Serangan siber ke atas Suruhanjaya Pilihan Raya U.K. yang mengakibatkan kebocoran data rekod pendaftaran pengundi pada 40 juta orang adalah sepenuhnya boleh dielakkan jika organisasi tersebut menggunakan langkah-langkah keselamatan asas, menurut temuan dari laporan yang membebankan oleh badan pemantau perlindungan data U.K. yang diterbitkan minggu ini.
Laporan yang diterbitkan oleh Pejabat Pesuruhjaya Maklumat U.K. pada hari Isnin menyalahkan Suruhanjaya Pilihan Raya, yang mengendalikan salinan pendaftaran rakyat U.K. yang layak mengundi dalam pilihan raya, atas siri kegagalan keselamatan yang mengakibatkan pencurian data pengundi secara meluas bermula Ogos 2021.
Suruhanjaya Pilihan Raya tidak mengetahui kompromi sistemnya sehingga lebih dari setahun kemudian pada Oktober 2022 dan mengambil masa sehingga Ogos 2023 untuk mendedahkan kebocoran data setahun tersebut secara terbuka.
Suruhanjaya tersebut berkata ketika mendedahkan secara awam pada masa itu bahawa pihak penjenayah telah meretas ke dalam pelayan yang mengandungi e-melnya dan mencuri, antara lain, salinan daftar pilihan raya U.K. Daftar-daftar tersebut menyimpan maklumat tentang pengundi yang mendaftar antara tahun 2014 dan 2022, termasuk nama, alamat pos, nombor telefon, dan maklumat pengundi yang tidak diumumkan.
Kerajaan U.K. kemudian menyalahkan pencerobohan itu ke China, dengan pegawai atasan memberi amaran bahawa data yang dicuri boleh digunakan untuk “pengintipan berskala besar dan penindasan transnasional terhadap aktivis dan pengkritik yang dilihat di U.K.” China menafikan keterlibatan dalam kebocoran tersebut.
Pejabat Pesuruhjaya telah mengeluarkan teguran rasmi terhadap Suruhanjaya Pilihan Raya pada hari Isnin kerana melanggar undang-undang perlindungan data U.K., menambah: “Sekiranya Suruhanjaya Pilihan Raya telah mengambil langkah-langkah asas untuk melindungi sistemnya, seperti pemasktan keselamatan yang efektif dan pengurusan kata laluan, adalah sangat mungkin bahawa kebocoran data ini tidak akan berlaku.”
Dalam bahagian Suruhanjaya Pilihan Raya, dalam kenyataan ringkas setelah terbitnya laporan, mengaku bahawa “perlindungan yang mencukupi tidak ada untuk mengelakkan serangan siber ke atas Suruhanjaya.”
Sebelum laporan Pejabat Pesuruhjaya, tidak jelas apakah yang menyebabkan peng kompromian berjuta-juta maklumat pengundi U.K. — atau apa yang boleh dilakukan dengan berbeza.
Kini kita tahu bahawa Pejabat Pesuruhjaya secara khusus menyalahkan Suruhanjaya kerana tidak melakukan pemasktan “kerentanan perisian yang diketahui” dalam pelayan e-melnya, yang merupakan titik permulaan bagi penceroboh yang membawa lari banyak data pengundi. Laporan juga mengesahkan butir seperti yang dilaporkan oleh TechCrunch pada tahun 2023 bahawa e-mel Suruhanjaya adalah pelayan Microsoft Exchange yang dihos sendiri.
Dalam laporan itu, Pejabat Pesuruhjaya mengesahkan bahawa sekurang-kurangnya dua kumpulan penceroboh jahat menyerang pelayan Exchange yang dihos sendiri Suruhanjaya semasa 2021 dan 2022 menggunakan rangkaian tiga kerentanan yang secara kolektif dirujuk sebagai ProxyShell, yang membenarkan penceroboh merompak, mengambil kawalan, dan menanam kod jahat pada pelayan.
