Serveur d'impression

Un cadre pour la surveillance des vendeurs d'élection – Serveur d’impression

Le 12 novembre 2019 - 39 minutes de lecture

Selon la proposition du Centre Brennan, le rôle de surveillance de la Commission d’assistance électorale serait considérablement élargi. La surveillance s'étendrait au-delà du matériel de vote aux vendeurs d’élections eux-mêmes. Les tests actuels du système de vote sont intentionnellement assez limités: ils interviennent à la fin de la conception, du développement et de la fabrication des équipements du système de vote. Cela ne garantit pas que les fournisseurs se sont engagés dans les meilleures pratiques en matière de chaîne d'approvisionnement ou de cybersécurité lors du développement d'équipements ou lors de l'entretien ou de la programmation de ceux-ci une fois qu'ils sont certifiés. Le système ne garantit pas non plus que le fournisseur a effectué une vérification des antécédents des employés ou mis en place des contrôles limitant l'accès aux informations sensibles.

Malgré ses limites, le programme de test et de certification du CCE, un programme volontaire qui certifie et décertifie le matériel et les logiciels des systèmes de vote, constitue un bon modèle pour un programme de surveillance des fournisseurs. Divers projets de loi, y compris la Loi sur l'assistance à la sécurité électorale proposée par le représentant Rodney Davis (R – IL), la SAFE Act parrainée par les démocrates et la Loi sur le peuple (For the People Act), ont appelé à la mise en place de carnets de vote électroniques, qui ne sont actuellement pas considérés comme des systèmes électoraux. par le programme, à inclure dans son programme de test du matériel et des logiciels.

À l’heure actuelle, le Comité d’élaboration des directives techniques, un comité d’experts nommé conjointement par l’Institut national de la normalisation et de la technologie (NIST) et le CEA, définit des normes de certification pour les systèmes de vote. Ces lignes directrices, connues sous le nom de lignes directrices sur le système de vote volontaire (VVSG), peuvent être adoptées, avec des modifications, par une majorité des commissaires de la CAE. Une fois approuvés, ils deviennent les normes par rapport auxquelles les machines à voter sont testées pour une certification fédérale. Le VVSG veille à ce que les systèmes de vote disposent des fonctionnalités de base, de l'accessibilité et de la sécurité requises par la loi HAVA (Help America Vote Act).

Les itérations futures du VVSG et le processus de certification peuvent légèrement changer: les commissaires ont suggéré de soutenir une nouvelle version du VVSG qui adopte des principes de haut niveau et des directives que la commission doit approuver, ainsi qu'un ensemble plus détaillé d'exigences de certification, qui le personnel peut s'ajuster de temps en temps.

Une fois que les nouvelles directives relatives au système de vote ont été adoptées, la division de test et de certification du CCE teste les systèmes (conformément au VVSG), les certifie, les surveille et, si des problèmes critiques sont découverts, les désacertifie. La CAE n’effectue des tests sur le terrain des machines à voter que si elle est invitée ou autorisée par un responsable des élections de l’État. Cela ne se fait pas systématiquement. Les fonctionnaires électoraux utilisant les machines à voter certifiées ont plutôt la possibilité de signaler les anomalies du système au CCE. Si le CCE estime qu'un rapport est crédible, il peut entamer une enquête formelle et collaborer avec le fournisseur pour résoudre le problème. Si le fournisseur ne résout pas l'anomalie, le CAE est obligé de désacertifier le système de vote.

Avec quelques modifications importantes, nous recommandons un régime similaire pour la certification des vendeurs de systèmes de vote. Les commissaires devraient adopter un ensemble de principes et de directives pour les fournisseurs recommandés par un comité de développement de directives techniques, ainsi qu'un ensemble plus détaillé d'exigences pouvant être ajustées au besoin par le personnel de la CAE. Nous recommandons que le CCE surveille régulièrement les fournisseurs certifiés afin de garantir une conformité continue et établisse un processus permettant de remédier aux violations des normes fédérales, notamment par le biais de la révocation de la certification.

Un régime volontaire

La certification fédérale n'aura de sens que si les gouvernements des États et les administrations locales qui ont passé des contrats avec des vendeurs de systèmes électoraux en dépendent pour prendre leurs décisions d'achat.

Pour cette raison, certains ont recommandé que les gouvernements des états et locaux soient tenus de n'utiliser que des fournisseurs certifiés par le gouvernement fédéral. Par exemple, la loi sur la sécurité des vendeurs d’élections propose d’interdire aux administrateurs d’élection locaux et nationaux d’utiliser un fournisseur pour les élections fédérales ne respectant pas certaines normes minimales.

Un régime obligatoire présente des avantages évidents. Plus important encore, cela garantirait que toutes les juridictions du pays utilisent des fournisseurs qui respectent les normes de sécurité minimales. Mais il y a aussi des inconvénients. Parmi ces dernières, il convient de noter que certains États et certaines localités pourraient considérer le mandat fédéral d’utiliser certains fournisseurs comme une usurpation de leur pouvoir de supervision de leurs propres élections, ce qui compliquerait considérablement la création d’un programme fédéral.

