كيف كان من الممكن منع سرقة 40 مليون سجل للناخبين في المملكة المتحدة بالكامل

كان من الممكن منع الهجوم الإلكتروني على اللجنة الانتخابية في المملكة المتحدة والذي أدى إلى خرق بيانات سجلات الناخبين الخاصة بـ 40 مليون شخص، لو استخدمت المنظمة التدابير الأمنية الأساسية، وفقًا للنتائج التي توصل إليها تقرير دامغ صادر عن هيئة مراقبة حماية البيانات في المملكة المتحدة نُشر هذا الأسبوع.

ألقى التقرير الذي نشره مكتب مفوض المعلومات في المملكة المتحدة يوم الاثنين باللوم على اللجنة الانتخابية، التي تحتفظ بنسخ من سجل المملكة المتحدة للمواطنين المؤهلين للتصويت في الانتخابات، في سلسلة من الإخفاقات الأمنية التي أدت إلى السرقة الجماعية لمعلومات الناخبين بدءًا من أغسطس 2021.

ولم تكتشف مفوضية الانتخابات اختراق أنظمتها إلا بعد مرور أكثر من عام في أكتوبر 2022، واستغرقت حتى أغسطس 2023 للكشف علنًا عن خرق البيانات الذي استمر لمدة عام.

وقالت المفوضية في وقت الكشف العلني إن المتسللين اقتحموا خوادم تحتوي على بريدها الإلكتروني وسرقوا، من بين أمور أخرى، نسخًا من السجلات الانتخابية في المملكة المتحدة. تقوم هذه السجلات بتخزين معلومات عن الناخبين الذين سجلوا بين عامي 2014 و2022، وتتضمن الأسماء والعناوين البريدية وأرقام الهواتف ومعلومات الناخبين غير العامة.

ونسبت حكومة المملكة المتحدة في وقت لاحق هذا الاختراق إلى الصين، حيث حذر كبار المسؤولين من أن البيانات المسروقة يمكن استخدامها في “التجسس على نطاق واسع والقمع العابر للحدود الوطنية للمعارضين والمنتقدين في المملكة المتحدة”. ونفت الصين تورطها في الانتهاك.

أصدر مكتب ICO توبيخه الرسمي للجنة الانتخابية يوم الاثنين لانتهاكها قوانين حماية البيانات في المملكة المتحدة، مضيفًا: “إذا كانت اللجنة الانتخابية قد اتخذت خطوات أساسية لحماية أنظمتها، مثل التصحيح الأمني ​​الفعال وإدارة كلمات المرور، فمن المحتمل جدًا أن هذا لم يكن من الممكن أن يحدث خرق للبيانات”.

من جانبها، اعترفت مفوضية الانتخابات في بيان مقتضب عقب نشر التقرير بأنه “لم تكن هناك تدابير حماية كافية لمنع الهجوم السيبراني على المفوضية”.

حتى صدور تقرير ICO، لم يكن من الواضح بالضبط ما الذي أدى إلى اختراق معلومات عشرات الملايين من الناخبين في المملكة المتحدة – أو ما كان يمكن القيام به بشكل مختلف.

الآن نحن نعلم أن ICO ألقى اللوم على المفوضية على وجه التحديد لعدم تصحيح “نقاط الضعف البرمجية المعروفة” في خادم البريد الإلكتروني الخاص بها، والتي كانت نقطة التطفل الأولى للمتسللين الذين تسللوا بحزم من بيانات الناخبين. يؤكد التقرير أيضًا التفاصيل التي أبلغت عنها TechCrunch في عام 2023 والتي تفيد بأن البريد الإلكتروني للجنة كان عبارة عن خادم Microsoft Exchange مستضاف ذاتيًا.

وأكدت منظمة ICO في تقريرها أن مجموعتين على الأقل من المتسللين الخبيثين اخترقت خادم Exchange المستضاف ذاتيًا التابع للمفوضية خلال عامي 2021 و2022 باستخدام سلسلة من ثلاث نقاط ضعف يشار إليها مجتمعة باسم ProxyShell، والتي سمحت للقراصنة بالاقتحام والسيطرة. وزرع تعليمات برمجية ضارة على الخادم.

