Často to vypadá, že vše, co lze hacknout, bude skutečně hacknuto. Ve většině zemí s demokraticky volenými vládami jsme zmodernizovali volební systémy, aby zahrnovaly určitý druh počítačového zpracování. Modernizace může být jednoduchá, jako například použití skenerů pro sčítání papírových hlasovacích lístků, nebo složitější, jako v případě pořízení a následné údržbě plně automatizovaných hlasovacích zařízení. Je tedy přirozené, že mnozí uvažují o tom, zda příští novinové titulky nebudou o hackerském útoku na naše volby.
Naštěstí zatím země po celém světě většinou odolaly snahám o přechod na online hlasování nebo, což by bylo ještě horší, o zaznamenávání hlasovacích lístků do blockchainu. Upřímně řečeno, technologie, které máme k dispozici, prostě nejsou připraveny na ověření totožnosti a ochranu soukromí voliče prostřednictvím online mechanismu. V roce 2012 se jedna kanadská politická strana pokusila použít elektronické hlasování, ale nakonec podlehla útoku typu DDoS, který vážně narušil proces hlasování a sčítání hlasů.
Existují přitom dva základní způsoby, jak se mohou útočníci pokusit zmanipulovat výsledky voleb. První typ manipulace se zaměřuje výhradně na samotnou technologii, zatímco druhý využívá technologii k tomu, aby manipuloval lidmi a přiměl je hlasovat tak, jak by jinak nehlasovali.
Hacknutí systému
Ve většině volebních systémů na celém světě je nutné zaslat hlasovací lístek poštou nebo hlasovat na určeném místě pomocí speciálních systémů a hlasovacích lístků. Tímto opatřením se snižuje rozsah „útočné plochy“, kterou mohou útočníci zneužít, a poskytuje to možnost celý systém zabezpečit. Rizika ale přetrvávají.
Nejzřetelnějším typem útoků na tyto specializované systémy jsou počítačové viry nebo zneužití zranitelností softwaru umožňující manipulaci se systémy. Ve většině systémů se tyto zranitelnosti mohou vyskytnout na třech hlavních místech, a to v samotných hlasovacích zařízeních (pokud jsou elektronická), v systémech pro sčítání hlasů a v systémech pro vedení seznamů voličů, kteří mohou ve volbách hlasovat.
Ve většině situací je základní obranou proti malwaru nebo útokům na zranitelná místa jednoduše nepřipojovat hlasovací systémy k sítím a rozhodně je nikdy nepřipojovat přímo k internetu. Tento přístup zabraňuje vzdálenému přístupu ke kritickým systémům. K útoku na takto izolované systémy potřebuje útočník fyzický přístup ke každému cílovému zařízení. To sice může pomoci zabránit rozsáhlému zneužití, ale elektronická hlasovací zařízení jsou samozřejmě fyzicky přístupná voličům a zařízení pro sčítání hlasů mohou být přístupná osobám se zlými úmysly. Nejedná se tedy o univerzální řešení.
Vzhledem k tomu, že jsou hlasovací systémy mezi volbami často delší dobu někde uskladněny, je také velmi důležité instalovat všechny opravy a aktualizace softwaru, které byly bezpečným způsobem dodány výrobcem. Hlasovací systémy se aktualizují častěji, protože v rámci hackerských soutěží jako Voting Village na konferenci Defcon se začaly tyto systémy zkoumat a hledat v nich chyby, což vyvíjí tlak na dodavatele, aby je lépe zabezpečili. Klíčové je zde právě „bezpečné poskytování“ aktualizací, kdy musí proces správy aktualizací zahrnovat systém, který zajistí jejich legitimitu.
Hacknutí lidí
Někdy je nejlepším způsobem, jak zasáhnout do demokratického procesu voleb, nikoliv přímo snaha změnit výsledky hlasování, ale spíše podpořit nedůvěru ve správnost výsledků nebo šíření dezinformací, které mají změnit rozhodnutí voličů v den voleb. Dnes mohou značnou část této práce zastat technologické prostředky, které snižují útočníkům náklady na provádění těchto operací ve velkém rozsahu.
