Símakosning Eurovision var í kastljósinu eftir að Ísrael hlaut fádæma góða kosningu. Nokkur ríki, þar á meðal Noregur og Spánn, óskuðu eftir upplýsingum frá Sambandi evrópskra sjónvarpsstöðva um atkvæðagreiðslu almennings í Eurovision. Enn hefur engin niðurstaða fengist í málið og engar sannanir fyrir því að kosningin hafi verið hökkuð. á fundi um netöryggismál, sem íslenska netöryggisfyrirtækið Keystrike stóð fyrir, var fjallað um þetta mál sem og önnur.
Jakob Antonsson, netöryggissérfræðingur hjá Keystrike og Valdimar Óskarsson, framkvæmdastjóri fyrirtækisins, fjölluðu um málið á fundinum. Voru þeir meðal annars spurðir að því hversu erfitt væri að rekja árás ef þessu tagi ef t.d. Mossad eða einhver annað aðili hefði gert hana.
„Það getur verið erfitt að rekja slíkar netárásir til ákveðinna ríkja, en það er ekki ómögulegt,“ sagði Jakob. „Í dag eru til háþróaðar greiningaraðferðir (e. threat attribution) sem skoða m.a. IP-fölsun, skipulag og verkferla, kóða, tímamynstur og fyrri hegðun hakkarhópa. Þó að stofnanir eins og Mossad séu taldar meðal þeirra hæfustu í heimi til að dylja slíkar aðgerðir, þá hefur í gegnum tíðina tekist að rekja árásir til ríkja með samstilltu átaki öryggisstofnana, vestrænna netöryggisfyrirtækja og fjölþjóðlegs samstarfs.“
Valdimar sagði að í stærra samhengi vöknuðu ákveðnar siðferðilegar og lýðræðislegar spurningar. „Ef ríki nýta netárásir og upplýsingastjórnun til að móta umræðu í lýðræðisríkjum, þá grafa þau undan trausti í upplýsingakerfum og fjölmiðlum og veikja þar með almenning í getu sinni til að taka upplýstar ákvarðanir,“ sagði Valdimar. „Þetta hefur áhrif langt út fyrir einstakar árásir – það eykur hættu á upplýsingaóreiðu, samsæriskenningum og pólitískum klofningi sem gagnast árásaraðilum en veikja samfélagið sem fyrir verður.“
Gagnsæi og traust
Að sögn Valdimars er almenningur að mestu leyti háður tækni og ferlum stjórnenda í starfrænum kosningum eins og í Eurovision.
„Það er hvorki opinber aðgangur að atkvæðagögnum né sjálfstæð leið fyrir fjölmiðla eða almenning til að sannreyna hvort atkvæðin séu raunveruleg og rétt skráð,“ segir Valdimar. „Þetta vekur upp mikilvægar spurningar um gagnsæi og traust, sérstaklega þegar um er að ræða vinsæla keppni sem fær mikla athygli og hefur raunveruleg áhrif á ímynd og stöðu þátttökuþjóða.
Í þessu samhengi verður netöryggi ekki bara tæknilegt viðfangsefni, heldur grundvallaratriði í lýðræðislegri umræðu og trausti almennings til stofnana. Ef fólk hefur ekki aðgang að sjálfstæðum leiðum til að sannreyna niðurstöður – og ef ekki er tryggt að kerfin séu örugg fyrir árásum eða misnotkun – verður öryggisbrestur í slíku ferli ekki aðeins tæknilegt vandamál heldur eitthvað sem varðar bæði samfélagið og lýðræðið. Þess vegna er lykilatriði að keppnir sem byggja á kosningu almennings leggi áherslu á gagnsæi og viðhafi traust og óháð eftirlit með kosningaferlinu – bæði til að tryggja réttmæti niðurstaðna og til að styðja við lýðræði í stafrænum heimi.“
Ósanngjörn kosning
Valdimar sagði að ef hann væri ráðgjafi stjórnenda Euriovison myndi hann gera ýmsar breytingar á símakosningunni.
„Það að leyfa einstaklingi að kjósa 20 sinnum er ekki bara ósanngjarnt, heldur gefur það sumum rödd sem er 20 sinnum hærri en annarra. Á meðan þú, sem ert jafnvel með bakgrunn í tónlist, kýst einu sinni þá geta þeir sem vilja misnota kerfið kosið 20 sinnum. Þeirra atkvæði gildir tuttugufalt á við þitt atkvæði. Það er bara ósanngjarnt. Svona kosning getur ekki verið að endurspegla vilja þjóðar.”
