Mới nhất
Tiêu điểm
Bình luận
Share
Email
Thế giới ‘nhỏ bé’ của cơ quan cấp giấy chứng nhận máy bỏ phiếu
Một cơ quan liên bang nhỏ thiếu nhân viên và chỉ có 2 phòng thí nghiệm tư nhân chịu trách nhiệm chứng nhận hệ thống bỏ phiếu quốc gia.
Bê bối cuộc bầu cử ngày 3/11 đã khiến dư luận chú ý đến tính toàn vẹn của các máy bỏ phiếu điện tử tại Hoa Kỳ. Để đáp lại, các nhà chức trách sử dụng giấy chứng nhận như một biện pháp bảo vệ trước các vấn đề hệ thống tiềm ẩn với máy bỏ phiếu và phần mềm của họ.
Tuy nhiên, một cái nhìn sâu sắc hơn về quy trình chứng nhận máy móc cho thấy rằng cơ quan chứng nhận chính ở Hoa Kỳ, Ủy ban Hỗ trợ Bầu cử liên bang (EAC), duy trì một đội ngũ nhân viên nhỏ tới mức không ngờ và một trong những nhân viên chính của uỷ ban này lại là cựu giám đốc điều hành của Hệ thống bỏ phiếu Dominion.
Hơn nữa, có vẻ như phần lớn, nếu không phải là tất cả, việc thử nghiệm thiết bị bầu cử chỉ do hai công ty Pro V&V và SLI Compliance thực hiện.
Các hệ thống bỏ phiếu điện tử ngày càng được tích hợp nhiều hơn vào quy trình bầu cử, làm dấy lên lo ngại về tính bảo mật, độ tin cậy và độ chính xác của chúng trong quy trình này. Các cơ quan liên bang có ít nhân viên dường như duy trì mối quan hệ quá thân thiết với các công ty mà họ giám sát, đặt thêm nghi vấn về sự kỹ lưỡng và tính toàn vẹn của quy trình xác minh.
Lãnh đạo Dominion tham gia Ủy ban Chứng nhận Liên bang
Bà Kathy Boockvar, chỉ hai tuần sau khi được bổ nhiệm làm Thư ký trưởng Khối thịnh vượng chung của Pennsylvania, đã kết luận trong một báo cáo ngày 17/1/2019 rằng máy bỏ phiếu “Democracy Suite 5.5A” của Dominion “có thể được cử tri sử dụng một cách an toàn tại các cuộc bầu cử” và chứng nhận hệ thống bỏ phiếu Dominion ở Pennsylvania.
Đại diện cho Dominion trong quá trình đó là Giám đốc chứng nhận Jessica Bowers. Ngoài bang Pennsylvania, Bowers dường như đã chịu trách nhiệm triển khai Hệ thống Dominion ở một số bang khác, bao gồm California, Colorado, Nevada và Tennessee.
Tuy nhiên, sau 10 năm làm việc tại Dominion, Bowers đã tìm thấy con đường sự nghiệp mới của mình tại Ủy ban Hỗ trợ Bầu cử liên bang (EAC).
EAC, tự mô tả là “một ủy ban lưỡng đảng độc lập”, chịu trách nhiệm áp dụng các nguyên tắc về hệ thống bỏ phiếu tự nguyện, và chứng nhận hệ thống bỏ phiếu của nhà sản xuất và các phòng thí nghiệm kiểm tra hệ thống bỏ phiếu.
Vào tháng 5/2019, ngay khi cơ quan đang chuẩn bị cho cuộc bầu cử năm 2020, họ đã thông báo về sự ra đi của Ryan Macias, người từng là quyền giám đốc kiểm tra và chứng nhận của EAC.
Vị trí của Macias là một vị trí quan trọng vì ông chịu trách nhiệm quản lý chương trình của EAC “làm việc với các nhà cung cấp thiết bị bỏ phiếu hàng đầu của quốc gia để chứng nhận và đánh giá phần cứng và phần mềm của hệ thống bỏ phiếu, cũng như công nhận phòng thí nghiệm cho thiết bị thử nghiệm”, theo trang web CyberScoop. Ngoài ra, ông Macias đã giám sát một “cập nhật quan trọng đối với các nguyên tắc bảo mật hệ thống bỏ phiếu.”
