Предвыборный сезон 2020 года начался с того, что могло бы стать рекордным срывом старта с задержками в представлении отчетов о результатах заседания Айовы из-за плохо разработанного приложения. Сбой мобильного приложения IowaReporterApp, разработанного для Демократической партии компанией Shadow, Inc., за которым последовало сообщение о том, что приложение было пронизано ошибками безопасности, что еще больше усилило беспокойство по поводу безопасности системы голосования и выборов 2020 года. (Для ясности, IowaReporterApp был не мобильным приложением для голосования, а всего лишь средством сбора и представления отчетов о результатах отдельных собраний.)
Против впечатляющего провала собрания в Айове и по мере того, как демократы вступают в завтрашний день Из-за того, что в Нью-Гемпшире отказались от приложения Shadow, есть некоторые признаки того, что безопасность, связанная с выборами, иначе движется в правильном направлении. Впервые, президентские выборы в США в 2020 году стали вехой, потому что более половины кандидатов в президенты имеют домены, защищенные от подмены, согласно недавно опубликованному исследованию антифишинговой компании Valimail, основанной на личных данных.
Из 14 кандидатов, которые в настоящее время участвуют в гонке (включая Дональда Трампа, но исключая Джо Уолша, который выбыл на прошлой неделе), восемь защищены политиками проверки подлинности сообщений на основе доменов, отчетности и соответствия (DMARC), установленными для принудительного применения. DMARC — это протокол проверки подлинности электронной почты, политики и отчетов, который основан на двух других широко распространенных протоколах безопасности электронной почты, Sender Policy Framework (SPF) и DomainKeys Identified Mailprotocols (DKIM), которые дают владельцам доменов контроль над тем, кто может отправлять их.
Этот рубеж примечателен тем, что только в мае прошлого года Ваймейл обнаружил, что из 23 кандидатов в президенты только трое полностью использовали DMARC, что согласуется с исследованиями других организаций, включая беспартийный Альянс доверия в Интернете. «Крупные президентские кампании относятся к безопасности электронной почты более серьезно, чем несколько месяцев назад», — рассказывает CSO Сет Бланк, вице-президент по стандартам и новым технологиям Valimail. «DMARC и аутентификация имеют решающее значение. Это единственный способ гарантировать, что только ваша кампания может отправлять вам электронные письма».
Следующие доменные адреса электронной почты кандидатов защищены DMARC
- Джо Байден (D)
- Майк Блумберг (D)
- Пит Буттигег (D)
- Тулси Габбард (D)
- Эми Клобучар (D)
- Том Стейер (D)
- Элизабет Уоррен (D)
- Эндрю Ян (D)
Домены электронной почты этих кандидатов не защищены DMARC
- Майкл Беннет (D)
- Билл Уэлд (справа)
Из семи незащищенных доменов четыре, включая демократического лидера Берни Сандерса, настроили DMARC в так называемый режим только для монитора, который не обеспечивает соблюдение спецификации DMARC и по-прежнему позволяет доставлять сообщения, которые кажутся исходить из домена этой кампании, но которые не авторизованы кампанией. Две другие кампании вообще не имеют DMARC, что делает их крайне уязвимыми для подмены.
В этих кампаниях DMARC используется только в режиме мониторинга:
- Дональд Трамп (R)
- Берни Сандерс (D)
- Джон Делани (D)
- Девал Патрик (Д)
Кампании, которые используют режим только монитора или вообще не используют DMARC, подвергаются значительному риску. «Каждый год электронная почта — это вектор номер один для кибератак», — говорит Бланк. «Наиболее эффективной стратегией является защита вашей электронной почты с помощью DMARC».
Безопасность избирательной электронной почты на местном уровне недостаточна
Хотя картина безопасности электронной почты на уровне президентской кампании улучшается, на на местном уровне безопасность электронной почты, кажется, упускается из виду: 142 из 187 доменов, используемых избирательными органами в трех крупнейших округах (или округах) в каждом штате, вообще не используют DMARC. В остальных юрисдикциях 42 используют только режим мониторинга, а 11 используют недопустимый DMARC, в результате чего только 5,3% этих локальных доменов защищены DMARC, как показывают исследования Valimail.
На местном уровне «похоже, что Бланк говорит, что это осознание важнее, чем что-либо еще, — это проблема с принятием DMARC и других технологий безопасной электронной почты. «Существует огромное количество технологий, которые существуют [but local officials]даже не знаю, с чего начать, и есть инструменты, которые могут помочь».
Такие организации, как служба обмена сообщениями, вредоносных программ и мобильных устройств для защиты от злоупотреблений Группа (M 3 AAWG) готова помочь должностным лицам кампании узнать, каковы лучшие технологии и как их применять. На прошлой неделе группа выпустила сводное руководство для того, что она называет «необходимой кибербезопасностью» для сотрудников избирательных комиссий. К трем ключевым технологиям, которые MW 3 рекомендует использовать в кампаниях, относятся многофакторная аутентификация (MFA), аутентификация и шифрование электронной почты.
Другим ключевым шагом, который могут сделать избирательные чиновники, чтобы защитить себя, является принять обязательную оперативную директиву 18-01 Министерства национальной безопасности (DHS) которая предписывает федеральным агентствам предпринять конкретные шаги по улучшению безопасности своей электронной почты и сети посредством внедрения DMARC, команды STARTTLS и шифрования HTTPS. «После того, как DHS выпустил это, правительство перешло от невероятно плохого принятия к невероятно хорошему принятию» методов обеспечения безопасности электронной почты, — говорит Бланк.
DHS стал лидером, помогая не только федеральным организациям внедрять лучшие методы обеспечения безопасности, но и также поддерживал должностных лиц штатов и местных органов власти в их усилиях по обеспечению безопасности онлайн-активов с 2017 года. На прошлой неделе Управление общей подотчетности (GAO) опубликовало отчет с критикой подразделения по кибербезопасности DHS, Агентства по кибербезопасности и безопасности инфраструктуры (CISA), за то, что оно еще не завершило свою работу. стратегические и оперативные планы, чтобы помочь государственным и местным чиновникам защитить выборы 2020 года.
CISA профинансировал Центр обмена информацией и анализа избирательной инфраструктуры (EI-ISAC), который, согласно отчету GAO, помог десяти штатам и пять местных избирательных юрисдикций оценивают их подверженность вредоносным электронным письмам. Бланк считает, что DHS должен подтолкнуть должностных лиц штатов и местных властей соблюдать DHS 18-01.
В ответ на отчет GAO представитель DHS сообщает CSO, что «в течение трех лет мы строим партнерские отношения, обеспечивая поддержка и услуги, включая тестирование на проникновение, оценку фишинга и подготовку к государственным и местным должностным лицам, отвечающим за обеспечение безопасности нашей избирательной инфраструктуры.После того, как начнется основной сезон и начнется сезон выборов 2020 года, мы готовы и готовы поддержать наших партнеров в избирательном сообществе. «
Между тем, электронная почта является одним из самых слабых звеньев на выборах, и, по словам Бланка, безопасность кампании. «Есть известные вещи для защиты вашей безопасности, и каждый должен ими заниматься», — говорит он.
Эта история, «Кампании по выборам президента относятся к безопасности электронной почты более серьезно — не так уж и на местном уровне» изначально была опубликовано
CSO .