Kibernetinės atakos prieš JK rinkimų komisiją, dėl kurios buvo pažeisti 40 milijonų žmonių rinkėjų registro įrašai, buvo visiškai išvengta, jei organizacija taikytų pagrindines saugumo priemones, teigiama šią savaitę paskelbtoje JK duomenų apsaugos priežiūros tarnybos smerkiančioje ataskaitoje.
JK Informacijos komisaro biuro pirmadienį paskelbtoje ataskaitoje rinkimų komisija, tvarkanti JK piliečių, turinčių teisę balsuoti rinkimuose, registro kopijas, kaltinama dėl daugybės saugumo trūkumų, dėl kurių 2021 m. rugpjūčio mėn. buvo pagrobta masinė rinkėjų informacija.
Rinkimų komisija savo sistemų pažeidimą aptiko tik daugiau nei po metų 2022-ųjų spalį ir prireikė iki 2023-ųjų rugpjūčio, kol viešai paskelbė apie metus trukusį duomenų pažeidimą.
Viešai paskelbus informaciją, Komisija teigė, kad įsilaužėliai įsilaužė į serverius, kuriuose buvo jos el. paštas, ir pavogė, be kita ko, JK rinkėjų registrų kopijas. Šiuose registruose saugoma informacija apie rinkėjus, kurie užsiregistravo 2014–2022 m., įskaitant vardus, pašto adresus, telefono numerius ir neviešą rinkėjų informaciją.
JK vyriausybė vėliau priskyrė įsibrovimą Kinijai, o aukšti pareigūnai perspėjo, kad pavogti duomenys gali būti panaudoti „stambaus masto šnipinėjimui ir tarptautinėms represijoms prieš numanomus disidentus ir kritikus JK“. Kinija neigė prisidėjusi prie pažeidimo.
ICO pirmadienį paskelbė oficialų priekaištą rinkimų komisijai dėl JK duomenų apsaugos įstatymų pažeidimo ir pridūrė: „Jei rinkimų komisija būtų ėmusi pagrindinių veiksmų, kad apsaugotų savo sistemas, pvz., veiksmingą saugumo pataisymą ir slaptažodžių valdymą, labai tikėtina, kad duomenų pažeidimo nebūtų buvę“.
Savo ruožtu rinkimų komisija trumpame pareiškime po ataskaitos paskelbimo pripažino, kad „nebuvo įdiegta pakankamai apsaugos priemonių, kad būtų užkirstas kelias kibernetinei atakai prieš Komisiją“.
Iki ICO ataskaitos nebuvo aišku, kas lėmė dešimčių milijonų JK rinkėjų informacijos kompromisą arba kas galėjo būti padaryta kitaip.
Dabar žinome, kad ICO konkrečiai apkaltino Komisiją, kad ji nepataisė „žinomų programinės įrangos pažeidžiamumų“ savo el. pašto serveryje, o tai buvo pirmasis įsilaužimo taškas, kuris įsilaužė į rinkėjų duomenis. Ataskaitoje taip pat patvirtinama 2023 m. TechCrunch pateikta detalė, kad Komisijos el. laiškas buvo savarankiškai priglobtas Microsoft Exchange serveris.
Savo ataskaitoje ICO patvirtino, kad mažiausiai dvi kenkėjiškų įsilaužėlių grupės 2021 ir 2022 m. įsiveržė į Komisijos savarankiškai priglobtą Exchange serverį, naudodamos trijų pažeidžiamumų, bendrai vadinamų ProxyShell, grandinę, kuri leido įsilaužėliams įsilaužti ir perimti kontrolę. , ir įterpkite į serverį kenkėjišką kodą.
„Microsoft“ išleido „ProxyShell“ pataisas prieš kelis mėnesius 2021 m. balandžio ir gegužės mėn., tačiau Komisija jų neįdiegė.
2021 m. rugpjūčio mėn. JAV kibernetinio saugumo agentūra CISA pradėjo skleisti pavojaus signalą, kad kenkėjiški įsilaužėliai aktyviai naudojasi „ProxyShell“, o tada bet kuri organizacija, turinti veiksmingą saugos pataisų procesą, jau prieš kelis mėnesius išleido pataisymus ir jau buvo apsaugota. Rinkimų komisija nebuvo viena iš tų organizacijų.
„Rinkimų komisija incidento metu neturėjo tinkamo pataisymo režimo“, – rašoma ICO ataskaitoje. „Ši nesėkmė yra pagrindinė priemonė“.
Tarp kitų svarbių saugumo problemų, nustatytų ICO tyrimo metu, rinkimų komisija leido atspėti slaptažodžius, kurie buvo „labai jautrūs“, ir kad Komisija patvirtino, kad „žinojo“, kad jos infrastruktūros dalis yra pasenusi.
ICO komisaro pavaduotojas Stephenas Bonneris pareiškime dėl ICO ataskaitos ir priekaištų sakė: „Jei rinkimų komisija būtų ėmusi pagrindinių veiksmų, kad apsaugotų savo sistemas, pvz., veiksmingą saugos pataisymą ir slaptažodžių valdymą, labai tikėtina, kad šis duomenų pažeidimas nebūtų įvyko.”
Kodėl ICO nepaskyrė baudos rinkimų komisijai?
Visiškai išvengiama kibernetinė ataka, atskleidusi 40 milijonų JK rinkėjų asmens duomenis, gali atrodyti kaip pakankamai rimtas pažeidimas, kad rinkimų komisija būtų baudžiama ne tik papeikimu, o bauda. Vis dėlto ICO paskelbė tik viešą apsikeitimą dėl nerūpestingo saugumo.
