI-SIG işbirliğiyle IT-ISAC’ın öncülüğünde gerçekleşti. EI-SIG’in katılımını tamamlamak amacıyla, seçim güvenliği alanındaki sektör profesyonellerinden, eski seçim yetkililerinden güvenlik araştırmacıları topluluğunun temsilcilerine kadar oluşan bir Güvenlik Danışma Kurulu, seçim teknolojisi üreticileri ile seçim yöneticileri arasındaki ilişkilerin geliştirilmesine yardımcı olmak amacıyla oluşturuldu. güvenlik araştırmacısı topluluğu. Üç seçim teknolojisi üreticisi ve 15 bağımsız güvenlik araştırmacısı veya etik bilgisayar korsanı katıldı. Etik bilgisayar korsanlarının tamamı, etkinlikten önce güvenlik açısından tamamen incelenen ABD vatandaşlarıdır. Etik bilgisayar korsanları, iki günlük bir süre boyunca, cihazlarındaki olası güvenlik sorunlarını araştırmak için seçim teknolojisi sağlayıcılarıyla bir araya geldi. Testlere ek olarak, çeşitli uzman paydaşların panelleri ve konuşmaları, ortak hedefe ilişkin ek bir anlayış oluşturdu. Güvenlik test edildi, ürünler ve süreçler iyileştirildi ve en önemlisi karşılıklı güven kazanıldı.
Etkinliğe donanım korsanı Brandon Reynolds katıldı ve şu yorumu yaptı: ” [The election security event] seçim sürecimiz olan makinenin ve kullanılan donanımın içini görmek, hayatta bir kez elde edilebilecek bir şanstı. Donanım güvenliğine ve kuruluşların donanımlarını güvence altına almak için izleyecekleri farklı yollara kesinlikle aşığım. Seçim teknolojisi tüm seçim ekosisteminin belki %20’sini oluşturuyor ama son derece kritik. Ülkemizde oy vermek için kullanılan donanımı inceleme fırsatı, sırf meraktan dolayı her zaman görmek istediğim bir şeydi.” Brandon ayrıca güven inşa etmek için şeffaflığın önemine de değindi. “Seçmen sahtekarlığıyla ilgili korku ve yanlış bilgi olmaya devam ediyor. En iyi siber güvenlik mühendisleri, bu kritik makineleri incelemek için kendi paralarıyla birkaç gün harcadılar ve genel kamuoyunun sonuçlardan haberdar olmasını çok isterim. Olumlu ya da olumsuz olsun, bulguların yasa koyucularla, vatandaşlarla ve seçim sürecinin diğer VIP’leriyle paylaşılması ülkemizde özgür ve açık seçim sürecine olan güvenin yeniden tesis edilmesi açısından çok önemli.”
Seçim Sürecinde Şeffaflık Güven Artırıyor
Dezenformasyon, dış müdahale ve güvensizliğin seçimlere getirdiği riskler son derece inandırıcıdır. Ve gerçek şu ki, teknoloji var olduğu sürece güvenlik açıkları da mevcut olacaktır. Ancak güvenlik perde arkasında gerçekleşirse seçim teknolojisindeki olası bir güvenlik açığı çok daha büyük bir risk algısı yaratabilir. Bu nedenle, dışarıdan birinin zihniyetini benimseyebilen kişiler tarafından kapsamlı güvenlik testleri yapılmasını sağlamak çok önemlidir ve güvenlik açığının açıklanması yoluyla bu testlerin kamuya yönelik şeffaflığını sağlamak da bu kadar kritiktir. İşbirliğine dayalı ve şeffaf testler bu etkinliğin hedefi ve amacıydı ve katılan katılımcıların da kanıtladığı gibi bu başarılabilir ve değerlidir ve bu sadece başlangıçtır.
Sonuçlar: Düşük Risk
Nihai rapor, IT-ISAC’ın EI-SIG ve ESRF’si tarafından yayınlanan, seçim teknolojisi üreticileri tarafından yayınlanan ve araştırmacılarla işbirliği içinde bir araya getirilen üç bağımsız bulgu raporunun bir derlemesidir. Bu raporlar, olay sırasındaki 48 saatlik test süresinin ve olay sonrası triyaj ve iyileştirme penceresinin sonucudur. Test edilen saldırı vektörleri, seçim sandığı doldurma, tarayıcı hizmet reddi, web sitesi URL’sinin işgali ve ön panel iş istasyonu erişimi dahil olmak üzere bir dizi seçim güvenliği tehdidini ele aldı. Üç seçim teknolojisi üreticisinin sunduğu 21 rapordan 19’u “düşük riskli” olarak sınıflandırılırken, geri kalan ikisi hâlâ araştırılıyor.
Geleceğe Yönelik Öğrenimler
Bu işbirliğinin başarısını artırmak amacıyla üreticiler ve araştırmacılar, öğrenme ve gelişme fırsatlarının olduğu konusunda hemfikir. Gelecekteki etkinlikler için, yerel ve eyalet yetki alanlarını da içerecek şekilde ekosistemin daha fazlasının dahil edilmesi ve test edilmesi ideal olacaktır. Bu yalnızca güvenlik araştırmacılarının test edebileceği saldırı yüzeyini genişletmekle kalmaz, aynı zamanda seçim güvenliği alanındaki daha fazla saldırı vektörüne odaklanmalarına da olanak tanır.
Seçimleri güvence altına alma yolculuğu muhtemelen hiçbir zaman tam olmayacak; her zaman yeni teknolojiler, yeni insanlar ve süreçler ile mücadele edilecek yeni tehditler olacak. Seçim sistemlerinin işbirlikçi ve şeffaf güvenlik testi uygulamasının norm haline gelmesiyle, genel olarak daha dirençli bir seçim sürecinin temelini iyileştirmeye yönelik ileriye yönelik bir yol var.
Bir güvenlik açığı açıklama programı oluşturma konusunda tavsiye almak için bugün uzmanlarımızdan biriyle konuşun.