Jedním ze způsobů, jak narušit volby, je zasahovat do procesu sčítání hlasů a způsobit tak jeho zpoždění. I když se můžeme snažit izolovat samotná hlasovací zařízení od připojení k internetu, na mnoha místech po celém světě probíhá sčítání nebo skenování hlasovacích lístků na běžných počítačích, které někdo ještě minulý týden používal také ke čtení e-mailů nebo pořízení lístků na koncert. Provedení útoku typu DDoS na tyto systémy nebo jejich nakažení malwarem je praktičtější než útok na hlasovací zařízení a mohlo by to způsobit vážnou nedůvěru ve výsledky voleb.
Když dojde k jakémukoli útoku, všichni se snažíme zjistit, kdo za tím stojí. Zjištění pachatelů je ale obtížné a rozhodně nelze provést v časovém rámci našich očekávání. Provádění operací tzv. pod falešnou vlajkou je v digitální sféře neuvěřitelně snadné. Například útoky proti zimním olympijským hrám v roce 2018 v Jižní Koreji byly mnoha odborníky původně připisovány Severní Koreji, ale po dalším vyšetřování bylo zjištěno, že je má na svědomí Rusko.
Jedna z metod útoku, která byla přímo zaměřena na kompromitaci systémů souvisejících s volbami, nikoli však samotného hlasovacího zařízení, byla pozorována ve Spojených státech. Začala v srpnu 2016 a americká Národní bezpečnostní agentura (NSA) ji připsala ruské vojenské rozvědce (GRU). V rámci několikafázového útoku nakonec útočníci kompromitovali místní volební úředníky malwarem prostřednictvím cíleného phishingového útoku.
Nakonec i pouhé šíření dezinformací na sociálních sítích může nic netušící lidi přimět, aby se obrátili proti svým vlastním zájmům. A co je důležitější, aby se obrátili zády k pravdě. Pomocí moderních nástrojů, jako je generativní umělá inteligence (např. ChatGPT, Gemini a další), je schopnost masově a s mírnými obměnami šířit dezinformace na platformách sociálních médií velmi levná. Těmto výmyslům to díky prostému objemu a zdání všeobecného přijetí dodává důvěryhodnost. Naši vlastní výzkumníci z týmu Sophos AI na konferenci DEFCON 31 předvedli, že generativní umělou inteligenci lze použít i k automatickému vytvoření celého podvodu. Mějme přitom na paměti, že dezinformace nemusí přímo podporovat nebo znevažovat konkrétního kandidáta nebo problém, na který je zaměřen. Jedno z opakujících se dezinformačních schémat v posledních několika letech se jednoduše zaměřuje na voliče určitých demografických skupin nebo voličských tendencí a předkládá jim dezinformace o dni a místě voleb nebo požadavcích na prokázání registrace.
Promyšlené postupy ke snížení dopadu
Pro zachování integrity voleb je nejdůležitější možnost ověřit jejich výsledky. Žádnému elektronickému systém by se nikdy nemělo zcela důvěřovat bez auditovatelných a ověřitelných fyzických záznamů, které mohou být ručně zkontrolovány lidmi. Počítače mohou být napadeny a lidská paměť je nechvalně známá jako omylná. Takže aby společnost uznala, že jsou výsledky legitimní, je zásadní mít fyzický záznam úmyslu voliče.
Radikální transparentnost je úžasné antiseptikum. Všechny postupy a procesy, včetně kódu, pokud se jedná o počítače, by měly být veřejně dostupné a kontrolovatelné, aby byla zajištěna jejich integrita. To neznamená, že veškerý software musí být open source. Ale pokud je to nutné, musí být potvrzeno, že neobsahuje zadní vrátka a funguje podle očekávání. Stejně jako by podniky měly trvat na možnosti ověřit, že aplikovaná záplata je digitálně podepsaná a pochází od dodavatele, měli bychom mít možnost prověřit kód a zkontrolovat, zda neobsahuje zranitelnosti a zadní vrátka.
