Vorige week stemden honderden miljoenen burgers van de Europese Unie (EU) voor hun leden van het Europese Parlement (EP-leden). De Europese verkiezingen worden iedere vijf jaar gehouden en vormen een van de grootste democratische evenementen ter wereld. In elk van de 27 EU-landen kiezen stemmers voor een ander aantal EP-leden, afhankelijk van de grootte van de bevolking van het land en op basis van een proportioneel systeem. De 720 versgekozen EP-leden nemen hun zetels in juli in. De verkiezingsprocessen, instellingen en werkwijzen verschillen per EU-lidstaat en de veiligheidsrisico’s zijn aanzienlijk, zowel op het gebied van cyberaanvallen als in verband met de beïnvloeding van kiezers door middel van desinformatie.
De beveiliging van de Europese verkiezingen is een bijzonder complexe taak, die samenwerking tussen een groot aantal verschillende instellingen en belanghebbenden vereist, waaronder de privésector. Cloudflare bevindt zich in een goede positie om overheden en politieke campagnes te ondersteunen bij het tegengaan van cyberaanvallen op grote schaal. We hebben organisaties die verkiezingen organiseren in de hele wereld al bijgestaan door hen de tools en expertise te bieden om ze tegen aanvallen te beschermen. Verder werkt Cloudflare met het Athenian Project en via internationale non-profitpartners samen met overheden in de Verenigde Staten en over de hele wereld om Cloudflare’s hoogste beschermingsniveau gratis aan te bieden. Met als doel kiezers toegang te geven tot betrouwbare verkiezingsinformatie.
Veilige verkiezingen in 2024: omgaan met nieuwe en opkomende dreigingen
Het spreekt voor zich dat het voor de EU-instellingen, en voor nationale overheden en cyberbeveiligingsautoriteiten in de hele unie, een topprioriteit was om een vrij, eerlijk en open verkiezingsproces te verzorgen en de campagnes van kandidaten te beveiligen. De Europese autoriteiten hebben veel maatregelen genomen om te garanderen dat de verkiezingen goed beschermd werden. De coördinatie van de beveiligingsmaatregelen voor de verkiezingen in de verschillende EU-landen gebeurt onder leiding van de Samenwerkingsgroep NIS, ondersteund door het Agentschap van de Europese Unie voor Cyberbeveiliging (ENISA), de Europese Commissie en de Europese dienst voor extern optreden (de buitenlandse dienst van de EU).
De samenwerkingsgroep NIS publiceerde onlangs een bijgewerkt Compendium over de beveiliging van verkiezingen omringd door cyberbeveiligingsuitdagingen, waarbij is opgemerkt dat ‘sinds de laatste Europese verkiezingen in 2019 het dreigingslandschap van de verkiezingen aanzienlijk is geëvolueerd’. Overheden voelen in het bijzonder de impact van kunstmatige intelligentie (AI), inclusief deepfakes, maar ook de toegenomen subtiliteit van kwaadwillenden en de trend van ‘huurling-hacktivisten’ vormen risico’s waarmee rekening moet worden gehouden.
Europese instellingen wijzen ook op de huidige geopolitieke context, waarbij de conflicten in Oekraïne en het Midden-Oosten hun weerslag hebben op de cyberdreigingen en buitenlandse beïnvloedingscampagnes in Europa. De Europese dienst voor extern optreden analyseerde gevallen van FIMI (‘Foreign Information Manipulation and Interference’ ofwel ‘Buitenlandse manipulatie van informatie en inmenging’) tijdens de recente nationale verkiezingen in Spanje en Polen en stelde voorgestelde plannen op die uiteenzetten hoe overheden kunnen reageren op de verschillende fases van deze FIMI-campagnes door buitenlandse (d.w.z. niet-EU) actoren. Josep Borrell, hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, zei onlangs in een blogpost dat de bescherming van het verkiezingsproces en het bredere Europese debat tegen kwaadwillende buitenlandse actoren ‘een veiligheidsprobleem is dat we serieus moeten aanpakken’.
Sommige nationale overheden hebben ook gewaarschuwd tegen de risico’s van zogenaamde hybride dreigingen, waarbij buitenlandse overheden verschillende methoden inzetten om invloed uit te oefenen over andere staten, inclusief desinformatiecampagnes, cyberaanvallen en spionage. Het Duitse federale ministerie van Binnenlandse Zaken merkt op dat ‘verkiezingen vaak een katalysator voor hogere niveaus van illegale activiteiten door buitenlandse overheden vormen, omdat het aanwakkeren van angsten en de verspreiding van haat kunnen bijdragen aan de polarisatie van de maatschappij en kiesgewoonten kunnen beïnvloeden (…) we moeten ons vastberaden inzetten om deze dreigingen af te weren.’
