Det är 2020. Amerikanska val är fortfarande skrämmande lätta mål.

röstade klistermärken isa

röstade klistermärken isa Element5 Digital på Unsplash





För första gången någonsin vittnade chefer från USA:s största röstteknikföretag inför kongressen om valsäkerhetsproblem. Och domen från chefer, politiker och oberoende experter? Verkliga framsteg har gjorts sedan valet 2016, men mycket mer arbete återstår att göra.

VD:arna för Election Systems & Software, Hart InterCivic och Dominion Voting Systems – som tillsammans tillhandahåller mer än 80 % av all amerikansk röstteknik – talade med lagstiftare i en utskottsutfrågning på torsdagen. Alla tre var överens om att de skulle stödja nya transparenskrav som skulle tvinga dem att avslöja mer om avgörande säkerhetsfrågor, inklusive tillverkningsförsörjningskedjor, insiderhot, ägarstruktur, utländska investeringar, personalpolitik och cybersäkerhetspraxis.

Det är en stor sak att få VD:arna under ed och på protokollet att stödja nya obligatoriska federala rapporteringskrav. För närvarande måste valteknikföretagen rapportera information om sina produkter men avslöja mycket mindre om sina företag och verksamhet, säger Eddie Perez, tidigare en valbranschchef på Hart InterCivic.

Att ändra rapporteringskraven är dock inte så enkelt.



Om du ska kräva att folk avslöjar information på den nivån måste du få konsekvenser om någon inte gör det, sa Perez och tillade att valassistanskommissionen - den oberoende federala byrån menade att vara kopplingen mellan enskilda stater och den nationella regering om val— har inga verkställighetsbefogenheter.

Federala standarder är frivilliga. Leverantörer kan använda eller ignorera dem; stater kan besluta om efterlevnad, sade han.

Även med stöd från ledande företag skulle dock nya krav kräva nya lagar, något som har visat sig plågsamt för kongressen sedan 2016.

Transparens, kanske

Liz Howard, som nu arbetar för Brennan Center for Justice i Washington, DC, var tidigare biträdande kommissionär för val i Virginia. Hon vittnade om det trängande behovet av omfattande federal tillsyn inför valet 2020.



Frånvaron av federal tillsyn påverkar valtjänstemännens förmåga att ytterligare stärka vår valinfrastruktur negativt och känns mest akut i kristider, som jag vet av egen erfarenhet, vittnade Howard i torsdags.

2017, tre månader före ett val, användes papperslösa röstningsmaskiner över hela Virginia snabbt och enkelt hackas på DEFCONs cybersäkerhetskonferens. Lösenordet för en av dessa maskiner offentliggjordes. Trots att han var en hög valtjänsteman var Howard i mörker om vilka åtgärder som hade vidtagits.

Jag visste inte om leverantörerna kände till sårbarheterna som utnyttjades av hackarna, om leverantörerna hade vidtagit några åtgärder för att åtgärda sårbarheterna, vem som ägde eller kontrollerade leverantörerna, eller om de snabbt och fullständigt skulle svara på mina frågor, eftersom de var inte då och är inte nu föremål för omfattande federal tillsyn, sa Howard. I ingen annan delsektor som utsetts som kritisk infrastruktur tillåts privata leverantörer utföra kritiska funktioner utan sunt förnuftsöversyn.



Revisioner eller byst

Praktiskt taget alla vid utfrågningen var enhälligt överens om att verifierbara revisioner är nödvändiga för att bevisa integriteten och riktigheten i amerikanska val. Revisioner är inte enkla eller lätta, vilket visades av forskning som släpptes i går, men experter säger att de är det enda sättet att verifiera valresultat i en tid då regeringssponsrade hackare kan tänkas orsaka förödelse.

Det är ett allmänt erkänt och verkligen obestridligt faktum att varje del av datorutrustning som används vid vallokaler idag lätt kan äventyras på sätt som har potential att störa valverksamheten, äventyra firmware och mjukvara och eventuellt ändra röstsiffror, säger Matt Blaze, en valteknikexpert och professor vid Georgetown University Law Center.

Att genomföra tillförlitliga val kräver att man håller ett pappersregister över röster, hävdade Blaze, samt att man utför regelbundna revisioner efter varje val.



Tekniken för detta finns redan – det enklaste exemplet skulle vara skanning och granskning av pappersröstsedlar – och nu handlar det om att beordra dessa standarder bortom bara en handfull stater och gå mot nationell antagande.

Det finns inga federala krav på revisioner, sa Perez, som nu är global chef för teknikutveckling vid Open Source Election Technology Institute.

På statlig nivå är det med lång marginal en relativt liten grupp stater som enligt lag kräver revisioner efter valet. För de allra flesta stater är de inte under ett krav att genomföra revisioner efter valet. Det finns många valadministratörer som har hört termen men som inte har lärt sig hur man gör granskningar efter valet. Det är ett riktigt viktigt ämne som är ett meningsfullt och praktiskt sätt att öka valens integritet, men det är också rimligt att säga att rörelsen att utbilda valtjänstemän om revisioner och arbeta på lagstiftningsnivå för att göra dem obligatoriska bara är i ett tidigt skede.

Bortom valstugan

Även om röstmaskiner får lejonparten av uppmärksamheten finns det andra hot att överväga.

Stora riskpunkter som kommittén hörde talas om är bland annat väljarregistreringsdatabaser och resultatrapporteringsteknik. Alla dessa kontrolleras och skyddas vanligtvis av lokala valtjänstemän, som är föremål för mycket få standarder och möter en kakofoni av cyberthot. Resultatet är en uppsättning mål som skulle ge beslutsamma utländska motståndare en skrämmande lätt uppgift, sa Blaze. Han tycker att det är galet.

Precis som vi inte förväntar oss att den lokala sheriffen på egen hand ska försvara sig mot militära markinvasioner, bör vi inte förvänta oss att länets IT-chef ska försvara sig mot cyberattacker från utländska underrättelsetjänster, vittnade Blaze. Men det är precis vad vi har bett dem att göra.

Artikeln har uppdaterats för att korrekt återspegla Eddie Perez kommentarer om insynskrav från leverantörer av röstmaskiner om produkter, företag och verksamhet.

Dölj