Kongre, Amerika’nın seçim teknolojisini daha sıkı bir siber güvenlik mikroskobu altına almaya yaklaşıyor.
CIA gibi istihbarat teşkilatlarına fon sağlayan bu yılki İstihbarat Yetkilendirme Yasası’nın içinde, Bağımsız Testlerle Seçimlere Saygıyı Korumak İçin Seçim Siber Güvenliğini Güçlendirme (SECURE IT) Yasası da yer alıyor. Bu yasa, federal olarak onaylanmış oy verme makineleri ve oy pusulası tarayıcılarının sızma testlerinden geçirilmesini ve bağımsız araştırmacıların her türlü seçim sistemindeki kusurları araştırmasına izin verme olasılığını araştıran bir pilot program oluşturulmasını gerektirecek.
Başlangıçta ABD senatörleri Virginia Demokratı Mark Warner ve Maine Cumhuriyetçisi Susan Collins tarafından sunulan GÜVENLİ BT Yasası, yabancı düşmanların ABD demokrasisini baltalamaya kararlı olduğu bir dönemde, önemli seçim teknolojilerinin güvenliğini önemli ölçüde artırabilir.
Senato İstihbarat Komitesi’nin başkanı olan Warner, “Bu yasa, araştırmacılarımıza düşmanlarımızın düşündüğü şekilde düşünme ve kötü niyetli kişilerin kullandığı araçlar ve yöntemlerle sistemlerimize sızmaya çalışarak gizli güvenlik açıklarını ortaya çıkarma yetkisi verecek” diyor.
Bu programlara yönelik yeni baskı, seçim güvenliği endişelerinin ilçe memurlarına yönelik ölüm tehditleri, oy verme yerlerindeki şiddet ve yapay zeka destekli dezenformasyon gibi daha içgüdüsel tehlikelere kaymış olmasına rağmen, kanun koyucuların aynı zamanda kritik altyapı olarak kabul edilen ancak diğer hayati sektörlere kıyasla daha az düzenlenen oylama sistemlerine bilgisayar korsanlarının sızma olasılığı konusunda endişe duymaya devam ettiğini vurguluyor.
Rusya’nın 2016 seçimlerine müdahalesi, oy verme makinelerine yönelik tehditlere ışık tuttu ve büyük gelişmelere rağmen, modern makineler bile kusurlu olabilir. Uzmanlar, daha sıkı federal standartlar ve daha bağımsız güvenlik denetimleri için sürekli olarak baskı yaptı. Yeni yasa tasarısı, bu endişeleri iki şekilde ele almaya çalışıyor.
İlk hüküm, ABD Seçim Yardım Komisyonu’nun sertifikasyon sürecine yakın zamanda eklenen penetrasyon testini kanunlaştıracaktır. (EAC yakın zamanda, oy verme makinelerini ve oy pusulası tarayıcılarını kapsayan ve birçok eyaletin tedarikçilerinin karşılamasını zorunlu kıldığı sertifikasyon standartlarını elden geçirdi.)
Daha önceki testler, makinelerin yalnızca antivirüs yazılımı ve veri şifrelemesi gibi belirli savunma önlemlerine sahip olup olmadığını doğrularken, penetrasyon testleri, makinelerin zayıflıklarını bulup istismar etmeyi amaçlayan gerçek dünya saldırılarını simüle edecek ve potansiyel olarak ciddi yazılım kusurları hakkında yeni bilgiler elde edebilecek.
“İnsanlar zorunlu eğitim çağrısında bulunuyor [penetration] New York Üniversitesi Brennan Adalet Merkezi’ndeki seçim güvenliği ekibinin danışmanlarından ve eski Virginia seçim komiseri olan Edgardo Cortés, “Seçim ekipmanları için yıllardır testler yapılıyor” diyor.
Yasa tasarısının ikinci maddesi, EAC’nin, seçmen kayıt veri tabanları ve seçim sonuçları web siteleri gibi federal testlere tabi olmayan sistemler de dahil olmak üzere seçim teknolojisi için bir güvenlik açığı ifşa programı denemesi yapmasını gerektirecek.
Güvenlik açığı ifşa programları, esasen toplumsal düşünceli siber uzmanlar için hazine avlarıdır. Düzenleyicinin hangi bilgisayar sistemlerinin adil oyun olduğu konusunda net kurallar altında çalışan, denetlenmiş katılımcılar, bu sistemlerin nasıl tasarlandıkları veya yapılandırıldıkları konusunda kusurlar bularak hacklemeye çalışırlar. Daha sonra keşfettikleri kusurları, bazen bir ödül karşılığında, düzenleyiciye bildirirler.
Warner-Collins tasarısı, çeşitli uzmanlardan oluşan bir grubun çok çeşitli seçim sistemlerindeki hataları tespit etmesine olanak sağlayarak, ABD demokrasisinin mekanizmasının incelenmesini önemli ölçüde artırabilir.