Chính phủ Thụy Sĩ “mời” tin tặc tấn công hệ thống bỏ phiếu điện tử để thử nghiệm khả năng bảo mật

Chính phủ Thuỵ Sĩ sẽ trao thưởng tối đa lên đến 50.000 USD cho các tin tặc xâm nhập thành công vào hệ thống của họ.

Chính phủ Thụy Sĩ sẽ mở cửa hệ thống bỏ phiếu điện tử mà nước này đang phát triển để thử nghiệm trước các cuộc tấn công, xâm nhập từ bên ngoài và hiện đang mời các công ty, cácnhà nghiên cứu bảo mật tham gia.

"Các tin tặc từ mọi nơi trên thế giới nếu quan tâm đều được hoan nghênh tham gia tấn công hệ thống", chính phủ Thuỵ Sĩ cho biết trong thông cáo báo chí. "Thông qua đó, họ sẽ góp phần cải thiện khả năng bảo mật của hệ thống."

Bài test xâm nhập công khai (PIT) đối với hệ thống này sẽ được tổ chức từ ngày 25 tháng 2 đến ngày 2 tháng 3 tới đây; với phần thưởng tiền mặt từ 100 USD đến 50.000 USD, các tiêu chí như sau (1 CHF tương đương với khoảng 1 USD):

- Các lỗi không nghiêm trọng, liên quan tới tối ưu hoá hệ thống: tối thiểu 100 CHF.

- Đột nhập thành công vào hệ thống bỏ phiếu điện tử: tối thiểu 1.000 CHF.

- Gây lỗi hệ thống hoặc làm gián đoạn được tiến trình bỏ phiếu: tối thiểu 5.000 CHF.

- Xâm nhập thành công vào các nội dung bí mật liên quan đến tiến trình bỏ phiếu: 10.000 CHF.

- Làm thay đổi kết quả bỏ phiếu và bị hệ thống phát hiện: 20.000 CHF.

- Làm thay đổi kết quả bỏ phiếu mà không bị hệ thống phát hiện: 30.000 – 50.000 CHF.

Một phiên bỏ phiếu thử nghiệm sẽ được tiến hành vào ngày cuối cùng của đợt thử nghiệm (24 tháng 3) để kiểm tra toàn diện hệ thống, song hệ thống sẽ được mở từ nhiều ngày trước đó để các nhà nghiên cứu, các chuyên gia bảo mật có thể tìm cách tấn công hệ thống.

Các công ty và nhà nghiên cứu bảo mật sẽ phải đăng ký tham gia trước khi phiên PIT chính thức bắt đầu. Việc làm này sẽ giúp những người tham gia có được quyền hợp pháp để tấn công hệ thống, đồng thời đảm bảo phần thưởng tiền mặt sẽ đến tận tay những "thí sinh" đầu tiên báo cáo được các vấn đề và lỗi bảo mật. Một bộ quy tắc cùng một số hạn chế cụ thể cũng sẽ được áp dụng đối với người tham gia.

Chẳng hạn, một vài trong số những điều mà người tham gia phiên PIT không được phép thực hiện bao gồm: tiến hành các cuộc tấn công có thể gây hại cho thiết bị cá nhân của cử tri hoặc tấn công các hệ thống không liên quan đến cuộc bỏ phiếu thuộc sở hữu của Swiss Post, nhà phát triển hệ thống bỏ phiếu điện tử của Thuỵ Sĩ.

Swiss Post sẽ hỗ trợ chương trình này bằng cách vô hiệu hóa một số biện pháp bảo vệ an ninh thông thường "nhằm giúp người tham gia tập trung hoàn toàn vào việc tấn công hệ thống cốt lõi."

Hơn nữa, Swiss Post cũng sẽ cung cấp cho những người tham gia phiên PIT số lượng thẻ bỏ phiếu điện tử không giới hạn mà họ cần cho các thử nghiệm, đồng thời đã cung cấp mã nguồn của hệ thống bỏ phiếu điện tử của họ cho tất cả những người tham gia thông qua GitLab.

Chính quyền Thụy Sĩ cũng đã thuê công ty SCRTSA của nước này làm cơ quan đánh giá độc lập bên thứ ba, có nhiệm vụ xác minh các lỗ hổng mà người tham gia báo cáo lại, trước khi chuyển tiếp các lỗ hổng này cho Swiss Post để xử lý.

Chính phủ Thụy Sĩ đã quyết định sẽ tổ chức các cuộc kiểm tra khả năng xâm nhập công khai vào hệ thống bỏ phiếu điện tử của mình để tăng cường sự tin tưởng của công chúng rằng các hệ thống này được bảo đảm an toàn.

Vào cuối tháng 1, một ủy ban gồm các chính trị gia và chuyên gia máy tính của Thuỵ Sĩ đã đề xuất ​​cấm việc triển khai bỏ phiếu điện tử ở Thụy Sĩ trong ít nhất 5 năm tới. Nhóm này hy vọng sẽ thu thập được hơn 100.000 chữ ký trong những tháng tiếp theo để bắt đầu các thủ tục pháp lý chống lại việc bỏ phiếu điện tử.

Chính phủ Thụy Sĩ cho biết hệ thống bỏ phiếu điện tử của họ đã trải qua hơn 300 phiên thử nghiệm riêng.

Các quan chức nước này cũng tuyên bố rằng việc bỏ phiếu điện tử sẽ giúp công dân Thụy Sĩ hiện đang sinh sống ở nước ngoài thuận lợi hơn trong việc tham gia bỏ phiếu. Đích đến cuối cùng là công nhận và áp dụng bỏ phiếu điện tử như một phương thức bỏ phiếu chính thức, bên cạnh các phương thức truyền thống thông qua các trạm bỏ phiếu và thư bưu chính.

An Huy