De boodschap van Pennsylvania was duidelijk:de staat nam een ​​grote stap om te voorkomen dat de verkiezingen in 2020 zouden worden gehackt. Afgelopen april, de hoogste verkiezingsfunctionaris vertelde de provincies dat ze hun systemen moesten updaten. Tot dusver, bijna 60% heeft actie ondernomen, met $ 14,15 miljoen aan voornamelijk federale fondsen die provincies helpen om gloednieuwe kiessystemen te kopen.

Maar er is een probleem:veel van deze nieuwe systemen draaien nog op oude software die binnenkort verouderd is en kwetsbaarder voor hackers.

Een analyse van Associated Press heeft uitgewezen dat, net als veel andere provincies in Pennsylvania, de overgrote meerderheid van 10, 000 verkiezingsjurisdicties in het hele land gebruiken Windows 7 of een ouder besturingssysteem om stembiljetten te maken, stemmachines programmeren, stemmen tellen en verslag tellen.

Dat is belangrijk omdat Windows 7 op 14 januari het "einde van zijn levensduur" bereikt, wat betekent dat Microsoft stopt met het bieden van technische ondersteuning en het produceren van "patches" om softwarekwetsbaarheden op te lossen, waar hackers misbruik van kunnen maken. In een verklaring aan de AP, Microsoft zei vrijdag dat het tegen 2023 doorlopende beveiligingsupdates voor Windows 7 zou aanbieden.

Critici zeggen dat de situatie een voorbeeld is van wat er gebeurt als particuliere bedrijven uiteindelijk het beveiligingsniveau van verkiezingssystemen bepalen zonder federale vereisten of toezicht. Verkopers zeggen dat ze consistente verbeteringen hebben aangebracht in de verkiezingssystemen. En veel staatsfunctionarissen zeggen dat ze op hun hoede zijn voor federale betrokkenheid bij staats- en lokale verkiezingen.

Het is onduidelijk of de vaak hoge kosten van beveiligingsupdates zouden worden betaald door leveranciers die opereren met flinterdunne winstmarges of krappe rechtsgebieden. Het is ook onzeker of een versie die op Windows 10 draait, die meer beveiligingsfuncties heeft, kunnen worden gecertificeerd en op tijd voor de voorverkiezingen worden uitgerold.

"Dat is een zeer ernstige zorg, " zei J. Alex Halderman, een professor aan de Universiteit van Michigan en een gerenommeerde expert op het gebied van verkiezingsbeveiliging. Hij zei dat het land het risico loopt "fouten te herhalen die we de afgelopen tien jaar of anderhalf decennium hebben gemaakt toen staten stemmachines kochten maar de software niet up-to-date hielden en geen serieuze voorzieningen hadden" voor dit doen.

De AP heeft alle 50 staten ondervraagd, het District of Columbia en gebieden, en vond meerdere slagveldstaten beïnvloed door het einde van Windows 7-ondersteuning, inclusief Pennsylvania, Wisconsin, Florida, Iowa, Indiana, Arizona en Noord-Carolina. Ook getroffen zijn Michigan, die onlangs een nieuw systeem heeft aangeschaft, en Georgië, die binnenkort zijn nieuwe systeem zal aankondigen.

"Is dit een slechte grap?" zei Marilyn Marks, uitvoerend directeur van de Coalitie voor Goed Bestuur, een belangenorganisatie voor verkiezingsintegriteit, bij het leren over het Windows 7-probleem. Haar groep klaagde Georgië aan om het zijn papierloze stemmachines af te schaffen en een veiliger systeem in te voeren. Georgia heeft onlangs een systeem getest dat draait op Windows 7 en werd geprezen door staatsfunctionarissen.

Als Georgia een systeem kiest dat op Windows 7 draait, Marks zei, haar groep zal naar de rechtbank stappen om de aankoop te blokkeren. De woordvoerster van de staatsverkiezingen Tess Hammock weigerde commentaar te geven omdat Georgië officieel geen leverancier heeft gekozen.

De verkiezingstechnologie-industrie wordt gedomineerd door drie titanen:Omaha, Nebraska-gebaseerde verkiezingssystemen en software LLC; Denver, Dominion Voting Systems Inc., gevestigd in Colorado; en Austin, Het in Texas gevestigde Hart InterCivic Inc. Ze vormen ongeveer 92% van de verkiezingssystemen die in het hele land worden gebruikt, volgens een onderzoek uit 2017. Alle drie hebben ze gewerkt om staten voor zich te winnen die onlangs zijn doordrenkt met federale fondsen en die op zoek zijn naar een update.

Amerikaanse functionarissen hebben vastgesteld dat Rusland zich heeft bemoeid met de presidentsverkiezingen van 2016 en hebben gewaarschuwd dat Rusland, China en andere landen proberen de verkiezingen van 2020 te beïnvloeden.

Van de drie bedrijven alleen de nieuwere systemen van Dominion worden niet geraakt door aankomende Windows-softwareproblemen, hoewel het verkiezingssystemen heeft die zijn overgenomen van niet langer bestaande bedrijven die mogelijk op nog oudere besturingssystemen draaien.

Hart's systeem draait op een Windows-versie die op 13 oktober het einde van zijn levensduur bereikt, 2020, weken voor de verkiezingen.

