Американский сенатор пожелал удостовериться, что производители машин для голосования обеспечивают их ИБ
Производители машин для голосования подготовили ответы на запрос американского сенатора, члена комитета Сената по разведке и сенатора штата Орегон Рона Уайдена (Ron Wyden), касающийся методов обеспечения безопасности при голосовании, пишет TechCrunch.
Запрос, включающий восемь вопросов, сенатор отправил в начале октября. Он спрашивал, имеется ли в компании главный сотрудник по информационной безопасности? Если да, кому он напрямую подчиняется? Если нет, почему? Сколько сотрудников работает (исключительно) над информационной безопасностью продукта? Сколько раз в течение последних пяти лет компания использовала внешнюю фирму для аудита информационной безопасности продуктов, с тестированием на защиту от взлома, предотвращающую проникновение в инфраструктуру? Изучала ли компания проблемы, выявленные экспертами по кибербезопасности, и выполняла ли все рекомендации? Если нет, почему? Внедрила ли компания методы, описанные в 2015 году Национальным институтом стандартов и технологий (NIST) в руководстве для систем голосования (National Institute of Standards and Technology (NIST) 2015 Voluntary Voting Systems Guidelines 1.1)? Внедрила ли компания лучшие практики, описанные в руководстве по кибербезопасности (NIST Cybersecurity Framework 1.0)? Если нет, почему? И другие вопросы.
К концу октября пять основных производителей машин для голосования, используемых в США (Dominion Voting, Election Systems & Software (ES&S), Five Cedars Group, Hart InterCivic, Unisyn Voting Solutions), прислали свои ответы, некоторые из которых не выглядят обнадеживающими, сообщает издание.
Так, например, Unisyn заявила, что за последние пять лет компания четыре раза провела тестирование на проникновение третьей стороной, и с тех пор занимается большинством сделанных в процессе тестов выводов, но за это время не выявила никаких проблем с информационной безопасностью.
Dominion Voting сообщила, что «не знает о каких-либо инцидентах, в которых злоумышленник получил бы несанкционированный доступ к нашим внутренним системам, корпоративным данным или данным о клиентах». Компания также не была проинформирована ФБР или департаментом национальной безопасности о таких вторжениях.
ES&S заявила, что у неё «нулевые знания» о любых вторжениях, связанных с её программным обеспечением регистрации избирателей или оборудованием. «Что касается кибератак в течение избирательного цикла 2016 года, то у нас нет никаких указаний на то, что наша внутренняя инфраструктура каким-либо образом скомпрометирована», — сказали в компании.
Dominion Voting заявила, что не имеет ответственного сотрудника по информационной безопасности, этим занимаются IT-директор, вице-президент и другие топ-менеджеры. Аналогично ответила и Unisyn. При этом обе компании отказались отвечать, сколько сотрудников работают в ИБ.
Основанная в Орегоне Five Cedars Group, наименьшая компания среди опрошенных, указала, что не сталкивается со многими проблемами, указанными в письме.
Машины для голосования представляют собой автономные установки, не подсоединённые к открытым сетям передачи данных. Первичная информация о результатах голосования, собранная ими, как правило, передаётся вовне на физических носителях информации.
В России аппараты для автоматической обработки избирательных бюллетеней – комплексы обработки избирательных бюллетеней (КОИБ) – достаточно широко применяются с 2010 года. Они не исключают процедуру заполнения бумажных избирательных бюллетеней, но сканируют их и облегчают подведение итогов голосования – благодаря КОИБ протокол участковой избирательной комиссии формируется компьютером.