Viešojo sektoriaus įstaigoms už duomenų apsaugos taisyklių pažeidimą praeityje buvo taikomos nuobaudos. Tačiau 2022 m. birželio mėn., valdant ankstesnei konservatorių vyriausybei, ICO paskelbė, kad išbandys peržiūrėtą požiūrį į viešųjų įstaigų vykdymą.
Reguliuotojas teigė, kad politikos pakeitimas reiškia, kad valdžios institucijos greičiausiai nesulauks didelių baudų už pažeidimus ateinančius dvejus metus, net jei ICO siūlė, kad incidentai vis tiek bus nuodugniai ištirti. Tačiau sektoriui buvo liepta tikėtis didesnio papeikimų ir kitų vykdymo galių, o ne baudų.
Atvirame laiške, paaiškinančiame šį žingsnį tuo metu, informacijos komisaras Johnas Edwardsas rašė: „Nesu įsitikinęs, kad didelės baudos savaime yra tokia pat veiksminga atgrasymo priemonė viešajame sektoriuje. Jie nedaro tokio poveikio akcininkams ar atskiriems direktoriams, kaip privačiajame sektoriuje, bet tiesiogiai gaunami iš paslaugų teikimo biudžeto. Viešojo sektoriaus baudos poveikis taip pat dažnai pastebimas nukentėjusiems nuo pažeidimo – sumažinant gyvybiškai svarbioms paslaugoms skiriamą biudžetą, o ne pažeidėjus. Tiesą sakant, žmonės, paveikti pažeidimo, yra baudžiami du kartus.
Iš pirmo žvilgsnio gali atrodyti, kad rinkimų komisijai teko laimė aptikti savo pažeidimą per dvejus metus trukusią ICO švelnesnio požiūrio į sektorių vykdymą bandymą.
Kartu su ICO, teigdama, kad bus išbandyta mažiau sankcijų už viešojo sektoriaus duomenų pažeidimus, Edwardsas teigė, kad reguliuotojas imsis aktyvesnės darbo eigos, kad būtų informuoti vyresnieji valdžios institucijų vadovai, siekdama pakelti standartus ir užtikrinti, kad vyriausybinės institucijos laikytųsi duomenų apsaugos. žalos prevencijos metodas.
Tačiau kai Edwardsas atskleidė planą išbandyti švelnesnio vykdymo ir iniciatyvaus informavimo derinimą, jis pripažino, kad tam prireiks pastangų iš abiejų pusių, ir rašė:[W]mes negalime to padaryti patys. Turi būti atskaitinga, kad šie patobulinimai būtų įgyvendinami iš visų pusių.
Todėl rinkimų komisijos pažeidimas gali sukelti platesnius klausimus dėl ICO teismo sėkmės, įskaitant tai, ar viešojo sektoriaus institucijos išlaikė savo poziciją dėl sandorio, kuris turėjo pateisinti švelnesnį vykdymą.
Tikrai neatrodo, kad rinkimų komisija buvo pakankamai aktyvi vertindama pažeidimo riziką pirmaisiais ICO tyrimo mėnesiais, t. y. prieš tai, kai 2022 m. spalį aptiko įsibrovimą. Pavyzdžiui, „pagrindinė priemonė“ skamba kaip išvengiamo duomenų saugumo pažeidimo apibrėžimas, kurį reguliuotojas teigė norintis pakeisti viešojo sektoriaus politiką.
Tačiau šiuo atveju ICO tvirtina, kad šiuo atveju ji netaikė švelnesnės viešojo sektoriaus vykdymo politikos.
Atsakydama į klausimus, kodėl rinkimų komisijai nepaskyrė nuobaudos, ICO atstovė spaudai Lucy Milburn sakė „TechCrunch“: „Atlikus išsamų tyrimą, bauda šiuo atveju nebuvo svarstoma. Nepaisant nukentėjusių asmenų skaičiaus, buvo pateikti tik rinkėjų registre esantys vardai ir adresai. Mūsų tyrimas nerado jokių įrodymų, kad asmens duomenimis buvo piktnaudžiaujama arba kad dėl šio pažeidimo buvo padaryta kokia nors tiesioginė žala.
„Rinkimų komisija ėmėsi būtinų veiksmų, kurių tikimės, kad po to pagerintų jos saugumą, įskaitant infrastruktūros modernizavimo plano įgyvendinimą, slaptažodžių politikos kontrolę ir kelių veiksnių autentifikavimą visiems vartotojams“, – pridūrė atstovas.
Kaip teigia reguliuotojas, bauda nebuvo skirta, nes nebuvo piktnaudžiaujama jokiais duomenimis, tiksliau, ICO nerado jokių piktnaudžiavimo įrodymų. Vien tik 40 milijonų rinkėjų informacijos atskleidimas neatitiko ICO ribos.
Galima būtų stebėtis, kiek reguliavimo institucijos tyrimo metu buvo siekiama išsiaiškinti, kaip galėjo būti piktnaudžiaujama rinkėjų informacija?
Grįžtant prie ICO viešojo sektoriaus vykdymo tyrimo birželio pabaigoje, eksperimentui artėjant prie dvejų metų ribos, reguliuotojas paskelbė pareiškimą, kuriame sakoma, kad prieš rudenį priimdama sprendimą dėl savo sektoriaus požiūrio ateityje peržiūrės politiką.
Ar politika laikysis, ar bus pereita prie mažiau papeikimų ir daugiau baudų už viešojo sektoriaus duomenų pažeidimus, dar reikia pamatyti. Nepaisant to, rinkimų komisijos pažeidimo byla rodo, kad ICO nenori taikyti sankcijų viešajam sektoriui – nebent žmonių duomenų atskleidimas gali būti susietas su akivaizdžiai padaryta žala.
Neaišku, kaip reguliavimo metodas, kuriame atsisakoma atgrasymo, padės sustiprinti duomenų apsaugos standartus visoje vyriausybėje.