Een cyberaanval op de Britse verkiezingscommissie die resulteerde in een schending van de kiezerslijsten van 40 miljoen mensen, was volledig te voorkomen als de organisatie elementaire veiligheidsmaatregelen had genomen, volgens de bevindingen van een vernietigend rapport van de Britse gegevensbeschermingswaakhond die deze week werd gepubliceerd.
Een rapport dat maandag door het Britse Information Commissioner’s Office werd vrijgegeven, beschuldigde de Electoral Commission, die kopieën bijhoudt van het Britse register van burgers die stemgerechtigd zijn bij verkiezingen, voor een reeks inbreuken op de beveiliging die hebben geleid tot de massale diefstal van kiezersgegevens vanaf augustus 2021.
De Kiescommissie ontdekte de compromittering van haar systemen pas ruim een jaar later, in oktober 2022, en het duurde tot augustus 2023 voordat het datalek dat een jaar duurde openbaar werd gemaakt.
De commissie zei ten tijde van de openbaarmaking dat hackers inbraken in de servers waarop zijn e-mail werd gehost en onder meer kopieën van Britse kiezerslijsten hadden gestolen. Deze registers slaan informatie op over kiezers die zich tussen 2014 en 2022 hebben geregistreerd en omvatten namen, postadressen, telefoonnummers en niet-openbare kiezersinformatie.
De Britse regering schreef de hack later toe aan China, waarbij hoge functionarissen waarschuwden dat de gestolen gegevens zouden kunnen worden gebruikt voor “grootschalige spionage en transnationale onderdrukking van vermeende dissidenten en critici in het VK”, waarbij China zijn betrokkenheid bij de inbreuk ontkende.
Maandag gaf de ICO haar officiële berisping aan de kiescommissie wegens het overtreden van de Britse wetgeving inzake gegevensbescherming, en voegde eraan toe: “Als de kiescommissie basisstappen heeft gezet om haar systemen te beschermen, zoals effectieve beveiligingspatches en wachtwoordbeheer, is het zeer waarschijnlijk dat Dan zou het datalek niet hebben plaatsgevonden.”
De verkiezingscommissie van haar kant gaf in een korte verklaring na de publicatie van het rapport toe dat “er onvoldoende bescherming is om een cyberaanval op de Commissie te voorkomen”.
Tot het rapport van de ICO was het niet precies duidelijk wat leidde tot het compromitteren van informatie over tientallen miljoenen Britse kiezers – of wat anders had kunnen gebeuren.
We weten nu dat de ICO de Commissie specifiek de schuld gaf voor het niet patchen van ‘bekende softwarekwetsbaarheden’ in haar e-mailserver, die het toegangspunt was voor de hackers die er vandoor gingen met een schat aan kiezersgegevens. Het rapport bevestigt ook een detail dat TechCrunch in 2023 meldde dat de e-mail van de Commissie een zelfstandige Microsoft Exchange-server was.
In haar rapport bevestigde de ICO dat ten minste twee groepen kwaadwillende hackers in 2021 en 2022 inbreuk hadden gemaakt op de door de Commissie zelf gehoste Exchange-server met behulp van een reeks van drie kwetsbaarheden, gezamenlijk bekend als ProxyShell, waardoor de hackers konden inbreken en de controle konden overnemen. kwaadaardige code op de server plaatsen.
Microsoft heeft enkele maanden eerder, in april en mei 2021, patches voor ProxyShell uitgebracht, maar de Commissie heeft deze niet geïnstalleerd.
In augustus 2021 begon het Amerikaanse cyberbeveiligingsagentschap CISA te alarmeren dat kwaadwillende hackers ProxyShell actief misbruikten, waarna elke organisatie die over een effectief beveiligingspatchingproces beschikte maanden geleden al fixes had geïmplementeerd en al beschermd was. De verkiezingscommissie was niet een van die organisaties.
“De verkiezingscommissie beschikte ten tijde van het incident niet over een passend patching-regime”, aldus het ICO-rapport. “Deze mislukking is een basismaatregel.”
Naast andere belangrijke veiligheidsproblemen die tijdens het onderzoek van de ICO aan het licht kwamen, stond de verkiezingscommissie toe dat wachtwoorden werden geraden die “zeer gevoelig” waren, en dat de Commissie bevestigde dat zij “zich ervan bewust was” dat delen van de infrastructuur verouderd waren.
Vice-commissaris van de ICO, Stephen Bonner, zei in een verklaring over het rapport en de berisping van de ICO: “Als de verkiezingscommissie basisstappen had genomen om haar systemen te beschermen, zoals effectieve beveiligingspatches en wachtwoordbeheer, is het zeer waarschijnlijk dat dit datalek niet zou zijn gebeurd. is gebeurd.”
Waarom heeft de ICO de verkiezingscommissie geen boete opgelegd?
Een volledig te voorkomen cyberaanval waarbij de persoonlijke gegevens van 40 miljoen Britse kiezers openbaar werden gemaakt, klinkt misschien als een misdrijf dat ernstig genoeg is om door de verkiezingscommissie te worden beboet en niet alleen berispt. De ICO vaardigde echter alleen een openbaar verbod uit vanwege slordige beveiliging.
Publieke lichamen hebben in het verleden te maken gekregen met boetes voor het overtreden van de regels voor gegevensbescherming. Maar in juni 2022 kondigde de ICO onder de vorige conservatieve regering aan dat ze een herziene aanpak zou uitproberen voor de handhaving van de wet op openbare lichamen.