Vào ngày 9/5/2019, EAC thông báo rằng họ đã chọn Jerome Lovato, người đã làm việc tại EAC từ tháng 9/2017, để thay thế Macias. Việc Macias từ chức và bổ nhiệm Lovato sau đó đã làm dấy lên một số lo ngại trong Quốc hội, như đã được ghi nhận trong một bức thư gửi tới EAC của Thượng nghị sĩ Amy Klobuchar (Dân Chủ-Minnesota) và Chris Coons (Dân Chủ-Delaware).
“Sau khi Ryan Macias từ chức, báo cáo công khai chỉ ra rằng EAC hiện chỉ thuê một nhân viên toàn thời gian chuyên giám sát quá trình chứng nhận. Trong khi chúng tôi hiểu rằng Ủy ban phải thuê thêm nhân viên, chúng tôi lo ngại bởi việc bổ nhiệm đột ngột Jerome Lovato làm Giám đốc kiểm tra và chứng nhận, đặc biệt khi báo cáo chỉ ra rằng ông Lovato sẽ làm việc từ xa, hơn một ngàn dặm từ trụ sở chính của EAC. Khi các bang tiếp tục cập nhật thiết bị bầu cử của họ và các nhà cung cấp phát triển các máy mới, điều cần thiết là quy trình Kiểm tra và Chứng nhận tại EAC phải hoạt động đầy đủ,” các thượng nghị sĩ viết trong thư.
“Do quá trình chứng nhận có thể mất nhiều thời gian, chúng tôi lo ngại rằng EAC sẽ không thể chứng nhận các máy móc mà các bang dự định sử dụng trong nỗ lực hiện đại hóa của họ trước cuộc bầu cử năm 2020.”
Mối lo ngại về việc EAC chỉ có “một nhân viên chuyên trách giám sát quá trình chứng nhận” có vẻ dễ hiểu vì tầm quan trọng tiềm ẩn của nhiệm vụ đó. Các thượng nghị sĩ đã hỏi EAC rằng họ sẽ thực hiện những hành động gì để bổ sung nhân sự trước cuộc bầu cử năm 2020.
Câu hỏi đó đã được trả lời vào ngày 21/5/2019 với thông báo rằng EAC đã thuê thêm hai nhân viên vào chương trình chứng nhận bỏ phiếu của mình — Jessica Bowers, giám đốc chứng nhận mới đây của Dominion đồng thời là một cựu chiến binh 10 năm với công ty, và Paul Aumayr – một cựu quan chức bầu cử của bang Maryland.
Một bài báo mô tả những nhân viên mới đã lưu ý rằng: “Không rõ ngay lập tức làm thế nào EAC có thể giảm thiểu bất kỳ xung đột lợi ích tiềm ẩn có thể phát sinh khi thuê Bowers, cựu Giám đốc chứng nhận tại Dominion Voting Systems, vào chương trình EAC.”
Trang web của EAC mô tả Bowers là người quản lý “các dự án kiểm tra và chứng nhận hệ thống bỏ phiếu cũng như hỗ trợ việc phát triển các Nguyên tắc Hệ thống Bỏ phiếu Tự nguyện mới” nhưng không tiết lộ bất kỳ thông tin nào về vai trò của bà ấy tại Hệ thống Bầu cử Dominion.
“Trước khi gia nhập EAC, bà từng là Giám đốc Chứng nhận của một nhà sản xuất hệ thống bỏ phiếu và đã làm việc trong ngành bầu cử về lĩnh vực phát triển và chứng nhận phần mềm từ năm 2008,” trang web viết.
Theo nhân viên EAC, Bowers được liệt kê là Quyền CIO/CISO, trong khi Aumayr được nêu rõ là Chuyên gia Công nghệ Bầu cử Cấp cao. Bất chấp vai trò quan trọng của EAC đối với tính liêm chính của cuộc bầu cử, họ chỉ liệt kê tổng cộng 23 nhân viên, 5 giám đốc điều hành (Lovato là một trong số đó) và 4 ủy viên. EAC có một ban cố vấn lớn bao gồm 37 thành viên.
