ג'ו ביידן ודונלד טראמפ / צילום: Associated Press
היצרנית המובילה של מכונות הצבעה בארה"ב, Election Systems & Software, הכריזה על שביתת נשק במאבק שלה עם האקרים שחושפים פרצות אבטחה.
עם הבחירות לנשיאות במרחק זמן של פחות משלושה חודשים, מנהל אבטחת המידע הראשי של ES&S, כריס ולאשין, חשף ביום רביעי את היערכות החברה בפני בודקי ביטחון בכנס ההאקרים השנתי Black Hat, שנערך השנה במתכונת וירטואלית.
ולאשין תיאר את מדיניות החשיפה החדשה של החברה ביחס לחולשות במערכות שלה. מדיניות זו כוללת הגנות שהחברה תספק להאקרים חיצוניים, שמזהים ומודיעים לחברה על באגים במערכות שלה. הסעיפים הללו, שמכונים "נמל בטוח", הם סטנדרטיים בתעשיות רבות, מציוד מחשוב עד רכב וציוד רפואי, כאשר היצרנים מחפשים עזרה חיצונית כדי להבטיח שהמערכות שלהם בטוחות לשימוש. אך יצרני מכונות הצבעה, ו- ES&S במיוחד, נרתעו עד כה מלאפשר למומחי אבטחה חיצוניים לבחון את המערכות שלהם, לפי מומחים כאלו.
המהלך של החברה הזו בא אחרי שהמשרד לביטחון המולדת בממשל קרא בשבוע שעבר להגברת שיתוף הפעולה בין בודקי ביטחון, ממונים על הבחירות ויצרני מכונות הצבעה, כשהוא פרסם הנחיות למנהלי הקלפיות על תיאום המאמצים לטפל בבעיות ביטחון של הקלפיות.
אזהרות מפני איום על הבחירות מצד מדינות זרות
ES&S וכמה פקידי בחירות הגנו בעבר על אי נכונותם לעבוד עם מומחי ביטחון חיצונים, בטענה שהאקרים השתשמו בתרחישים לא מציאותיים ופרסמו טענות מנופחות כדי לקבל פירסום. הם טענו שבעולם האמיתי יש מנגנוני הגנה על נתונים ומידע, כמו עובדי קלפיות ומצביעים אחרים, שלא מאפשרים התקנת ציוד לפיצוח של מכונות הצבעה.
גורמים של ביטחון לאומי בארה"ב מזהירים מפני איום על הבחירות של יריבים זרים. מקורות ביון אמריקאים אומרים שרוסיה בדקה מערכות הצבעה של מדינות בארה"ב, והתערבה במדיה החברתית בבחירות לנשיאות ב-2016. רוסיה הכחישה התערבות בבחירות בארה"ב.
מבחינת ES&S שפועלת מאומהה, נברסקה, ההודעה אתמול על שיתוף פעולה עם האקרים היא מפנה חד ביחס לשנתיים לפני כן, כאשר היצרנית הזו והפצחנים התנגשו בכנס תאום של Black Hat, שנקרא Defcon. שם, ES&S מתחה ביקורת על קבוצת האקרים שביקשה לבדוק ציוד הצבעה. החברה אמרה אז ששימוש ללא היתר בתוכנה שלה הוא הפרה של הסכמי הרישוי שלה, וההאקרים מסכנים את הביטחון הלאומי על ידי בדיקת מכונות הצבעה בזירה ציבורית ללא אמצעי הגנה.
כעבור זמן קצר, קווין סקולונד, בודק ביטחון עצמאי, ואחרים גילו שכמה מערכות של ES&S - שלא היו אמורות להיות מקושרות לאינטרנט - יכולות להיפרץ דרך הרשת, למרות שהן היו מוגנות בחומת אש. סקוגלונד אמר שהוא שלח את ממצאיו למרכז מידע של התעשייה ולא ל- ES&S מפני שהוא חש שהחברה לא תתייחס ברצינות לבדיקה שלו. "לא היה להם רקורד טוב בנושאים הללו, וחששנו שהם יכחישו ויעשו ספין", הוא אמר.