İngiltere’nin veri koruma düzenleyicisi tarafından bu hafta yayınlanan yıkıcı bir raporda, İngiltere Seçim Komisyonu’na yönelik 40 milyon kişinin seçmen kayıtlarının ihlaliyle sonuçlanan siber saldırının, kurumun temel güvenlik önlemleri kullanması halinde tamamen önlenebilir olduğu belirtildi.
Rapor İngiltere Bilgi Komiserliği Ofisi tarafından yayınlanmıştır Pazartesi günü, seçimlerde oy kullanmaya uygun İngiltere vatandaşlarının kayıtlarının kopyalarını tutan Seçim Komisyonu’nu, Ağustos 2021’den bu yana kitlesel seçmen bilgisi hırsızlığına yol açan bir dizi güvenlik zaafından sorumlu tuttu.
Seçim Komisyonu, sistemlerindeki ihlalin farkına bir yıldan fazla bir süre sonra, Ekim 2022’de vardı ve bir yıl süren veri ihlalini kamuoyuna açıklamak için Ağustos 2023’e kadar bekledi.
Komisyon, kamuoyuna açıklandığı sırada, bilgisayar korsanlarının e-postasını içeren sunuculara girdiğini ve diğer şeylerin yanı sıra Birleşik Krallık seçim kayıtlarının kopyalarını çaldığını söyledi. Bu kayıtlar, 2014 ile 2022 arasında kayıt yaptıran seçmenlerle ilgili bilgileri saklıyor ve adları, posta adreslerini, telefon numaralarını ve kamuya açık olmayan seçmen bilgilerini içeriyor.
İngiltere hükümeti daha sonra bu müdahaleyi Çin’e bağladıile üst düzey yetkililer uyarıyor Çalınan verilerin “İngiltere’deki muhalif ve eleştirmen olarak algılanan kişilere yönelik büyük ölçekli casusluk ve ulusötesi baskı” için kullanılabileceği iddia edildi. Çin, ihlalde rolü olduğu iddialarını reddetti.
ICO, Pazartesi günü Seçim Komisyonu’nu İngiltere veri koruma yasalarını ihlal ettiği gerekçesiyle resmen kınadı ve ekledi: “Seçim Komisyonu sistemlerini korumak için etkili güvenlik yamaları ve parola yönetimi gibi temel adımlar atmış olsaydı, bu veri ihlalinin yaşanma olasılığı oldukça düşük olurdu.”
Seçim Komisyonu ise, kısa bir açıklama Raporun yayımlanmasının ardından “Komisyona yönelik siber saldırıyı önlemek için yeterli koruma önlemlerinin alınmadığı” belirtildi.
ICO’nun raporuna kadar, İngiltere’deki on milyonlarca seçmenin bilgilerinin tam olarak neyin tehlikeye atıldığı veya farklı bir şekilde ne yapılabileceği net değildi.
Şimdi ICO’nun, e-posta sunucusundaki “bilinen yazılım açıklarını” düzeltmediği için Komisyonu özellikle suçladığını biliyoruz; bu, seçmen verilerinin yığınlarını çalan bilgisayar korsanlarının ilk saldırı noktasıydı. Rapor ayrıca, TechCrunch’ın 2023’te bildirdiği gibi, Komisyon’un e-postasının kendi kendine barındırılan bir Microsoft Exchange sunucusu olduğu ayrıntısını da doğruluyor.
ICO, raporunda, en az iki kötü niyetli bilgisayar korsanının 2021 ve 2022 yıllarında üç güvenlik açığından oluşan bir zincir kullanarak Komisyon’un kendi kendine barındırılan Exchange sunucusuna girdiğini doğruladı topluca ProxyShell olarak anılırBu da bilgisayar korsanlarının sunucuya girip kontrolü ele geçirmesine ve kötü amaçlı kod yerleştirmesine olanak sağladı.
Microsoft, ProxyShell için yamaları birkaç ay önce Nisan ve Mayıs 2021’de yayınlamıştı ancak Komisyon bunları yüklememişti.