Cả Bowers và Aumayr bắt đầu công việc của mình từ ngày 9/7/2019 khi blog Kiểm tra và Chứng nhận EAC cập nhật thông tin cho biết, Aumayr là Giám đốc dự án cho Hệ thống bầu cử “Democracy Suite 5.5B” của Dominion và “ClearVote 2.0” của Clear Ballot, trong khi Bowers là Giám đốc dự án “EVS 6.1.0.0” của Hệ thống Bầu cử & Phần mềm (ES&S) và dự án “OpenElect 2.1” của Giải pháp Bầu cử Unisyn.
Tất cả bốn công ty này đều là thành viên của Hội đồng Điều phối Khu vực của CISA, một trong hai hội đồng đã đưa ra tuyên bố chung về cuộc bầu cử vào ngày 12/11, khẳng định đây là cuộc bầu cử “an toàn nhất trong lịch sử Hoa Kỳ”.
Chỉ có 2 đơn vị kiểm tra thiết bị bầu cử được chứng nhận
Trên trang web của EAC liệt kê bảy Phòng thí nghiệm Kiểm tra Hệ thống Bỏ phiếu (VSTL). Tuy nhiên, chỉ có hai trong số các phòng thí nghiệm này, Pro V&V và SLI Compliance, được liệt kê trên trang là đã được chứng nhận, vì các phòng thí nghiệm khác được ghi là đã hết hạn chứng nhận.
Từ đầu năm 2017, hai công ty này là phòng thử nghiệm duy nhất cung cấp chứng nhận hệ thống bỏ phiếu theo danh sách chứng nhận của EAC.
Đối với một trong hai công ty đó – Pro V&V, EAC không cung cấp công khai chứng chỉ công nhận trên trang web của mình, thay vào đó, liên kết đến một trang đưa ra cảnh báo “không thể tìm thấy trang”.
Chứng chỉ mới nhất được liệt kê cho Pro V&V trong mục hồ sơ tổng quan của công ty trên trang web EAC có ngày phát hành là 24/2/2015 và có hiệu lực đến ngày 24/2/2017. Không rõ liệu chứng nhận của công ty đã thực sự hết hạn hay trang web EAC bị lỗi.
Mặc dù chịu trách nhiệm về việc kiểm tra và các dữ liệu được sử dụng để chứng nhận toàn bộ hệ thống bỏ phiếu, bao gồm cả Hệ thống bỏ phiếu 5.5-C “Democracy Suite (D-Suite) được chứng nhận gần đây của Dominion (Báo cáo kiểm tra Pro V&V ngày 16 tháng 6 năm 2020), đồng thời cung cấp thử nghiệm hệ thống trên toàn quốc, Pro V&V chỉ có một văn phòng duy nhất được liệt kê, nằm trong một khu kinh doanh phức hợp, được hỗ trợ bởi một trang web thô sơ và ít người truy cập một cách đáng ngạc nhiên.
Mô tả trang web về các cơ sở của Pro V&V bỏ qua phần “Suite” trong địa chỉ của họ trong khi khẳng định “cách bố trí văn phòng và phòng thí nghiệm cho phép không gian rộng rãi cho thiết bị thử nghiệm, phần mềm và phần cứng được sử dụng trong quá trình thử nghiệm”. Trang web của họ cũng tuyên bố họ có thể mở rộng thêm không gian trong cùng một khu phức hợp.
Pro V&V, giống như Dominion Voting và Smartmatic, là thành viên của Hội đồng Điều phối Lĩnh vực của CISA – hội đồng gần đây đã đưa ra tuyên bố chung về cuộc bầu cử tổng thống năm 2020. Phòng thí nghiệm thử nghiệm chính khác, SLI Compliance, cũng là một thành viên của hội đồng này.
Trước những cáo buộc gần đây về những vấn đề tiềm ẩn đối với tính toàn vẹn của các máy bỏ phiếu của Dominion trong cuộc bầu cử ngày 3/11, Pro V&V đã nhiều lần được coi là cơ quan có thẩm quyền bác bỏ những cáo buộc này, bao gồm cả việc kiểm phiếu lại ở Georgia.
Trường hợp của bang Georgia
Vào tháng 7/2019, bất chấp những thách thức pháp lý hiện có, Georgia đã mua một hệ thống bầu cử trị giá 106 triệu đô la từ Hệ thống Bầu cử Dominion. Trong một vụ kiện bắt nguồn từ năm 2017, các nhà phê bình cho rằng hệ thống mới có nhiều lỗ hổng bảo mật giống như hệ thống mà nó thay thế.
