Na een lange stilte zijn de cyberdreigingen voor de Amerikaanse verkiezingen van 2024 de afgelopen dagen toegenomen. Zijn partijen, campagnes en ambtenaren voorbereid op het moment?

Pas de afgelopen week werd bekend dat er een Telegram-bot is die gecompromitteerde geloofsbrieven met betrekking tot de Democratische Partij en haar Nationale Conventie (DNC). Een kandidaat voor het presidentschap beschuldigde zijn tegenstander ten onrechte van het gebruik van kunstmatige intelligentie (AI) om zichzelf populairder te laten lijken. De door Iran gesteunde Charming Kitten/APT42-groep, gerelateerd aan de Islamitische Revolutionaire Garde (IRGC), gebruikte de gehackt e-mailaccount van een voormalige senior adviseur om kwaadaardige phishing-e-mails te sturen naar een hoge functionaris in een presidentiële campagne — een van de tientallen personen uit beide concurrerende campagnes die het doelwit zijn geweest.

“U zult zien dat dit risico zeker zal toenemen naarmate de verkiezingsdag dichterbij komt”, waarschuwt Michael Kaiser, president en CEO van Defending Digital Campaigns (DDC). Hij voegt eraan toe dat experts niet alleen verwachten dat er meer cyberdreigingen zullen opduiken naarmate november nadert, maar dat deze dreigingen waarschijnlijk ook krachtiger zullen zijn.

“Als je doel is om in te grijpen, zul je succesvoller zijn als je later in de cyclus zit,” zegt hij. “Dit Trump-incident deze week — het is moeilijk om te zien of dat een merkbare impact heeft op wat dan ook. Maar als dit 48 uur voor de verkiezingsdag was, (of) als dit zou gebeuren terwijl mensen hun stem uitbrengen, zou het impact kunnen hebben gehad.”

Waarom het beschermen van een politieke campagne zo moeilijk is

Het verhaal is bekend: hackers compromitteren een specifiek individu in een beoogde organisatie niet door ze rechtstreeks aan te vallen, maar door eerst een collega te compromitteren en vervolgens de zakelijke e-mail van de collega te gebruiken in een phishingaanval. In het geval van vorige week was de collega toevallig Roger Steenen het doelwit Donald Trump.

Politieke campagnes, met name die op het hoogste niveau, weten dat ze het doelwit zullen zijn van de grootste bedreigingsactoren ter wereld. Waarom werken deze aanvallen dan nog steeds?

In zekere zin komt het doordat campagnes worstelen met dezelfde risico’s als andere organisaties. Ze worden geconfronteerd met dezelfde dreigingsactoren, of het nu gaat om APT’s van natiestaten (zoals de IRGC); cybercriminelen (misschien via een Telegram-bot); of hacktivistische operaties die in beide emmers vallenDe kleinere, meer lokale organisaties kampen met krappe budgettaire beperkingen en campagneleiders op elk niveau missen mogelijk de motivatie om cyberveiligheid voorrang te geven boven het contact met kiezers.

“Veel van de middelen die in een campagne worden gestoken, worden ongetwijfeld besteed aan de daadwerkelijke uitvoering van de campagne, of aan zaken als reclame. Beveiliging is slechts een onderdeel van dat budget”, aldus Luke McNamara, adjunct-hoofdanalist voor Mandiant Intelligence van Google Cloud, dat met een aantal campagnes voor 2024 werkt.

“De grote uitdaging die campagnes hebben — vooral als je ze vergelijkt met andere ondernemingen — is dat ze voor een korte periode worden opgezet: maanden, of misschien wel een jaar of zo,” voegt hij toe. Dit blijkt ernstige gevolgen te hebben.

“Vrijwilligerscentra worden heel snel opgezet. Ze huren een bepaald winkelpand, installeren wat IT-infrastructuur en boem: ze maken banners”, legt James Turgal uit, vicevoorzitter van wereldwijde cyberrisico’s en bestuursrelaties bij Optiv, die bij de FBI werkte ten tijde van de hacks in de verkiezingen van 2016. Afgezien van de enorme moeilijkheid om een ​​IT-omgeving te beveiligen in zo’n snel veranderende omgeving, “gaan vrijwilligers hun eigen apparaten meenemen. Ze gaan op sociale media praten over hoe ze voor deze specifieke kandidaat in deze specifieke faciliteit werken. En al die sociale mediaplatforms worden gescraped door de Chinezen, de Russen, de Noord-Koreanen en Iran.”

Dan voegt hij toe: “Ze gaan e-mails heen en weer sturen. Ze plannen vergaderingen. Ze loggen in op een gecentraliseerde RNC- of DNC-site om dat evenement te kunnen coördineren. En dus maken al die apparaten, al die vrijwilligers, deel uit van het aanvalsoppervlak.”