Protože politika proniká do každé lidské organizace, musíme mít robustní soubor pravidel, která nás ochrání nejen před vnějšími hrozbami, ale i před osobami se škodlivými úmysly uvnitř organizace. Počítače, stejně jako každý jiný prvek související s konáním svobodných a spravedlivých voleb, musí být ověřitelné. Software by měl být prokazatelně autentický a hlasy by měly být fyzicky zaznamenány v nedigitální podobě, což by umožnilo audit a ruční ověření v případě poruchy nebo manipulace.
Každý ví, že počítače jsou poruchové. Může k tomu dojít z nejrůznějších důvodů, ale pokud používáme počítače k hlasování, je velmi důležité nakonfigurovat je tak, abychom mohli vytvořit úplnou auditní stopu jejich chování. Pokud ale máme podezření, že by mohly být nefunkční například z důvodu hackerského útoku, musíme mít snadno pochopitelné postupy, jak zachovat záznamy o těchto závadách.
Všechny počítače používané při zaznamenávání nebo sčítání hlasů by měly mít nainstalovaný software pro rozšířenou detekci a reakci (XDR), který pečlivě zaznamenává každou akci, k níž na zařízení došlo. Pomáhá to při forenzní analýze a poskytuje informace potřebné k určení příčiny jakéhokoli neobvyklého chování.
Vzhledem ke značnému počtu fyzických míst, kde mohou lidé volit, jsou jen zřídkakdy k dispozici odborníci, kteří by řešili komplikované technické závady. Existuje ale několik věcí, které mohou pomoci, když se vše pokazí. Jasný a jednoduchý kontrolní seznam může pomoci netechnickým pracovníkům zjistit, jak reagovat na případné poruchy, a zajistit uchování důkazů, které pomohou při následném forenzním auditu. Mezi základní doporučení patří odpojit zařízení od jakéhokoli síťového připojení, udržovat jej zapnuté a mít k dispozici telefonní číslo na volební orgány, které je třeba upozornit, když dojde k problémům.
Technologie pro volby
Technologie budou stále více součástí všech fází voleb a kampaní. Musíme zajistit, abychom byli schopni využívat otevřenost, efektivitu a dostupnost, jakou to našim demokraciím poskytuje. Nastavením transparentních postupů, obezřetných a jasných bezpečnostních opatření a podrobného zaznamenávání automatizovaných procesů můžeme bezpečně využívat technologie, které nám při volbách pomohou.
Obtížněji zvládnutelná jsou společenská rizika zvýšené distribuce dezinformací a výmyslů, které lze zneužitím technologií produkovat ve velkém měřítku při mimořádně nízkých nákladech. Bude to vyžadovat promyšlenou regulaci, pečlivý výzkum metodik detekce a spolupráci provozovatelů komunikačních platforem, aby společně usilovali o blokování, varování a potlačování počítačem generovaných nepravd.
# # #
Odpovídá Chester Wisniewski, CISO společnosti Sophos:
Jaké jsou nejčastější kybernetické hrozby, kterým dnes demokratické volby čelí? Jaké typy kybernetických útoků představují pro volby největší riziko?
Jednoznačně dezinformace a výmysly. Na sociálních sítích se často šíří dezinformace od lidí s dobrými úmysly, které jsou ale ve své podstatě nepravdivé nebo jen z části pravdivé a mohou ovlivnit veřejné mínění o kandidátech. Velká část dezinformací pochází z výmyslů, tedy záměrně nesprávných informací, které jsou obvykle součástí vlivové kampaně kandidáta, politické strany nebo cizího státu s cílem ovlivnit volby. Kybernetické útoky samy o sobě obvykle nehrají roli, ačkoli některé politické strany při výběru svých kandidátů využívají online volby a v některých případech už došlo k útokům na tuto infrastrukturu s cílem narušení její funkčnosti. Ačkoli se nejedná o přímý útok na volební infrastrukturu, objevily se například zprávy o státem podporovaných útocích na okresní systémy v USA, které slouží k vedení seznamů oprávněných voličů. Nikoli však na hlasovací zařízení nebo zařízení pro sčítání hlasů.
Zaznamenali jsme také operace s cílem získat data, které se obvykle zaměřují na e-mailové účty kampaní a kandidátů a jejichž výsledkem je zveřejnění osobní komunikace ve snaze zdiskreditovat kandidáty. Často není cílem upřednostnit některého kandidáta před jiným, ale spíše zasít nedůvěru ve volby jako celek.
