美國運用「多方利害關係者」 協防選舉安全之分析
2019.10.04
瀏覽數
95
壹、新聞重點
根據《華盛頓郵報》(Washington Post)2019年9月24日報導,美國白帽駭客多年來指控美國數位投票機器存在資安漏洞,數位投票機器廠商終於同意讓白帽駭客參與檢測,以加強2020年大選時數位投票的資安防護。[1] 先前於9月19日,美國參議院撥款委員會(Senate Appropriations Committee)通過撥款2億5千萬美元用於美國各州維護及加強選舉安全措施。美國國防部長艾斯培(Mark Esper)也在9月19日宣布,在美軍以支援角色參與維護2018年美國期中選舉投票日的網路安全之後,美軍已視選舉安全為「持續性任務」(enduring mission),將防制敵方之「影響力行動」(influence operation)以假訊息破壞美國民主機制。[2] 鑒於我國2020年1月總統大選將屆,對於美國如何運用軍隊與白帽駭客等各方力量,以「多方利害關係者」(multi-stakeholder)強化選舉安全,實有進一步分析與參酌之必要。
貳、安全意涵
一、美國將「選舉系統」視為關鍵資訊基礎設施保護項目
基於2016年美國大選期間,俄羅斯網路竊取散播民主黨選舉陣營電子郵件,加上稍前美國聯邦調查局於2016年8月指稱,疑似俄羅斯發起對於美國部分地方選舉資訊系統之網路攻擊,美國國土安全部在2017年1月宣布,將「選舉系統」(election system)列入關鍵基礎設施,國土安全部據此投入提升「選舉系統」在實體世界與網路空間的安全與韌性。
值得注意的是,美國國土安全部對於「選舉系統」的界定,包含:實體的儲存設施、投票地點、計票地點,以及選民註冊數位資料庫、數位投票系統、管理與公告計票結果的科技基礎設施。美國國土安全部對於參選陣營,若提出協助需求,則提供網路弱點評估與降低風險的指南,否則基於政治中立原則,並未將政黨選務組織或參選陣營列入「選舉系統」關鍵基礎設施。 [3]
美國國土安全部將「選舉系統」列入關鍵基礎設施,依此得設置協調機制,得偕同其他公私部門共同分享網路安全威脅情資,以防制/懲罰境外敵對勢力對美國「選舉系統」所發動之網路攻擊。美國國土安全部偕同聯邦調查局與國家情報總監(Director of National Intelligence, DNI),共同對選務官員進行選舉安全威脅簡報,即為一例。此外,美國國土安全部可充分運用其轄下之「網路安全與基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA),針對選舉安全而發展各種反制與創新之技術工具。
二、美國將業者、軍方與白帽駭客納入選舉安全協防陣營
選舉安全防護包括投票日當天確保選舉設施安全不受網路攻擊傷害,以及選戰期間反制境外敵對勢力藉假訊息發動「影響力行動」。就後者而言,基於俄羅斯於2016年美國總統大選期間藉發動假訊息攻勢影響美國黑人族群不去投票,美國國土安全部偕同聯邦調查局與國家情報總監,在2019年9月4日與「臉書」、「谷歌」、「推特」、「微軟」網路服務業者會面,共同協商美國2020年大選面對假訊息攻勢之因應對策。
鑒於俄羅斯於2018年美國期中選舉投票日前,網路攻擊鎖定目標涵蓋全美各州數位投票系統,美國國土安全部遂協請美軍網路司令部支援,偕同美國國家安全局與聯邦調查局,共同確保投票日數位投票與計票設備不受網路攻擊影響。惟當時美國國防部網路司令部仍屬於被動專案支援的態度,但2019年又是另一番光景。基於2018年協防選舉安全的成功經驗,美軍網路司令部依循2018年8月「國家安全總統備忘錄第13號」(National Security Presidential Memorandum 13)以及《2019年國防授權法案》(National Defense Authorization Act for Fiscal Year 2019)授權美軍網路司令部得「前進防禦」(forward defending),讓美軍可將反制網路安全威脅視為傳統秘密行動任務,此後不僅可以跨越所屬軍網或境內網路,到外國協助當地國政府反制選舉安全之網路威脅源頭,也能部署與遂行源頭攻擊反制。[4] 這些都促成美國國防部長艾斯培將美軍參與防衛選舉安全視為美軍持續性任務之一,形同讓美軍網路部隊成為保衛美國選舉安全的「多方利害關係者」的一方。