Gereedheid van de EU voor verkiezingstijd
Als onderdeel van de coördinatie tussen overheden en autoriteiten op nationaal en EU-niveau om zich klaar te maken om dreigingen en risico’s voor de Europese verkiezingen af te weren, ondersteunt ENISA de maatregelen van nationale overheden om ervoor te zorgen dat de verkiezingen veilig konden verlopen. Dit omvat de organisatie van een cybersecurityoefening om de verschillende crisisplannen en reacties op mogelijke aanvallen van Europese instellingen en nationale overheden te testen. ENISA heeft ook een checklist voor autoriteiten opgesteld om bewustzijn te creëren over specifieke risico’s en dreigingen voor het verkiezingsproces.
De Europese Unie heeft zich ook voorbereid op andere fenomenen die de veiligheid en integriteit van het verkiezingsproces bedreigen, inclusief de verspreiding van desinformatie via online platforms. De Europese Commissie heeft onlangs bijvoorbeeld strenge richtlijnen gepubliceerd voor ‘zeer grote online platforms (VLOP’s) en ‘zeer grote zoekmachines’ (‘VLSE’s’) onder de Europese Verordening digitale diensten. Deze verordening omvat maatregelen om systemische online risico’s aan te pakken die de integriteit van verkiezingen kunnen aantasten. Van deze grote bedrijven wordt geëist dat ze speciaal aangewezen werknemers hebben om desinformatiedreigingen in de 23 officiële EU-talen van de 27 EU-lidstaten in het oog te houden, in nauwe samenwerking met de Europese cyberbeveiligingsautoriteiten. Daarnaast moeten politieke advertenties op grote socialemediaplatforms, in lijn met aankomende EU-regelgeving over de transparantie van politieke advertenties, duidelijk als zodanig worden gelabeld.
In zijn elfde rapport over het Europese dreigingslandschap uit 2023 waarschuwde ENISA ook tegen de risico’s die gepaard gaan met de opkomst van door AI mogelijk gemaakte informatiemanipulatie, inclusief de verstorende invloed van AI-chatbots. De Europese Commissie stelde onlangs onderzoeken in naar belangrijke AI-ontwikkelaars als onderdeel van haar inzet om de wildgroei aan deepfakes en geavanceerde kiezersmanipulatietactieken met behulp van generatieve AI-systemen tegen te gaan. Ook roept de Commissie op tot beloften van de branche in de context van het Europese AI-pact.
Perspectief vanuit Cloudflare: toename in cyberaanvallen rondom verkiezingen
Het is waarschijnlijk dat we in de EU een trend zullen zien die vergelijkbaar is met die in veel andere delen van de wereld, waar er een toename is geweest in cyberdreigingen die verkiezingsorganen tot doelwit hebben. In de periode van november 2022 tot augustus 2023 heeft Cloudflare 213,78 miljoen dreigingen op verkiezingswebsites van de overheid in de Verenigde Staten afgeweerd. Dat komt neer op gemiddeld 703.223 afgeweerde dreigingen per dag. Er is bewijs dat Europese instellingen het doelwit zijn van een toenemend aantal aanvallen.
In november 2023 was de website van het Europese Parlement slachtoffer van een grote cyberaanval. En in maart 2024 hadden Franse overheidswebsites te maken met aanvallen van ‘ongeëvenaarde intensiteit’, volgens een woordvoerder. Een paar dagen voor deze aanvallen, op 25 februari 2024, blokkeerde Cloudflare een grote DDoS-aanval op een Franse overheidswebsite. Tijdens deze aanval werden er maar liefst 420 miljoen verzoeken per uur gedaan. De aanval duurde meer dan drie uur.
De Britse overheid waarschuwde afgelopen jaar dat er ‘aanhoudende’ cyberaanvallen waren tegen burgerorganisaties, journalisten en groepen in de publieke sector, plus phishing-pogingen die waren gericht op Britse politici. Meer recentelijk was de IT-infrastructuur van de Duitse politieke partij CDU doelwit van een ‘serieuze cyberaanval’ volgens het Duitse ministerie van Binnenlandse Zaken.
We hebben ook gezien dat de algehele omvang van cyberaanvallen elk jaar groeit. Zoals we beschreven in het nieuwste DDoS-dreigingsrapport van Cloudflare, uitgegeven in het eerste kwartaal van 2024, hebben de verdedigingssystemen van Cloudflare tijdens dat eerste kwartaal automatisch 4,5 miljoen DDoS-aanvallen afgeslagen. Dit weerspiegelt een jaar-op-jaar (YoY)-groei van 50%. EU-overheden gaven in hun Compendium over de beveiliging van de verkiezingen aan dat DDoS-aanvallen ‘nog steeds zeer effectief kunnen zijn bij het ondermijnen van het vertrouwen van het publiek in het verkiezingsproces, in het bijzonder wanneer de aanvallen de meest kritieke en zichtbare fases beïnvloeden – de overdracht, bundeling en weergave van de verkiezingsresultaten.’
