Siber tehditler seçimlere zarar verebilir mi? Seçmenler olarak oylama sistemlerimizin bütünlüğü konusunda ne kadar endişelenmeliyiz?
Bu yıl milyarlarca insan bir sonraki siyasi liderlerini belirlemek üzere sandık başına gidecek. Türkiye’den ABD’ye, bu ve diğer seçimlerin sonuçları önümüzdeki yıllarda jeopolitiği şekillendirebilir. Bu kadar önemli konu söz konusu iken, seçimlere müdahale edilmesine ilişkin endişeler de artıyor.
Peki, artık oldukça sık karşılaştığımız Deepfake’in yanı sıra hangi siber tehditler gerçek ve mevcut? Oylama sistemlerinin bütünlüğünü sağlamak için ne tür önlemler var? Ve seçmenler olarak ne kadar endişelenmeliyiz?
Tehlikede olan ne?
2024 yılında Türkiye, ABD, AB, Birleşik Krallık, Hindistan, Tayvan, Güney Afrika, Meksika ve diğer birçok ülkede ulusal veya bölgesel seçimler yapılacak. Kâğıt üzerinde, ulus devletler, hacktivistler ve hatta finansal olarak motive olmuş suçlular, oyları değiştirmek için çevrimiçi seçim altyapısını hedef alabilir veya bireylerin haklarını toplu olarak ellerinden almak için seçmen kayıt veri tabanlarına müdahale edebilirler. Ya da çevrimiçi makineleri veya insanların dışarı çıkıp oy kullanmasını zorlaştırabilecek diğer altyapı gereçlerini hedef alarak seçim günü faaliyetleri aksatmaya çalışabilirler. Bir diğer senaryo ise sonuçlara şüphe düşürmek amacıyla sonuçların raporlanmasını hedef alan saldırılar olabilir.
Dolayısıyla, dış güçlerin istedikleri adayın seçilmesini sağlamak için seçim sonuçlarını değiştirme ya da etkileme potansiyeli açısından tehlikede olan çok şey var. Ancak iyi haberler de var.
İyi haber
ABD’de 2020 seçimlerinin ‘çalındığı’ yönündeki bazı iddialara rağmen bunu destekleyecek hiçbir kanıt bulunmuyor. Aslında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) seçimlere müdahaleyle ilgili en yaygın söylentilerden bazılarını çürüten uzun bir liste yayımladı. Bu iddialar arasında şunlar yer almaktadır:
- Seçim yetkilileri, seçmen kayıt listelerinin mümkün olduğunca doğru ve güncel olmasını sağlamak için düzenli olarak günceller
- Postayla gönderilen oy pusulalarının bütünlüğünü korumak için seçmen kimlik kontrolleri de dahil olmak üzere çeşitli güvenlik önlemleri mevcuttur
- Kurcalamaya karşı sağlam önlemler alınmış olup, oy pusulaları posta kutusu aracılığıyla iade edilmektedir
- Federal, eyalet ve/veya yerel seçim yetkilileri oylama makinelerini ve ekipmanlarını güvenlik açıklarına karşı titizlikle test eder ve onaylar
- İmza eşleştirme, bilgi kontrolleri ve diğer önlemler, seçmen kimliğine bürünme ve uygun olmayan seçmenlerin oy kullanmasına karşı koruma sağlamak üzere tasarlanmıştır
Seçimlerin dürüstlüğünden emin olmak için başka bir neden daha var: ABD gibi ülkelerde farklı türde oylama makineleri ve kayıt teknolojileri mevcut. Bunlar, seçim döngüsünün tüm aşamalarındaki faaliyetleri ele alır:
- Seçim öncesi faaliyetler: Seçmen kaydı ve devamsız oyların işlenmesi gibi.
- Seçim günü: Doğrudan Kayıt Elektronik (DRE) oylama makinelerini (kullanıcıların doğrudan oy kullandığı) ve kâğıt oy pusulalarının tarandığı ve oyların sayıldığı Optik Tarama Oylamasını içerir. Sonuçlar daha sonra elektronik olarak sunulur ve merkezileştirilir.