Veranderingen in campagnefinanciering: een positieve ontwikkeling

Vier jaar geleden, in de nasleep van de verkiezingen van 2016, gekleurd door grote cybersecurity schandalen en een reeks van Door Rusland gesponsorde hacks op Democratische campagnes en evenementenen in afwachting van de verkiezingen in 2020, waarvan ze dachten dat die hetzelfde zouden kunnen ondergaan, kwamen twee voormalige, bekende campagneleiders bijeen om een ​​oplossing te bedenken.

Ze hadden allebei pijnlijke ervaringen uit de eerste hand met het probleem. Matt Rhoades doorstond een spervuur ​​van Chinese aanvallen terwijl hij in 2012 campagneleider was van Mitt Romney. Robby Mook was de bekende campagneleider van Hillary Clinton in 2016.

In 2019 dienden ze een verzoek om begeleiding in bij de Federal Election Commission (FEC). Hun idee: het leveren van cybersecuritydiensten aan campagnes zou niet als een donatie moeten worden beschouwd en onderworpen moeten zijn aan alle federale regelgevingen daarin. De FEC gaf hen groen lichtverwijzend in zijn uitspraak naar “de ongebruikelijke en urgente omstandigheden die uw verzoek met zich meebrengt en vanwege de aangetoonde, momenteel toegenomen dreiging van buitenlandse cyberaanvallen op partij- en kandidatencomités.”

“Dat was een grote deal, want de wetgeving rond campagnefinanciering is ingewikkeld, maar ook omdat er grenzen zijn aan hoeveel een organisatie aan een campagne kan geven”, legt Kaiser van DDC uit, die nu de organisatie leidt die is opgericht door Rhoades en Mook. Sinds 2019 is DDC gemachtigd om cybersecuritydiensten te leveren buiten de typische campagnefinancieringsstructuur in alle 50 staten op federaal niveau, en in de swing states Georgia, Michigan en Virginia down-ballot.

DDC is echter de enige organisatie met een dergelijk recht voor de nabije toekomst, en het is onwaarschijnlijk dat zij alle problemen van de campagne op eigen houtje kan oplossen.

Hoe je een politieke campagne veiligstelt

Voor campagnes die beveiliging vermijden of ermee worstelen, benadrukt Kaiser het feit dat “het platform of de werkruimte die ze gebruiken (waarschijnlijk) veel ingebouwde beveiliging heeft die ze kunnen inschakelen. Er zijn ook veel gratis tools — er is CloudFlare of Project Shield van Google, die ze gratis kunnen krijgen om hun website te beschermen. Er is veel om hen heen dat ze heel snel en gratis kunnen implementeren.”

Er is ook gezond verstand cyberhygiëne die campagnes kunnen gebruiken om hun risico te verminderen, ook zonder veel kosten of gedoe. Bijvoorbeeld, als het gaat om al die vrijwilligers die elke maand binnenkomen en vertrekken, adviseert McNamara dat campagnes zich richten op het beperken van het enorme volume aan accounts en inloggegevens die rondspringen, en regelmatig die accounts en inloggegevens van voormalige leden verwijderen. Een hardwaretoken kan ondertussen een lange weg afleggen in het stoppen van een vervelende kleine Telegram-bot, of een tegenstander die een oogje heeft op zakelijke e-mailcompromissen (BEC).

Zijn campagnes dus cyber-savvy en voorbereider dan ooit? Het korte antwoord is dat ze, vergeleken met de wake-up call van 2016, toegankelijkere beveiligingstools tot hun beschikking hebben, en meer bewustzijn en motivatie om er gebruik van te maken.

“We hebben nu betere voorbeelden van wie deze dreigingsactoren zijn van enkele van die vijandige landen zoals China, Rusland en Iran; en ook welke tactieken, technieken en procedures ze gebruiken,” zegt McNamara van Mandiant. Op zijn beurt, “zijn er meer middelen beschikbaar, niet alleen van ons, maar ook van andere organisaties die die middelen beschikbaar stellen om campagnes te helpen. We moeten sommige van deze beveiligingsmiddelen gemakkelijker inzetbaar en implementeerbaar maken, en in het algemeen meer beschikbaar maken.”

Vanuit het perspectief van Kaiser is de algemene trend positief wat betreft de voorbereiding op de beveiliging en het treffen van verdedigingsmaatregelen. Hij merkt op dat zijn organisatie in zijn eentje elke cyclus meer en meer campagnes bedient.

“Er is (beveiligings)adoptie,” zegt hij. “Natuurlijk hoeft niet alle beveiliging via ons te worden overgenomen. Mensen doen beveiliging ook zelf, vooral als ze samenwerken met digitale bedrijven die mogelijk helpen bij het inrichten van die campagnes. We praten met die mensen en ze vertellen ons wat ze doen voor hun campagne, dus we weten dat het universum van wat er gebeurt, is gegroeid rond beveiliging.”