Vấn đề gần đây nhất xuất hiện sau khi có những cáo buộc đáng tin cậy về máy bỏ phiếu.
Những lời tuyên thệ, được đệ trình như một phần của hành động khẩn cấp vào ngày 17/11, nêu chi tiết các cáo buộc của các nhà quan sát bầu cử về khả năng gian lận bầu cử. Thêm vào đó, những quan sát viên đã kể lại trường hợp những lá phiếu ‘mới cứng’ có đặc điểm giống nhau: “Chúng đều dành cho Biden và cùng được tô màu đen một cách hoàn hảo”.
Tuy nhiên, cùng ngày hôm đó, Thư ký trưởng tiểu bang Georgia Brad Raffensperger thông báo đã hoàn tất việc kiểm tra máy bỏ phiếu của bang và “Pro V&V không tìm thấy bằng chứng về việc máy bị giả mạo”.
Các tổ chức truyền thông và các tổ chức khác trích dẫn rộng rãi tuyên bố này như một bằng chứng cho thấy việc khẳng định máy bỏ phiếu ở Georgia có vấn đề là vô ích.
Tuy nhiên, khi đào sâu vào tuyên bố trên, điều duy nhất mà Pro V&V đã làm là trích xuất “phần mềm (software) hoặc bộ vi mã (firmware) từ các thành phần của máy để kiểm tra xem chúng đã được văn phòng thư ký trưởng chứng nhận để sử dụng hay chưa”. Tiêu đề của thông cáo trên dường như đi xa hơn phạm vi chức năng thực tế do Pro V&V thực hiện.
Đầu năm nay, trong một tuyên thệ vào ngày 24/8, Harri Hursti, một chuyên gia uy tín về lĩnh vực bảo mật bỏ phiếu điện tử, đã cung cấp mô tả trực tiếp về các vấn đề mà ông quan sát được với các hệ thống bỏ phiếu mới của Georgia trong cuộc bầu cử sơ bộ ngày 9/6 và các cuộc bầu cử ngày 11/8.
Hursti nói với tòa án về một loạt vấn đề, bao gồm thực tế là “những cài đặt cho phần mềm quét và lập bảng, để xác định số phiếu cần đếm trên các lá phiếu giấy được đánh dấu bằng tay, có thể khiến các phiếu bầu có chủ đích rõ ràng không được tính”.
Hursti cũng nói rằng “hệ thống bỏ phiếu đang được vận hành ở Quận Fulton theo cách làm tăng nguy cơ an ninh lên mức cực đoan.” Và rằng “cử tri không xem lại các lá phiếu in trên BMD [Thiết bị đánh dấu phiếu bầu] của họ, điều này khiến kết quả BMD tạo ra không thể kiểm tra được do vạch kiểm tra không đáng tin cậy.”
Trước đó, trong quá trình thử nghiệm hệ thống bỏ phiếu của Dominion trước cuộc bầu cử ở Georgia vào cuối tháng 9, các quan chức bầu cử đã phát hiện ra vấn đề với màn hình trong cuộc đua vào Thượng viện Hoa Kỳ. Trong một số trường hợp, không phải tên của tất cả các ứng cử viên đều hiện ra trên một màn hình.
Các luật sư của Dominion đã gọi vấn đề này là một “vấn đề rất nhỏ” có thể dễ dàng khắc phục bằng các thay đổi phần mềm. Các luật sư của “các nhà hoạt động vì cuộc bầu cử liêm chính”, đã tham gia vào các vụ kiện về Hệ thống Dominion mới của Georgia, bày tỏ lo ngại về “mức độ nghiêm trọng của vấn đề và tính bảo mật của việc sửa chữa vào phút chót”.
Dominion đã gửi bản sửa lỗi phần mềm cho Pro V&V để đánh giá. Đáng chú ý, Pro V&V gần đây đã cung cấp chứng nhận thử nghiệm cho Dominion’s Democracy Suite 5.5-C vào ngày 20/4/2020 và ngày 16/6/2020, dẫn đến việc cấp Chứng nhận EAC ngày 9/7/2020 nhưng không phát hiện ra sự cố phần mềm vào thời điểm đó.