由於美國多州數位投票設備屢遭白帽駭客指控存有資安漏洞,且在公開漏洞後仍未見修補與更換密碼。經過2019年美國拉斯維加斯(Las Vegas)駭客大會DEF CON中披露此事與當場驗證屬實,美國的數位投票設備廠商終於讓步,不再因為唯恐洩密而禁止白帽駭客進行入侵測試與弱點偵測,在對白帽駭客進行安全查核無虞,且要求白帽駭客簽署保密協議之後,白帽駭客或能繼美國軍方之後,成為保衛美國選舉安全的多方利害關係者的另一新興要角。
參、趨勢研判
一、選舉安全隨著更多國家發動影響力行動而愈形複雜
選舉安全的資訊安全威脅包括選戰期間境外敵對勢力藉假訊息發動「影響力行動」。美國面臨的此類威脅來源主要來自俄羅斯,歷經2016年與2018年干預美國選舉,中國也開始積極仿效俄羅斯,於2018年對台灣大選以及2019年香港「反送中運動」,均發動以假訊息為主幹的網路輿論戰與心理戰,企圖以台港為實驗場域,在2020年台灣總統大選與美國總統大選之中,以發揮「影響力行動」戰力。
根據「牛津網路研究所」(Oxford Internet Institute)於2019年9月26日發布之報告指出,至少70個國家的政府單位或政黨有組織性地操縱社群媒體和群眾意見,高於2017年、2018年的28國、48國。其中印度、中國、伊朗、巴基斯坦、俄羅斯、沙烏地阿拉伯和委內瑞拉這7個國家的「國家級行動者」,在境外使用「臉書」、「推特」進行「運算式宣傳」(computational propaganda),以發揮其滲透影響力,對選舉安全造成莫大威脅。[5] 可以預見,隨著愈來愈多國家有組織地加入發動「影響力行動」,不同地區來源的假訊息,勢必讓民主國家的選舉安全維護愈形複雜且具高難度。
二、「多方利害關係者」參與協防選舉安全之成效仍待觀察
美國政府面對俄羅斯、中國、伊朗虎視眈眈意圖網路干預或影響其2020年總統大選,基於各州採用各類數位投票設備乃來自不同廠商,除要求備有紙本投票紀錄以防備數位投票設備遭駭客入侵竄改或癱瘓之外,還強力說服這些數位投票設備廠商,有條件開放白帽駭客進行漏洞測試與資安檢測。
然而,數位投票設備廠商與白帽駭客之間尚未建立堅實互信基礎。一方面,白帽駭客對於廠商會否依照建議規格標準予以修改,仍抱持高度懷疑。另一方面,廠商擔心白帽駭客外洩該廠商之營業秘密,或者白帽駭客發現新漏洞,但刻意隱瞞未通報以利未來運用。據此,美國運用「多方利害關係者參與模式」,以協防2020年選舉安全之成效仍未定,猶待持續密切觀察。
[1]Joseph Marks, “Voting machine companies may throw their doors open to ethical hackers,” Washington Post, September 24, 2019, https://reurl.cc/yyrk6a.
[2]Maggie Miller, “Election security funds passed by Senate seen as welcome first step,” The Hill, September 19, 2019, https://reurl.cc/D1ym46; Aaron Mehta, “Esper proclaims election security an ‘enduring mission’ for Pentagon,” The Fifth Domain, September 19, 2019, https://reurl.cc/QpL4eZ.
[3]“The Designation of Election Systems as Critical Infrastructure ,” CRS In Focus, Congressional Research Service, Updated on September 18, 2019, https://fas.org/sgp/crs/misc/IF10677.pdf.
[4]Mark Pomerlea, “New authorities mean lots of new missions at Cyber Command,” The Fifth Domain, May 8, 2019, https://reurl.cc/VaD8LY.
[5]〈研究:至少70國操弄輿論 部分散布不實訊〉,《中央社》,2019年9月27日,https://tinyurl.com/y2hn2xwp。