Kui mainitakse valimiste turvalisust, eriti aastal, mil enamik maailmast on määratud valima, meenub pilt valimismasinate või mingisuguse veebipõhiste valimis- või loendusprotsesside õõnestamise kohta. Seega polnud üllatav, kui selle aasta Black Hat USA konverentsi avakõne pealkiri oli “Demokraatia suurim aasta: võitlus turvaliste valimiste eest kogu maailmas”.
CrowdStrikei intsidendi järelkajad
Kuid enne konverentsi ennast oli küberturvalisuse ökosüsteem hiljutise CrowdStrikei intsidendi tõttu raputatud, mis põhjustas suurt ülemaailmset häireid – ja paneel valitsusagentuuride juhtidest üle maailma pidi seda esmalt selgitama.
Üks paneeliliikmetest, Hans de Vries, Euroopa Liidu Küberturvalisuse Ameti COO, pakkus huvitava tähelepaneku: “See oli huvitav õppetund pahaaimajatele”. See vaatenurk ei pruugi kohe ilmselge olla, kuna kõnealune intsident polnud pahatahtlik.
Kuid kui riik või küberkurjategija tahtis reaalajas simulatsiooni sellest, kuidas küberrünnak võib areneda ja põhjustada ülemaailmset häireid, siis CrowdStrikei intsident pakkus täieliku tõestusmaterjali, koos ülevaatega taastumisaegadest ja sellest, kuidas ühiskond tervikuna intsidentide tagajärgedega toime tuli.
Valimiskasti kaitsmine
Laval oli ka Jen Easterly, USA küberturvalisuse ja infrastruktuuri agentuuri juht, ning Felicity Oswald OBE, Ühendkuningriigi riikliku küberturvalisuse keskuse tegevjuht, ja kõik kolm paneeliliiget käsitlesid valimiste turvalisuse teemat.
Üldine arvamus näis viitavat sellele, et lisaks valimiste häirimise katsetele, nagu teenustõrje rünnakud, oli valimistulemuse manipuleerimise oht infrastruktuuritehnoloogia rünnaku tõttu peaaegu olematu. On olemas protsessid, mis tagavad, et iga hääl, olgu see antud paberil või elektrooniliselt, omab arvukalt sisseehitatud turvamehhanisme, et tagada selle loendamine vastavalt kavatsusele. See on julgustav uudis.
Seejärel nihkus arutelu valimisprotsessi ümber leviva valeinfo levitamisele. Paneel soovitas, et vastased, kelle eesmärk on tulemust manipuleerida, keskenduvad rohkem sellele, et luua muljet valimisprotsessi rikkumisest, mitte selle otsesel häkkimisel. Teisisõnu, nende eesmärk on panna valijad tundma, et nende hääled ei ole turvalised, kulutades rohkem jõupingutusi protsessi kohta hirmu külvamisele kui protsessi enda ründamisele.
Riiklikud küberturvalisuse raamistikud mikroskoobi all
Hiljem päeval käsitleti teises ettekandes riiklike küberturvalisuse strateegiate hindamist. Fred Heidingi poolt Harvardist esitatud uuringus uuriti, kuidas erinevad valitsused lähenevad oma riikliku küberturvalisuse kaitsele. Uurimisrühm hindas 12 riiki 67-punktilise hindamissüsteemiga, järjestades nad nende küberturvalisuse seisundi põhjal uuendajateks, liidriteks või alatoimijateks.
Skoorikaardi lähenemine hõlmas mitmeid huvitavaid kategooriaid, sealhulgas inimeste, institutsioonide ja süsteemide kaitsmist, partnerluste loomist ja selgete poliitikate kommunikeerimist. Isegi iga riigi strateegiadokumendi pikkus mõjutas skoori, ja need varieerusid laialdaselt, alates 133 ja 130 leheküljest Saksamaa ja Ühendkuningriigi jaoks vastavalt, kuni vaid 24 leheküljeni Lõuna-Korea ja 39 leheküljeni USA jaoks.
Mõned riigid, nagu Austraalia ja Singapur, paistsid silma liidritena rohkemates kategooriates kui teised, juhtides või täites kõigi kategooriate nõudeid. Ühendkuningriik hõivas keskmise positsiooni kuue juhtiva ja nelja nõudeid täitnud tulemusega. USA-l oli seevastu vastupidi, neli juhtivat ja kuus nõudeid täitnud tulemust.
Ainult kaks riiki said mõnes valdkonnas kehvemaid tulemusi – Saksamaa ja Jaapan. Oluline on märkida, et esitatud hindamisskoorid hõlmasid ainult seitset kaheteistkümnest riigist. Lisaks on see muidugi akadeemiline uurimustöö, mis keskendus poliitikale, mitte selle täitmisele – mõned riigid võivad strateegiate koostamisel suurepärast tööd teha, kuid rakendamisel alla jääda, või vastupidi.
Viimase mõttena on oluline, et me hoiaksime oma valitsused vastutavana nende küberturvalisuse poliitikate ja meie ühiskonna ning kodanike kaitsmise valmisoleku eest.