- Seçim sonrası faaliyetler: Seçim sonrası denetimler ve resmi olmayan seçim gecesi sonuçlarının halka açık web sayfalarında yayımlanması gibi.
DRE makinelerinin uzaktan tehlikeye atılabileceği konusunda bazı endişeler bulunmaktadır. Öte yandan diğer pek çok ülkede olduğu gibi ABD’de de oyların kullanılmasının ana yolu bu değildir. Ve genel olarak teknoloji kullanımı ülke genelinde o kadar merkezi olmayan ve çeşitlilik arz eden bir yapıdadır ki, tek bir kuruluşun bir seçimi etkileyecek kadar sonuçları hacklemesi ve değiştirmesi son derece zor olacaktır.
Ana tehditler nerede?
Bununla birlikte kötü niyetli aktörlerin birkaç kararsız eyalette bir bölgeyi ya da şehri tek başına seçebileceğine dair hala geçerli endişeler var. Sonuçları değiştiremeseler bile, bireylerin oy kullanmalarını zorlaştırarak veya sonuçların raporlanmasına müdahale ederek teorik olarak sonuçlara olan güveni sarsabilirler.
CISA üç temel siber tehdit tanımlamaktadır:
- Fidye yazılımı: Bu, seçmen kayıt verilerini çalmak ve sızdırmak veya hassas seçmen ve seçim sonuçları bilgilerine erişimi engellemek için kullanılabilir. Ayrıca kayıt ve aday dosyalama gibi temel operasyonel süreçleri aksatmak için de kullanılabilir.
- Kimlik Avı: Bu, günlük işleri sırasında e-posta eklerini açmaları gereken seçim görevlileri için özel bir tehdittir. Tehdit aktörleri, seçim temalarından yararlanan sosyal mühendislik yemleriyle kötü amaçlı yükleri kolayca gizleyebilir. Sonuç, fidye yazılımı, bilgi çalan kötü amaçlı yazılım veya diğer kötü amaçlı kodların gizli bir şekilde indirilmesi olabilir.
- Hizmet Reddi (DoS): Dağıtık Hizmet Engelleme (DDoS) saldırıları, seçmenlerin kendilerine en yakın oy verme merkezinin yeri veya başlıca adaylar hakkındaki bilgiler gibi oy kullanmalarına yardımcı olacak kilit bilgilere erişimini engelleyebilir. Endonezya Genel Seçim Komisyonu, yakın zamanda ulusal seçimler sırasında kendi sitelerine ve diğer sitelere yönelik “olağanüstü” sayıda bu tür saldırılar yaşadığını söyledi.
Seçimleri nasıl güvende tutarız?
İyi haber ise seçim güvenliği konusunun artık ana akım haline gelmiş olması ve CISA’nın seçim kurumlarına diğer ülkelerdeki yöneticilerin de faydalanabileceği çok sayıda kaynak sunmasıdır. Oy kullanmanın en güvenli şekli elbette kâğıt kullanmaktır. Birleşik Krallık, AB ve ABD de dahil olmak üzere pek çok ülkede oyların çoğu bu şekilde kullanılmaktadır. Ancak seçmen kayıtları ve seçim altyapısı hedef alındığı sürece endişeler devam edecektir.
Kimlik avı, fidye yazılımı ve DoS tehdidini azaltmaya yönelik en iyi uygulamalar bu bağlamda hala geçerli olacaktır. Bunlar arasında düzenli sızma testi ve güvenlik açığı/yama yönetimi programları, çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu yer almaktadır. Neyse ki piyasada bulut tabanlı DDoS azaltma, kimlik avı tespiti ve fidye yazılımlarına hızlı müdahale sunan çok sayıda sağlayıcı da bulunmaktadır.
Birçok açıdan seçim dürüstlüğüne yönelik en büyük tehdit, deepfake’ler de dahil olmak üzere dezenformasyon kampanyalarından kaynaklanacaktır. Bir de 2016 ABD başkanlık seçimleri öncesinde olduğu gibi oy verme günü öncesinde kamuoyunu etkilemeye yönelik “hack-and-leak” girişimleri. Birçoğumuz, nerede oy kullanırsak kullanalım ve ne olursa olsun sonucun herhangi bir şüpheye yer bırakmamasını umacağız.
