Votul electronic în România este un pericol pentru democrație.

Votul electronic în România nu este o opțiune responsabilă din perspectivă de leadership. Nu una cu care să dormim măcar la fel de neliniștiți ca până acum. Este un risc pentru democrație și o vulnerabilitate în fața criminalității cibernetice.

CERT-RO (Centrul Național de Răspuns la Incidente de Securitate Cibernetică) a publicat Raportul privind evoluția amenințărilor cibernetice pentru anul 2017. București, 11 mai 2018

„În anul 2017 au fost colectate și procesate 138.217.026 de alerte de securitate cibernetică, în creștere cu 25% față de anul 2016, care au afectat un număr de 2,89 de milioane adrese IP unice din România.”

Insistența asta a noului partid ‘speranța României’ de a împinge legea votului electronic cu orice preț, nici nu știu cum să o interpretez, pentru că sunt prea mică ca să înțeleg eu toate hățișurile din acest House of Cards și nici n-am vreo mare cultură politică. Apoi, la ce s-a scris la noi prin cărțile de istorie, îmi place să cred că nici multă cultură istorică n-am. Mă tot autoeduc cât pot, dar parcă tot în urmă rămân. Totuși, bunul simț mă face să cred că băieții ăștia ori sunt naivi, ori sunt rău intenționați. În ambele cazuri, pentru noi, oamenii de rând, mai bine nu e. Nu legea asta.

De ce să presezi atât de mult pe o treabă invalidată de experți internaționali și într-un context în care rapoartele globale și de țară în ceea ce privește criminalitatea cibernetică îți ridică părul în cap? De ce ai face așa ceva?

Poate va fi bun cândva în viitor acest sistem de vot electronic și în mod evident trebuie găsite soluții și optimizate procesele în povestea cu votarea, însă azi nu este o opțiune de luat în calcul.

Da, ok, asta fac politicienii, capitalizează emoțiile oamenilor. E în job description. Dar aici nu mai e vorba doar despre asta, mai ales că ăștia se dau corporatiști proaspăt intrați în politică, meseriași și experți. Impactul unei astfel de legi trece mult de joaca de-a puterea în țară.

vot-online-vot-electronic-Romania-leadership-politic-iresponsabil

Eu sunt independentă de felul meu, iar în materie de vot nu sunt fană partide și nici nu sufăr de activism politic, sunt din categoria aia nasoală care votează ca să polarizeze puterea. Nu oricum, bineînțeles. Analizez și eu lumea, programe și ce mai are fiecare pe tarabă în bazarul partidelor, atât cât mă duce capul, am timp și pot cuprinde. Ca structură sunt de centru-dreapta sau cum mi se pare mie mai fidel să zic, am natura unui antreprenor social.

Nu sunt om cu expertiză IT, sunt însă un om cu pregătire operațională și strategică care este îndrăgostit de tehnologie și de inovație. După mai mult de 60 de soluții arhitecturate pentru afaceri internaționale, organizații non-profit și guverne în piața de open innovation la diverse probleme dintr-o varietate de industrii și niveluri organizaționale, dintre care 7 premiate, toate implicând construcții folosind tehnologia sau crearea de noi tehnologii, aplicații și platforme online scalabile, pot să am o perspectivă în probleme ce implică riscuri și vulnerabilități sau care poartă în ele potențial de criză, iar dacă n-am imediat, pot pune întrebările necesare și știu unde să mă uit ca să mă ajut să-mi formez o părere.

În zona proceselor guvernamentale, de exemplu, în 2017 N Square* and Stimson Center din S.U.A. au lansat o problemă de securitate națională în scopul optimizării rezolvării unei probleme la care am cercetat și am trimis și eu o soluție, soluție care a fost în primele 3 alese și premiate.

Căutătorii acestei soluții sunt o coaliție de șase dintre cei mai mari finanțatori ai păcii și securității din Statele Unite: Centrul Stimson și N Square (care este un efort de colaborare între cinci dintre cei mai mari finanțatori pentru pace și securitate din Statele Unite: Carnegie Corporation din New York, Fundația Floră Hewlett, Fundația John D. și Catherine T. Macarthur, Fondul Plowshares și Fondul Skoll Global Threats). Deci jucători de ligă mare, nu amatori.