Microsoft telah mengeluarkan pemasktan untuk ProxyShell beberapa bulan lebih awal pada April dan Mei 2021, tetapi Suruhanjaya tidak memasangnya.
Pada Ogos 2021, agensi keselamatan siber AS, CISA, mula memberi amaran bahawa penceroboh jahat sedang mengexploitasi secara aktif ProxyShell, pada ketika itu, mana-mana organisasi yang mempunyai proses pemasktan keselamatan yang berkesan sudah telah melaksanakan pembaikan beberapa bulan yang lalu dan telah dilindungi. Suruhanjaya Pilihan Raya bukanlah salah satu dari organisasi tersebut.
“Suruhanjaya Pilihan Raya tidak mempunyai regimen pemasktan yang sesuai pada masa insiden itu,” kata laporan Pejabat Pesuruhjaya. “Kelemahan ini adalah suatu langkah asas.”
Antara isu keselamatan lain yang ketara yang ditemui semasa siasatan Pejabat Pesuruhjaya ialah Suruhanjaya Pilihan Raya membenarkan kata laluan yang “sangat mudah diteka” untuk digunakan, dan Suruhanjaya mengesahkan ia “sedar” bahawa sebahagian daripada infrastrukturnya sudah usang.
Timbalan pesuruhjaya ICO, Stephen Bonner, berkata dalam kenyataan mengenai laporan serta teguran ICO: “Jika Suruhanjaya Pilihan Raya telah mengambil langkah-langkah asas untuk melindungi sistemnya, seperti pemasktan keselamatan yang efektif dan pengurusan kata laluan, adalah sangat mungkin bahawa kebocoran data ini tidak akan berlaku.”
Mengapa ICO tidak mengenakan denda ke atas Suruhanjaya Pilihan Raya?
Serangan siber yang boleh dielakkan sepenuhnya yang mendedahkan data peribadi 40 juta pengundi U.K. mungkin kedengarannya sebagai pelanggaran yang serius untuk Suruhanjaya Pilihan Raya dikenakan denda, bukan hanya teguran sahaja. Namun, ICO hanya mengeluarkan teguran awam untuk keselamatan yang teruk tersebut.
Badan-badan sektor awam pernah menghadapi penalti kerana melanggar peraturan perlindungan data di masa lalu. Tetapi pada Jun 2022 di bawah kerajaan konservatif terdahulu, ICO mengumumkan ia akan mencuba pendekatan semula kepada penguatkuasaan ke atas badan-badan awam.
Pengawal itu mengatakan perubahan dasar bermaksud agensi awam kemungkinan tidak akan dikenakan denda besar bagi pelanggaran untuk dua tahun akan datang, walaupun ICO mencadangkan insiden-insiden tersebut tetap disiasat secara teliti. Tetapi sektor diberitahu untuk mengharapkan penggunaan teguran yang lebih kerap dan kuasa penguatkuasaan lain, bukan denda.
Dalam satu surat terbuka menjelaskan langkah ini pada masa itu, pesuruhjaya maklumat John Edwards menulis: “Saya tidak yakin denda besar sahaja adalah penakuk yang berkesan di sektor awam. Ia tidak memberi kesan kepada pemegang saham atau pengarah individu dengan cara yang sama seperti dalam sektor swasta tetapi datang secara langsung dari bajet untuk penyediaan perkhidmatan. Kesan denda kepada sektor awam juga seringkali ditanggung oleh mangsa pelanggaran, dalam bentuk bajet yang dikurangkan untuk perkhidmatan yang penting, bukan pihak yang bersalah. Pada hakikatnya, orang yang terjejas oleh pelanggaran menerima hukuman dua kali.”
Pada pandangan pertama, mungkin kelihatan bahawa Suruhanjaya Pilihan Raya mendapat nasib baik kerana menemui pelanggaran dalam ujian dua tahun ICO mengenai pendekatan yang lebih ringan ke penguatkuasaan sektoral.
