بر اساس یافته‌های گزارش اهانت‌آمیز دیده‌بان حفاظت از داده‌های بریتانیا که در این هفته منتشر شد، یک حمله سایبری به کمیسیون انتخابات بریتانیا که منجر به نقض داده‌های سوابق رای دهندگان 40 میلیون نفر شد، در صورتی که این سازمان از اقدامات امنیتی اولیه استفاده می‌کرد، کاملاً قابل پیشگیری بود.

گزارشی که روز دوشنبه توسط دفتر کمیساریای اطلاعات بریتانیا منتشر شد، کمیسیون انتخابات را که کپی‌هایی از ثبت نام شهروندان بریتانیایی واجد شرایط رای دادن در انتخابات را نگهداری می‌کند، به خاطر یک سری نقص‌های امنیتی که منجر به سرقت گسترده اطلاعات رای‌دهندگان از اوت ۲۰۲۱ شد، مقصر دانست.

کمیسیون انتخابات بیش از یک سال بعد در اکتبر 2022 به خطر افتادن سیستم‌های خود پی نبرد و تا آگوست 2023 به طور علنی افشای نقض داده‌های یک سال طول کشید.

کمیسیون در زمان افشای عمومی اعلام کرد که هکرها به سرورهای حاوی ایمیل آن نفوذ کرده و از جمله کپی‌های ثبت نام انتخابات بریتانیا را سرقت کرده‌اند. این فهرست‌ها اطلاعات رای‌دهندگانی را که بین سال‌های 2014 تا 2022 ثبت نام کرده‌اند، ذخیره می‌کنند و شامل نام، آدرس پستی، شماره تلفن و اطلاعات غیرعمومی رای‌دهندگان می‌شوند.

دولت بریتانیا بعداً این نفوذ را به چین نسبت داد و مقامات ارشد هشدار دادند که داده‌های سرقت شده می‌تواند برای «جاسوسی در مقیاس بزرگ و سرکوب فراملی مخالفان و منتقدان در بریتانیا» مورد استفاده قرار گیرد. چین دست داشتن در این نقض را رد کرد.

ICO روز دوشنبه رسماً کمیسیون انتخابات را به دلیل نقض قوانین حفاظت از داده‌های بریتانیا مورد سرزنش قرار داد و گفت : «اگر کمیسیون انتخابات گام‌های اساسی برای محافظت از سیستم‌های خود مانند وصله‌های امنیتی مؤثر و مدیریت رمز عبور برداشته بود، به احتمال زیاد نقض داده ها اتفاق نمی افتاد.»

به نوبه خود، کمیسیون انتخابات در بیانیه ای کوتاه پس از انتشار این گزارش پذیرفت که "حفاظت کافی برای جلوگیری از حمله سایبری به کمیسیون وجود ندارد."

تا قبل از گزارش ICO، دقیقاً مشخص نبود که چه چیزی منجر به به خطر افتادن اطلاعات ده‌ها میلیون رأی‌دهنده بریتانیا شد - یا اینکه چه کاری می‌توانست به گونه‌ای دیگر انجام شود.

اکنون می‌دانیم که ICO به‌طور مشخص کمیسیون را به دلیل اصلاح نکردن «آسیب‌پذیری‌های نرم‌افزاری شناخته‌شده» در سرور ایمیل خود، که نقطه اولیه نفوذ هکرهایی بود که با مجموعه‌ای از داده‌های رأی‌دهندگان مواجه شدند، سرزنش کرد. این گزارش همچنین جزئیاتی را که توسط TechCrunch در سال 2023 گزارش شده بود تأیید می کند که ایمیل کمیسیون یک سرور Microsoft Exchange خود میزبانی شده بود.

ICO در گزارش خود تأیید کرد که حداقل دو گروه از هکرهای مخرب در طول سال‌های 2021 و 2022 با استفاده از زنجیره‌ای از سه آسیب‌پذیری که در مجموع به نام ProxyShell نامیده می‌شوند، به سرور Exchange خود میزبان کمیسیون نفوذ کرده‌اند که به هکرها اجازه نفوذ و کنترل را می‌دهد. و کدهای مخرب را روی سرور نصب کنید.

مایکروسافت چندین ماه قبل در آوریل و می 2021 وصله‌هایی را برای ProxyShell منتشر کرد، اما کمیسیون آنها را نصب نکرده بود.