Problema în această speță are în centru tehnologiile dual-use (acele tehnologii pe care le dezvoltăm cu intenția de a rezolva probleme punctuale, dar care ajunse în mâini nepotrivite, ca de exemplu teroriști sau tot felul de forțe cu interese obscure privind o țară sau alta, pot deveni arme de distrugere în masă și/sau amenințări foarte mari pentru securitatea unei țări.)

Problema de rezolvat era o bucată dintr-o problemă mai mare a serviciilor de informații de la ei și necesita construcția unei platforme și a unui plan strategic și operațional, un plan care țintea “coșul de gunoi” al producătorilor locali de tehnologii dual-use.

Aceștia au sisteme bine puse la punct de verificare a clienților care vor să cumpere aceste tehnologii (due dilligence), iar cei care nu trec de screening, ajung într-un “coș de gunoi” la care serviciile nu mai pot avea acces, treabă care ridică riscul ca în acel coș de gunoi să se piardă niște lead-uri importante despre diverși teroriști sau ce alte amenințări mai sunt pe radarul lor.

Pe de altă parte, producătorii locali de tehnologii dual-use, nu vor deloc să dea acces nimănui la informații interne, cu atât mai mult cu cât în relația cu guvernul, fluxul operațional prin care ei trebuie să treacă este foarte birocrat, complex și scump. Deci ar trebui să fie foarte bine incentivati/motivați/stimulați și în plus, soluția prin care ar da acces, să nu implice consum de resurse din partea lor.

În esență, această coaliție caută să culeagă soluții pentru a construi o soluție mai mare pe care să o vândă mai departe guvernului, prin care să facă un pod și o colaborare robuste între serviciile de informații și producătorii americani de tehnologii dual-use cu scopul îmbunătățirii procesului de apărare a păcii și securității (în primul rând la nivel național). Deloc ușor. Pentru mine cu atât mai greu, operând de la distanță pentru un sistem complet necunoscut, cu adevărat.

Eu am venit cu o arhitectură de platformă tip “source-to-share” și cu o strategie și planuri operaționale de implementare și dezvoltare pe 4 ani. Am cercetat foarte mult ca să pot construi o soluție pentru că nu cunoasteam fluxurile operaționale și procesele din raporturile lor publice-private și nimic despre tehnologiile dual-use și pericolele din zona asta, nimic din zona păcii și securității, mi-era o zonă complet necunoscută și aveam nevoie să aflu orice detaliu posibil ca să mă ajute să construiesc un proces/flux inteligent, fezabil și rapid de implementat.

Cum sunt un performer hibrid între un operator la scară mică și gânditor la scară mare, motiv pentru care nu-mi pot găsi ușor loc pe lumea asta, cu atât mai puțin în România, am totuși o poziție în ecuația vieții de unde pot vedea destul de clar și jos la firul ierbii, dar și sus pe vârf, navigația mea fiind mereu pe margini, muchii și în locuri strâmte, iar scăparea de dezastre mereu printre fisuri.

Astfel, cred că ideea votului electronic pentru România este o soluție foarte periculoasă pentru noi, cel puțin din perspectiva criminalității cibernetice. Politic și în raporturile externe, îi las pe cei mai bine pregătiți pe zonele astea să comenteze ce înseamnă o astfel de vulnerabilizare la nivelul securității personale și naționale.

criminalitate-cibernetica-romania

Iată câteva cifre și informații despre cum e afectată România de criminalitatea cibernetică și ce spun experți internaționali despre votul electronic, inclusiv despre cazul Estonia (o țară cu mai puțini locuitori decât Bucureștiul), atât de mult invocat ca exemplu de “opozitie”.

Comunicat de presă din partea Price Waterhouse Cooper pe tema criminalitatii economice și cibernetice (PWC, 2018):

Primele trei tipuri de infracțiuni economice raportate de companiile din România sunt fraudele comise de consumatori (44%), criminalitatea cibernetică (40%), și conduită neprofesionala (36%). 20% dintre organizațiile din România au estimat daune de pe urma infracționalității economice cu sume cuprinse între 100.000 de dolari și 1 milion de dolari, în vreme ce 16% au raportat daune mai mari de 1 milion de dolari.

Ineficiența mecanismelor de control intern au făcut posibile mai mult de jumătate dintre infracțiunile economice comise la nivel global.

