Penyebutan “keamanan pemilu” di kalangan praktisi keamanan siber biasanya menimbulkan kekhawatiran mengenai gangguan, kerentanan, dan kemungkinan pelanggaran data pada mesin pemungutan suara. Namun ada lebih dari sekedar perangkat keras, perangkat lunak, dan proses. Misinformasi dan disinformasi adalah masalah yang sangat mendesak yang bercampur dengan keamanan siber tradisional – sebuah teknik serangan berlapis yang menjadi pusat perhatian pada tahun 2020 dan semakin mewabah sejak saat itu.
Waktu mungkin semakin menipis menjelang pemilu paruh waktu, namun tim keamanan di garis depan – yaitu tim yang bekerja sama dengan produsen peralatan pemungutan suara, perusahaan yang memasok suku cadang, dan pihak-pihak dalam lembaga pemerintah yang bertanggung jawab untuk memastikan integritas peralatan pemilu – masih dapat mengambil tindakan integral. langkah-langkah untuk memerangi ancaman yang sangat berbahaya ini.
Terkait misinformasi dan disinformasi, keduanya bukanlah konsep baru. Praktik penyebaran misinformasi dan disinformasi (alias “berita palsu”) sudah ada sejak sekitar tahun 27 SM, ketika kaisar Romawi Caesar Augustus menyebarkan kebohongan tentang musuh bebuyutannya, Mark Antony, untuk mendapatkan dukungan publik.
"Keterangan yg salah” adalah penyebaran disinformasi yang tidak disengaja. “Disinformasi” adalah penyebaran informasi palsu yang disengaja dan memang dimaksudkan untuk itu menyesatkan dan mempengaruhi opini publik. Hal ini mungkin berisi potongan kecil informasi faktual yang telah banyak dimanipulasi, sehingga membantu menciptakan kebingungan dan menimbulkan keraguan mengenai apa yang merupakan fakta dan apa yang bukan.
Hanya dalam beberapa minggu terakhir, seorang pegawai di Mesa County, Colorado, mengajukan pembelaan tidak bersalah atas tuduhan yang berkaitan dengannya dugaan keterlibatan dengan gangguan peralatan pemilu. Dia, bersama seorang rekannya, dimintai pertanggungjawaban karena memberikan akses kepada individu tidak sah yang menyalin hard drive dan mengakses kata sandi untuk pembaruan keamanan perangkat lunak (kata sandi tersebut kemudian didistribusikan secara online). Panitera yang dituduh secara terbuka menyebarkan disinformasi tentang keamanan pemilu sebelum insiden tersebut.
Di Georgia, pejabat pemilu baru-baru ini memutuskan untuk melakukan hal tersebut mengganti peralatan pemungutan suara setelah ahli forensik yang disewa oleh kelompok pro-Trump kedapatan menyalin berbagai komponen peralatan, termasuk perangkat lunak dan data. Belum diketahui apakah hasil pemilu terkena dampaknya, namun fakta bahwa kompromi telah menimbulkan keraguan dan menimbulkan pertanyaan: Bagaimana dan di mana data yang dicuri dapat digunakan kembali untuk mempengaruhi pemilu?
Dan pada bulan Februari 2022, pejabat pemilu di negara bagian Washington memutuskan untuk melakukannya menghapus perangkat lunak pendeteksi intrusi dari mesin pemungutan suara, mengklaim bahwa perangkat tersebut adalah bagian dari teori konspirasi sayap kiri untuk memata-matai pemilih.
Dan sayangnya, banyaknya platform publik di mana siapa pun dapat menyuarakan pendapatnya mengenai suatu topik – meskipun tanpa informasi faktual sedikit pun – membuat suara tersebut mudah untuk didengar. Dampaknya adalah masyarakat terus-menerus mempertanyakan kebenaran informasi dan data apa pun.
Jumlah dis dan misinformasi yang dapat disebarkan meningkat secara proporsional seiring dengan maraknya serangan siber. Wajar jika semakin banyak tempat yang dapat diposkan, dibagikan, disukai, dan dikomentari suatu informasi (dalam bentuk apa pun), semakin luas dan jauh penyebarannya, sehingga identifikasi dan pengendaliannya menjadi lebih sulit.