Selari dengan ICO mengatakan akan menguji kurang sanksi bagi pelanggaran data sektor awam, Edwards mengatakan penguatkuasa akan mengambil alih aliran kerja proaktif untuk mencapai pemimpin kanan di badan awam untuk meningkatkan standard dan mendorong pematuhan perlindungan data di seluruh badan kerajaan melalui pendekatan pencegahan kemudaratan.
Walau bagaimanapun, apabila Edwards mendedahkan rancangan untuk menggabungkan penguatkuasaan lebih ringan dengan pendekatan proaktif, beliau mengakui ia memerlukan usaha daripada kedua-dua belah pihak, menulis: “[K]ita tidak boleh melakukannya sendiri. Mesti ada akauntabiliti untuk memberi hasil ini di semua pihak. “
Pelanggaran Suruhanjaya Pilihan Raya mungkin menimbulkan persoalan yang lebih luas tentang kejayaan ujian ICO, termasuk sama ada pihak berkuasa sektor awam telah menunaikan janji yang sepatutnya meyokong penguatkuasaan lebih ringan.
Jelasnya tidak kelihatan bahawa Suruhanjaya Pilihan Raya sudah cukup proaktif dalam menilai risiko pelanggaran dalam bulan-bulan awal ujian ICO — iaitu sebelum menemui pencerobohan pada Oktober 2022. Teguran ICO yang menyifatkan kegagalan Suruhanjaya untuk memasktan kelemahan perisian yang diketahui sebagai “langkah asas,” contohnya, seperti definisi kebocoran data yang boleh dielakkan yang diinginkan oleh regulator untuk menghapuskan pendekatan dasar sektor awamnya.
Dalam kes ini, namun, ICO mengatakan ia tidak mengamalkan dasar penguatkuasaan sektor awam yang lebih ringan dalam kes ini.
Mengulas mengenai mengapa tidak mengenakan denda ke atas Suruhanjaya, jurucakap ICO Lucy Milburn memberitahu TechCrunch: “Selepas siasatan yang teliti, denda tidak dianggap untuk kes ini. Walaupun bilangan individu yang terjejas, data peribadi yang terlibat terhad kepada terutamanya nama dan alamat yang terdapat dalam Pendaftaran Pilihan Raya. Siasatan kami tidak mendapati bukti bahawa data peribadi telah disalahgunakan, atau bahawa sebarang kemudaratan langsung telah disebabkan oleh kebocoran ini.”
“Suruhanjaya Pilihan Raya telah mengambil langkah-langkah perlu yang kami harapkan untuk memperbaiki keselamatan bagi masa akan datang, termasuk melaksanakan rancangan untuk memodenkan infrastrukturnya, serta kawalan dasar kata laluan dan pengesahan dua faktor untuk semua pengguna,” tambah jurucakap tersebut.
Seperti yang dijelaskan oleh pengawal, tiada denda dikenakan kerana tiada data yang disalahgunakan, atau dengan kata lain, ICO tidak mendapati bukti sebarang penyalahgunaan. Hanya mendedahkan maklumat 40 juta pengundi tidak memenuhi bar ICO.
Mungkin ada yang bertanya betapa banyak siasatan pihak regulator difokuskan untuk mengetahui bagaimana maklumat pengundi mungkin telah disalahgunakan?
Kembali kepada ujian penguatkuasaan sektor awam ICO pada penghujung Jun, apabila eksperimen itu hampir dua tahun, pengawal mengeluarkan kenyataan mengatakan ia akan meninjau dasar sebelum membuat keputusan mengenai masa depan pendekatan sektoralnya pada musim gugur.
Sama ada dasar itu kekal atau berlaku perubahan kepada lebihan teguran dan lebih banyak denda bagi pelanggaran data sektor awam tetap belum jelas. Walau bagaimanapun, kes pelanggaran Suruhanjaya Pilihan Raya menunjukkan ICO enggan mengenakan sanksi kepada sektor awam — kecuali boleh dikaitkan dengan kemudaratan yang nyata.
Tidak jelas bagaimana pendekatan pengawalan yang tidak kuat disengajakan akan membantu meningkatkan standard perlindungan data di kalangan badan kerajaan.