أصدرت Microsoft تصحيحات لـ ProxyShell قبل عدة أشهر في أبريل ومايو 2021، لكن المفوضية لم تقم بتثبيتها.

بحلول أغسطس 2021، بدأت وكالة الأمن السيبراني الأمريكية CISA في دق ناقوس الخطر من أن المتسللين الخبيثين كانوا يستغلون ProxyShell بنشاط، وعند هذه النقطة كانت أي منظمة لديها عملية تصحيح أمني فعالة قد طرحت بالفعل الإصلاحات منذ أشهر وكانت محمية بالفعل. ولم تكن اللجنة الانتخابية واحدة من تلك المنظمات.

وجاء في تقرير ICO: “لم يكن لدى اللجنة الانتخابية نظام تصحيح مناسب وقت وقوع الحادث”. “هذا الفشل هو إجراء أساسي.”

ومن بين القضايا الأمنية الملحوظة الأخرى التي تم اكتشافها أثناء تحقيق ICO، سمحت اللجنة الانتخابية بتخمين كلمات المرور التي كانت “شديدة التأثر” وأن اللجنة أكدت أنها “على علم” بأن أجزاء من بنيتها التحتية أصبحت قديمة.

وقال نائب مفوض ICO ستيفن بونر في بيان حول تقرير ICO وتوبيخه: “إذا كانت اللجنة الانتخابية قد اتخذت خطوات أساسية لحماية أنظمتها، مثل التصحيح الأمني ​​الفعال وإدارة كلمات المرور، فمن المحتمل جدًا أن خرق البيانات هذا لن يحدث. حدث.”

لماذا لم تغرم اللجنة الانتخابية المستقلة لجنة الانتخابات؟

إن الهجوم السيبراني الذي كان من الممكن منعه بالكامل والذي كشف البيانات الشخصية لأربعين مليون ناخب في المملكة المتحدة قد يبدو وكأنه انتهاك خطير بالقدر الكافي لمعاقبة اللجنة الانتخابية بغرامة، وليس مجرد توبيخ. ومع ذلك، فإن الطرح الأولي للعملة لم يصدر إلا توبيخًا عامًا بسبب عدم كفاية الأمن.

واجهت هيئات القطاع العام عقوبات لخرق قواعد حماية البيانات في الماضي. ولكن في يونيو 2022، في ظل الحكومة المحافظة السابقة، أعلنت منظمة ICO أنها ستجرب نهجًا منقحًا للإنفاذ على الهيئات العامة.

وقالت الهيئة التنظيمية إن تغيير السياسة يعني أنه من غير المرجح أن تشهد السلطات العامة فرض غرامات كبيرة على الانتهاكات خلال العامين المقبلين، حتى مع اقتراح طرح العملة الأولي (ICO) أنه سيتم التحقيق بشكل شامل في الحوادث. لكن قيل للقطاع أن يتوقع زيادة استخدام التوبيخ وسلطات التنفيذ الأخرى، بدلا من الغرامات.

وفي رسالة مفتوحة تشرح هذه الخطوة في ذلك الوقت، كتب مفوض المعلومات جون إدواردز: “لست مقتنعاً بأن الغرامات الكبيرة في حد ذاتها تشكل رادعاً فعالاً داخل القطاع العام. وهي لا تؤثر على المساهمين أو أعضاء مجلس الإدارة بنفس الطريقة التي تؤثر بها في القطاع الخاص ولكنها تأتي مباشرة من الميزانية المخصصة لتقديم الخدمات. غالبًا ما يقع تأثير الغرامة على القطاع العام أيضًا على ضحايا الانتهاك، في شكل تخفيض ميزانيات الخدمات الحيوية، وليس على الجناة. في الواقع، يتم معاقبة الأشخاص المتأثرين بالانتهاك مرتين.

في لمحة سريعة، قد يبدو أن اللجنة الانتخابية كان من حسن حظها أن تكتشف خرقها خلال تجربة ICO التي استمرت لمدة عامين لنهج أكثر ليونة في التنفيذ القطاعي.

وبالتنسيق مع تصريح ICO بأنه سيختبر عقوبات أقل على انتهاكات بيانات القطاع العام، قال إدواردز إن الهيئة التنظيمية ستتبنى سير عمل أكثر استباقية للتواصل مع كبار القادة في السلطات العامة لمحاولة رفع المعايير ودفع الامتثال لحماية البيانات عبر الهيئات الحكومية من خلال نهج منع الضرر.

