Často to vypadá, že vše, co lze hacknout, bude skutečně hacknuto. Ve většině zemí s demokraticky volenými vládami jsme zmodernizovali volební systémy, aby zahrnovaly určitý druh počítačového zpracování. Modernizace může být jednoduchá, jako například použití skenerů pro sčítání papírových hlasovacích lístků, nebo složitější, jako v případě pořízení a následné údržbě plně automatizovaných hlasovacích zařízení. Je tedy přirozené, že mnozí uvažují o tom, zda příští novinové titulky nebudou o hackerském útoku na naše volby.
Naštěstí zatím země po celém světě většinou odolaly snahám o přechod na online hlasování nebo, což by bylo ještě horší, o zaznamenávání hlasovacích lístků do blockchainu. Upřímně řečeno, technologie, které máme k dispozici, prostě nejsou připraveny na ověření totožnosti a ochranu soukromí voliče prostřednictvím online mechanismu. V roce 2012 se jedna kanadská politická strana pokusila použít elektronické hlasování, ale nakonec podlehla útoku typu DDoS, který vážně narušil proces hlasování a sčítání hlasů.
Existují přitom dva základní způsoby, jak se mohou útočníci pokusit zmanipulovat výsledky voleb. První typ manipulace se zaměřuje výhradně na samotnou technologii, zatímco druhý využívá technologii k tomu, aby manipuloval lidmi a přiměl je hlasovat tak, jak by jinak nehlasovali.
Hacknutí systému
Ve většině volebních systémů na celém světě je nutné zaslat hlasovací lístek poštou nebo hlasovat na určeném místě pomocí speciálních systémů a hlasovacích lístků. Tímto opatřením se snižuje rozsah „útočné plochy“, kterou mohou útočníci zneužít, a poskytuje to možnost celý systém zabezpečit. Rizika ale přetrvávají.
Nejzřetelnějším typem útoků na tyto specializované systémy jsou počítačové viry nebo zneužití zranitelností softwaru umožňující manipulaci se systémy. Ve většině systémů se tyto zranitelnosti mohou vyskytnout na třech hlavních místech, a to v samotných hlasovacích zařízeních (pokud jsou elektronická), v systémech pro sčítání hlasů a v systémech pro vedení seznamů voličů, kteří mohou ve volbách hlasovat.
Ve většině situací je základní obranou proti malwaru nebo útokům na zranitelná místa jednoduše nepřipojovat hlasovací systémy k sítím a rozhodně je nikdy nepřipojovat přímo k internetu. Tento přístup zabraňuje vzdálenému přístupu ke kritickým systémům. K útoku na takto izolované systémy potřebuje útočník fyzický přístup ke každému cílovému zařízení. To sice může pomoci zabránit rozsáhlému zneužití, ale elektronická hlasovací zařízení jsou samozřejmě fyzicky přístupná voličům a zařízení pro sčítání hlasů mohou být přístupná osobám se zlými úmysly. Nejedná se tedy o univerzální řešení.
Vzhledem k tomu, že jsou hlasovací systémy mezi volbami často delší dobu někde uskladněny, je také velmi důležité instalovat všechny opravy a aktualizace softwaru, které byly bezpečným způsobem dodány výrobcem. Hlasovací systémy se aktualizují častěji, protože v rámci hackerských soutěží jako Voting Village na konferenci Defcon se začaly tyto systémy zkoumat a hledat v nich chyby, což vyvíjí tlak na dodavatele, aby je lépe zabezpečili. Klíčové je zde právě „bezpečné poskytování“ aktualizací, kdy musí proces správy aktualizací zahrnovat systém, který zajistí jejich legitimitu.
Hacknutí lidí
Někdy je nejlepším způsobem, jak zasáhnout do demokratického procesu voleb, nikoliv přímo snaha změnit výsledky hlasování, ale spíše podpořit nedůvěru ve správnost výsledků nebo šíření dezinformací, které mají změnit rozhodnutí voličů v den voleb. Dnes mohou značnou část této práce zastat technologické prostředky, které snižují útočníkům náklady na provádění těchto operací ve velkém rozsahu.
Jedním ze způsobů, jak narušit volby, je zasahovat do procesu sčítání hlasů a způsobit tak jeho zpoždění. I když se můžeme snažit izolovat samotná hlasovací zařízení od připojení k internetu, na mnoha místech po celém světě probíhá sčítání nebo skenování hlasovacích lístků na běžných počítačích, které někdo ještě minulý týden používal také ke čtení e-mailů nebo pořízení lístků na koncert. Provedení útoku typu DDoS na tyto systémy nebo jejich nakažení malwarem je praktičtější než útok na hlasovací zařízení a mohlo by to způsobit vážnou nedůvěru ve výsledky voleb.
Když dojde k jakémukoli útoku, všichni se snažíme zjistit, kdo za tím stojí. Zjištění pachatelů je ale obtížné a rozhodně nelze provést v časovém rámci našich očekávání. Provádění operací tzv. pod falešnou vlajkou je v digitální sféře neuvěřitelně snadné. Například útoky proti zimním olympijským hrám v roce 2018 v Jižní Koreji byly mnoha odborníky původně připisovány Severní Koreji, ale po dalším vyšetřování bylo zjištěno, že je má na svědomí Rusko.
