كيف كان بإمكان تجنب سرقة سجلات تسجيل 40 مليون ناخب في المملكة المتحدة تمامًا
كان بإمكان اللجنة الانتخابية في المملكة المتحدة تجنب الاعتداء السيبراني الذي أدى إلى اختراق بيانات سجلات المنتخبين على 40 مليون شخص تمامًا إذا استخدمت المنظمة التدابير الأمنية الأساسية، وفقًا للنتائج التي توصلت إليها تقرير مخجل صدر عن هيئة حماية البيانات في المملكة المتحدة هذا الأسبوع.
\ألقى التقرير الذي نشرته مكتب مفوض المعلومات في المملكة المتحدة يوم الاثنين اللوم على اللجنة الانتخابية، التي تحتفظ بنسخ من سجل المواطنين البريطانيين المؤهلين للتصويت في الانتخابات، على سلسلة من الإخفاقات الأمنية التي أدت إلى سرقة كبيرة لمعلومات الناخبين اعتبارًا من أغسطس 2021.
\لم تكتشف اللجنة الانتخابية اختراق نظمها حتى بعد مرور أكثر من عام في أكتوبر 2022 واستغرق الأمر حتى أغسطس 2023 للكشف علنًا عن الاختراق الذي استمر لمدة عام كامل.
\وقالت اللجنة في وقت الكشف العلني عن أن القراصنة اقتحموا خوادم تحتوي على بريدها الإلكتروني وسرقوا، بين أمور أخرى، نسخًا من سجلات الانتخابات البريطانية. هذه السجلات تحتوي على معلومات عن الناخبين الذين سجلوا بين عامي 2014 و 2022، وتشمل الأسماء والعناوين البريدية وأرقام الهواتف ومعلومات الناخبين غير العامة.
\وقد عزت الحكومة البريطانية لاحقًا الاختراق إلى الصين، مع تحذير كبار المسؤولين من أن البيانات المسروقة يمكن استخدامها لـ\"التجسس على نطاق واسع وقمع عابر للحدود للنقاد والمعارضين المفترضين في المملكة المتحدة.\" نفت الصين ضلوعها في الاختراق.
\أصدرت هيئة حماية البيانات توبيخها الرسمي للجنة الانتخابات يوم الاثنين لانتهاك قوانين حماية البيانات في المملكة المتحدة، مضيفة: \"إذا اتخذت اللجنة الانتخابية خطوات أساسية لحماية نظمها، مثل تصحيح الثغرات الأمنية بفعالية وإدارة كلمات المرور، فإن من المرجح بشكل كبير أن هذا الانتهاك للبيانات لم يكن سيحدث.\"
\بالنسبة لها، اعترفت اللجنة الانتخابية في بيان موجز بعد نشر تقرير الأنها أن \"لم تكن هناك حمايات كافية لمنع الهجوم السيبراني على اللجنة.\"
\حتى تقرير هيئة مفوض المعلومات، لم يكن من الواضح بالضبط ما الذي أدى إلى اختراق معلومات عشرات ملايين الناخبين في المملكة المتحدة — أو ما الذي كان يمكن فعله بشكل مختلف.
\الآن نحن نعلم أن هيئة مفوض المعلومات اتهمت اللجنة بشكل خاص بعدم تصحيح \"الثغرات البرمجية المعروفة\" في خادم البريد الإلكتروني الخاص بها، والذي كان نقطة الاختراق الأولية للقراصنة الذين فروا بمعلومات الناخبين. كما يؤكد التقرير تفاصيل كما أفاد بها تيك كرانش في عام 2023 أن بريد اللجنة الإلكتروني كان خادم تبادل مايكروسوفت ذاتي الاستضافة.
\في تقريرها، أكدت هييات مفوض المعلومات أن مجموعتين على الأقل من القراصنة الضارين اقتحموا خادم تبادل اللجنة الذاتي خلال عامي 2021 و 2022 باستخدام سلسلة من ثلاث ثغرات يشار إليها جماعيًا باسم ProxyShell، والتي سمحت للقراصنة بالاقتحام والسيطرة وزرع رمز ضار على الخادم.
\أصدرت مايكروسوفت تصحيحات لـ ProxyShell بعدة أشهر في أبريل ومايو 2021، ولكن لم تقم اللجنة بتثبيتها.
\بحلول أغسطس 2021، بدأت وكالة أمن السيبراني CISA الأمريكية تحذيرًا من أن قراصنة البيانات كانوا يستغلون بنشاط ProxyShell، في الوقت الذي كانت فيه أي منظمة كانت لديها عملية تصحيح أمان فعالة قد نشرت بالفعل تصحيحات منذ أشهر وكانت بالفعل محمية. لم تكن اللجنة الانتخابية واحدة من تلك المنظمات.
