TippaPatt / Shutterstock
De onthullingen deze maand dat gegevens van 40 miljoen Britse kiezers waren blootgesteld aan hackers kwam niet als een verrassing voor veel cyberbeveiligingsexperts, die al lang hebben gewezen op de kwetsbaarheid van democratieën voor kwaadwillige online inmenging.
In dit geval blijkt dat de gegevens en systemen van de Britse verkiezingscommissie al meer dan een jaar beschikbaar waren voor hackers. Er was een aanzienlijke vertraging in het melden van het incident omdat men bezorgd was dat de stemnetwerken nog steeds niet vrij waren van kwaadwillige aanwezigheid of inmenging.
Ambtenaren hebben verklaard dat de integriteit van onze verkiezingen niet onmiddellijk wordt bedreigd, voornamelijk omdat het hele Britse kiesstelsel nog steeds vertrouwt op papieren stembiljetten.
De aanval weerspiegelt echter de ernstige en voortdurende bedreiging voor democratieën door cyberinterferentie van buitenlandse naties en criminele organisaties. De details van deze laatste aanval zijn nog niet bekend en de bron is nog niet achterhaald. Maar om ons electorale systeem te begrijpen en effectief te verdedigen tegen een dergelijke dreiging, moeten we drie belangrijke punten in overweging nemen.
1. Democratie hacken
De eerste is de vastberadenheid en creativiteit van verschillende staten om cyberaanvallen te gebruiken om de democratie te ondermijnen en wantrouwen te creëren in kiesstelsels over de hele wereld. Met verkiezingen volgend jaar in de VS en het VK is het beschermen van de integriteit van democratische landen een groeiende zorg.
We weten dat Rusland, China en andere landen, waaronder Iran, zich al eerder hebben bemoeid met verkiezingen – waaronder, het meest berucht, Russische hack- en lekoperaties gericht op Amerikaanse verkiezingen in 2016, die gericht waren op de Democratische partij.
Nu de spanningen in de wereld toenemen door de oorlog in Oekraïne en de betrekkingen tussen het westen en China verslechteren, zullen leiders in Peking en Moskou cyberaanvallen zien als relatief gemakkelijke manieren om westerse landen te manipuleren.
De oorlog in Oekraïne heeft de spanningen over de hele wereld opgevoerd.
Bumble Dee / Shutterstock
Ze zien ze ook als een middel om verdere twijfels te zaaien over de integriteit van de verkiezingen, door via sociale media verhalen in het publieke debat te planten en door te proberen toegang te krijgen tot gegevens over politici, partijen, financiën en politieke campagnes. Deze methoden zouden kunnen worden gebruikt om stemmen te winnen voor kandidaten die een buitenlands beleid voeren dat meer in overeenstemming is met de Russische en Chinese belangen.
En ze hebben misschien een nieuwe reeks kiezersgegevens om hen daarbij te helpen. Zoals een aantal experts hebben gewaarschuwd, is de mogelijkheid dat de gegevens van deze huidige inbreuk in het VK worden gebruikt in desinformatiecampagnes een reële angst. Verkiezingen op papier zijn veiliger dan verkiezingen met elektronische stemmachines, maar dat mag niet leiden tot zelfgenoegzaamheid over de bredere dreigingen van deze vastberaden hackersgroepen voor verkiezingsprocessen.
2. De waarde van gegevens
De tweede zorg is het bredere misbruik van gegevens op manieren die de nationale veiligheid van het Verenigd Koninkrijk beïnvloeden. Of het nu gaat om verkiezingsdatabases, bankieren en financiën, de werking van kritieke infrastructuur of zelfs het onderzoek dat wordt geproduceerd door onze universiteiten, gegevens worden steeds waardevoller en bruikbaarder voor kwaadwillende groepen.
Inkomsten uit de verkoop van illegaal verkregen gegevens op het internet groeien in lijn met de toename van de hoeveelheid gegevens die wereldwijd worden gegenereerd. Hackers kunnen zich richten op enorme databestanden en kunnen daar geld mee verdienen.
