Наслідки кібератаки можуть бути значними. Поширення інформації про сам злам, що супроводується поступовим оприлюдненням вкраденої інформації може місяцями негативно впливати на меседжі кандидата. Нападники, перевантажуючи веб-сайт, можуть перешкоджати комунікації з вашими прихильниками або зарахуванню внесків у найважливіщі моменти. Крадіжка персональних даних донорів чи виборців може призвести до значних юридичних наслідків, відкриває можливість переслідувати ваших прихильників чи викликати у донорів небажання робити внесок у вашу кампанію. Руйнівні напади на комп’ютери персоналу чи найважливіші сервери кампанії можуть уповільнювати темпи впровадження кампанії на дні або навіть тижні. Усунення безладу, який виник, може коштувати цінних ресурси у самий розпал перегонів, незалежно від того, чи це президентські або парламентські вибори, чи вибори до міської ради.
50% починають публікацію окремих фрагментів з книги «Стратегія забезпечення кібербезпеки під час проведення виборів». Повністю ви можете скачати її за лінком.
Вразливе середовище кампанії
Сьогоднішні кампанії – надзвичайно легкі мішені. Зазвичай за своєю природою вони тимчасові і швидкоплинні. На них немає часу та коштів розробляти довготермінові та добре перевірені стратегії безпеки. Буває, що велика кількість нового персоналу набирається без проведення тривалого навчання. Вони можуть приносити з дому власне обладнання – зі шкідливими програмами на ньому! Багато людей, які долучаються до кампаній, живуть та працюють за сотні кілометрів від штаб-квартири. Все швидко змінюється, ставки зазвичай високі, і людям здається, що у них немає часу перейматись кібербезпекою.
У той самий час, кампанії все більше покладаються на особисті дані виборців, донорів та на громадську думку. Вони також зберігають чутливу інформацію, таку як дослідження щодо опозиції, вразливі сторони, списки прихильників, дані спеціальної перевірки працівників, попередні версії політичних документів та електронні листи.
Ризики можливої атаки зростають, так само як і їх потенційні наслідки.
Загроза нападу
Уявіть: До дня виборів залишився місяць, і відрив між суперниками невеликий. Зранку ви прибуваєте до штаб-квартири, наливаєте собі кави або чаю, підходите до свого столу і включаєте комп’ютер. Ви бачите чорний екран, потім жахливу карикатуру на вашого кандидата, за якою з’являється повідомлення. Ваші жорсткі диски були відформатовані. Кожен цифровий біт інформації, яку ви збирали – документи, списки адрес, балансові звіти- все зникло. Ви читаєте – щоб повернути це все, вам треба заплатити добрий мільйон, або ви втратите важливу політичну посаду.
Невідома група хакнула ваш комп’ютер кілька місяців тому і тихенько крала електронні листи, стратегічні документи, адреси донорів та номери полісів соціального захисту або ідентифікаційні номери ваших працівників. Ця група витратила тижні, пробираючись крізь величезні обсяги даних у пошуках брудної білизни, і поширювала новини про головні події кампанії у соціальних медіа та на легкому у використанні веб-сайті, присвяченому виключно поширенню такої інформації. На головній сторінці – матеріал про вашого кандидата з можливістю самостійного пошуку деталей, які цікавлять користувача. На даний момент веб-сайт кампанії «лежить», доступ до акаунтів в соціальних мережах тимчасово закрито через поширення непристойних фото, а працюючого комп’ютеру поблизу немає.
Загрози, які постають перед виборчою кампанією
На жаль, для кампаній та демократій в усьому світі, місцеві та іноземні зловмисники можуть вважати, що завдання шкоди або допомога конкретному кандидату сприяє їм у досягненні їхніх інтересів, чи то сіяння хаосу і плутанини серед виборців, чи то покарання посадової особи, яка проти них виступила. Можливо, це звучить як якийсь трилер, але реальність така, що розвинута розвідка, кіберзлочинець або ображений на кандидата хакер-активіст можуть обрати вас або когось із вашої кампанії мішенню для себе. Це загрози, можливість яких мають усвідомлювати керівники та працівники кампанії.