در آگوست 2021، آژانس امنیت سایبری ایالات متحده CISA زنگ خطر را به صدا درآورد که هکرهای مخرب به طور فعال از ProxyShell سوء استفاده می کنند، در این مرحله هر سازمانی که یک فرآیند وصله امنیتی موثر در محل داشته باشد، قبلاً از ماه ها قبل اصلاحات را انجام داده و قبلاً محافظت شده است. کمیسیون انتخابات یکی از آن سازمان ها نبود.

در گزارش ICO آمده است: «کمیسیون انتخابات رژیم وصله مناسبی در زمان وقوع حادثه نداشت. "این شکست یک اقدام اساسی است. "

در میان دیگر مسائل امنیتی قابل توجهی که در طول تحقیقات ICO کشف شد، کمیسیون انتخابات اجازه داد تا رمز عبورهایی را که «بسیار حساس» بودند حدس بزنند، و کمیسیون تأیید کرد که «آگاه است» که بخش‌هایی از زیرساخت‌های آن قدیمی هستند.

استفان بونر، معاون کمیسر ICO در بیانیه‌ای درباره گزارش و توبیخ ICO گفت: «اگر کمیسیون انتخابات گام‌های اساسی برای محافظت از سیستم‌های خود، مانند وصله‌های امنیتی مؤثر و مدیریت رمز عبور برداشته بود، به احتمال زیاد این نقض داده‌ها انجام نمی‌شد. اتفاق افتاد.»

چرا ICO کمیسیون انتخابات را جریمه نکرد؟

یک حمله سایبری کاملاً قابل پیشگیری که اطلاعات شخصی 40 میلیون رای‌دهنده بریتانیا را فاش کرد، ممکن است مانند یک نقض جدی به نظر برسد که کمیسیون انتخابات با جریمه جریمه و نه فقط توبیخ مجازات شود. با این حال، ICO فقط یک پوشش عمومی برای امنیت شلخته صادر کرده است.

نهادهای بخش عمومی در گذشته به دلیل نقض قوانین حفاظت از داده ها با مجازات هایی روبرو شده اند. اما در ژوئن 2022 تحت دولت محافظه‌کار قبلی، ICO اعلام کرد که رویکرد تجدیدنظر شده برای اجرای قانون در نهادهای عمومی را آزمایش خواهد کرد.

رگولاتور بيان کرد که تغییر سیاست به این معنی است که مقامات دولتی بعید به نظر می‌رسند که جریمه‌های بزرگی برای تخلفات در دو سال آینده اعمال شوند، حتی با وجود اینکه ICO پیشنهاد کرده بود که حوادث هنوز به طور کامل تحلیل شوند. اما به این بخش گفته شد که به جای جریمه، انتظار افزایش استفاده از توبیخ و سایر اختیارات اجرایی را داشته باشد.

جان ادواردز، کمیسر اطلاعات، در نامه‌ای سرگشاده در توضیح این اقدام در آن زمان نوشت: «من متقاعد نشده‌ام که جریمه‌های کلان به خودی خود به همان اندازه یک عامل بازدارنده در بخش دولتی باشد. آنها مانند بخش خصوصی بر سهامداران یا مدیران فردی تأثیر نمی گذارند، بلکه مستقیماً از بودجه ارائه خدمات می آیند. تأثیر جریمه‌های بخش عمومی نیز اغلب بر قربانیان نقض، به شکل کاهش بودجه برای خدمات حیاتی، نه مرتکبان، دیده می‌شود. در واقع، افرادی که تحت تأثیر یک تخلف قرار می گیرند، دو بار مجازات می شوند."

در یک نگاه، ممکن است به نظر برسد که کمیسیون انتخابات این شانس را داشته است که نقض خود را در آزمایش دو ساله ICO با رویکردی نرم‌تر برای اجرای بخش‌ها کشف کند.

