Kongres semakin dekat dengan menempatkan teknologi pemilihan AS di bawah mikroskop keamanan siber yang lebih ketat. Tersemat di dalam Undang-Undang Otorisasi Intelijen tahun ini, yang mendanai badan intelijen seperti CIA, adalah Undang-Undang Penguatan Keamanan Pemilihan untuk Menegakkan Penghormatan Pemilihan melalui Pengujian Independen (SECURE IT) Act, yang akan memerlukan pengujian penetrasi mesin pemungutan suara dan pemindai kertas suara yang bersertifikasi secara federal, dan membuat program uji coba yang mengeksplorasi kelayakan untuk membiarkan peneliti independen menyelidiki segala jenis sistem pemilihan untuk cacat.
Undang-Undang SECURE IT—yang awalnya diperkenalkan oleh senator AS Mark Warner, seorang Demokrat Virginia, dan Susan Collins, seorang Republik Maine—dapat secara signifikan meningkatkan keamanan teknologi pemilihan kunci dalam era ketika musuh asing tetap bertekad untuk merusak demokrasi AS.
“Pelaksanaan undang-undang ini akan memberdayakan peneliti kita untuk berpikir seperti musuh kita, dan mengekspos kerentanan tersembunyi dengan mencoba menembus sistem kita dengan alat dan metode yang sama digunakan oleh pelaku jahat,” kata Warner, yang mengepalai Komite Intelijen Senat.
Dorongan baru untuk program-program ini menyoroti fakta bahwa meskipun kekhawatiran keamanan pemilihan telah beralih ke bahaya yang lebih nyata seperti ancaman kematian terhadap petugas pemilu di kabupaten, kekerasan di tempat pemungutan suara, dan disinformasi yang didorong oleh kecerdasan buatan, para pembuat undang-undang tetap khawatir tentang kemungkinan peretas meretas sistem pemungutan suara, yang dianggap sebagai infrastruktur kritis tetapi sedikit diatur dibandingkan dengan industri vital lainnya.
Campur tangan Rusia dalam pemilihan 2016 menyoroti ancaman terhadap mesin pemungutan suara, dan meskipun telah terjadi peningkatan besar, bahkan mesin modern dapat memiliki cacat. Para ahli secara konsisten mendorong standar federal yang lebih ketat dan audit keamanan independen lebih banyak. RUU baru ini berusaha mengatasi kekhawatiran tersebut dengan dua cara.
Ketentuan pertama akan mengkodekan penambahan pengujian penetrasi oleh Komisi Bantuan Pemilihan AS ke dalam proses sertifikasinya. (EAC baru-baru ini merombak standar sertifikasinya, yang mencakup mesin pemungutan suara dan pemindai kertas suara dan yang banyak negara bagian mewajibkan vendor mereka memenuhinya.)
Sementara pengujian sebelumnya hanya memverifikasi apakah mesin mengandung langkah-langkah defensif tertentu—seperti perangkat lunak antivirus dan enkripsi data—pengujian penetrasi akan mensimulasikan serangan dunia nyata yang dimaksudkan untuk menemukan dan mengeksploitasi kelemahan mesin, yang berpotensi menghasilkan informasi baru tentang cacat perangkat lunak yang serius.
“Orang telah menyerukan pengujian [penetrasi] wajib selama bertahun-tahun untuk peralatan pemilihan,” kata Edgardo Cortés, mantan komisioner pemilihan Virginia dan penasihat tim keamanan pemilihan di Brennan Center for Justice dari Universitas New York.
Ketentuan kedua RUU akan mewajibkan EAC untuk bereksperimen dengan program pengungkapan kerentanan untuk teknologi pemilihan—termasuk sistem yang tidak tunduk pada pengujian federal, seperti basis data pendaftaran pemilih dan situs web hasil pemilihan.
Program pengungkapan kerentanan pada dasarnya adalah perburuan harta bagi para ahli siber yang peduli pada kepentingan publik. Peserta yang divalidasi, yang beroperasi di bawah aturan yang jelas tentang sistem komputer penyelenggara mana yang dianggap sah, mencoba meretas sistem tersebut dengan menemukan cacat dalam desain atau konfigurasinya. Mereka kemudian melaporkan cacat apa pun yang mereka temukan kepada penyelenggara, kadang-kadang untuk imbalan.
Dengan memungkinkan sekelompok ahli yang beragam untuk mencari bug dalam berbagai sistem pemilihan, RUU Warner–Collins dapat secara dramatis memperluas pengawasan terhadap mesin-mesin demokrasi AS.