Birleşik Krallık’ın veri koruma gözlemcisinin bu hafta yayınladığı lanetleyici bir rapordaki bulgulara göre, Birleşik Krallık Seçim Komisyonu’na yapılan ve 40 milyon kişinin seçmen kayıt kayıtlarının veri ihlaliyle sonuçlanan bir siber saldırı, örgütün temel güvenlik önlemleri kullanması halinde tamamen önlenebilirdi.
Birleşik Krallık Bilgi Komiserliği Ofisi tarafından Pazartesi günü yayınlanan raporda, Ağustos 2021’den itibaren seçmen bilgilerinin toplu olarak çalınmasına yol açan bir dizi güvenlik hatasından, Birleşik Krallık’ta seçimlerde oy kullanma hakkına sahip vatandaşların kayıtlarının kopyalarını tutan Seçim Komisyonu’nun sorumlu olduğu belirtildi.
Seçim Komisyonu, sistemlerindeki tehlikeyi bir yıldan fazla bir süre sonra Ekim 2022’ye kadar keşfetmedi ve bir yıl boyunca süren veri ihlalini kamuya açıklamak için Ağustos 2023’e kadar süre tanıdı.
Komisyon, kamuya açıklandığı sırada, bilgisayar korsanlarının e-postasını içeren sunuculara girdiğini ve diğer şeylerin yanı sıra Birleşik Krallık seçmen kayıtlarının kopyalarını çaldığını söyledi. Bu kayıtlar, 2014 ile 2022 yılları arasında kayıt yaptıran seçmenlere ilişkin bilgileri saklıyor ve isimleri, posta adreslerini, telefon numaralarını ve halka açık olmayan seçmen bilgilerini içeriyor.
Birleşik Krallık hükümeti daha sonra saldırıyı Çin’e bağladı; üst düzey yetkililer çalınan verilerin “büyük ölçekli casusluk ve Birleşik Krallık’ta algılanan muhaliflere ve eleştirmenlere yönelik ulusötesi baskı” için kullanılabileceği konusunda uyardı. Çin, ihlale karıştığını reddetti.
ICO, Pazartesi günü Birleşik Krallık veri koruma yasalarını ihlal ettiği için Seçim Komisyonu’nu resmi olarak azarladı ve şunu ekledi: “Seçim Komisyonu sistemlerini korumak için etkili güvenlik yaması ve şifre yönetimi gibi temel adımları atmış olsaydı, bunun gerçekleşmesi çok muhtemeldi.” veri ihlali yaşanmazdı.”
Seçim Komisyonu ise raporun yayınlanmasının ardından yaptığı kısa açıklamada, “Komisyona yönelik siber saldırıyı önlemek için yeterli korumanın bulunmadığını” kabul etti.
ICO’nun raporuna kadar, on milyonlarca Birleşik Krallık seçmeninin bilgilerinin ele geçirilmesine neyin yol açtığı veya neyin farklı şekilde yapılabileceği tam olarak belli değildi.
Artık ICO’nun Komisyonu, e-posta sunucusundaki “bilinen yazılım açıklarını” düzeltmemekle suçladığını biliyoruz; bu, yığınla seçmen verisi çalan bilgisayar korsanlarının ilk müdahale noktasıydı. Rapor ayrıca TechCrunch tarafından 2023’te rapor edilen, Komisyon’un e-postasının kendi kendine barındırılan bir Microsoft Exchange sunucusu olduğu yönündeki bir ayrıntıyı da doğruluyor.
ICO, raporunda, en az iki kötü niyetli bilgisayar korsanı grubunun, 2021 ve 2022 yıllarında topluca ProxyShell olarak adlandırılan üç güvenlik açığından oluşan bir zincir kullanarak Komisyon’un kendi bünyesinde barındırılan Exchange sunucusuna sızdığını ve bunun korsanların içeri girip kontrolü ele geçirmesine olanak tanıdığını doğruladı. ve sunucuya kötü amaçlı kod yerleştirebilirsiniz.
Microsoft, ProxyShell için yamaları birkaç ay önce Nisan ve Mayıs 2021’de yayınlamıştı ancak Komisyon bunları yüklememişti.