De plus, étant donné que les vendeurs privés sont si étroitement impliqués dans le déroulement de nos élections, obliger les villes, les comtés et les États à utiliser uniquement des vendeurs certifiés pourrait présenter des problèmes. Si un fournisseur échouait au processus de certification (ou décidait de ne pas demander de certification), certains comtés ne pourraient pas organiser leurs élections. D'autres pourraient être obligés de dépenser des dizaines de millions de dollars pour acheter de nouveaux équipements et services avant de pouvoir organiser à nouveau des élections, même s'ils avaient déterminé qu'ils auraient pu organiser leurs élections en toute sécurité.

Une approche volontaire – laissant aux États et aux juridictions locales le soin de décider de contracter avec des fournisseurs non certifiés par le gouvernement fédéral – pourrait intégrer les États dans le processus de certification du système de vote. Cela peut aussi être plus faisable politiquement. Une approche volontaire donnerait aux juridictions nationales et locales la possibilité de prendre des mesures de sécurité supplémentaires si leurs fournisseurs actuels n'obtenaient pas de certification fédérale. Lorsqu'ils sélectionnent de nouveaux fournisseurs, la plupart des États et des responsables électoraux locaux s'appuieraient probablement sur une certification fédérale pour effectuer des achats, comme ils le font avec des machines à voter. Les démocrates au Congrès ont opté pour cette approche dans la loi sur le peuple et la loi SAFE. Les deux mesures encourageraient la participation en accordant des subventions aux États qui achètent des biens et des services auprès de fournisseurs d'infrastructures électorales qualifiés ou mettent en œuvre d'autres améliorations en matière de sécurité du système de vote.

L'inconvénient d'un programme volontaire est que les États et les fournisseurs peuvent l'ignorer. Mais il y a des raisons de croire qu'il y aurait une large participation à un programme fédéral volontaire. Bien que le programme actuel de certification des machines à voter soit volontaire, 47 États sur 50 ont recours au processus de certification de la CAE pour les machines à voter. Un autre programme volontaire, le Conseil de coordination du secteur des infrastructures électorales du DHS, a été créé en 2018 pour partager des informations entre les fournisseurs de systèmes électoraux. De nombreux vendeurs d'élections majeurs l'ont soutenu en tant que membres organisateurs.

Lignes directrices élaborées par un comité plus technique et plus puissant

Un nouveau comité de développement des directives techniques, avec d’autres experts en cybersécurité, devrait être chargé d’élaborer les directives de certification des fournisseurs à l’usage de la Commission d’assistance électorale, en incorporant les meilleures pratiques que les vendeurs d’élections doivent respecter. Ces directives devraient entrer en vigueur à moins que le CCE outrepasse la recommandation dans un délai spécifié. Cette déférence envers le TGDC techniquement expert en l’absence de dérogation de la part des décideurs est nécessaire pour éviter les retards importants qui ont fait obstacle aux tentatives précédentes de mise à jour du VVSG. Le cadre de cybersécurité du NIST devrait être le point de départ de ces meilleures pratiques, et le TGDC n'a qu'à appliquer des perfectionnements spécifiques aux élections à ce cadre existant.

Le TGDC est présidé par le directeur du NIST. Ses 14 autres membres sont nommés conjointement par le directeur et le CAE. Nous recommandons au Congrès d’autoriser le NIST à élargir le nombre de membres de TGDC pour y inclure un large éventail de compétences nécessaires pour remplir son rôle dans la définition des meilleures pratiques des fournisseurs. Ces nouveaux membres devraient explicitement être tenus de posséder une expertise en matière de cybersécurité. Le Congrès devrait également nommer un représentant de la nouvelle Agence de sécurité de la cybersécurité et de la sécurité des infrastructures (CISA) du DHS, acteur de premier plan dans la défense de la cybersécurité, y compris dans le secteur électoral, au TGDC. La loi sur la cybersécurité du système des fournisseurs de 2019, présentée par le sénateur Gary Peters (D – MI), nécessiterait cette étape. De même, le Congrès devrait imposer l’inclusion d’un représentant de l’Association nationale des responsables de l’information des États (NACIO) possédant une expertise en matière de cybersécurité.

Reconstituer le TGDC de cette manière garantirait non seulement qu’il dispose de l’expertise nécessaire pour établir des directives à l’intention des fournisseurs, mais également qu’il ya davantage de membres possédant des connaissances techniques.

Comme indiqué ci-dessus, nous recommandons de permettre aux directives élaborées par le TGDC de prendre effet si le CCE ne les applique pas dans un délai spécifié. Nous recommandons également que les fournisseurs souhaitant obtenir une certification respectent toujours les directives les plus récentes. Ceci, associé à l’augmentation du nombre de membres du TGDC, fournira l’assurance nécessaire que les meilleures pratiques sont mises à jour rapidement et que les fournisseurs souhaitant obtenir une certification respectent les normes les plus récentes.

