随着2020大选的临近,美国国内目前最为关注的网络安全问题就是选举设施的网络安全问题,美国媒体每天都在报道国会议员的“担忧”、科技企业的“保证”、各州选举设施的“更新”,“保护选举安全就是保护民主制度”的理念不仅成为美国网络安全领域的“政治正确”,同时也透露出美国政府对于选举安全的“没底”。目前,纽约大学法学院布伦南司法中心发布报告《建立监管选举供应商的框架——保护美国选举设备》,提出建立独立的监督、发布供应商最佳实践、加强供应商认证、保持持续的审查、加强执法等建议。报告主要内容有:

当前,美国超过80%的投票系统主要由三家供应商提供,对任何一家公司发起网络攻击都可能对该国大片地区的选举产生毁灭性的后果。其他重要选举设施,如选民登记数据库和电子投票簿也同样由私营公司提供服务。

不像那些被联邦政府指定为关键基础设施的设备,这些供应商很少或基本没有受到联邦政府审查。这使得美国选举很容易受到攻击。为了解决这个问题,布伦南司法中心提出建立监管选举供应商的框架,主要包括以下内容的监督:

1、独立的监督。颁布新的联邦认证体系以发布标准和供应商应遵守的合规。美国选举援助委员会 (The U.S. Election Assistance Commission,EAC)本应是该机构的最合适选择,但是该委员会自成立以为就面临着一系列争议,以至于相关工作收效甚微。但是无论哪个机构负责,都必须独立于党派政治操纵,并配备足够的专业人士。

2、发布供应商最佳实践。国会应该重组EAC的技术指引发展委员会(TGDC),以囊括更多的网络安全专业人士,并授权发布选举供应商应遵循的最佳实践(TGDC已经出台投票设备的技术指引)。最佳实践应该具有充足的激励措施确保选举供应商证明他们的行为符合有关网络安全标准,开展人员和所有权评估,查找有无外国控制的情况,及时报告网络安全事件和供应链的完整性。鉴于EAC的过去未能按照TGDC的建议及时采取行动,我们建议设置一个行动的最后期限。

3、扩大供应商认证。为了让供应商有足够的激励政策遵守最佳实践,国会应该扩大EAC现有的自愿性核证服务以及权力,以涵盖更多设备,包括电子投票手册和选民登记数据库。

4、保持持续的审查。在其扩大的监督职能中,EAC应该指定测试和认证部门,评估供应商是否持续遵守认证标准。该部门应持续监控供应商的质量和配置管理实践、制造和软件开发流程,通过现场访问了解安全姿势、渗透测试和开展独立的第三方网络安全审计。要求所有认证供应商及时通报任何更改以及网络安全事故。

5、颁布执法指南。必须有一个明确的处理供应商违反联邦指导方针行为的议定书。

https://www.brennancenter.org/sites/default/files/2019-11/2019_10_ElectionVendors.pdf

声明:本文来自网安布谷鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。