Ransomware-aanvallen worden vaak gebruikt naast een dreiging om de verkregen gegevens te lekken of te verkopen. Dit is nu een miljardenbusiness.
3. Vertragingen in openbaarmaking
Een derde punt van zorg is dat het melden van cyberaanvallen achter blijft lopen op de aanvallen zelf. Voor waarnemers van het recente incident in het VK kan het verrassend lijken dat het zo lang duurde voordat het openbaar werd gemaakt. Deze vertraging is een ernstig probleem voor de rechten van de kiezers van wie de gegevens werden ingezien.
Maar dit moet worden afgewogen tegen de operationele noodzaak om ervoor te zorgen dat de systemen waarop de gegevens zijn opgeslagen vrij zijn van kwaadwillige inmenging en om ervoor te zorgen dat hackers niet nog steeds in het systeem zitten, nadat ze toegang hebben verkregen.
We weten dat aanvallers gedurende lange perioden toegang kunnen houden tot een systeem terwijl ze onopgemerkt blijven. Deze aanpak van “leven van het land”, zoals het Amerikaanse Cybersecurity and Infrastructure Security Agency (Cisa) het onlangs noemde, is een steeds vaker voorkomende modus operandi voor met name staatsgesteunde hackers.
De reputatieschade voor een organisatie na een datalek is vaak ernstig en schadelijk. Maar als de kosten betrekking hebben op de reputatie en integriteit van verkiezingsprocessen, kan een andere aanpak nodig zijn als het gaat om het openbaar maken van het incident.
Een verantwoordelijke cybermacht zijn
De Britse regering heeft haar nationale cyberstrategie opgebouwd rond het idee een verantwoordelijke en democratische cybermacht te zijn. Die verantwoordelijkheid strekt zich duidelijk uit tot het beschermen van verkiezingsprocessen tegen kwaadwillige inmenging.
Op dit moment vechten de overheidscapaciteiten om de hackers bij te houden. De National Cyber Force (NCF) van het VK heeft een mandaat om dit soort incidenten af te schrikken, te verstoren en erop te reageren, ook tegen buitenlandse staten en criminele organisaties.
Peter Fleming / Shutterstock
Het National Crime Agency heeft ook verklaard dat “het verdedigen van de democratische processen in het Verenigd Koninkrijk” en het helpen bij “het versterken van de cyberbestendigheid van onze verkiezingssystemen” een prioriteit is.
Maar het is moeilijk om de aanvallen toe te schrijven aan specifieke groepen of staten. Het is altijd een uitdaging geweest om hen aan enige vorm van wettelijke straf te houden, vooral als ze opereren met de goedkeuring van hun regeringen.
Bedreiging van binnenuit
Er zijn ook bredere zorgen in het kiesstelsel over de cyberveiligheid van politieke partijen en kandidaten. Deze zorgen worden gecombineerd met de bezorgdheid van burgers dat hun democratie niet goed functioneert. Dit maakt het gemakkelijker voor degenen die het vertrouwen van het publiek in de democratie willen ondermijnen om te beweren dat verkiezingen niet eerlijk verlopen en niet vrij zijn van buitenlandse inmenging.
Desinformatie over de integriteit van verkiezingen, zowel van binnen als van buiten het VK, zal in de nasleep van dit soort incidenten meer aandacht krijgen.
Of het Verenigd Koninkrijk in de nabije toekomst in staat zal zijn om cyberveilige verkiezingen te houden, zal het resultaat zijn van het werk dat de cyberbeveiligingsgemeenschap nu doet. Een hernieuwde inspanning om ons kiesstelsel te voorzien van de middelen om hun netwerken te beveiligen, inclusief het geven van directe steun aan politieke partijen, kandidaten en maatschappelijke organisaties, is duidelijk nodig.
Joe Burton werkt niet voor, voert geen advies uit over, bezit geen aandelen in en ontvangt geen financiering van bedrijven of organisaties die baat hebben bij dit artikel en heeft geen relevante banden bekendgemaakt buiten zijn academische aanstelling.