Ağustos 2021 itibarıyla ABD siber güvenlik ajansı CISA alarm çalmaya başladı kötü niyetli bilgisayar korsanlarının ProxyShell’i aktif olarak istismar ettiği, bu noktada etkili bir güvenlik düzeltme süreci uygulayan herhangi bir kuruluşun aylar önce düzeltmeleri yayınladığı ve zaten korunduğu. Seçim Komisyonu bu kuruluşlardan biri değildi.
ICO raporunda, “Seçim Komisyonu olay sırasında uygun bir yama rejimine sahip değildi” ifadeleri yer aldı. “Bu başarısızlık temel bir önlemdir.”
ICO’nun soruşturması sırasında keşfedilen diğer önemli güvenlik sorunları arasında, Seçim Komisyonu’nun “son derece hassas” şifrelerin tahmin edilmesine izin vermesi ve Komisyonun altyapısının bazı bölümlerinin güncel olmadığının “farkında” olduğunu doğrulaması yer alıyor.
ICO yardımcı komiseri Stephen Bonner, ICO’nun raporu ve uyarısı hakkında yaptığı açıklamada, “Seçim Komisyonu sistemlerini korumak için etkili güvenlik yamaları ve parola yönetimi gibi temel adımlar atmış olsaydı, bu veri ihlalinin yaşanma olasılığı çok düşük olurdu.” dedi.
İKO Seçim Komisyonu’na neden ceza kesmedi?
40 milyon İngiltere seçmeninin kişisel verilerini ifşa eden tamamen önlenebilir bir siber saldırı, Seçim Komisyonu’nun sadece bir uyarı değil, para cezasıyla cezalandırılması için yeterince ciddi bir ihlal gibi görünebilir. Yine de, ICO yalnızca özensiz güvenlik için kamuoyuna bir kınama yayınladı.
Kamu sektörü kuruluşları geçmişte veri koruma kurallarını ihlal ettikleri için cezalarla karşı karşıya kaldılar. Ancak Haziran 2022 Önceki muhafazakar hükümet döneminde ICO, kamu kurumlarına yönelik yaptırımlara ilişkin gözden geçirilmiş bir yaklaşımı deneyeceğini duyurmuştu.
Düzenleyici, politika değişikliğinin kamu otoritelerinin önümüzdeki iki yıl boyunca ihlaller için büyük para cezaları almasının pek olası olmadığı anlamına geldiğini, ICO’nun olayların hala kapsamlı bir şekilde araştırılacağını önermesine rağmen söyledi. Ancak sektöre para cezaları yerine uyarıların ve diğer yaptırım yetkilerinin daha fazla kullanılmasının beklenmesi gerektiği söylendi.
Birinde açık mektup O dönemdeki hareketi açıklayan bilgi komisyoneri John Edwards şunları yazmıştı: “Büyük para cezalarının tek başına kamu sektöründe caydırıcı bir etkiye sahip olduğuna ikna olmadım. Bunlar hissedarları veya bireysel yöneticileri özel sektördeki kadar etkilemiyor, doğrudan hizmet sunumu bütçesinden geliyor. Kamu sektörü para cezasının etkisi de genellikle ihlalin kurbanlarına, hayati hizmetler için bütçelerin azaltılması şeklinde oluyor, faillere değil. Aslında, ihlalden etkilenen kişiler iki kez cezalandırılıyor.”
İlk bakışta, Seçim Komisyonu’nun, ICO’nun sektörel yaptırımlara yönelik daha yumuşak bir yaklaşım denemesi sırasında kendi ihlalini keşfetme şansına sahip olduğu düşünülebilir.
ICO’nun kamu sektöründeki veri ihlalleri için daha az yaptırım uygulayacağını açıklamasıyla uyumlu olarak Edwards, düzenleyicinin zarar önleme yaklaşımıyla hükümet organları genelinde standartları yükseltmek ve veri koruma uyumluluğunu sağlamak için kamu otoritelerindeki üst düzey yöneticilere ulaşma konusunda daha proaktif bir iş akışı benimseyeceğini söyledi.