Оскільки дезінформація і маніпуляції під час кампанії стає джерелом омани та обману громадян по всьому світу, викрадені дані, маніпулятивна подача інформації, витік інформації можуть мати реальні наслідки для ваших виборів. Механізми, встановлені для захисту ваших даних та забезпечення каналів комунікації тепер є важливими як ніколи.
Хто займається хакерством?
Для виборчих кампаній багато хто може нести інформаційні та кібернетичні загрози. Поодинокі хакери та кіберзлочинці намагаються впливати на кампанії з причин особистої вигоди, прагнення слави або просто бажання перевірити, чи їм вдасться це зробити. Національні держави становлять найбільш цілеспрямовану та постійну загрозу. Російські шпіонські групи, відомі як Fancy Веаг (АРТ 28) та Cozy Веаг (АРТ 29), підозрюють у хакерських нападах під час кампанії 2016 року у США. Китайські хакери значно більшою мірою зосередились на зборі інформації. їх підозрюють у тому, що вони були активними під час президентських кампаній у США в 2008 та 2012 роках, але свідчення про оприлюднення ними вкрадених матеріалів відсутні. Хакери з Північної Кореї ганебно помстились Sony Pictures Entertainment за створення фільму «Інтерв’ю», викравши та оприлюднивши електронні листи та зламавши системи компанії. У деяких країнах загрозу для кампаній опозиції може становити уряд. Посилення міжнародної напруги, особливо навколо важливих виборів, може сприяти збільшенню кількості атак у майбутньому.
Управління кібернетичними ризиками
Ризик можна найкращим чином зрозуміти, взявши до уваги три фактори. По-перше, існують вразливі місця у вашій кампанії, які роблять інформацію вразливою до крадіжки, спотворення чи знищення. Вони можуть виникнути в апаратному чи програмному забезпеченні, на рівні процесів та внаслідок недостатньої пильності вашого персоналу. Також існують дійсні загрози: держави, хакери-активісти та інші недержавні групи, здатні використати ці вразливі місця. Ризик виникає там, де існують вразливі місця та загрози.
І на останок, виникають наслідки – коли зловмисники заробляють гроші на ризиках, яких можна було уникнути.
Ви чи інші, хто залучений до кампанії, мало що можете зробити, аби попередити самі загрози – вони є результатом ширших геополітичних, економічних та соціальних сил.
Що ви можете зробити – це суттєво зменшити свою вразливість, тим самим знизити ймовірність того, що зловмисники досягнуть успіху. Зменшення вразливості знижує ризик, і вам вирішувати, які з вразливих місць найбільш важливі, щоб зменшувати там ризики. Наприклад, ви можете вирішити, що найбільшою шкодою, яку може заподіяти хакер, може бути викрадення звіту з результатами дослідження про кандидата, тому ви виділите додаткові ресурси для забезпечення зберігання у хмарному сховищі, вимагатимете використання довгих паролів та надання доступу невеликій кількості осіб. Ви можете вирішити зробити інші документи кампанії більш доступними і менш захищеними, оскільки більше людей потребують їх для своєї роботи, і їхній витік не завдасть великої шкоди. Враховуйте, що заходи, які вживаються в рамках кампаній для збереження даних та реагування на кібернетичні зловживання, підпадають під дію законів щодо захисту даних та особистої інформації, які приймаються у всьому світі, наприклад Загальний регламент про захист даних в Європейському Союзі.
Існують технічні аспекти для зменшення ризиків, і у нас є багато технічних рекомендацій, які ми включили у цей посібник, але найважливішим є цілісний підхід з вашого боку. Будучи керівником виборчої кампанії, найголовніше, що ви можете робити, це приймати основні рішення щодо того, хто матиме доступ до інформації, яка інформація буде зберігатись або відкидатись, скільки часу буде відводитись на навчання, а також якою буде ваша поведінка, щоб слугувати прикладом для інших. Оскільки ви є професіоналами, управління ризиками належить до сфери вашої відповідальності – технічної та людської. Ви визначаєте, які дані та системи мають найбільшу цінність, а також які ресурси ви будете виділяти на те, щоб їх захистити.
Далі буде