Cyberbezpieczeństwo
Kradzież danych z Brytyjskiej Komisji Wyborczej. Polska powinna wyciągnąć wnioski
W trwającej w Polsce dyskusji nad wprowadzeniem możliwości głosowania przez internet pojawiają się argumenty dotyczące bezpieczeństwa. Ważną lekcją w tym zakresie mogą być doniesienia z Wielkiej Brytanii, gdzie Komisja Wyborcza przez 13 miesięcy nie zauważyła kradzieży danych 40 mln wyborców ze swojego systemu.
Doniesienia o kolejnych kradzieżach danych, do których dochodzi w wyniku włamań, najczęściej pojawiają się w przeciągu kilku miesięcy od zaistnienia zdarzenia. Są jednak i takie przypadki, gdy atak oraz wykradzenie danych pozostają niewykryte przez bardzo długi czas.
Czytaj też
Zaniedbano aktualizacje, zignorowano sygnały
Jak opisywaliśmy w zeszłym roku, Brytyjska Komisja Wyborcza poinformowała w sierpniu o cyberataku na jej system. Ofiarą hakerów padł rejestr wyborców – a konkretnie dane 40 mln osób. Atak został zidentyfikowany przez organizację w październiku 2022 roku.
Teraz sprawa wraca dzięki dokumentowi, jaki opublikował Information Commissioner’s Office. Jak informuje The Register, Brytyjska Komisja Wyborcza otrzymała ostrą reprymendę od organu ochrony danych za zaniedbania w zakresie cyberbezpieczeństwa, które wystąpiły przed i po zdarzeniu.
Okazuje się bowiem, że organ w ogóle nie zauważył przez 13 miesięcy, iż cyberatak w ogóle miał miejsce. Zbadano również sposób ataku. Jak ujawniono, Komisja zignorowała aktualizacje bezpieczeństwa dla ProxyShell wydane przez Microsoft na kilka miesięcy przed incydentem. To właśnie dzięki tym podatnościom udało się wykraść dane wyborców; nawet rozsyłanie spamu z serwera Microsoft Exchange nie wzbudziło podejrzeń Komisji.
Czytaj też
Wystarczyło zgadywać hasła. Przez ich podobieństwo
ICO zbadało również politykę zabezpieczeń Komisji Wyborczej. Niestety, w momencie włamania do rejestru, organ nie posiadał jakiejkolwiek polityki dotyczącej haseł. Co więcej, podczas śledztwa ICO odkryto, że jedno z kont wykorzystanych podczas cyberataku wciąż posiadało ten sam ciąg znaków, co w momencie incydentu.
Z kolei złamanie 178 haseł do aktywnych kont doprowadziło do wniosku, że w celu uzyskania kontroli nad systemem Brytyjskiej Komisji Wyborczej wystarczyło zwykłe zgadywanie haseł. W tym przypadku były one bardzo podobne do tych, które Service Desk przekazywał użytkownikom podczas tworzenia konta.
Czytaj też
Wnioski dla Polski? Najpierw podstawy, potem wielkie rewolucje
Jakie wnioski może wyciągnąć Polska? W czerwcu Ministerstwo Cyfryzacji wyjaśniło nam, że głosowanie przez internet jest „skomplikowanym i wieloetapowym zagadnieniem”. Konieczne podjęcie rozważnych działań w tym temacie powoduje, że nie może być to szybko wprowadzona w Polsce zmiana.
Tymczasem sprawa Brytyjskiej Komisji Wyborczej przypomina przede wszystkim o konieczności zadbania o podstawy cyberbezpieczeństwa w organizacjach. Aktualizowanie używanego oprogramowania czy egzekwowanie polityki dotyczącej haseł powinno być standardem nie tylko w przypadku Państwowej Komisji Wyborczej, lecz także w samorządach czy przedsiębiorstwach.
Do tego czasu, może lepiej tematu głosowania online w ogóle nie poruszać?
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].