Yerel seçimde siber saldırı olabilir mi?

Dünya genelinde yaklaşık iki milyar seçmen bu yıl tercih ettikleri temsilcilerine oy verecek. Aralarında Türkiye, ABD, İngiltere ve Hindistan’ın da bulunduğu çok sayıda ülkede hatta Avrupa Parlamentosu’nda seçimler yapılacak.

Gerçek insanların sahte görüntüleri, ses ve video klipleri yaygınlaştıkça yapay zeka destekli bir dezenformasyon ihtimali giderek artan bir endişeye neden oluyor. Dijital güvenlik şirketi ESET, artık oldukça sık karşılaştığımız Deepfake’in yanı sıra hangi siber tehditlerle karşı karşıya olabileceğimizi inceledi. Oylama sistemlerinin bütünlüğünü sağlamak için ne tür önlemler var ve seçmenler olarak ne kadar endişelenmeliyiz sorularına cevap aradı.  

Kâğıt üzerinde, ulus devletler, hacktivistler ve hatta finansal olarak motive olmuş suçlular, oyları değiştirmek için çevrimiçi seçim altyapısını hedef alabilir veya bireylerin haklarını toplu olarak ellerinden almak için seçmen kayıt veri tabanlarına müdahale edebilirler. Çevrimiçi makineleri veya insanların dışarı çıkıp oy kullanmasını zorlaştırabilecek diğer altyapı gereçlerini hedef alarak seçim günü faaliyetleri aksatmaya çalışabilirler. Bir diğer senaryo ise sonuçlara şüphe düşürmek amacıyla sonuçların raporlanmasını hedef alan saldırılar olabilir.  Dış güçlerin istedikleri adayın seçilmesini sağlamak için seçim sonuçlarını değiştirme ya da etkileme potansiyeli açısından tehlikede olan çok şey var. Ancak iyi haberler de var. 

ABD’de 2020 seçimlerinin çalındığı yönündeki bazı iddialara rağmen bunu destekleyecek hiçbir kanıt bulunmuyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) seçimlere müdahaleyle ilgili en yaygın söylentilerden bazılarını çürüten uzun bir liste yayımladı. Bu iddialar arasında şunlar yer alıyor: 

• Seçim yetkilileri, seçmen kayıt listelerinin mümkün olduğunca doğru ve güncel olmasını sağlamak için düzenli olarak günceller. 
• Postayla gönderilen oy pusulalarının bütünlüğünü korumak için seçmen kimlik kontrolleri de dahil olmak üzere çeşitli güvenlik önlemleri mevcuttur. 
• Kurcalamaya karşı sağlam önlemler alınmış olup, oy pusulaları posta kutusu aracılığıyla iade edilmektedir. 
• Federal, eyalet ve/veya yerel seçim yetkilileri oylama makinelerini ve ekipmanlarını güvenlik açıklarına karşı titizlikle test eder ve onaylar.
• İmza eşleştirme, bilgi kontrolleri ve diğer önlemler, seçmen kimliğine bürünme ve uygun olmayan seçmenlerin oy kullanmasına karşı koruma sağlamak üzere tasarlanmıştır. 

Seçimlerin dürüstlüğünden emin olmak için başka bir neden daha var: ABD gibi ülkelerde farklı türde oylama makineleri ve kayıt teknolojileri mevcut. Bunlar, seçim döngüsünün tüm aşamalarındaki faaliyetleri ele alıyor: 

• Seçim öncesi faaliyetler: Seçmen kaydı ve devamsız oyların işlenmesi. 
• Seçim günü: Doğrudan Kayıt Elektronik (DRE) oylama makinelerini (kullanıcıların doğrudan oy kullandığı) ve kâğıt oy pusulalarının tarandığı ve oyların sayıldığı Optik Tarama Oylamasını içerir. Sonuçlar daha sonra elektronik olarak sunulur ve merkezileştirilir. 
• Seçim sonrası faaliyetler: Seçim sonrası denetimler ve resmi olmayan seçim gecesi sonuçlarının halka açık web sayfalarında yayımlanması gibi. 