Jedna z metod útoku, která byla přímo zaměřena na kompromitaci systémů souvisejících s volbami, nikoli však samotného hlasovacího zařízení, byla pozorována ve Spojených státech. Začala v srpnu 2016 a americká Národní bezpečnostní agentura (NSA) ji připsala ruské vojenské rozvědce (GRU). V rámci několikafázového útoku nakonec útočníci kompromitovali místní volební úředníky malwarem prostřednictvím cíleného phishingového útoku.
Nakonec i pouhé šíření dezinformací na sociálních sítích může nic netušící lidi přimět, aby se obrátili proti svým vlastním zájmům. A co je důležitější, aby se obrátili zády k pravdě. Pomocí moderních nástrojů, jako je generativní umělá inteligence (např. ChatGPT, Gemini a další), je schopnost masově a s mírnými obměnami šířit dezinformace na platformách sociálních médií velmi levná. Těmto výmyslům to díky prostému objemu a zdání všeobecného přijetí dodává důvěryhodnost. Naši vlastní výzkumníci z týmu Sophos AI na konferenci DEFCON 31 předvedli, že generativní umělou inteligenci lze použít i k automatickému vytvoření celého podvodu. Mějme přitom na paměti, že dezinformace nemusí přímo podporovat nebo znevažovat konkrétního kandidáta nebo problém, na který je zaměřen. Jedno z opakujících se dezinformačních schémat v posledních několika letech se jednoduše zaměřuje na voliče určitých demografických skupin nebo voličských tendencí a předkládá jim dezinformace o dni a místě voleb nebo požadavcích na prokázání registrace.
Promyšlené postupy ke snížení dopadu
Pro zachování integrity voleb je nejdůležitější možnost ověřit jejich výsledky. Žádnému elektronickému systém by se nikdy nemělo zcela důvěřovat bez auditovatelných a ověřitelných fyzických záznamů, které mohou být ručně zkontrolovány lidmi. Počítače mohou být napadeny a lidská paměť je nechvalně známá jako omylná. Takže aby společnost uznala, že jsou výsledky legitimní, je zásadní mít fyzický záznam úmyslu voliče.
Radikální transparentnost je úžasné antiseptikum. Všechny postupy a procesy, včetně kódu, pokud se jedná o počítače, by měly být veřejně dostupné a kontrolovatelné, aby byla zajištěna jejich integrita. To neznamená, že veškerý software musí být open source. Ale pokud je to nutné, musí být potvrzeno, že neobsahuje zadní vrátka a funguje podle očekávání. Stejně jako by podniky měly trvat na možnosti ověřit, že aplikovaná záplata je digitálně podepsaná a pochází od dodavatele, měli bychom mít možnost prověřit kód a zkontrolovat, zda neobsahuje zranitelnosti a zadní vrátka.
Protože politika proniká do každé lidské organizace, musíme mít robustní soubor pravidel, která nás ochrání nejen před vnějšími hrozbami, ale i před osobami se škodlivými úmysly uvnitř organizace. Počítače, stejně jako každý jiný prvek související s konáním svobodných a spravedlivých voleb, musí být ověřitelné. Software by měl být prokazatelně autentický a hlasy by měly být fyzicky zaznamenány v nedigitální podobě, což by umožnilo audit a ruční ověření v případě poruchy nebo manipulace.
Každý ví, že počítače jsou poruchové. Může k tomu dojít z nejrůznějších důvodů, ale pokud používáme počítače k hlasování, je velmi důležité nakonfigurovat je tak, abychom mohli vytvořit úplnou auditní stopu jejich chování. Pokud ale máme podezření, že by mohly být nefunkční například z důvodu hackerského útoku, musíme mít snadno pochopitelné postupy, jak zachovat záznamy o těchto závadách.
Všechny počítače používané při zaznamenávání nebo sčítání hlasů by měly mít nainstalovaný software pro rozšířenou detekci a reakci (XDR), který pečlivě zaznamenává každou akci, k níž na zařízení došlo. Pomáhá to při forenzní analýze a poskytuje informace potřebné k určení příčiny jakéhokoli neobvyklého chování.
Vzhledem ke značnému počtu fyzických míst, kde mohou lidé volit, jsou jen zřídkakdy k dispozici odborníci, kteří by řešili komplikované technické závady. Existuje ale několik věcí, které mohou pomoci, když se vše pokazí. Jasný a jednoduchý kontrolní seznam může pomoci netechnickým pracovníkům zjistit, jak reagovat na případné poruchy, a zajistit uchování důkazů, které pomohou při následném forenzním auditu. Mezi základní doporučení patří odpojit zařízení od jakéhokoli síťového připojení, udržovat jej zapnuté a mít k dispozici telefonní číslo na volební orgány, které je třeba upozornit, když dojde k problémům.
Technologie pro volby
Technologie budou stále více součástí všech fází voleb a kampaní. Musíme zajistit, abychom byli schopni využívat otevřenost, efektivitu a dostupnost, jakou to našim demokraciím poskytuje. Nastavením transparentních postupů, obezřetných a jasných bezpečnostních opatření a podrobného zaznamenávání automatizovaných procesů můžeme bezpečně využívat technologie, které nám při volbách pomohou.
Obtížněji zvládnutelná jsou společenská rizika zvýšené distribuce dezinformací a výmyslů, které lze zneužitím technologií produkovat ve velkém měřítku při mimořádně nízkých nákladech. Bude to vyžadovat promyšlenou regulaci, pečlivý výzkum metodik detekce a spolupráci provozovatelů komunikačních platforem, aby společně usilovali o blokování, varování a potlačování počítačem generovaných nepravd.
Autor: Chester Wisniewski, CISO společnosti Sophos