Bersikaplah Proaktif Saat Melawan Disinformasi
Tentu saja, yang terbaik adalah bersikap proaktif saat membangun sistem, menerapkan alat, dan menerapkan kontrol keamanan siber. Namun serangan juga tidak bisa dihindari, beberapa di antaranya akan berhasil. Untuk menjaga kepercayaan, penting untuk menerapkan mekanisme identifikasi dan remediasi yang cepat dan andal sehingga mengurangi waktu yang dibutuhkan untuk mendeteksi dan merespons.
Praktik-praktik yang direkomendasikan untuk memperlambat ancaman yang akan datang ini meliputi:
- Terus memantau infrastruktur: Identifikasi semua sistem relevan yang digunakan, siapa/apa yang menggunakan sistem tersebut, dan bagaimana sistem tersebut digunakan. Tetapkan garis dasar untuk aktivitas yang biasa dan yang diharapkan, lalu pantau aktivitas yang tidak wajar. Misalnya, carilah tingkat aktivitas yang luar biasa tinggi dari sistem atau akun pengguna. Hal ini mungkin merupakan indikasi bahwa pengguna jahat telah mengambil alih sebuah akun, atau bahwa bot digunakan untuk mengganggu sistem atau mengirimkan disinformasi.
- Uji semua sistem: Baik perangkat lunak/perangkat keras yang digunakan dalam mesin pemungutan suara atau orang-orang yang memiliki/membutuhkan akses resmi, lakukan pengujian terhadap kerentanan dan kelemahan, terapkan perbaikan jika memungkinkan, dan lakukan triase terhadap masalah yang teridentifikasi selama prosesnya.
- Verifikasi siapa yang memiliki akses ke sistem: Terapkan autentikasi multifaktor untuk mencegah pengambilalihan akun dan memverifikasi aktivitas manusia versus bot untuk membantu mencegah penggunaan bot yang berbahaya dalam menyebarkan disinformasi.
- Profil: Memahami target/subjek yang paling mungkin menjadi mis-/disinformasi terkait pemilu. Biasanya mereka adalah individu-individu atau organisasi-organisasi terkemuka dengan pendirian politik yang kuat (dan, tentu saja, para kandidat itu sendiri). Mungkin perlu untuk menerapkan kontrol keamanan yang lebih besar pada akun individu tersebut untuk melindungi dari kebocoran data, pengambilalihan akun, kampanye kotor, dll. Gunakan metode yang sama untuk melindungi sistem/alat/teknologi yang digunakan pelaku ancaman untuk membuat dan menyebarkan informasi palsu.
- Terapkan pembelajaran mesin: Pelajari persona digital, aktivitas bot, dan kampanye yang dihasilkan AI. Gunakan garis dasar untuk perilaku “normal” untuk membedakannya dengan perilaku yang tidak wajar. Pembelajaran mesin juga dapat digunakan untuk penargetan kata kunci — mengidentifikasi kata atau frasa tertentu yang digunakan oleh orang-orang yang menyebarkan disinformasi dan misinformasi. Ketika bahasa bermasalah digunakan — atau ditemukan bahasa yang mengindikasikan adanya serangan yang direncanakan — tandai aktivitas atau otomatisasi kontrol keamanan agar aktivitas tersebut dianalisis, dihapus, atau dikarantina.
Sayangnya manusia akan terus memanipulasi mesin demi keuntungan mereka sendiri. Dan dalam masyarakat saat ini, mesin digunakan untuk mempengaruhi pemikiran manusia. Terkait pemilu dan keamanan pemilu, kita juga harus fokus pada bagaimana mesin digunakan untuk mempengaruhi masyarakat pemilih. Ketika “pengaruh” ini datang dalam bentuk misinformasi dan disinformasi, profesional keamanan siber dapat sangat membantu dalam menghentikan penyebarannya.