Le nouveau TGDC sera responsable de l’élaboration de directives de certification fédérales auxquelles les fournisseurs devront se conformer pour vendre des infrastructures et des services électoraux clés destinés aux élections fédérales. Les domaines qui devraient être couverts dans ces directives incluent

  • meilleures pratiques en matière de cybersécurité,
  • vérification des antécédents et autres mesures de sécurité pour le personnel,
  • propriété transparente,
  • les processus de signalement des cyber incidents, et
  • intégrité de la chaîne d'approvisionnement.

Nous discutons ci-dessous de l’importance de chacun de ces éléments, des directives qui pourraient ressembler dans chacun de ces domaines et de la manière de garantir la conformité.

Meilleures pratiques de cybersécurité

La période qui a précédé l'élection présidentielle de 2016 a fourni de nombreux exemples des conséquences dévastatrices du non-respect des meilleures pratiques en matière de cybersécurité. Grâce à une série d'attaques comprenant des courriels de spearphishing, les pirates russes ont eu accès aux communications internes du Comité national démocrate (DNC). La DNC n'aurait pas installé un «ensemble d'outils de surveillance robustes» pour identifier et isoler les courriels de spearphishing sur son réseau avant avril 2016, ce qui, rétrospectivement, était beaucoup trop tardif. Le président de la campagne d'Hillary Clinton, John Podesta, a été victime d'une attaque similaire. Ces menaces ne se sont pas arrêtées en 2016; À l'approche des élections de 2018, des hackers ont ciblé des candidats au Congrès, notamment la sénatrice Claire McCaskill (D – MO) et Hans Keirstead, qui a participé à une primaire du parti démocrate en Californie.

Cybersecurity 101 protège les courriels spearphishing. Pourtant, les nombreuses informations faisant état d'attaques spearphishing réussies suggèrent que de nombreuses personnes et organisations ne parviennent pas à se conformer à cette barre infime de cyberactivité. Les vendeurs se gardent-ils de ces attaques (et d’autres)? Le rapport de l'avocat spécial Robert Mueller sur l'interférence électorale de 2016 indique qu'un employé d'un fournisseur d'élections a été victime d'une attaque spearphishing, permettant à un logiciel malveillant d'être installé sur le réseau de ce fournisseur. Le fournisseur, que beaucoup supposent être VR Systems, a nié le fait que les attaquants ont pu violer son système. Sous le régime actuel, qui n’a aucune visibilité significative sur les pratiques de cybersécurité des fournisseurs, nous ne savons tout simplement pas et ne pouvons pas le savoir.

Le nouveau comité de développement des directives techniques devrait élaborer les meilleures pratiques en matière de cybersécurité, qui incluent non seulement des offres liées aux équipements et aux services, mais également aux pratiques informatiques internes, à la cybersanté, aux contrôles d'accès aux données, etc. Divers projets de loi ont proposé que le TGDC assume ce rôle, notamment la loi SAFE, la loi sur la sécurité des élections et la loi sur le peuple.

La vulnérabilité aux attaques d'initiés est une menace distincte et distincte d'un piratage sur Internet.

Le cadre de cybersécurité du NIST devrait être le point de départ et être complété par des améliorations spécifiques aux élections. Selon le NIST, «le cadre ne devrait pas être mis en œuvre sous la forme d'une liste de contrôle non personnalisée ou d'une approche unique pour toutes les organisations d'infrastructures critiques. . . . [It] devrait être personnalisé par différents secteurs et différentes organisations afin de répondre au mieux à leurs risques, à leurs situations et à leurs besoins. "

Lorsqu’ils souhaitent obtenir la certification de la Commission d’assistance électorale, les fournisseurs doivent démontrer qu’ils respectent les meilleures pratiques en matière de cybersécurité du TGDC. Le CCE devrait envisager de fournir un manuel d'auto-évaluation ou une autre forme de guide pour aider les fournisseurs à se conformer à cette exigence.

Un tel manuel d’autoévaluation existe dans le secteur de la défense pour les contractants traitant certaines informations sensibles. Les contractants du Département de la défense «qui traitent, stockent ou transmettent des informations contrôlées non classifiées doivent respecter les normes de sécurité minimales du Supplément du règlement relatif aux acquisitions fédérales de la Défense» et certifient qu'ils sont conformes aux exigences publiées. Une ressource EAC de ce type fournirait aux fournisseurs des précisions sur la manière d’évaluer la conformité et les métriques convenues.

De même, DHS a publié des ressources associées à son programme Cyber ​​Resilience Review, qui «alignent[s] étroitement avec le cadre de cybersécurité. . . développés par l’Institut national des normes et de la technologie. »Ils comprennent un ensemble d’auto-évaluations et un« ensemble de questions assorties de directives », qui pourraient s’avérer utiles pour la mise au point de ressources analogues pour le CCE.

Vérification des antécédents et autres mesures de sécurité pour le personnel

Une grande partie de la conversation sur la cybersécurité électorale a imaginé des attaquants de pays lointains atteignant notre infrastructure électorale via Internet. Mais certaines des cyberattaques les plus efficaces de ces dernières années ont impliqué des initiés. Pour atténuer ces risques, les fournisseurs doivent démontrer lors de la certification qu'ils disposent de politiques et de pratiques saines en matière de personnel.

