Заголовки регулярно повествуют о кампаниях, подвергающихся атакам со стороны иностранных противников и киберпреступников, но эти истории часто упускают из виду критическую уязвимость: консультанты кампаний, поставщики и волонтеры часто становятся точками входа для этих атак.
Риск третьих лиц возникает всякий раз, когда постороннее лицо или фирма получает доступ к защищенным или конфиденциальным данным кампании — сценарий, который описывает практически каждую современную политическую кампанию. От цифровых стратегов до аналитиков данных, от платформ для сбора средств до инструментов для работы с избирателями, кампании работают через взаимосвязанную экосистему поставщиков услуг, каждый из которых представляет собой потенциальную точку нарушения безопасности.
Политические специалисты, поддерживающие кампании, партии, PAC и организации по защите интересов, должны осознавать, что они не просто поставщики услуг — они доверенные распорядители. Злоумышленники стремятся использовать доверительные отношения третьих лиц с кампаниями. Каждый консультант с доступом к электронной почте для кампаний или электронным письмам кампании в своих контактах, каждый поставщик с учетными данными базы данных и каждый волонтер с разрешениями на приложение кампании создают еще одну возможную точку входа для злоумышленников. Методы обеспечения безопасности этих третьих лиц больше не являются второстепенными проблемами, а имеют центральное значение для устойчивости кампании. Политические специалисты и фирмы также подвергаются нападкам, потому что в случае компрометации они могут стать воротами для многих кампаний одновременно.
В отчете излагаются практические, проверенные подходы для политических профессионалов по укреплению своей безопасности, защите как себя, так и своих клиентов от все более изощренных угроз, нацеленных на наиболее уязвимые звенья в цепочке безопасности избирательной кампании.
Реальные примеры риска третьих лиц
Последствия ненадлежащих методов обеспечения безопасности со стороны третьих лиц не являются теоретическими — они неоднократно срывали американские политические кампании, что имело далеко идущие последствия.
Дело Роджера Стоуна : В 2016 году коммуникации политического консультанта Роджера Стоуна стали предметом расследований, когда были скомпрометированы его электронные письма и текстовые сообщения. Это нарушение раскрыло конфиденциальные обсуждения стратегии кампании и коммуникации с WikiLeaks, продемонстрировав, как уязвимости безопасности одного консультанта могут привести к раскрытию информации по всей кампании и юридическим осложнениям.
Фишинговая атака Джона Подесты : Возможно, самый печально известный пример произошел, когда председатель кампании Хиллари Клинтон Джон Подеста стал жертвой простого фишингового письма, выдававшего себя за предупреждение безопасности Google. Этот единственный скомпрометированный аккаунт привел к публикации более 20 000 писем, создав устойчивый медийный кризис в критический период кампании. Атака была успешной не с помощью сложных средств, а с помощью базовой социальной инженерии, нацеленной на высокопоставленного партнера кампании.
Мошенничество в избирательной кампании сенатора Джерри Морана : в 2022 году избирательная кампания сенатора Джерри Морана потеряла $690 000 из-за мошенничества со счетами, когда мошенники выдавали себя за поставщика. Взломав электронную почту поставщика, злоумышленники перенаправили законные платежи кампании на мошеннические счета, продемонстрировав, как финансовые операции между кампаниями и поставщиками создают особые уязвимости.
Эти инциденты подчеркивают общую тему: кампании часто подвергаются взлому не посредством прямых атак, а через их обширную сеть доверенных консультантов, поставщиков и партнеров.
Понимание риска
Политические консультанты и поставщики часто не осознают важную реальность своего положения: их отношения с кампаниями кардинально меняют их профиль безопасности двумя важнейшими способами.
Вы становитесь целью : в силу вашего доступа к инфраструктуре кампании, конфиденциальным данным или стратегическим коммуникациям вы автоматически становитесь ценной целью для противников. Иностранные разведывательные службы, политически мотивированные хакеры и киберпреступники признают, что профессионалы кампании часто имеют надежные привилегии доступа, при этом обычно работая с меньшим количеством ресурсов безопасности, чем сами кампании. Ваши личные и профессиональные учетные записи могут быть целевыми не из-за их внутренней ценности, а как шлюзы к активам кампании. Это целевое использование происходит независимо от вашей значимости — от старших стратегов до младших графических дизайнеров с доступом к электронной почте.