Ancak Edwards, daha yumuşak yaptırımları proaktif bir yaklaşımla birleştirme planını açıkladığında, bunun her iki tarafta da çaba gerektireceğini kabul ederek şunları yazdı: “[W]Bunu kendi başımıza yapamayız. Bu iyileştirmeleri sağlamak için her tarafta hesap verebilirlik olmalı.”
Seçim Komisyonu’nun ihlali, ICO davasının başarısı hakkında daha geniş soruları gündeme getirebilir; bunlar arasında, kamu sektörü yetkililerinin, daha yumuşak bir uygulama gerekçesi olması gereken bir anlaşmanın kendi taraflarını yerine getirip getirmedikleri de yer alıyor.
Elbette Seçim Komisyonu’nun ICO davasının ilk aylarında ihlal risklerini değerlendirmede yeterince proaktif olduğu görünmüyor; yani, Ekim 2022’de ihlali keşfetmeden önce. Örneğin, ICO’nun Komisyonun bilinen yazılım kusurunu düzeltmedeki başarısızlığını “temel bir önlem” olarak adlandırması, düzenleyicinin kamu sektörü politika değişikliğinin temizlemesini istediğini söylediği önlenebilir bir veri ihlali tanımına benziyor.
Ancak bu durumda ICO, daha yumuşak kamu sektörü uygulama politikasını uygulamadığını iddia ediyor.
Seçim Komisyonu’na neden ceza vermediğiyle ilgili sorulara yanıt veren ICO sözcüsü Lucy Milburn, TechCrunch’a şunları söyledi: “Kapsamlı bir soruşturmanın ardından, bu dava için para cezası düşünülmedi. Etkilenen kişi sayısına rağmen, söz konusu kişisel veriler esas olarak Seçim Kaydı’nda bulunan adlar ve adreslerle sınırlıydı. Soruşturmamız, kişisel verilerin kötüye kullanıldığına veya bu ihlalin doğrudan herhangi bir zarara yol açtığına dair herhangi bir kanıt bulamadı.”
Sözcü, “Seçim Komisyonu, altyapısını modernize etme planını uygulamaya koymanın yanı sıra tüm kullanıcılar için parola politikası kontrolleri ve çok faktörlü kimlik doğrulaması da dahil olmak üzere, sonrasında güvenliğini iyileştirmek için beklediğimiz gerekli adımları attı” diye ekledi.
Düzenleyicinin söylediğine göre, hiçbir veri kötüye kullanılmadığı için para cezası kesilmedi veya daha doğrusu, ICO kötüye kullanım kanıtı bulamadı. Sadece 40 milyon seçmenin bilgilerini ifşa etmek ICO’nun çıtasını karşılamıyordu.
Düzenleyicinin soruşturmasının ne kadarının seçmen bilgilerinin kötüye kullanılmış olabileceğini bulmaya odaklandığını merak ediyor olabilirsiniz?
ICO’nun kamu sektörü yaptırım denemesine geri dönelim Haziran sonuDeneyin iki yıllık süresi yaklaşırken, düzenleyici kurum, sonbaharda sektörel yaklaşımının geleceği hakkında bir karar vermeden önce politikayı gözden geçireceğini belirten bir açıklama yayınladı.
Politikanın devam edip etmeyeceği veya kamu sektörü veri ihlalleri için daha az uyarı ve daha fazla para cezasına geçiş olup olmayacağı henüz belli değil. Buna rağmen, Seçim Komisyonu ihlal davası, ICO’nun kamu sektörüne yaptırım uygulama konusunda isteksiz olduğunu gösteriyor — insanların verilerini ifşa etmenin kanıtlanabilir bir zararla bağlantısı olmadığı sürece.
Tasarım gereği caydırıcılık konusunda gevşek bir düzenleyici yaklaşımın, hükümet genelinde veri koruma standartlarını yükseltmeye nasıl yardımcı olacağı net değil.