Au minimum, les fournisseurs doivent décrire comment ils trient les employés potentiels des risques de sécurité, y compris les vérifications des antécédents, et comment ils évaluent régulièrement l'adéquation des employés, notamment le dépistage de l'abus de substances. La Commission d’assistance électorale devrait également exiger des fournisseurs la divulgation des contrôles régissant l’accès du personnel aux informations sensibles liées aux élections. Étant donné que la majeure partie de ces informations sensibles ne constituerait vraisemblablement pas des informations classifiées, qui sont soumises à ses propres contrôles robustes, le contrôle de la gestion des risques du personnel des fournisseurs par le CCE sera crucial.

La vulnérabilité aux attaques d'initiés est une menace distincte et distincte d'un piratage sur Internet, exigeant des contrôles et des mesures de défense totalement différents. Sans filtrage de personnel adéquat et autres garanties, les vendeurs qui fournissent des services électoraux essentiels pourraient être exposés à des méfaits de l'intérieur. Les vérifications approfondies des antécédents du FBI pour les avocats du ministère de la Justice et les autres membres des forces de l’ordre constituent un bon modèle pour contrôler de manière agressive le personnel. Au cas où les vendeurs d’élections auraient besoin d’avoir accès à des informations classifiées de manière officielle, les exemples relatifs à la gestion des vérifications de sécurité abondent dans les secteurs de la défense, du nucléaire et autres.

La Commission de réglementation nucléaire (NRC) réglemente le personnel de manière potentiellement pertinente pour les vendeurs d'élections. Son programme d'aptitude au travail exige que les personnes autorisées à exploiter un réacteur nucléaire répondent à plusieurs objectifs de performance, notamment "l'assurance raisonnable" qu'elles:

  • "Sont dignes de confiance et fiables, comme en témoigne la prévention de la toxicomanie", et
  • «Ne sont sous l'influence d'aucune substance, légale ou illégale, ou d'une déficience mentale ou physique, quelle qu'en soit la cause, ce qui pourrait nuire à leur capacité de s'acquitter de leurs tâches de manière sûre et compétente.»

Ces programmes incluent également «des mesures raisonnables pour la détection précoce d'individus inaptes à s'acquitter de leurs tâches». Les réglementations incluent des exigences en matière de formation et des sanctions en cas d'infraction, ainsi que des protocoles robustes de tests de toxicomanie. Le CNRC réglemente également l'accès aux informations de sécurité nationale et aux données restreintes relatives au nucléaire par des personnes travaillant pour des entités réglementées par la Commission.

Le secteur de la défense limite également étroitement les processus relatifs aux autorisations du personnel et au traitement des informations confidentielles confidentielles. Par exemple, le Manuel de fonctionnement du programme national de sécurité industrielle (Guide du ministère de la Défense sur la réglementation des entrepreneurs dans le secteur de la sécurité industrielle) traite de la protection de ces informations par les entrepreneurs et des processus permettant à leur personnel d’obtenir des autorisations.

L'absence de mesures de protection du personnel robustes et adéquates peut entraîner des dommages importants de la part des personnes à l'intérieur. L'institution financière suisse UBS en fournit un exemple éloquent. Robert Duronio, administrateur système qui travaillait pour UBS dans le New Jersey, a semé le chaos dans les systèmes de la société après avoir exprimé son mécontentement concernant son salaire et ses primes. Duronio a installé une «bombe logique» dans les systèmes d’UBS, qui s’est activée après son départ et a détruit environ 2 000 ordinateurs UBS. L’attaque a coûté à la société plus de 3 millions de dollars en réparations, en plus d’une perte de revenus liée à une capacité de négociation paralysée. (Duronio a été condamné à 97 mois de prison.)

Nous devrions supposer que des adversaires étrangers déterminés sont capables d'embaucher des programmeurs susceptibles de nuire aux élections américaines. Nous avons certainement vu des gouvernements étrangers engager des actions similaires contre des entreprises privées. En 2006, Dongfan “Greg” Chung, un ancien ingénieur chez Boeing, a été arrêté pour avoir accumulé des secrets commerciaux sur le programme de navette spatiale américain dans le but de transmettre cette information au gouvernement chinois. Des agents fédéraux ont trouvé chez lui des documents sensibles, ainsi que des journaux détaillant ses communications avec des fonctionnaires chinois. Chung a été condamné en 2009 pour espionnage économique et agent de la Chine, et condamné à 15 ans de prison.

Propriété transparente

Le manque de transparence dans la propriété et le contrôle des vendeurs d'élections peut masquer l'influence étrangère sur un vendeur d'élections et la corruption dans la certification et les contrats locaux. Nous recommandons la divulgation obligatoire des participations importantes – plus de 5% – et l'interdiction de la propriété ou du contrôle étranger importants (avec l'option de demander une renonciation si certaines conditions sont remplies). L’objectif n’est pas seulement de dissuader les malversations et la corruption, mais également de rassurer les électeurs sur le fait que les motivations des vendeurs d’élections sont conformes à l’intérêt du public à des élections libres et équitables.