ومع ذلك، عندما كشف إدواردز عن خطة لاختبار الجمع بين التنفيذ الأكثر ليونة والتواصل الاستباقي، أقر بأن الأمر سيتطلب جهدًا من كلا الطرفين، فكتب: “[W]لا يمكننا أن نفعل هذا بمفردنا. يجب أن تكون هناك مساءلة لتحقيق هذه التحسينات على جميع الأطراف.

وبالتالي فإن خرق اللجنة الانتخابية قد يثير تساؤلات أوسع نطاقاً حول نجاح محاكمة ICO، بما في ذلك ما إذا كانت سلطات القطاع العام قد التزمت بجانبها من الصفقة التي كان من المفترض أن تبرر التنفيذ المخفف.

من المؤكد أنه لا يبدو أن اللجنة الانتخابية كانت استباقية بشكل كافٍ في تقييم مخاطر الاختراق في الأشهر الأولى من تجربة ICO – أي قبل اكتشاف الاختراق في أكتوبر 2022. توبيخ ICO يصف فشل اللجنة في تصحيح الخلل البرمجي المعروف بأنه على سبيل المثال، يبدو “التدبير الأساسي” وكأنه تعريف لخرق البيانات الذي يمكن تجنبه والذي قالت الهيئة التنظيمية إنها تريد تطهيره من التحول في سياسة القطاع العام.

ومع ذلك، في هذه الحالة، تدعي منظمة ICO أنها لم تطبق سياسة إنفاذ أكثر ليونة في القطاع العام في هذه الحالة.

ردًا على أسئلة حول سبب عدم فرض عقوبة على اللجنة الانتخابية، قالت لوسي ميلبورن، المتحدثة باسم ICO لـ TechCrunch: “بعد تحقيق شامل، لم يتم النظر في فرض غرامة في هذه القضية. وعلى الرغم من عدد الأشخاص المتأثرين، اقتصرت البيانات الشخصية المعنية في المقام الأول على الأسماء والعناوين الواردة في السجل الانتخابي. لم يجد تحقيقنا أي دليل على إساءة استخدام البيانات الشخصية، أو أن أي ضرر مباشر قد حدث بسبب هذا الانتهاك.

وأضاف المتحدث: “اتخذت اللجنة الانتخابية الآن الخطوات اللازمة التي نتوقعها لتحسين أمنها في أعقاب ذلك، بما في ذلك تنفيذ خطة لتحديث بنيتها التحتية، بالإضافة إلى ضوابط سياسة كلمة المرور والمصادقة متعددة العوامل لجميع المستخدمين”.

وكما يقول المنظم، لم يتم إصدار أي غرامة لأنه لم يتم إساءة استخدام البيانات، أو بالأحرى، لم يجد ICO أي دليل على سوء الاستخدام. إن مجرد الكشف عن معلومات 40 مليون ناخب لا يفي بمعايير ICO.

وقد يتساءل المرء إلى أي مدى ركزت التحقيقات التي أجرتها الهيئة التنظيمية على اكتشاف كيف تم إساءة استخدام معلومات الناخبين؟

وبالعودة إلى تجربة إنفاذ الطرح الأولي للعملة في القطاع العام في أواخر يونيو، ومع اقتراب التجربة من علامة السنتين، أصدرت الهيئة التنظيمية بيانًا قالت فيه إنها ستراجع السياسة قبل اتخاذ قرار بشأن مستقبل نهجها القطاعي في الخريف.

ويبقى أن نرى ما إذا كانت هذه السياسة ستستمر أم أن هناك تحولًا إلى عدد أقل من التوبيخات والمزيد من الغرامات على انتهاكات بيانات القطاع العام. وبغض النظر عن ذلك، فإن قضية خرق اللجنة الانتخابية تُظهر أن منظمة ICO مترددة في معاقبة القطاع العام – ما لم يكن الكشف عن بيانات الأشخاص مرتبطًا بضرر يمكن إثباته.

ليس من الواضح كيف يمكن للنهج التنظيمي المتراخي في الردع حسب التصميم أن يساعد في رفع معايير حماية البيانات عبر الحكومة.