Jakob sagði að hann myndi gera eftirfarandi öryggisráðstafanir.
„Í fyrsta lagi að takmarka fjölda atkvæða – eitt atkvæði á mann, ekki tuttugu, því þetta er tónlistarkeppni, ekki margföld áhrifavæðing,“ sagði Jakob.
„Í öðru lagi ætti að innleiða staðfestingu með rafrænu auðkenni, sem þarf ekki endilega að vera ríkisútgefið, en nægilega traust til að staðfesta að atkvæðið komi frá raunverulegum einstakling.
Í þriðja lagi væri gagnsæ skýrsla eftir keppni mikilvæg – ekki aðeins „þetta land gaf þessu landinu 12 stig“, heldur einföld og skiljanleg samantekt á hvernig og hvenær atkvæði voru greidd og hvaðan þau komu.
Fjórða tillagan er að komið verði á fót sjálfstæðu eftirliti og netöryggisúttektum, þar sem sérfræðingar prófa hvort kerfið sé viðkvæmt fyrir innbrotum áður en keppni hefst. Að lokum þarf að vakta mynstur í rauntíma til að greina óvenjulega hegðun, svo sem grunsamlega mörg atkvæði frá sama neti eða símanúmeraröðum, og bregðast við áður en skekkja verður óafturkræf.“
Forsetakosningar og Brexit
Þeir Jakob og Valdimar voru spurðir að því hvort þeir hafi séð merki um að tölvuárásir hafi verið gerðar á stórum alþjóðlegum viðburðum í þeim tilgangi að hafa áhrif á almenningsálit eða niðurstöður atkvæðagreiðslu.
„Já, við höfum vissulega séð merki þess að tölvuárásir eða stafrænar aðgerðir hafi verið notaðar til að hafa áhrif á niðurstöður eða almenningsálit í stórum alþjóðlegum viðburðum,“ sagði Jakob.
„Þó ekki sé alltaf hægt að sýna fram á beina sönnun, þá eru fjölmörg dæmi sem vekja grunsemdir. Til dæmis hafa verið staðfestar tilraunir til að hafa áhrif á lýðræðislegar kosningar með stafrænum hætti, eins og forsetakosningarnar í Bandaríkjunum 2016 og Brexit-þjóðaratkvæðagreiðsluna, þar sem upplýsingaherferðir og gagnalekar voru nýttir til að hafa áhrif á umræðuna og niðurstöðurnar.“
Ógn sem þarf að taka alvarlega
Valdimar sagði að þegar kæmi að menningarviðburðum eins og Eurovision, sem væri bæði tilfinningaríkur og pólitískur á vissan hátt, væru sömu aðferðir tæknilega framkvæmanlegar.
„Við sjáum nú þegar hversu miklu máli veðbankar, samfélagsmiðlar og símakosningar skipta og því væri barnalegt að halda að enginn hafi áhuga á að hreyfa við niðurstöðu sem hefur áhrif á þjóðarsál og jafnvel hagnað,“ sagði Valdimar. „Það þarf ekki að vera stór árás. Það nægir að snúa aðeins við röðun, hliðra atkvæðum eða slökkva á gagnsæinu, og þá er áhrifin orðin raunveruleg. Við erum því ekki að tala um framtíðarmöguleika – heldur um núverandi ógn sem þarf að taka alvarlega, hvort sem hún beinist að kosningum, menningu eða almenningsáliti.
Þegar upp er staðið er Eurovision meira en bara skemmtun – það er risastórt svið þar sem þjóðir koma saman, sameinast í tónlist og fagna fjölbreytileikanum. En ef kosningarnar, sem stýra úrslitunum eru veikburða eða auðvelt að misnota þær, þá glatast trúverðugleikinn og sá samhljómur sem keppnin á að byggja á verður falskur. Þess vegna þurfum við að gæta þess að öryggið sé í takt við vægi keppninnar – og að allar raddir fái að heyrast jafnt.“
Nánar er fjallað um málið í Viðskiptablaðinu. Áskrifendur geta lesið fréttina í heild hér.