Les menaces posées par l’influence étrangère sur un fournisseur américain d’élections, y compris le risque accru d’infiltration étrangère de la chaîne logistique du fournisseur ou la connaissance des capacités et des systèmes des agents électoraux des clients, devraient être évidentes. Un cadre fédéral pour la sécurisation des élections devrait limiter la participation étrangère importante des vendeurs de systèmes électoraux.

Au cours des dernières années, le sujet de la propriété étrangère de vendeurs d'élections a parfois fait les gros titres. En 2018, le FBI a informé les responsables du Maryland qu'un fournisseur au service de l'État, ByteGrid LLC, était sous le contrôle d'un oligarque russe étroitement lié au président Vladimir Poutine. En 2019, ByteGrid a vendu toutes ses installations et ses contrats clients à une société appelée Lincoln Rackhouse.

Dans le même temps, le manque de connaissances sur la propriété des vendeurs d’élections présente un risque sérieux que les campagnes d’influence menées par les vendeurs et les conflits d’intérêts des agents de la fonction publique échappent à la curiosité du public. Les fonctionnaires peuvent attribuer des contrats aux vendeurs en échange de cadeaux ou d’un traitement spécial, plutôt que de ceux qui faciliteraient le mieux la tenue d’élections libres et équitables. Le public doit pouvoir faire preuve de transparence en ce qui concerne la propriété et le contrôle pour déterminer si les fonctionnaires chargés des marchés publics et de la réglementation ont été indûment influencés.

Il existe toute une gamme d’approches face à ces problèmes d’influence abusive étrangère et nationale. Nous recommandons une norme stricte mais flexible: une obligation de divulgation de toutes les entités ou personnes détenant une participation de plus de 5%, avec interdiction de détenir une participation étrangère pour le même montant, avec une option pour le CCE d'accorder une renonciation après consultation avec DHS. Bien que cette proposition concerne les cas de contrôle étranger exercé sur des vendeurs d’élections, tels que ByteGrid, elle pourrait également toucher des sociétés telles que Dominion Voting Systems, le deuxième fournisseur de machines à voter aux États-Unis, dont les machines à voter sont utilisées par plus d’un tiers. tiers des électeurs américains et dont le siège est à Toronto. De même, Scytl Secure Electronic Voting, qui propose des comptes rendus le soir de l'élection et d'autres technologies électorales à des centaines de juridictions électorales aux États-Unis, est basé à Barcelone. Une dérogation fournirait à ces vendeurs et à d'autres vendeurs liés à l'étranger des moyens de révéler ces relations et de mettre en place des garde-fous pour prévenir l'influence étrangère et atténuer les problèmes de sécurité, offrant ainsi à un large éventail de vendeurs une possibilité raisonnable de participer au marché de la technologie électorale. . Au-delà de cette obligation d'information initiale, les fournisseurs devraient être tenus en permanence d'informer leurs clients et le CAE de tout changement ultérieur de leur propriété ou de leur contrôle.

Le CCE peut consulter d'autres secteurs pour trouver des exemples de divulgation de la propriété par le fournisseur ou d'accords de contrôle. Le manuel de fonctionnement du programme de sécurité industrielle nationale du ministère de la Défense est instructif. Il oblige les entreprises à «remplir un certificat relatif aux intérêts étrangers lorsque. . . Des modifications importantes ont été apportées aux informations précédemment transmises ", et les fournisseurs sont tenus de soumettre des rapports lorsqu'il existe" tout changement important concernant les informations précédemment communiquées par le contractant concernant le contrôle ou l'influence de la propriété étrangère. "

Les législateurs ont déjà introduit une législation visant à améliorer la transparence de la propriété ou du contrôle des fournisseurs de systèmes électoraux, avec des mécanismes allant des obligations de divulgation aux interdictions strictes de la propriété ou du contrôle étrangers. Une approche récemment adoptée en Caroline du Nord exige la divulgation de tous les propriétaires ayant une participation de 5% ou plus dans la société, la filiale ou la société mère d’un vendeur, afin que le conseil d’élection de l’état puisse prendre en compte ces informations avant de certifier un système de vote.

À l’opposé, la loi sur le peuple et la loi SAFE exigeraient que les vendeurs des États bénéficiaires de subventions fédérales soient détenus et contrôlés par des citoyens américains ou des résidents permanents, sans possibilité de dérogation. De même, la Election Vendor Security Act aurait exigé de chaque vendeur qu’il certifie qu ’« il est détenu et contrôlé par un citoyen, un ressortissant ou un résident permanent des États-Unis, et qu’aucune de ses activités n’est dirigée, supervisée, contrôlée, subventionnée ou subventionnée. ou financée, et aucune de ses politiques n'est déterminée par un mandant ou un mandataire étranger.