Criminalitatea cibernetică va fi probabil tipul de criminalitate economică cu impactul negativ cel mai mare în viitor, însă tehnologii precum ”machine learning” și inteligența artificială ar putea fi critice în combaterea criminalității informatice în creștere.

Cu toate acestea, nu toate companiile sunt pe deplin conștiente de riscurile de fraudă cu care se confruntă, sau de consecințele acestora, cum ar fi impactul financiar, prejudicierea reputației și răspunderea penală, individuală sau la nivel de companie.

S-ar putea trage concluzia că infracționalitatea economică a atins un nivel record, nu doar în România, dar și la nivel global. Suntem însă de părere că o rată ridicată de raportare a incidentelor de infracționalitate economică este generată de gradul de conștientizare a riscurilor de fraudă, dar și de îmbunătățirea mecanismelor de prevenție și detectare a fraudelor.

Criminalitatea informatică și rolul tehnologiei în combaterea fraudei

Respondenții din România au indicat infracționalitatea cibernetică ca având cel mai mare impact negativ asupra activităților economice în ultimii doi ani.

Potrivit studiului PwC, două din trei organizații din România au fost ținta atacurilor informatice în ultimele 24 de luni. Cele mai frecvente mecanisme folosite de hackeri au fost cazurile de phishing și malware, menționate de 37% dintre companiile din România.

În contextul economic actual, în care cele mai multe infracțiuni economice au devenit, într-o oarecare măsură digitalizate, iar sofisticarea tehnologică a infractorilor devine tot mai ridicată, investițiile în tehnologii noi de combatere a fraudelor au devenit o necesitate.

Cu toate acestea, fraudele au la bază o serie întreagă de motive și circumstanțe, din care doar unele pot fi prevenite cu ajutorul tehnologiei. Nu trebuie ignorate aspectele umane. Așa cum fraudele nu au o singură cauză, companiile trebuie să găsească formula potrivită pentru a combina factorul uman, tehnologii, proceduri și procese pentru a preveni, detecta și combate riscurile de fraudă, a declarat Ana Sebov.

Profilul infractorilor economici și industriile afectate

Sondajul de anul acesta a evidențiat o creștere semnificativă (+6%, până la 52%) a infracțiunilor economice comise de persoane din interiorul organizațiilor.

Cu toate acestea, există diferențe importante la nivel regional. În Europa de Est, deși cea mai frecvent raportată infracțiune economică este cea comisă de persoane din interiorul companiilor (46%), diferența dintre infracțiunile comise de actorii interni și cei externi începe să se micșoreze. La nivel regional, 44% dintre incidentele de infracționalitate economică au fost comise de persoane din afara organizațiilor.

”Potrivit concluziilor sondajului, majoritatea fraudatorilor din afara organizațiilor sunt de tip <<prieten-dușman>>, fiind agenți, furnizori de servicii, vânzători sau clienți ai companiilor. Este deci foarte important ca organizațiile să elaboreze proceduri care să prevină și să raporteze comportamentele frauduloase, dar și să deruleze periodic evaluări ale riscului de fraudă și controale de audit intern”, a adăugat Ana Sebov.

Despre votul electronic. Votarea online este imposibil de securizat. Atunci de ce sunt aceste sisteme de vot online folosite de unele guverne? 

Extras din articolul emis de CSO (CSO oferă știri, analize și cercetări privind securitatea și gestionarea riscurilor) intitulat Online voting is impossible to secure. So why are some governments using it? If you thought electronic voting machines were insecure, wait ‘til you meet online voting.

Democrația în pericol. Dacă credeți că mașinile de vot electronic au fost nesigure, așteptați până când veți întâlni votarea online.

Sistemul de votare pe internet al Estoniei are vulnerabilități atât de grave de securitate încât o echipă internațională de experți independenți recomandă întreruperea imediată „, au conchis cercetătorii. Un atacator la nivel de stat, un criminal sofisticat sau un angajat de rea credinta ar putea învinge atât controalele tehnologice, cat si protocoalele de control pentru a manipula rezultatele alegerilor.

Rusia a atacat Estonia cu un atac masiv DDoS în 2007 asupra deciziei țării de a muta un memorial al războiului din perioada sovietică. Potrivit The Guardian, principalele ținte ale atacului au fost site-urile guvernului, ale partidelor politice, ale principalelor organizații de știri și două dintre cele mai mari bănci din țară „.

