Volgens een recent rapport van het Europese cybersecuritybureau ENISA bestaat er een mogelijkheid dat overheden en niet-statelijke actoren de Europese verkiezingen van 2019 zullen proberen te beïnvloeden via
doelgerichte hacks en nepnieuwscampagnes. Het vermoeden wordt versterkt door de vele incidenten van de afgelopen jaren, zoals de cyberaanvallen in aanloop naar de Amerikaanse verkiezingen van 2017 en de Franse verkiezingen van 2018. De bedreigingen hebben niet alleen invloed op de techniek, maar trachten ook mensen te beïnvloeden. NTT Security biedt vier methoden die bijdragen aan het veiliger maken van de Europese verkiezingen.
1. Zorg voor uniforme Europese maatregelen
Doordat de organisatie van de Europese verkiezingen in handen is van de individuele lidstaten zijn er geen uniforme securitymaatregelen. In september 2018 namen de Model European Parliaments (MEP’s) de Cyber Security Act aan, die de rol van ENISA versterkt en zorgt voor een gemeenschappelijk certificeringskader voor cybersecurity. De implementatie ervan is in eerste instantie vrijwillig. Voor echte cybersecurity en bescherming tegen nepnieuws is echter een zo uniform mogelijke wet nodig, alsook internationaal toepasbare en vergelijkbare securitynormen. De digitale wereld kent namelijk geen grenzen.
2. Bewustzijn van nepnieuwscampagnes
Volgens de
Eurobarometer, een onderzoek gepubliceerd door de Europese Commissie, maakt 83 procent van de Europese burgers zich zorgen om nepnieuws op het internet. Verkeerde of schadelijke informatie wordt steeds opnieuw ingezet om de publieke opinie te beïnvloeden. Digitale campagnes focussen zich op het verspreiden van onjuiste informatie via social media. Daarnaast zijn er IT-campagnes die zich bijvoorbeeld richten op het publiceren van e-mails van politici om hen zo in diskrediet te brengen. Om een eind te maken aan dit soort onwettige politieke reclame, onjuiste rapporten of bots die deze rapporten verspreiden, is een nauwe samenwerking met de reclamesector en de socialmediaplatformen nodig.
3. Applicatiekeuze en -validatie
De verkiezingsinfrastructuur moet door alle landen worden gezien als kritische infrastructuur en als zodanig op hoog niveau worden ondersteund. Deze standaard en het geassocieerde compendium omvat specificaties, processen en concrete aanbevelingen voor de implementatie van securitymaatregelen. Ook betekent dit dat overheidsinstanties een information security management system (ISMS) moeten inrichten dat informatiebeveiliging permanent definieert, beheert en continu verbetert.
Bij het selecteren van applicaties is het echter wel van belang dat instanties er zeker van zijn dat de leverancier adequate securitystandaarden biedt. Zoals hard- en software die zijn ontwikkeld op basis van security-by-design – voor een hoge bescherming tegen manipulatie. Extra securitymaatregelen, zoals communicatieversleuteling, zorgen ervoor dat bijvoorbeeld de e-mails van politici niet kunnen worden gebruikt om verkiezingen te beïnvloeden.
4. Training en het testen van kwetsbaarheden
Alleen de technische bescherming van de netwerkinfrastructuur voor de verkiezingen is niet voldoende. Medewerkers, politici en gebruikers moeten regelmatig worden getraind in het omgaan met securitymaatregelen, de technologie, maar ook social media. Onderdelen van dit soort bewustwordingscampagne zijn: basistraining (face-to-face of via zogenoemde e-learningonderdelen), microtrainingen (korte trainingssessies via video’s, screensavers, etc.) en security-evenementen.
Regelmatige veiligheidstesten – die rekening houden met zowel het technische als menselijke aspect – helpen kwetsbaarheden te identificeren en dichten. Daarnaast draagt een continue uitwisseling van ervaringen tussen de lidstaten bij aan een betere coördinatie van de voorzorgsmaatregelen en de procedure in het geval van een aanval.
“Voor wat cyberaanvallen en verkiezingen betreft, kunnen de Europese lidstaten een voorbeeld nemen aan Estland. Het land is op dit gebied een pionier”, vertelt Charles Bovy, Director MSS presales EMEA bij NTT Security. “Naar aanleiding van een serie enorme cyberaanvallen in 2007, die verschillende banken en autoriteiten raakte, heeft het land geïnvesteerd in cybersecurity, een elektronisch stemsysteem, inclusief kenmerken gepubliceerd, en is het overgestapt op versleuteld stemmen.”