D'autres propositions interdiraient le contrôle étranger mais prévoiraient une dérogation, comme nous le suggérons. Par exemple, la loi sur la protection des systèmes électoraux contre le contrôle étranger exigerait que les vendeurs soient «exclusivement détenus et contrôlés par un citoyen ou des citoyens des États-Unis», sauf dérogation. Ces renonciations pourraient être accordées si le vendeur «a mis en œuvre un plan de propriété étrangère, de contrôle ou d'atténuation de l'influence qui a été approuvé par le [DHS] Secrétaire . . . assurer[ing] que la société mère ne peut pas contrôler, influencer ou diriger la filiale d'une manière qui compromettrait ou influencerait, ou donnerait l'apparence de compromettre ou d'influencer, l'indépendance et l'intégrité d'une élection. "

S'agissant de la définition d'un intérêt de propriété ou de contrôle supérieur à 5%, le CCE pourrait emprunter l'approche utilisée par la Federal Communications Commission (FCC). La FCC définit généralement la propriété étrangère, y compris la propriété indirecte, en multipliant le pourcentage d'actions qu'un propriétaire détient dans une société par le pourcentage d'actions que cette société détient dans une entreprise de radiodiffusion réglementée ou une licence de transporteur public. Par exemple, si une personne étrangère détenait 30% de la société A et que la société A en possédait 25%, elle serait réputée détenir 7,5% de la société B. Aux fins des actions avec droit de vote, la FCC prend une participation majoritaire. 100%, alors que pour les actions, les pourcentages réels sont utilisés.

Processus de signalement des cyber incidents

Tant le public que les gouvernements locaux et des gouvernements des États sont souvent tenus au courant des atteintes à la sécurité qui affectent les vendeurs d'élections. Cet état de choses peut saper la confiance dans le vote et laisser les responsables des élections incertains des vulnérabilités des vendeurs. Pour répondre à ces préoccupations, les fournisseurs doivent faire face à des exigences strictes en matière de rapports d’incidents et à un mandat leur permettant de collaborer avec les autorités électorales concernées.

La surveillance fédérale devrait obliger les fournisseurs à accepter de signaler les incidents de sécurité comme condition de la certification. La Commission d’assistance électorale devrait exiger que les fournisseurs lui rendent compte, ainsi que toutes les juridictions potentiellement concernées, quelques jours après la découverte d’un incident. Le programme actuel de contrôle de la qualité du CCE exige uniquement que les fournisseurs dotés d'un équipement de vote certifié «soumettent des rapports sur toute irrégularité du système de vote». À l'heure actuelle, l'obligation de rapport ne concerne que les fournisseurs de systèmes de vote et n'englobe aucune autre facette de leurs services, équipements ou opérations. Les responsables des élections se sont longtemps plaints du fait que les fournisseurs ne partageaient pas toujours les rapports sur les problèmes rencontrés avec leurs systèmes. Pour compliquer le problème, un seul fournisseur dessert souvent plusieurs juridictions.

Certaines législations ont déjà cherché à imposer aux fournisseurs des rapports plus détaillés sur les incidents. La Secure Elections Act, qui bénéficiait d'un soutien bipartite avant de perdre son élan en 2018, comprenait une disposition relative à la déclaration obligatoire. En vertu du projet de loi, si un soi-disant fournisseur de services électoraux a «des raisons de croire qu'un incident de cybersécurité électorale a pu se produire ou qu'un incident de sécurité des informations lié au rôle du fournisseur en tant que fournisseur de services électoraux a pu se produire», alors il doit «informer les agences électorales compétentes dans les délais les plus rapides et sans retard injustifié (en aucun cas plus de trois jours calendaires après la découverte de l'incident éventuel)» et «coopérer avec les agences électorales pour fournir [their own required notifications]. "

En l'absence de rapports d'incident robustes, les responsables des élections et le public peuvent ne pas être conscients des menaces potentielles que les vendeurs pourraient introduire lors des élections. Comme indiqué précédemment, il subsiste une grande incertitude quant à l'attaque présumée spearphishing et au piratage d'un vendeur impliqué dans les élections de 2016. Une grande partie de ce que l'on sait provient de la fuite d'un rapport de renseignement classifié obtenu par le Intercepter, qui identifiait la victime de piratage informatique comme un vendeur basé en Floride, ainsi que le rapport de l’avocat spécial Robert Mueller au procureur général et la mise en accusation de 12 agents du renseignement russes. Pour compliquer encore plus l’image de ce qui s’est passé, VR Systems, le fournisseur basé en Floride, a répondu par courrier à une demande du sénateur Ron Wyden (D – OR), affirmant que «sur la base de notre examen interne, un expert en cyber-sécurité du secteur privé examen, et l'examen DHS, nous sommes confiants qu'il n'y a jamais eu d'intrusion dans nos serveurs ou réseau EViD. »Cette incertitude offre peu aux clients du fournisseur sur lesquels s'appuyer pour évaluer la préparation actuelle du fournisseur en matière de cyber et savoir s'il convient de continuer à contracter avec le fournisseur. fournisseur lors des prochaines élections.

Avec la notification obligatoire des incidents, le CCE pourrait fournir l’assurance nécessaire aux agents électoraux concernant la sécurité des fournisseurs en partageant les informations avec les agents électoraux qui en ont besoin, ainsi qu’en exigeant des mesures de réparation appropriées, pouvant aller jusqu’au retrait de la certification.