\\"لم تكن لدى اللجنة الانتخابية نظام لثقزثم ببلادها ناجع في وقت الحادث\"، جاء في تقرير هييات مفوض المعلومات. \"هذا الفشل هو تدبير أساسي.\"
\من بين مشكلات الأمان البارزة الأخرى التي تم اكتشافها أثناء تحقيق هيئة مفوض المعلومات ، سمحت اللجنة الانتخابية بتخمين كلمات مرور \"معرضة جدًا\" للحدوث، وأكدت اللجنة أنها \"كانت تعلم\" أن أجزاءً من البنية التحتية لها كانت غير محدثة.
\قال نائب المفوض في هيئة مفوض المعلومات ستيفن بونر في بيان حول تقرير هييات مفوض المعلومات والتأديب: \"إذا اتخذت اللجنة الانتخابية خطوات أساسية لحماية نظمها، مثل تصحيح الثغرات الأمنية بفعالية وإدارة كلمات المرور، فمن المحتمل بشكل كبير أن هذا الانتهاك للبيانات ل يكون قد حدث.\"
\لماذا لم تغرم هيئة مفوض المعلومات اللجنة الانتخابية؟
\قد يبدو اختراق سيبراني تمامًا يمكن تجنبه ويؤدي إلى تعريض بيانات الأفراد لـ 40 مليون ناخب في المملكة المتحدة كفاية جديرًا بتغريم اللجنة الانتخابية بغرامة، وليس فقط توبيخاً. ومع ذلك، لم تصدر هيئة مفوض المعلومات سوى تأنيبًا علنيًا للأمان السيئ.
\لقد واجهت الهيئات العامة عقوبات لانتهاك قواعد حماية البيانات في السابق. ولكن في يونيو 2022 تحت الحكومة الحافظة السابقة، أعلنت هيئة مفوض المعلومات أنها ستقوم بتجربة نهج معدل لتنفيذ القوانين على الهيئات العامة.
\وقالت الجهة التنظيمية إن التغيير السياسي يعني أن من غير المرجح أن يُفرض غالبًا على السلطات العامة غرامات كبيرة عند وقوع اختراقات لمدى عامين، على الرغم من أنها ألمحت إلى أن الحوادث ستظل تحت الفحص المكثف. ولكن تم إخطار القطاع بتوقع زيادة استخدام التذليلات وغيرها من سلطات الفرض، بدلاً من الغرامات.
\في رسالة مفتوحة تشرح الخطوة في ذلك الوقت، كتب مفوض المعلومات جون إدواردز: \"أنا لست مقتنعًا بأن الغرامات الكبيرة بمفردها فعالة كوسيلة رادعة ضمن القطاع العام. إنها لا تؤثر على المساهمين أو المديرين الفرديين بنفس الطريقة التي تحدث فيها في القطاع الخاص ولكنها تأتي مباشرة من الميزانية المخصصة لتوفير الخدمات. يُفرض تأثير الغرامة على القطاع العام في كثير من الأحيان على المتضررين من الانتهاك، على شكل تقليص في الميزانيات للخدمات الحيوية، لا على الجناة. بالفعل، يعاقب الناس المتأثرين بانتهاك مرتين.\"
\بما أن اللجنة الانتخابية اكتشفت انتهاكها ضمن تجربة هيئة مفوض المعلومات للنهج الأكثف على مدى عامين، من المفترض أنها ستكون محظوظة.
\في اتفاق مع هيئة مفوض المعلومات على انها ستختبر عقوبات أقل لانتهاكات البيانات العامة، أعلن إدواردز أن الجهة التشريعية ستعتمد مزيدًا من التقدم النشط إلى القادة العليا في الهيئات العامة لمحاولة رفع المعايير ودفع الامتثال لحماية البيانات عبر الهيئات الحكومية من خلال نهج موجه لمكافحة الأذى.
\مع ذلك، تبين عندما كشف إدواردز عن الخطة لاختبار الجمع بين التنفيذ الأكثف مع الإقبال النشط أنه سيتطلب جهدًا من كلا الجانبين، كتبًا: \"[ل] ن نستطيع القيام بهذا بمفردنا. يجب أن تكون هناك مساءلة لتحقيق هذه التحسينات من جميع الجوانب.\"
\قد تُثير اختراق اللجنة الانتخابية أسئلة أوسع حول نجاح تجربة هيئة المفوض، بما في ذلك ما إذا كانت السلطات العامة قد تأديت واجبها الذي كان من المفروض أن يبرر التنفيذ الأكثر لطفاً.
\من الواضح أن اللجنة الانتخابية لم تكن