DRE makinelerinin uzaktan tehlikeye atılabileceği konusunda bazı endişeler bulunmaktadır. Öte yandan diğer pek çok ülkede olduğu gibi ABD’de de oyların kullanılmasının ana yolu bu değildir. Genel olarak teknoloji kullanımı ülke genelinde o kadar merkezi olmayan ve çeşitlilik arz eden bir yapıdadır ki, tek bir kuruluşun bir seçimi etkileyecek kadar sonuçları hacklemesi ve değiştirmesi son derece zor olacaktır.  

Ana tehditler nerede? 

Bununla birlikte kötü niyetli aktörlerin birkaç kararsız eyalette bir bölgeyi ya da şehri tek başına seçebileceğine dair hala geçerli endişeler var. Sonuçları değiştiremeseler bile, bireylerin oy kullanmalarını zorlaştırarak veya sonuçların raporlanmasına müdahale ederek teorik olarak sonuçlara olan güveni sarsabilirler.  CISA üç temel siber tehdit tanımlamaktadır: 

Fidye yazılımı: Seçmen kayıt verilerini çalmak ve sızdırmak veya hassas seçmen ve seçim sonuçları bilgilerine erişimi engellemek için kullanılabilir. Ayrıca kayıt ve aday dosyalama gibi temel operasyonel süreçleri aksatmak için de kullanılabilir. 

Kimlik Avı: Günlük işleri sırasında e-posta eklerini açmaları gereken seçim görevlileri için özel bir tehdittir. Tehdit aktörleri, seçim temalarından yararlanan sosyal mühendislik yemleriyle kötü amaçlı yükleri kolayca gizleyebilir. Sonuç, fidye yazılımı, bilgi çalan kötü amaçlı yazılım veya diğer kötü amaçlı kodların gizli bir şekilde indirilmesi olabilir. 

Hizmet Reddi (DoS): Dağıtık Hizmet Engelleme (DDoS) saldırıları, seçmenlerin kendilerine en yakın oy verme merkezinin yeri veya başlıca adaylar hakkındaki bilgiler gibi oy kullanmalarına yardımcı olacak kilit bilgilere erişimini engelleyebilir. Endonezya Genel Seçim Komisyonu, yakın zamanda ulusal seçimler sırasında kendi sitelerine ve diğer sitelere yönelik “olağanüstü” sayıda bu tür saldırılar yaşadığını söyledi. 

Seçimler nasıl güvende tutulur? 

Seçim güvenliği konusu geniş kitlelerce önemseniyor. CISA seçim kurumlarına diğer ülkelerdeki yöneticilerin de faydalanabileceği çok sayıda kaynak sunuyor. Oy kullanmanın en güvenli şekli elbette kâğıt kullanmaktır. Birleşik Krallık, AB ve ABD de dahil olmak üzere pek çok ülkede oyların çoğu bu şekilde kullanılmaktadır. Ancak seçmen kayıtları ve seçim altyapısı hedef alındığı sürece endişeler devam edecektir. 

Kimlik avı, fidye yazılımı ve DoS tehdidini azaltmaya yönelik en iyi uygulamalar bu bağlamda hala geçerli olacaktır. Bunlar arasında düzenli sızma testi ve güvenlik açığı, yama yönetimi programları, çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu yer almaktadır. Neyse ki piyasada bulut tabanlı DDoS azaltma, kimlik avı tespiti ve fidye yazılımlarına hızlı müdahale sunan çok sayıda sağlayıcı da bulunmaktadır. Birçok açıdan seçim dürüstlüğüne yönelik en büyük tehdit, deepfake’ler de dahil olmak üzere dezenformasyon kampanyalarından kaynaklanacaktır.

Bir de 2016 ABD başkanlık seçimleri öncesinde olduğu gibi oy verme günü öncesinde kamuoyunu etkilemeye yönelik “hack-and-leak” girişimleri. 

Selim Soydan

Tüm Yazıları

İstanbul Üniversitesi İktisat Fakültesi mezunu. 2010 yılından Türkiye'nin önde gelen gazetelerinin dijital servislerinde teknoloji ve finans konularında yazı haberlere imza attı