Ağustos 2021’e gelindiğinde, ABD siber güvenlik kurumu CISA, kötü niyetli bilgisayar korsanlarının ProxyShell’i aktif olarak istismar ettiğine dair alarm vermeye başladı; bu noktada, etkili bir güvenlik yaması süreci uygulayan herhangi bir kuruluş, düzeltmeleri aylar önce zaten uygulamaya koymuş ve zaten korunmuştu. Seçim Komisyonu bu örgütlerden biri değildi.
ICO’nun raporunda “Seçim Komisyonu olay anında uygun bir yama rejimine sahip değildi” denildi. “Bu başarısızlık temel bir önlemdir.”
ICO’nun soruşturması sırasında tespit edilen diğer önemli güvenlik sorunları arasında, Seçim Komisyonu “son derece duyarlı” şifrelerin tahmin edilmesine izin verdi ve Komisyon, altyapısının bazı bölümlerinin güncel olmadığının “farkında” olduğunu doğruladı.
ICO komiser yardımcısı Stephen Bonner, ICO’nun raporu ve kınamasıyla ilgili yaptığı açıklamada şunları söyledi: “Seçim Komisyonu, sistemlerini korumak için etkili güvenlik yaması ve şifre yönetimi gibi temel adımları atmış olsaydı, büyük ihtimalle bu veri ihlali gerçekleşmeyecekti.” olmuş.”
40 milyon Birleşik Krallık seçmeninin kişisel verilerini açığa çıkaran tamamen önlenebilir bir siber saldırı, Seçim Komisyonu’nun sadece kınamayla değil, para cezasıyla da cezalandırılmasını gerektirecek kadar ciddi bir ihlal gibi görünebilir. Ancak ICO, özensiz güvenlik nedeniyle yalnızca kamuya açık bir pansuman yayınladı.
Kamu sektörü kurumları geçmişte veri koruma kurallarını ihlal ettikleri için cezalarla karşı karşıya kaldı. Ancak Haziran 2022’de önceki muhafazakar hükümet döneminde ICO, kamu kurumları üzerindeki yaptırımlara yönelik revize edilmiş bir yaklaşımı deneyeceğini duyurdu.
Düzenleyici, ICO olayların kapsamlı bir şekilde soruşturulacağını öne sürse bile, politika değişikliğinin kamu yetkililerinin önümüzdeki iki yıl boyunca ihlaller nedeniyle büyük para cezaları görme ihtimalinin düşük olduğu anlamına geldiğini söyledi. Ancak sektöre, para cezaları yerine kınama ve diğer yaptırım yetkilerinin daha fazla kullanılmasının beklendiği söylendi.
Bilgiden sorumlu komisyon üyesi John Edwards, o dönemde bu hamleyi açıklayan açık bir mektupta şunları yazmıştı: “Kamu sektöründe büyük para cezalarının tek başına bu kadar etkili bir caydırıcı olduğuna inanmıyorum. Bunlar, özel sektörde olduğu gibi hissedarları veya bireysel direktörleri etkilemez, ancak doğrudan hizmetlerin sağlanmasına yönelik bütçeden gelir. Kamu sektörü para cezasının etkisi, faillere değil, hayati hizmetlere yönelik bütçelerin azaltılması şeklinde sıklıkla ihlalin mağdurları üzerinde de hissedilir. Aslında bir ihlalden etkilenen insanlar iki kez cezalandırılıyor.”
İlk bakışta, Seçim Komisyonu’nun, ICO’nun sektörel uygulamaya yönelik daha yumuşak bir yaklaşıma yönelik iki yıllık denemesi sırasında ihlalini keşfetme şansına sahip olduğu görülebilir.
ICO’nun kamu sektörü veri ihlallerine yönelik daha az yaptırımı test edeceğini söylemesiyle uyumlu olarak Edwards, düzenleyicinin, standartları yükseltmeye ve hükümet organları genelinde veri koruma uyumluluğunu artırmaya çalışmak için kamu yetkililerindeki üst düzey liderlere yönelik daha proaktif bir iş akışı benimseyeceğini söyledi. Zarar önleme yaklaşımı.