Вы становитесь вектором : помимо того, что сами являются целями, третьи лица служат потенциальными векторами атак для достижения кампаний. Злоумышленник, взломавший учетную запись поставщика, получает привилегированное положение, из которого можно проводить дальнейшие операции против кампании. Эти атаки часто используют доверительные отношения — вредоносные электронные письма с учетной записи законного консультанта с гораздо большей вероятностью будут пользоваться доверием у сотрудников кампании. Аналогичным образом, взломанное программное обеспечение или услуги поставщика могут вносить уязвимости непосредственно в операции кампании, потенциально затрагивая нескольких клиентов одновременно.
Понимание этого двойного риска необходимо — политические профессионалы должны признать, что они больше не обычные пользователи интернета, а расширения периметра безопасности кампании. Практики, которые могут быть достаточными для личной кибербезопасности, неадекватны, когда целостность кампании зависит от вашей позиции безопасности.
Потенциальные уязвимости
Консультанты и поставщики кампаний сталкиваются с рядом уязвимостей безопасности, которые злоумышленники регулярно используют. Понимание этих распространенных векторов атак является первым шагом к эффективной защите.
Фишинговые атаки : наиболее распространенным и успешным методом атаки остается фишинг — обманные сообщения, предназначенные для кражи учетных данных или установки вредоносного ПО. Политические специалисты являются основными целями для сложного фишинга, который может включать:
- Письма, отправленные, судя по всему, от кампаний, требующих срочных действий
- Сообщения, имитирующие такие распространенные платформы, как Google, Microsoft или Slack
- Сообщения, ссылающиеся на конкретные события, результаты опросов или освещение в СМИ, чтобы казаться законными
- Целевой «фишинг», настроенный на роль и отношения получателя
Спуфинг и выдача себя за другое лицо : Спуфинг тесно связан с фишингом и подразумевает, что злоумышленники выдают себя за доверенные организации:
- Подделка электронной почты, когда злоумышленники подделывают адреса отправителей, чтобы выдать себя за должностных лиц предвыборной кампании
- Выдача себя за поставщика для перенаправления платежей или результатов кампании
- Выдача себя за кандидата или старшего сотрудника с целью запроса конфиденциальной информации
- Подмена домена с помощью слегка измененных веб-адресов (например, campaignname-secure.com)
Взломанные персональные устройства : многие специалисты по проведению кампаний используют персональные устройства для работы с клиентами, что создает значительные уязвимости:
- Неисправленные операционные системы и приложения
- Устройства, используемые совместно с членами семьи или в незащищенных сетях
- Недостаточное разделение личных и связанных с кампанией аккаунтов
- Несанкционированный доступ приложений к конфиденциальной информации
Неудовлетворительное управление полномочиями : практика управления полномочиями остается серьезным недостатком:
- Повторное использование паролей в личных и предвыборных аккаунтах
- Общие учетные данные доступа среди членов команды
- Слабая сложность пароля, недостаточная для сопротивления автоматизированным атакам
- Доступ бывшего сотрудника остается активным после окончания сотрудничества
Незащищенные коммуникации : Политическая работа часто осуществляется через специальные каналы связи:
- Незашифрованное электронное письмо, содержащее конфиденциальную стратегическую информацию
- Приложения для обмена сообщениями без сквозного шифрования
- Обмен файлами незащищенными методами
- Деликатные обсуждения на платформах без надлежащего контроля доступа
Злоумышленники специально нацелены на эти общие уязвимости, ища путь наименьшего сопротивления в инфраструктуру кампании. Для политических профессионалов распознавание этих потенциальных векторов атак имеет важное значение для понимания того, где улучшения безопасности обеспечат наибольшую защиту.
Основные шаги по защите себя и своих клиентов
Политические консультанты и поставщики могут значительно снизить риск третьих лиц, внедрив несколько критических мер безопасности. Эти практики не только защищают ваши собственные операции, но и защищают кампании, которым вы служите.
Безопасный доступ к вашим системам
Надежные уникальные пароли : основа безопасности учетной записи начинается с правильного управления паролями.
- Используйте менеджер паролей, например, встроенный в браузеры, включая Edge и Chrome.
- Создавайте сложные пароли, состоящие не менее чем из 12 символов, сочетая буквы, цифры и символы.
- Никогда не используйте пароли повторно для разных учетных записей или сервисов.
- Немедленно меняйте пароли, если есть подозрение на взлом.