ES&S zei te verwachten dat het klanten tegen de herfst een verkiezingssysteem kan aanbieden dat draait op het huidige besturingssysteem van Microsoft, Windows 10. Het wordt nu getest door een federaal geaccrediteerd laboratorium.

Voor rechtsgebieden die al systemen hebben gekocht die draaien op Windows 7, ES&S zei dat het met Microsoft zal samenwerken om ondersteuning te bieden totdat rechtsgebieden kunnen updaten. Windows 10 kwam uit in 2015.

Hart en Dominion hebben niet gereageerd op verzoeken om commentaar.

Microsoft brengt meestal maandelijks patches voor besturingssystemen uit, dus hackers hebben geleerd zich op oudere, niet-ondersteunde systemen. Zijn systemen waren de basis voor verlammende cyberaanvallen, inclusief de WannaCry ransomware-aanval, die systemen in 200 bevroor, 000 computers in 150 landen in 2017.

Voor veel mensen, het einde van Microsoft 7-ondersteuning betekent gewoon updaten. Echter, voor verkiezingssystemen is het proces omslachtiger. ES&S en Hart hebben geen federaal gecertificeerde systemen op Windows 10, en de weg naar certificering is lang en kostbaar, vaak minstens een jaar duren en zes cijfers kosten.

ES&S, de grootste verkoper van het land, vier maanden geleden zijn laatste certificering voltooide, met Windows 7. Hart's laatste certificering was 29 mei voor een Windows-versie die ook niet zal worden ondersteund in november 2020.

Hoewel ES&S een nieuw systeem aan het testen is, is het onduidelijk hoe lang het duurt om het proces te voltooien - federale en mogelijke hercertificering door de staat, plus het uitrollen van updates - en of het zal worden gedaan voordat de voorverkiezingen in februari beginnen.

Verkiezingsbeheerders hebben notoir te kampen met onvoldoende middelen. Onlangs, veel rechtsgebieden verspilden aan nieuwe verkiezingssystemen, sommigen gebruiken hun deel van $ 380 miljoen in federale fondsen die aan staten zijn verstrekt.

Provincies in Zuid-Dakota, South Carolina en Delaware hebben allemaal onlangs verkiezingssystemen gekocht, terwijl vele anderen aankopen evalueren.

Het gebruik van verkiezingssystemen die nog steeds op Windows 7 draaien, baart zorgen, en het zou een zorg moeten zijn, ", zei Christy McCormick, voorzitter van de Amerikaanse verkiezingsbijstandscommissie. EAC ontwikkelt richtlijnen voor verkiezingssystemen.

McCormick merkte op dat hoewel verkiezingssystemen niet met internet verbonden mogen zijn, verschillende stadia van het verkiezingsproces vereisen overdracht van informatie, die kwetsbaarheden kunnen zijn voor aanvallers. Ze zei dat sommige verkiezingsbeheerders eraan werken om het probleem aan te pakken.

Ambtenaren in Pennsylvania, Michigan en Arizona zeggen dat ze het softwareprobleem met hun leveranciers hebben besproken. Andere staten die in dit verhaal worden genoemd, hebben niet gereageerd op verzoeken van AP om commentaar.

Woordvoerster Wanda Murren, de woordvoerster van de verkiezingen in Pennsylvania, zei dat contracttaal een dergelijke software-upgrade gratis toestaat. Woordvoerster C. Murphy Hebert van de Arizona-verkiezingen zei dat ES&S de staat ook heeft verzekerd dat het de provincies zal ondersteunen voor een upgrade.

Susan Groenhalgh, beleidsdirecteur van de belangengroep National Election Defense Coalition, zei dat zelfs in het beste scenario verkiezingsbeheerders zich voorbereiden op voorverkiezingen terwijl ze proberen hun systemen te upgraden, wat "gek" is. Haar groep deelde haar zorgen over Windows 7 met AP.

Certificering, die vrijwillig is op federaal niveau, maar soms vereist door staatswetten, zorgt ervoor dat software van leveranciers correct werkt op besturingssystemen waarop ze zijn getest. Maar er is geen cyberbeveiligingscontrole en het proces houdt vaak geen gelijke tred met de snel veranderende technologie.

Kevin Skoglund, hoofdtechnoloog voor Citizens for Better Elections, zei dat provinciale verkiezingsfunctionarissen wijzen op EAC en staatscertificeringen als "onweerstaanbaar bewijs" dat hun systemen veilig zijn, maar realiseer je niet dat leveranciers systemen certificeren volgens de normen van 2005.

Lokale functionarissen vertrouwen op leveranciers om veilige systemen te bouwen en EAC en de staten om hoge normen te handhaven, zei Skoglund.

Nadat de AP navraag begon te doen, Sen Ron Wyden, D-Ore., schreef McCormick met de vraag wat EAC, die geen regelgevende macht heeft, doet om een ​​"dreigende verkiezingscyberveiligheidscrisis" aan te pakken die in wezen de "rode loper" voor hackers legt.

"Het congres moet wetgeving aannemen die de federale regering de bevoegdheid geeft om elementaire cyberbeveiliging voor verkiezingsinfrastructuur te verplichten, "Wyden vertelde de AP in een verklaring.

© 2019 The Associated Press. Alle rechten voorbehouden.