ادواردز در هماهنگی با ICO بيان کرد که تحریم‌های کمتری را برای نقض داده‌های بخش عمومی آزمایش می‌کند، ادواردز بيان کرد که تنظیم‌کننده جریان کاری فعال‌تری را برای اطلاع‌رسانی به رهبران ارشد در مقامات دولتی اتخاذ خواهد کرد تا در تلاش برای افزایش استانداردها و ایجاد انطباق با حفاظت از داده‌ها در سراسر نهادهای دولتی از طریق یک قانون باشد. رویکرد پیشگیری از آسیب

با این حال، زمانی که ادواردز طرح آزمایش ترکیب اجرای نرم‌تر با اقدامات پیشگیرانه را فاش کرد، اذعان کرد که این کار به تلاش در هر دو طرف نیاز دارد و نوشت: «ما نمی‌توانیم به تنهایی این کار را انجام دهیم. برای ارائه این پیشرفت ها از همه طرف باید پاسخگویی وجود داشته باشد.»

پس ، نقض کمیسیون انتخابات ممکن است سؤالات گسترده‌تری را در مورد موفقیت محاکمه ICO ایجاد کند، از جمله اینکه آیا مقامات بخش دولتی از معامله‌ای که قرار بود اجرای نرم‌تر را توجیه می‌کرد، حمایت کرده‌اند یا خیر.

مطمئناً به نظر نمی رسد که کمیسیون انتخابات به اندازه کافی در ارزیابی خطرات نقض در ماه های اولیه آزمایش ICO فعال بوده باشد - یعنی قبل از اینکه نفوذ را در اکتبر 2022 کشف کند. برای مثال، یک «اقدام اساسی» شبیه تعریف نقض داده‌های قابل اجتناب است که تنظیم‌کننده گفته بود می‌خواهد سیاست بخش عمومی خود را پاکسازی کند.

با این حال، در این مورد، ICO ادعا می کند که سیاست اجرای نرم تر بخش عمومی را در این مورد اعمال نکرده است.

لوسی میلبرن، سخنگوی ICO، در پاسخ به پرسش‌هایی در مورد اینکه چرا کمیسیون انتخابات را جریمه نمی‌کند، به تک‌کرانچ گفت: «پس از بررسی‌های کامل، جریمه‌ای برای این پرونده در نظر گرفته نشد. علیرغم تعداد افرادی که تحت تأثیر قرار گرفته اند، داده های شخصی مربوط به اساساً به نام ها و آدرس های موجود در فهرست انتخابات محدود شده است. تحقیقات ما هیچ مدرکی مبنی بر سوء استفاده از داده‌های شخصی یا آسیب مستقیم ناشی از این نقض پیدا ن کرد. »

سخنگوی کمیسیون انتخابات گفت : "کمیسیون انتخابات اکنون اقدامات لازم را انجام داده است که ما انتظار داریم تا امنیت خود را پس از آن بهبود ببخشیم، از جمله اجرای طرحی برای نوسازی زیرساخت های آنها، همچنین کنترل های سیاست رمز عبور و احراز هویت چند عاملی برای همه کاربران."

همانطور که رگولاتور می گوید، هیچ جریمه ای صادر نشده است زیرا هیچ داده ای مورد سوء استفاده قرار نگرفته است، یا بهتر است بگوییم، ICO هیچ مدرکی مبنی بر سوء استفاده پیدا ن کرد. صرف افشای اطلاعات 40 میلیون رای‌دهنده، با محدودیت ICO مواجه نشد.

ممکن است تعجب کنید که چقدر از تحقیقات تنظیم کننده بر این موضوع متمرکز شده است که چگونه از اطلاعات رای دهندگان سوء استفاده شده است؟

در بازگشت به محاکمه اجرای بخش عمومی ICO در اواخر ژوئن، با نزدیک شدن این آزمایش به مرز دو ساله، تنظیم کننده بیانیه ای صادر کرد و بيان کرد که قبل از تصمیم گیری در مورد آینده رویکرد بخشی خود در پاییز، این سیاست را تحلیل خواهد کرد.

اینکه آیا این سیاست پایبند است یا تغییری به سوی توبیخ‌های کمتر و جریمه‌های بیشتر برای نقض داده‌های بخش عمومی وجود دارد، باید مشخص شود. صرف نظر از این، پرونده نقض کمیسیون انتخابات نشان می دهد که ICO تمایلی به تحریم بخش عمومی ندارد - مگر اینکه افشای داده های افراد با آسیب قابل اثبات مرتبط باشد.

مشخص نیست که چگونه یک رویکرد نظارتی که در زمینه بازدارندگی سهل است به افزایش استانداردهای حفاظت از داده در سراسر دولت کمک می کند.

خبرکاو