Existují konkrétní skupiny nebo státem podporovaní útočníci, kteří se snaží zasahovat do volebních procesů v Evropě?
V minulosti jsme již viděli důkazy o pokusech o vměšování ze strany Íránu, Číny a Ruska, ale to neznamená, že do toho není zapojeno i mnoho dalších států. Odhalení těchto vlivových kampaní je obtížné a rozhodně není neomylné.
Jaké taktiky se nejčastěji používají v rámci dezinfo kampaní a jak mohou dezinformace ovlivnit chování voličů?
Běžnou taktikou je vymyslet příběh vztahující se ke skutečnému problému, který kandidát nebo strana podporuje, ale který má rozčílit jejich oponenty. Tyto zprávy jsou pečlivě umisťovány na platformy sociálních médií a někdy i prostřednictvím moderátorů zpráv na propagandistických videokanálech, aby je mohli šířit skuteční členové opoziční komunity. Dezinformace jsou totiž nejúčinnější, pokud je šíří a posilují skuteční voliči v cílových komunitách.
Jak mohou země a vlády zajistit kybernetickou bezpečnost a odolnost svých hlasovacích systémů proti hrozbám, jako jsou útoky typu DDoS nebo narušení bezpečnosti systémů? Existují příklady osvědčených postupů z konkrétních zemí, které by ostatní měli zvážit?
Zařízení používaná k odevzdávání hlasů a jejich sčítání by nikdy neměla být připojena k internetu, aby se zabránilo nejhorším scénářům manipulace s nimi nebo jejich zneužití za účelem ovlivnění voleb. K potvrzení svobodných a spravedlivých voleb odborníci navrhují používat audity omezující rizika. Pokud máte zdokumentovanou papírovou stopu úmyslů voličů a použijete statistický výběr, můžete s poměrně vysokou jistotou určit, zda jsou vaše počty hlasů správné. Existuje mnoho přístupů a každý z nich má své silné i slabé stránky. Například v USA se o volby starají jednotlivé státy a kraje. Výsledkem je široká škála technologií a nástrojů, takže je obtížné navrhnout jedinou metodu, jak volby ohrozit. Zároveň to ale významně ztěžuje zabezpečení, protože každé z těchto řešení vyžaduje odlišné přístupy v závislosti na použitých nástrojích. V jiných zemích se hlasuje prostřednictvím jediného stroje nebo metody, což sice usnadňuje návrh bezpečnostního protokolu, ale v případě jeho selhání dochází ke kompromitaci celých voleb. Neexistuje ale žádný standardní návod na zabezpečení voleb.
Jaké instituce by se měly podílet na ochraně voleb před kybernetickými hrozbami? Existuje nějaká mezinárodní spolupráce při řešení přeshraničních kybernetických hrozeb souvisejících s volbami?
Domnívám se, že neexistuje nějaká mezinárodní organizace, která by se speciálně zabývala bezpečností voleb, ačkoli v řadě zemí přispívají k iniciativám na monitorování voleb neziskové organizace. Pravděpodobně by mělo jít o spolupráci několika vládních resortů s dohledem z více stran a civilních složek.
Je bezpečné online hlasování reálným cílem demokracií v blízké budoucnosti? Jaké problémy v oblasti kybernetické bezpečnosti je třeba vyřešit, než bude možné bezpečně zavést plošné elektronické hlasování?
S elektronickým hlasováním je spojeno mnoho problémů, které se v blízké budoucnosti pravděpodobně nevyřeší. Kryptografické ověřování totožnosti voličů je obrovská výzva, na kterou mnozí z nás nejsou připraveni, ani jej z důvodu ochrany osobních údajů nechtějí. Kromě toho je důležité, aby lidé mohli hlasovat na bezpečném místě bez možnosti, že by vás někdo k hlasování nutil, například člen rodiny nebo násilnický partner. Nezbytnou součástí bezpečnosti hlasovacího systému je používání papírových záznamů, jak bylo zmíněno při auditech omezujících rizika, ale v plně digitálních volbách by bylo obtížné.