Amerikaanse verkiezingen beïnvloeden is niet moeilijk

Bij de verkiezingen in 2016 was het de opkomst van desinformatie die een rol speelde. Bij de aankomende editie is dat een nog veel grotere factor geworden, maar zijn er nog tal van andere risico’s om rekening mee te houden. Wie de ontwikkelingen op de voet volgt, kan vijf hoofdthema's definieren die zijn in te zetten om de verkiezingen te beïnvloeden.

• Social engineering

Social engineering aanvallen groeien nog steeds, en volgens het Verizon Data Breach Investigations Report gaat er bij tachtig procent van alle datadiefstallen een vorm van gestolen inloggegevens aan vooraf. Het voordoen als een bekende of betrouwbare partij en zo inloggegevens achterhalen is nog altijd een beproefd recept. Dit gebeurde ook bij de recente Twitter-hack, waarbij onder andere het account van Biden werd overgenomen. Zo hoog zal het doel echter lang niet altijd zijn; leden van lokale overheden vormen een net zo interessant doelwit, omdat het vanuit daar vaak makkelijk opschalen is naar een hogere functionaris.

• Medewerkers inschakelen

Elke campagne-medewerker of vrijwilliger is een potentiële 'privileged insider' op basis van de toegang die ze hebben tot data of applicaties. Aanvallers zullen dit uitbuiten en medewerkers voor hun karretje spannen, bewust of onbewust door hun accounts over te nemen. Het is een ideaal kanaal om desinformatie te verspreiden of via malware en ransomware activiteiten stil te leggen.

Ook de 460.000 poll-vrijwilligers zijn een doelwit. Misschien dat ze niet direct toegang hebben tot de verkiezingsinfrastructuur, maar ze hebben meestal wel toegang tot het onderliggende netwerk, vaak met een eigen, slecht beveiligde smartphone of laptop. Een gemakkelijke ingang voor hackers om het netwerk te infiltreren en stapje voor stapje verder te komen. De vele inschrijfmogelijkheden voor vrijwilligers helpen daarbij. Opgeven als vrijwilliger moet gebeuren op een site, maar deze zijn makkelijk na te maken zodat ze op een echte lijken. Zo komen hackers makkelijk aan hun benodigde informatie voor scams en fraude.

• Aanvallen op infrastructuur

Drie grote steden (Atlanta, Baltimore en New Orleans) hebben het afgelopen jaar nutsbedrijven moeten stilleggen vanwege een ransomware-aanval. Een afgestemde aanval op de verkiezingsdag kan een enorme chaos teweeg brengen, van het sluiten van openbaar vervoer tot het lamleggen van telefoon- en internetverbindingen, waardoor kiezers hun stem niet makkelijk kunnen uitbrengen. Ook zijn er scenario’s die wijzen op het verstoren van het proces bij het tellen van de stemmen.

• Databases van de verkiezingen

De infrastructuur van de verkiezingen zelf is ook niet gevrijwaard van risico’s. Vorig jaar werd ingebroken in twee databases in Florida tijdens de county-verkiezingen, middels een phishing-aanval. Aangezien deze databases gekoppeld zijn aan netwerken om informatie te delen, zijn ze een interessant doelwit. Alleen al een simpele handeling als het veranderen van registratiegegevens maakt het voor getroffen personen moeilijk om te stemmen als hun gegevens niet overeenkomen. Dit treft ook de burgers die per post stemmen; een manier die als veiliger wordt beschouwd maar ook dat proces is te verstoren als hun gegevens niet kloppen met de gegevens in de database.

• Nieuwe vormen van desinformatie

De desinformatie rond de campagnes in 2016 zijn goed gedocumenteerd, maar het vindt alweer volop plaats. De tactieken worden ook toegepast door hooggeplaatste functionarissen, nieuwszenders en politici. Geen communicatiekanaal is veilig. Plus, de groeiende inzet van deepfakes maakt het lastig om te achterhalen of iemand echt iets gezegd heeft. Hoewel een opvallend bericht van een politicus nog wel te filteren is, wordt het al lastig als er kleine stukjes desinformatie rond bijvoorbeeld polls worden verspreid. Dat valt minder op, maar kan wel grote impact op het proces hebben. Nu kiezers ook nog gevoelig zijn voor nieuws over het coronavirus, is met elk stukje informatie (waar of niet waar) het gedrag van mensen te beïnvloeden.

Bescherm privileged access