Ngày 1/10, một phiên điều trần qua Zoom đã diễn ra và nội dung đã được ghi lại. Tiến sĩ Coomer từ Dominion đã tham gia cuộc họp qua Zoom. Mặc dù không để tên riêng, nhưng dường như nó ám chỉ Tiến sĩ Eric Coomer, Giám đốc Chiến lược Sản phẩm và Bảo mật của Hệ thống Bỏ phiếu Dominion.
Coomer nói với Tòa án rằng ông ấy tin rằng sự thay đổi phần mềm là “không đáng kể”, nhưng tuyên bố rằng Dominion không đưa ra quyết định đó mà thay vào đó “gửi phiên bản mới đến phòng thí nghiệm uy tín, trong trường hợp này là Pro V&V. Họ phân tích sự thay đổi. Họ nhìn vào mã. Và họ xác định xem đây có phải là tỷ lệ thay đổi không đáng kể hay không”.
Sau đó trong phiên điều trần, Coomer được hỏi liệu ông ta có biết ai tại Pro V&V đang thực hiện kiểm tra phần mềm không. Coomer nói ông ta không biết và lưu ý rằng “Tôi không rõ cấu trúc nhân viên của ProV&V.”
Tuyên bố này của Coomer có vẻ kỳ cục vì chỉ có ba nhân viên của Pro V&V được nhắc đến trong các tài liệu cần rà soát; Jack Cobb, Michael Walker và Wendy Owens. Chính Owens và Walker đã thực hiện cuộc Kiểm tra ngày 26/11/2019 để cấp Chứng nhận Hệ thống bầu cử Dominion Democracy Suite 5.5-A và chính hai cá nhân này đã thực hiện việc Kiểm tra ngày 13/4/2020 và ngày 16/6/2020 cho Democracy Suite 5,5-C của Dominion. Ngoài ra, Pro V&V và Dominion đều là thành viên của cùng một hội đồng CISA.
Thật vậy, vào ngày 2/10/2020, Wendy Owens của Pro V&V đã gửi một lá thư xác nhận “rằng phiên bản phần mềm ICX này đã khắc phục sự cố hiển thị hai cột”. Bức thư kết thúc với một khuyến nghị từ Pro V&V rằng thay đổi phần mềm đối với hệ thống của Dominion sẽ được “coi là không đáng kể”.
Ngày 3/10, Tiến sĩ J. Alex Halderman đã đệ trình một tuyên bố bác bỏ các quy trình thử nghiệm của Pro V&V, lưu ý rằng “báo cáo nói rõ Pro V&V chỉ thực hiện thử nghiệm sơ lược phần mềm mới này. Công ty đã không cố gắng xác minh độc lập nguyên nhân của vấn đề hiển thị phiếu bầu, cũng như không xác minh đầy đủ rằng những thay đổi có phải là giải pháp hiệu quả hay không. Pro V&V dường như cũng không nỗ lực để kiểm tra xem các thay đổi có tạo ra các vấn đề mới ảnh hưởng đến độ tin cậy, độ chính xác hoặc bảo mật của hệ thống BMD hay không”.
Ngày 11/10, Thẩm phán Amy Totenberg trong vụ án đã đưa ra phán quyết rằng “Bất chấp các vấn đề sâu sắc mà Nguyên đơn nêu ra, Tòa án không thể vượt qua ranh giới pháp lý và gây ra sự gián đoạn lớn trong quy trình chính đã được thiết lập hợp pháp của tiểu bang.”
Mặc dù Thẩm phán Totenberg đã ra phán quyết cho phép Hệ thống Dominion được sử dụng trong cuộc bầu cử ngày 3/11/2020, bà đã bày tỏ những lo ngại thực sự, nói rõ “rủi ro không phải là giả thuyết và cũng không xa vời”.
Bà cũng lưu ý rằng Jack Cobb, Giám đốc của Pro V&V, “thực sự không chứng minh được rằng mình có nền tảng và kiến thức chuyên môn về kỹ thuật an ninh mạng và bản thân cũng không thực hiện bất kỳ phân tích rủi ro bảo mật nào về hệ thống BMD [Thiết bị đánh dấu phiếu bầu].” Thay vào đó, “các bị cáo của Tiểu bang dựa vào lời khai của Tiến sĩ Coomer để giải quyết — dựa trên kinh nghiệm làm việc của ông — một số vấn đề quan trọng về an ninh mạng mà Nguyên đơn nêu ra”.