Intégrité de la chaîne d'approvisionnement

Les régulateurs fédéraux devraient exiger des fournisseurs qu'ils se conforment aux meilleures pratiques en matière de gestion des risques de la chaîne d'approvisionnement pour la sécurité des élections. Le nouveau Comité des directives techniques et du développement devrait définir les catégories de sous-traitants ou de produits présentant des risques graves, tels que l’hébergement de serveurs, le développement de logiciels, le transport d’équipements sensibles tels que les machines à voter et le stockage d’informations. Par exemple, Liberty Systems, l'un des partenaires régionaux d'Unisyn Voting Solutions, serait probablement couvert, car il «fournit des statistiques électorales et essentielles, des logiciels et une assistance dans tous les comtés de l'État de l'Illinois». Les directives du TGDC pourraient alors exiger que Les fournisseurs disposent d'un cadre garantissant que les sous-traitants et les fabricants à haut risque respectent également les meilleures pratiques en matière de cybersécurité, de vérification des antécédents, de propriété et de contrôle étrangers, et signalent les incidents informatiques au fournisseur.

Cette approche est utilisée dans d'autres secteurs du gouvernement, où une reconnaissance croissante du risque de la chaîne d'approvisionnement pour la sécurité nationale existe. Le ministère de la Défense a récemment renforcé son application des normes d’intégrité et de sécurité de la chaîne d’approvisionnement, exigeant la révision des systèmes d’achat des principaux contractants afin de s’assurer que les exigences contractuelles du ministère de la Défense relatives aux informations couvertes par la défense et aux rapports sur les cyber-incidents «disparaissent comme il convient. . . Fournisseurs de niveau 1 »et que les contractants principaux disposent de procédures en place pour évaluer la conformité des fournisseurs à ces exigences.

Le ministère de la Défense exige désormais que les sous-traitants qui gèrent des clauses contractuelles de type «sous contrat» sous-traitant des informations contrôlées non classifiées (CUI) soient sous-traités à des sous-traitants [also] impliquer [the department’s] CUI. »Le TGDC devrait développer une catégorie analogue de sous-traitants et de fabricants auxquels s'appliqueraient les mêmes cybersécurité, exigences de vérification des antécédents et préoccupations de propriété étrangère que les vendeurs d’élections, en fonction du rôle du sous-traitant et de la possibilité que le risque de sécurité électorale introduit.

Surveillance de la conformité des fournisseurs

Pour que sa surveillance soit plus efficace, la Commission d’assistance électorale doit être en mesure de confirmer que les fournisseurs certifiés par le gouvernement fédéral continuent de respecter leurs obligations. Le fait qu’un fournisseur ait été, à un moment donné, certifié conforme aux normes fédérales pertinentes ne garantit pas que les circonstances n’ont pas changé. En cas de non-respect, le CCE devrait prendre des mesures correctives appropriées, pouvant aller jusqu'au retrait de l'accréditation.

Le programme de surveillance de la qualité de la CAE pour les systèmes de vote fournit un point de départ pour savoir comment cela pourrait fonctionner. Le CCE offre aux fonctionnaires électoraux sur le terrain un mécanisme leur permettant de fournir des informations sur toute anomalie du système de vote présente dans les machines à voter certifiées. Si un agent électoral soumet un rapport crédible sur une anomalie, le CAE le distribue aux juridictions électorales locales et régionales dotées de systèmes similaires, au fabricant du système de vote et au laboratoire de test qui a certifié le système de vote. Selon le manuel de certification de l'EAC, «le programme de surveillance de la qualité n'est pas conçu pour être punitif, mais pour améliorer le processus». Le programme est donc davantage axé sur la conformité que sur la certification ou le retrait de l'accréditation, bien que le retrait de l'accréditation puisse entraîner non-conformité persistante.

The SAFE Act and the For the People Act call for the testing of voting systems nine months before each federal general election, as well as for the decertification of systems that do not meet current standards.

A critical difference between the ability to monitor voting equipment and the practices of an election system vendor is that thousands of election officials and poll workers, and hundreds of millions of voters, interact with voting equipment on a regular basis. They can report anomalies when they see them. By contrast, most of the work of election system vendors happens out of public view.

For this reason, vendors must be obligated on an ongoing basis to remedy known security flaws or risk losing federal certification. Congress should provide the EAC with a mandate to ensure that vendors contract with independent security firms to conduct regular audits, penetration testing, and physical inspections and site visits, and to provide the results of those assessments to the EAC. One legislative proposal — the Protect Election Systems from Foreign Control Act — sought to do something similar by subjecting vendors to an annual evaluation to assess compliance with cybersecurity best practices. The EAC’s effectiveness in its new oversight role would be diminished absent some power to monitor vendors’ efforts on this front — a power Congress ought to provide.

The EAC could require regular penetration testing by third parties to assess vendors’ cyber readiness in real time. Such testing would give the EAC (and vendors) an opportunity to identify and remediate security flaws, hopefully before adversaries take advantage of them. The EAC should also consider using bug bounty programs, which have become a common tool deployed by private industry and government entities, including the Department of Defense. Under bug bounty programs, friendly so-called white-hat hackers earn compensation for reporting vulnerabilities and risks to program sponsors. The For the People Act calls for such a program, as does the Department of Justice’s Framework for a Vulnerability Disclosure Program for Online Systems.