Maar niet alleen de toegenomen omvang van aanvallen op websites heeft de verantwoordelijken voor de EU-verkiezingen slapeloze nachten bezorgd. Vaak moet er rekening worden gehouden met verschillende aanvalsvectoren. Daarom is het waarborgen dat verkiezingsprocessen en openbare instellingen veilig blijven een bijzonder gecompliceerde taak. In 2022 voorkwam Cloudflare in de drie maanden voor de tussentijdse verkiezingen in de VS bijvoorbeeld ongeveer 150.000 phishing-e-mails gericht op campagnefunctionarissen. Het nieuwste rapport van ENISA over het Europese dreigingslandschap wijst bij de bespreking van phishing-campagnes op de risico’s van AI, wanneer dit wordt toegepast op social engineering (bijv. om meer overtuigende phishing-berichten te creëren). Dit kan phishing goedkoper, gemakkelijk op te schalen en effectiever maken. Deze ontwikkelingen laten zien hoe de beveiliging van registratiesystemen van kiezers, het verzorgen van de integriteit van aan verkiezingen gerelateerde informatie en het plannen van een effectieve reactie op incidenten noodzakelijk zijn, nu online dreigingen alsmaar geavanceerder worden.
De beveiliging van het democratische proces in het digitale tijdperk vereist partnerschappen tussen overheden, de burgermaatschappij en privésector. Cloudflare heeft verkiezingsentiteiten over de hele wereld bijgestaan door de tools en expertise te bieden waarmee ze zich tegen cyberaanvallen kunnen beschermen. In 2020, bijvoorbeeld, werkten we samen met de International Foundation for Electoral Systems om diensten op Enterprise-niveau te leveren voor zes instellingen die verkiezingen beheerden. Daartoe behoorden de centrale verkiezingscommissie van Kosovo, de staatsverkiezingscommissie van Noord-Macedonië en veel lokale verkiezingsinstellingen in Canada.
Impact op internetverkeer
Het wereldwijde netwerk van Cloudflare, dat in meer dan 120 landen actief is en ongeveer 20% van alle websites beschermt, biedt een uniek perspectief op de trends en patronen die we in het internetverkeer zien. Sommige van deze trends, inclusief verkeer, verbindingskwaliteit en internetstoringen, zijn te bekijken op ons overviewplatform voor het internet, Cloudflare Radar.
Een aantal van deze trends zijn in het bijzonder belangrijk om te volgen in verkiezingstijd. Aan de hand van diepere analyse observeerden we in deze periode pieken in het verkeer naar aan de verkiezingen gerelateerde websites en naar nieuwssites. Uit data die we in 2023 verkregen via een analyse van overheidswebsites in de VS die door het Athenian Project werden beschermd, en de websites van Amerikaanse non-profitorganisaties die zich inzetten voor het stemrecht en democratie onder Project Galileo en politieke partijen en campagnes onder Cloudflare for Campaigns, heeft Cloudflare geobserveerd dat het verkeer naar Amerikaanse verkiezingswebsites en non-profitwebsites toenam naarmate de verkiezingen dichterbij kwamen. Dat resulteerde in een aanzienlijke piek op verkiezingsdag, zoals te zien in de grafiek hieronder.
Cloudflare heeft vergelijkbare patronen waargenomen voor informatiewebsites over de verkiezingen en nieuwsmedia op de eerste dag van de Franse presidentverkiezingen in 2022 en tijdens de presidentverkiezingen in Brazilië in hetzelfde jaar.
Samenwerking is essentieel
De bescherming van verkiezingsorganen en gerelateerde organisaties en instellingen is een omvangrijke en complexe taak. Zoals we hebben opgemerkt, vereist dit partnerschappen en samenwerking tussen verschillende actoren met specifieke expertise, zowel in de publieke als particuliere sector. Het werk van Europese overheden en autoriteiten om zich voor te bereiden op en samen te werken aan veiligheidsmaatregelen voor de verkiezingen, zoals we hierboven hebben beschreven, is zowel welkom als noodzakelijk om vrije, eerlijke en vooral veilige verkiezingen mogelijk te maken. Dit kan alleen worden bereikt door middel van samenwerking tussen overheden en bedrijven, om samen een robuuste respons op alle dreigingen gericht op het democratische proces neer te zetten. Cloudflare draagt zijn steentje daaraan bij door een aantal websites van overheden en politieke campagnes verspreid over de EU te beschermen.
Cloudflare wil graag dat alle groepen over de hele wereld die de democratie bevorderen, over de tools beschikken die ze nodig hebben om online veilig te blijven. Wie daar interesse in heeft kan contact opnemen. Informatie over het Project Galileo is te vinden op: cloudflare.com/galileo.