Seçimlere Siber Tehditler Etki Edebilir mi?
Seçim Günleri Siber Güvenlik Tehditleri Nelerdir?
Çevrimiçi makineleri veya insanların dışarı çıkıp oy kullanmasını zorlaştırabilecek diğer altyapı gereçlerini hedef alarak seçim günü faaliyetleri aksatmaya çalışabilirler. Bir diğer senaryo ise sonuçlara şüphe düşürmek amacıyla sonuçların raporlanmasını hedef alan saldırılar olabilir.
Dış güçlerin istedikleri adayın seçilmesini sağlamak için seçim sonuçlarını değiştirme ya da etkileme potansiyeli açısından tehlikede olan çok şey var. Ancak iyi haberler de var.
ABD’de 2020 seçimlerinin çalındığı yönündeki bazı iddialara rağmen bunu destekleyecek hiçbir kanıt bulunmuyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) seçimlere müdahaleyle ilgili en yaygın söylentilerden bazılarını çürüten uzun bir liste yayımladı. Bu iddialar arasında şunlar yer alıyor:
- Seçim yetkilileri, seçmen kayıt listelerinin mümkün olduğunca doğru ve güncel olmasını sağlamak için düzenli olarak günceller.
- Postayla gönderilen oy pusulalarının bütünlüğünü korumak için seçmen kimlik kontrolleri de dahil olmak üzere çeşitli güvenlik önlemleri mevcuttur.
- Kurcalamaya karşı sağlam önlemler alınmış olup, oy pusulaları posta kutusu aracılığıyla iade edilmektedir.
- Federal, eyalet ve/veya yerel seçim yetkilileri oylama makinelerini ve ekipmanlarını güvenlik açıklarına karşı titizlikle test eder ve onaylar.
İmza eşleştirme, bilgi kontrolleri ve diğer önlemler, seçmen kimliğine bürünme ve uygun olmayan seçmenlerin oy kullanmasına karşı koruma sağlamak üzere tasarlanmıştır. Seçimlerin dürüstlüğünden emin olmak için başka bir neden daha var: ABD gibi ülkelerde farklı türde oylama makineleri ve kayıt teknolojileri mevcut.
Bunlar, seçim döngüsünün tüm aşamalarındaki faaliyetleri ele alıyor:
- Seçimler öncesi faaliyetler: Seçmen kaydı ve devamsız oyların işlenmesi.
- Seçimler günü: Doğrudan Kayıt Elektronik (DRE) oylama makinelerini (kullanıcıların doğrudan oy kullandığı) ve kâğıt oy pusulalarının tarandığı ve oyların sayıldığı Optik Tarama Oylamasını içerir. Sonuçlar daha sonra elektronik olarak sunulur ve merkezileştirilir.
- Seçimler sonrası faaliyetler: Seçim sonrası denetimler ve resmi olmayan seçim gecesi sonuçlarının halka açık web sayfalarında yayımlanması gibi.
DRE makinelerinin uzaktan tehlikeye atılabileceği konusunda bazı endişeler bulunmaktadır. Öte yandan diğer pek çok ülkede olduğu gibi ABD’de de oyların kullanılmasının ana yolu bu değildir. Genel olarak teknoloji kullanımı ülke genelinde o kadar merkezi olmayan ve çeşitlilik arz eden bir yapıdadır ki, tek bir kuruluşun bir seçimi etkileyecek kadar sonuçları hacklemesi ve değiştirmesi son derece zor olacaktır.
Ana tehditler nerede? Bununla birlikte kötü niyetli aktörlerin birkaç kararsız eyalette bir bölgeyi ya da şehri tek başına seçebileceğine dair hala geçerli endişeler var. Sonuçları değiştiremeseler bile, bireylerin oy kullanmalarını zorlaştırarak veya sonuçların raporlanmasına müdahale ederek teorik olarak sonuçlara olan güveni sarsabilirler.
CISA üç temel siber tehdit tanımlamaktadır:
- Fidye yazılımı: Seçmen kayıt verilerini çalmak ve sızdırmak veya hassas seçmen ve seçim sonuçları bilgilerine erişimi engellemek için kullanılabilir. Ayrıca kayıt ve aday dosyalama gibi temel operasyonel süreçleri aksatmak için de kullanılabilir.
- Kimlik Avı: Günlük işleri sırasında e-posta eklerini açmaları gereken seçim görevlileri için özel bir tehdittir. Tehdit aktörleri, seçim temalarından yararlanan sosyal mühendislik yemleriyle kötü amaçlı yükleri kolayca gizleyebilir. Sonuç, fidye yazılımı, bilgi çalan kötü amaçlı yazılım veya diğer kötü amaçlı kodların gizli bir şekilde indirilmesi olabilir.
- Hizmet Reddi (DoS): Dağıtık Hizmet Engelleme (DDoS) saldırıları, seçmenlerin kendilerine en yakın oy verme merkezinin yeri veya başlıca adaylar hakkındaki bilgiler gibi oy kullanmalarına yardımcı olacak kilit bilgilere erişimini engelleyebilir.
Endonezya Genel Seçim Komisyonu, yakın zamanda ulusal seçimler sırasında kendi sitelerine ve diğer sitelere yönelik olağanüstü sayıda bu tür saldırılar yaşadığını söyledi.