Многофакторная аутентификация (MFA) : добавьте важный второй уровень защиты.
- Включите MFA для всех аккаунтов, которые ее предлагают, особенно для электронной почты, облачного хранилища и платформ кампаний.
- По возможности используйте приложения для аутентификации вместо SMS (SMS уязвимы для атак с подменой SIM-карты)
- Требовать MFA для всех сотрудников и субподрядчиков, имеющих доступ к системам, связанным с кампанией
- Обеспечьте безопасность и доступность резервных методов аутентификации.
Пароли : используйте этот новый стандарт аутентификации.
- По возможности используйте пароли, поскольку они обеспечивают более высокий уровень безопасности по сравнению с традиционными паролями.
- Пароли устраняют уязвимости фишинга, привязывая аутентификацию к легитимным веб-сайтам.
- Они исключают человеческий фактор из управления учетными данными, сокращая количество человеческих ошибок.
- Основные платформы, включая Google, Microsoft и Apple, теперь поддерживают аутентификацию с помощью ключа доступа.
Безопасная передача данных
- Минимизировать сбор и передачу персонально идентифицируемой информации (PII)
- Используйте методы анонимизации или псевдонимизации при анализе данных избирателей или доноров.
- Передавайте только те поля данных, которые необходимы для выполнения поставленной задачи.
- Установите четкие политики обработки данных для всех партнеров кампании.
Гигиена данных
- Регулярно проводите аудит хранимых данных и удаляйте информацию, которая больше не нужна для работы.
- Внедрить формальные политики хранения данных с конкретными временными рамками
- Безопасное удаление старых резервных копий, черновиков документов и журналов связи.
- Помните, что данные, которыми вы не владеете, не могут быть украдены в результате взлома.
Аутентификация по электронной почте
- Развертывание протоколов аутентификации сообщений, отчетности и соответствия на основе домена (DMARC)
- DMARC предотвращает подделку электронной почты, проверяя, что сообщения действительно исходят из вашего домена.
- Это защищает как вашу организацию, так и кампании, которые вы обслуживаете, от атак с целью выдачи себя за другое лицо.
- Обратитесь к своему поставщику услуг электронной почты или в службу ИТ-поддержки, чтобы правильно настроить SPF и DKIM в качестве предварительных условий DMARC.
Проверка платежей
- Установить строгие процедуры проверки всех финансовых операций
- Требовать устного подтверждения по ранее установленным номерам телефонов для:
- Изменения в платежной информации
- Новые настройки поставщиков
- Необычные суммы или сроки платежей
- Создайте четкие пути эскалации, когда проверка не может быть завершена
- Документируйте все шаги проверки, предпринятые для каждой значимой транзакции.
Управление пользователями
- Удаляйте пользователей из вашей системы, когда сотрудники уходят. Бездействующие пользователи являются ценными целями для компрометации.
- Управляйте привилегиями пользователей, где это возможно. Не всем пользователям нужен полный доступ ко всем системам. Например, на Facebook вы можете ограничить человека, чтобы он мог только публиковать и отвечать.
- Ограничьте количество пользователей с правами администратора до минимально возможного числа.
- Убедитесь, что все учетные записи с правами администратора используют надежную аутентификацию — пароли, ключи безопасности или другие средства MFA.
Реализация этих мер безопасности создает несколько уровней защиты, значительно снижая риск того, что ваша организация станет либо целью, либо вектором атак против политических кампаний. Хотя ни один подход к безопасности не идеален, эти шаги устраняют наиболее распространенные и опасные уязвимости, используемые злоумышленниками.
Заключение
Политические профессионалы не хотят быть причиной атаки на кампанию, но без надлежащих мер безопасности они действительно могут стать самым слабым звеном в цепи безопасности кампании. Угрозы реальны и постоянны, в то время как последствия нарушения выходят далеко за рамки технических неудобств и могут потенциально сорвать целые кампании.
Внедряя методы обеспечения безопасности, описанные в этом отчете, консультанты и поставщики преобразуются из потенциальных уязвимостей в активы безопасности. В сегодняшнем ландшафте сложных цифровых угроз базовая кибербезопасность больше не является необязательной — это профессиональная ответственность и фундаментальный компонент услуг, которые вы предоставляете кампаниям. Ваши клиенты доверяют вам будущее своих кампаний; оправдайте это доверие бдительными методами обеспечения безопасности.