Certified vendors should be required to submit to extensive inspection of their facilities. To assess compliance with cybersecurity best practices, personnel policies, incident reporting and physical security requirements, and the like, the EAC must be granted wide latitude to demand independent auditors’ access to vendor systems and facilities. This should include unannounced, random inspections of vendors. The element of surprise could serve as a powerful motivator for vendors to stay in compliance with EAC guidance.

The Defense Contract Management Agency (DCMA) performs an analogous, if broader, role for military contractors. Serving as the Defense Department’s “information brokers and in-plant representatives for military, Federal, and allied government buying agencies,” DCMA’s duties extend to both “the initial stages of the acquisition cycle and throughout the life of the resulting contracts.” In that latter stage of a contract, DCMA monitors “contractors’ performance and management systems to ensure that cost, product performance, and delivery schedules are in compliance with the terms and conditions of the contracts.” This function includes having personnel in contractor facilities assess performance and compliance. Although our proposal does not envision the EAC performing an ongoing contract compliance role, the EAC’s enhanced oversight role could take some cues from DCMA’s inspection protocols and ability to closely scrutinize vendors.

The NRC similarly holds inspection rights over those subject to its regulations, including companies that handle nuclear material and those holding licenses to operate power plants. The NRC regulation requiring that those regulated “afford to the Commission at all reasonable times opportunity to inspect materials, activities, facilities, premises, and records under the regulations in this chapter” is of particular relevance to potential EAC oversight. The NRC also has an extensive set of regulations concerning physical security at nuclear sites and of nuclear material. Although these requirements are probably more onerous than those needed in the election sector (especially since nuclear material poses unique physical security risks), they could nonetheless prove instructive in crafting physical security requirements for vendors. Such requirements should go hand in hand with the cybersecurity best practices discussed above.

Enforcing Guidelines

It is critical to have a clear protocol for addressing election system vendor violations of federal guidelines. If states require their election offices to use only federally certified vendors, revocation of federal certification could have a potentially devastating impact on the ability of jurisdictions to run elections and ensure that every voter is able to cast a ballot.

Again, the Election Assistance Commission’s process for addressing anomalies in voting equipment through its Quality Monitoring Program is instructive. If it finds that a system is no longer in compliance with the VVSG, the manufacturer is sent a notice of noncompliance. This is not a decertification of the machine but rather a notification to the manufacturer of its noncompliance and its procedural rights before decertification. The manufacturer has the right to present information, access the information that will serve as the basis of the decertification decision, and cure system defects prior to decertification. The right to cure system defects is limited; it must be done before any individual jurisdiction that uses the system next holds a federal election.

If decertification moves forward after attempts to cure or opportunities to submit additional information, the manufacturer may appeal the decision. If the appeal is denied, then the decertified voting system will be treated as any other uncertified system. The EAC will also notify state and local election officials of the decertification. A decertified system may be resubmitted for certification and will be treated as any other system seeking certification.

The EAC’s application of this process to the ES&S voting system Unity 3.2.0.0 provides an example of how this can happen. Certification of this system was granted in 2009. In 2011, the EAC’s Quality Monitoring Program received information about an anomaly in the system and began a formal investigation. A notice of noncompliance was then sent to ES&S in 2012, listing the specific anomalies found in the voting system and informing ES&S that if these anomalies were not remedied, the EAC would be obligated to decertify the voting system. ES&S attempted to cure the defects, as was its right, and produced a new, certified version of the Unity system. The vendor then requested that its old system be withdrawn from the list of EAC certified systems.

Decertification of a vendor would need to be handled thoughtfully, so that local election officials are not left scrambling to contract new election services close to an election. In this sense, close coordination among federal and local officials and relevant vendors to proactively identify and fix issues would be necessary for any scheme to succeed. The EAC would also have to be left with the flexibility to decide what, if any, equipment and services could no longer be used or sold as federally certified. To that end, decertification should incorporate these key elements:

  • A voting system decertification should not necessarily result in a vendor decertification and vice versa. For instance, a voting machine vendor might be found to be out of compliance with federal requirements for background checks on employees. If the EAC determines this noncompliance did not impact the security of voting machines already in the field, it could leave the voting system certified but ban the vendor from selling additional machines (or certain employees from servicing existing machines) until the failure is remedied. Alternatively, it could allow the vendor’s voting machines to continue to be used for a limited time, subject to additional security measures, such as extra preelection testing and postelection audits.
  • There should be a clear process ahead of a formal decertification, with notification to affected state and local officials and plenty of opportunities for the relevant vendor to address issues before the EAC takes more drastic action. Only the most urgent and grave cybersecurity lapses should truncate this decertification process.
  • Any decertification order should include specific guidance to state and local officials on how existing vendor products or services are affected, assistance to those officials with replacing those goods or services (if necessary), and a road map for the vendor to regain certification.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.