Scopul unei alegeri nu este doar de a selecta un câștigător, ci de a convinge pierzatorii și pe suporterii lor că au pierdut. Încrederea în procesul de vot este, prin urmare, un element esențial pentru orice sistem de votare. Votul pe internet nu este suficient de sigur pentru a avea încredere în alegerile guvernamentale, spune Teague CSO. Nu este verificabil.

Spre deosebire de aparatele de vot electronic, votarea online permite alegătorilor să voteze buletinele de vot pe un site web cu un clic pe un mouse sau atingând ecranul cu un deget. În timp ce mașinile de vot electronic ar putea fi utilizate într-o zi împreună cu buletinele de vot pentru a spori securitatea procesului de votare, votarea pe internet online nu este doar nesigură, dar este imposibil de asigurat, avertizează experții.

Cu toate acestea, politicienii isi continuă planurile de a impinge inainte votul online, în pofida faptului că votul online, în mod clar, prezintă riscuri majore pentru integritatea procesului democratic.

„Ca orice altceva de pe internet, [votul on-line] nu este sigur, dar punctul foarte important pentru alegeri este că nici măcar nu știi dacă rezultatul a fost manipulat sau nu”, spune Teague.

Politicienii își apără deciziile, argumentând că votul online mărește numărul de votanți și face votarea mai accesibilă pentru alegătorii care nu pot veni în persoană sau care locuiesc departe de o secție de votare, cum ar fi soldații și marinarii staționați în străinătate sau alegătorii care locuiesc în străinătate etc.

Cu toate acestea, optiunea de vot online devine accesibilă pentru fiecare spion, gangster, mercenar și hacker de pe planetă. Atacatorii ar putea să încalce cu ușurință sfințenia votului secret, să modifice voturile sau chiar să facă ca aplicația web să nu fie disponibilă anumitor alegători în ziua votării.

Teague și alți cercetători au demonstrat astfel de atacuri împotriva sistemelor electorale în direct.

Cum să ataci votul online

Votarea online este mult mai fragilă decât alte servicii online, cum ar fi serviciile bancare și mult mai ușor de atacat.

Cea mai ieftină și mai ușoară modalitate de a ataca un sistem de vot online este de a inunda aplicația web cu trafic de gunoi și DDoS. Orice copiator de script care are ceva bitcoin poate inchiria o armata botnet de dispozitive IoT compromise si poate copleti serverul de vot in ziua alegerilor. Pentru a preveni astfel de atacuri, companiile folosesc în mod obișnuit “distributed denial of service” (DDoS – Atacurile DDoS reprezintă o preocupare principală în securitatea Internetului astăzi), cum ar fi Cloudflare sau Incapsula Imperva.

Astfel de servicii sunt potrivite pentru multe aplicații în stil Silicon Valley, dar nu sunt potrivite pentru asigurarea unei alegeri democratice libere și deschise, spune Teague.

Un serviciu de diminuare a DDoS trebuie să spioneze traficul pentru a opri atacurile DDoS. Aceasta înseamnă că trebuie să decripteze tot traficul între utilizator și server pentru a determina ce trafic este bun și care este traficul rău.

Pentru a face acest lucru, acționează ca un proxy de securitate a stratului de transport (TLS) și efectuează un atac de tip „om în mijloc” – cu permisiune, desigur, împotriva întregului trafic care vizează serviciul de vot online pe care a fost angajat să îl apere.

Votul secret a constituit o piatră de temelie a democrației de la vechea Atena și esențial pentru a preveni vânzarea voturilor sau coerciția alegătorilor.

Nimeni, niciodată, nu ar trebui să știe cum un alegător și-a exprimat votul.

Utilizarea unui furnizor de diminuare a DDoS în alegeri online ar putea împiedica atacurile DDoS sa trimita site-ul de vot in offline, dar creează o țintă uriașă, cu un ochi roșu mare, pentru orice stat-națiune care dorește să spioneze alegătorii sau să-și schimbe voturile.

infografic-CERT-RO-2017-raport-privind-evoluția-amenințărilor-cibernetice

Aici poti descarca Infograficul CERT-RO-2017 din Raportul privind evoluția amenințărilor cibernetice.

Lasă un răspuns