De toezichthouder zei dat de beleidswijziging betekende dat de overheid de komende twee jaar waarschijnlijk geen hoge boetes voor overtredingen zou opleggen, hoewel de ICO suggereerde dat incidenten nog steeds grondig zouden worden onderzocht. Maar de sector heeft te horen gekregen dat zij een groter gebruik van berispingen en andere handhavingsbevoegdheden mag verwachten in plaats van boetes.
In een open brief waarin deze stap destijds werd uitgelegd, schreef Informatiecommissaris John Edwards: “Ik ben er niet van overtuigd dat hoge boetes alleen al zo’n effectief afschrikmiddel zijn in de publieke sector. Ze raken aandeelhouders of individuele bestuurders niet op dezelfde manier als in de private sector, maar komen rechtstreeks voort uit het dienstverleningsbudget. De impact van boetes op de publieke sector treft ook vaak de slachtoffers van inbreuken, in de vorm van verminderde budgetten voor vitale diensten, en niet zozeer de daders. In feite worden de mensen die door de inbreuk worden getroffen, tweemaal gestraft.”
Op het eerste gezicht lijkt het erop dat de verkiezingscommissie het geluk had de inbreuk te ontdekken als onderdeel van een twee jaar durend onderzoek naar een zachtere aanpak van sectorale ICO-handhaving.
In lijn met het feit dat de ICO zegt dat het minder sancties zal testen voor datalekken in de publieke sector, zei Edwards dat de toezichthouder een proactievere workflow zou hanteren in de omgang met senior executives bij overheidsinstanties om te proberen de normen te verhogen en de naleving van gegevensbescherming door alle overheidsinstanties aan te moedigen. een aanpak voor schadepreventie.
Toen Edwards echter een plan onthulde om een mildere handhaving te combineren met een proactieve aanpak, erkende hij dat dit inspanningen van beide kanten zou vergen, en schreef: “[W]wij kunnen dit niet alleen. Er moet van alle kanten verantwoordelijkheid zijn voor het bereiken van deze verbeteringen.”
De schending van de verkiezingscommissie zou daarom bredere vragen kunnen oproepen over het succes van het proces tegen de ICO, inclusief de vraag of de autoriteiten in de publieke sector zich aan hun afspraak hielden, wat een mildere toepassing had moeten rechtvaardigen.
Het lijkt er zeker niet op dat de verkiezingscommissie voldoende proactief was bij het inschatten van het risico op een inbreuk in de eerste maanden van het ICO-proces – dat wil zeggen voordat zij de inbreuk in oktober 2022 ontdekte. een bekende softwarefout, een ‘fundamentele maatregel’, klinkt bijvoorbeeld als de definitie van een vermijdbare datalek waarvan de toezichthouder heeft gezegd dat hij wil dat zijn beleid in de publieke sector wordt opgeschoond.
In dit geval beweert de ICO echter dat zij in dit geval niet het mildere handhavingsbeleid voor de publieke sector heeft toegepast.
In antwoord op vragen over waarom ze geen boete heeft opgelegd aan de verkiezingscommissie, zei ICO-woordvoerster Lucy Milburn tegen TechCrunch: “Na een grondig onderzoek werd een boete voor deze zaak niet in overweging genomen. Ondanks het grote aantal getroffenen bleven de betrokken persoonsgegevens in de eerste plaats beperkt tot de namen en adressen die op de kiezerslijst stonden. Uit ons onderzoek is geen bewijs gebleken dat persoonsgegevens zijn misbruikt of dat deze inbreuk directe schade heeft veroorzaakt.”
“De Kiescommissie heeft nu de nodige stappen gezet waarvan we verwachten dat ze haar veiligheid daarna zullen verbeteren, waaronder de implementatie van een plan om haar infrastructuur te moderniseren, evenals controles op het wachtwoordbeleid en multi-factor authenticatie voor alle gebruikers”, voegde de woordvoerder eraan toe.
Er is, zoals de toezichthouder zegt, geen boete opgelegd omdat er geen misbruik is gemaakt van de gegevens, dat wil zeggen dat de ICO geen bewijs van misbruik heeft gevonden. Alleen al het openbaar maken van informatie over 40 miljoen kiezers voldeed niet aan de ICO-norm.
Je zou je kunnen afvragen hoe gericht het onderzoek van de toezichthouders was op het blootleggen van hoe kiezersinformatie had kunnen worden misbruikt?
Terugkomend op het handhavingsproces van de ICO in de publieke sector eind juni, toen het experiment zijn tweejarige mijlpaal naderde, gaf de toezichthouder een verklaring af waarin hij zei dat hij het beleid zou herzien alvorens in het najaar een besluit te nemen over de toekomst van zijn sectorale aanpak.
Het valt nog te bezien of het beleid stand zal houden of dat er een verschuiving zal plaatsvinden naar minder berispingen en meer straffen voor datalekken in de publieke sector. Hoe het ook zij, de inbreukzaak van de Kiescommissie laat zien dat de ICO terughoudend is om de publieke sector te bestraffen – tenzij de openbaarmaking van de gegevens van mensen kan worden gekoppeld aan aantoonbare schade.
Het is niet duidelijk hoe een regelgevingsaanpak die is ontworpen rond afschrikking de normen voor gegevensbescherming binnen de overheid zal helpen verhogen.