Ancak Edwards, daha yumuşak yaptırımları proaktif sosyal yardımla birleştirmeyi test etme planını açıkladığında, bunun her iki tarafta da çaba gerektireceğini kabul etti ve şunları yazdı: “[W]Bunu kendi başımıza yapamayız. Bu iyileştirmelerin her tarafta sağlanması için sorumluluk olmalıdır.”
Bu nedenle Seçim Komisyonunun ihlali, ICO davasının başarısı hakkında, kamu sektörü yetkililerinin daha yumuşak yaptırımı haklı çıkaracak bir pazarlığın kendilerine düşen kısmını yerine getirip getirmediği de dahil olmak üzere daha geniş soruları gündeme getirebilir.
Kesinlikle Seçim Komisyonunun, ICO davasının ilk aylarında, yani Ekim 2022’de izinsiz girişi keşfetmeden önce ihlal risklerini değerlendirmede yeterince proaktif olduğu görünmüyor. Örneğin “temel önlem”, düzenleyicinin kamu sektörü politikasında değişiklik yapılmasını istediğini söylediği önlenebilir bir veri ihlalinin tanımına benziyor.
Ancak bu durumda ICO, bu davada daha yumuşak kamu sektörü uygulama politikasını uygulamadığını iddia ediyor.
ICO sözcüsü Lucy Milburn, Seçim Komisyonuna neden ceza uygulamadığına ilişkin soruları TechCrunch’a şöyle yanıtladı: “Kapsamlı bir soruşturmanın ardından bu dava için para cezası dikkate alınmadı. Etkilenen kişi sayısına rağmen, söz konusu kişisel veriler öncelikle Seçmen Kütüğünde yer alan isimler ve adreslerle sınırlıydı. Araştırmamız, kişisel verilerin kötüye kullanıldığına veya bu ihlalin doğrudan zarara yol açtığına dair herhangi bir kanıt bulamadı.”
Sözcü, “Seçim Komisyonu, altyapısını modernize etmek için bir planın uygulanmasının yanı sıra tüm kullanıcılar için şifre politikası kontrolleri ve çok faktörlü kimlik doğrulama da dahil olmak üzere, sonrasında güvenliğini artırmak için beklediğimiz gerekli adımları attı” diye ekledi.
Düzenleyicinin söylediğine göre hiçbir veri kötüye kullanılmadığı için para cezası verilmedi, daha doğrusu ICO herhangi bir kötüye kullanım kanıtı bulamadı. Yalnızca 40 milyon seçmenin bilgilerinin ifşa edilmesi ICO’nun kriterlerini karşılamadı.
Düzenleyicinin soruşturmasının ne kadarının seçmen bilgilerinin nasıl kötüye kullanılmış olabileceğini bulmaya odaklandığı merak edilebilir.
Haziran ayı sonlarında ICO’nun kamu sektörü uygulama denemesine dönersek, deney iki yıllık sınıra yaklaşırken düzenleyici kurum, sonbaharda sektörel yaklaşımının geleceği hakkında bir karar vermeden önce politikayı gözden geçireceğini belirten bir bildiri yayınladı.
Politikanın devam edip etmeyeceğini veya kamu sektörü veri ihlalleri için daha az kınama ve daha fazla para cezasına geçiş yapılıp yapılmayacağını henüz bilmiyoruz. Ne olursa olsun, Seçim Komisyonu’nun ihlal davası, ICO’nun, insanların verilerinin ifşa edilmesinin kanıtlanabilir bir zarara yol açabileceği durumlar dışında, kamu sektörüne yaptırım uygulama konusunda isteksiz olduğunu gösteriyor.
Tasarım gereği caydırıcılık konusunda gevşek olan bir düzenleyici yaklaşımın hükümet genelinde veri koruma standartlarını yükseltmeye nasıl yardımcı olacağı açık değil.
Kaynak: https://techcrunch.com/2024/08/02/how-the-theft-of-40-million-uk-voter-register-records-was-entirely-preventable/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası