Избирательная комиссия Великобритании отделалась выговором за утечку ПДн

Опубликован официальный документ Управления Комиссара по информации Великобритании (ICO) по итогам расследования кибератаки 2021 года на серверы Избирательной комиссии Великобритании. Комиссия получила официальное предупреждение от регулятора за целый ряд нарушений безопасности, которые привели к краже ПДн 40 млн избирателей.

В документе говорится, что злоумышленники, ответственные за кибератаку на сервер Microsoft Exchange Избиркома трёхлетней давности, не найдены. Ранее Великобритания официально обвинила в этих атаках Китай.

Среди причин, которые привели к инциденту и 13 месяцам, ушедших на обнаружение вредоносной активности в сети, названы неэффективный режим исправления уязвимостей, не сумевший выявить многочисленные уязвимости, включая ProxyShell. Эксперты напоминают, что Microsoft выпустила патчи для ProxyShell в марте и апреле 2021 года, за несколько месяцев до начала атаки. Однако 16 сентября 2021-го, а также 13 июня и 2 августа 2022 года уязвимости были открыты, чем и воспользовались злоумышленники.

24 августа 2021 года, после первоначального доступа на серверы Exchange Избиркома, злоумышленники развернули веб-оболочку для постоянного удалённого управления, доступ к которой сохранялся до 2 августа 2022 года.

3 октября 2021-го другой злоумышленник также воспользовался уязвимостями ProxyShell и развернул веб-оболочку на сервере. Она была помещена на карантин и удалена 14 марта 2022 года. Однако из-за настроек сервера не удалось определить, сохранил ли злоумышленник доступ к серверу Exchange или он был повторно взломан в марте 2022 года. Расследование показало, что этот хакер действовал с одного и того же IP-адреса.

Также руководство Избиркома признано виновным в использовании паролей по умолчанию и неспособности внедрить соответствующие политики управления паролями в организации. После аудита паролей, проведённого после инцидента, 178 из них были быстро взломаны, поскольку оказались идентичны или похожи на те, которые были выданы при создании учётных записей.

Выговор Избиркому является формальным выражением неодобрения надзорного органа в отношении практики защиты данных. По мнению ICO, взыскание крупного штрафа, который предусмотрен GDPR Великобритании, — не лучший способ воздействия на организацию, испытывающую нехватку средств.

Ранее решение о выговоре было принято комиссаром по информации Джоном Эдвардсом, и в нём также содержались рекомендации по организации работ по защите данных.

В настоящее время Избирательная комиссия предприняла необходимые шаги для повышения своей безопасности в соответствии с требованиями законодательства Великобритании, реализовав план модернизации инфраструктуры.

Главный вывод регулятора заключается в том, что злоумышленники, спонсируемые китайским государством, в течение 13 месяцев имели доступ к именам и домашним адресам около 40 млн избирателей Великобритании из-за недостаточного контроля безопасности в Избирательной комиссии страны. Если бы Избирком предпринял элементарные шаги для защиты своих систем, своевременно устанавливая обновления безопасности и управляя паролями, весьма вероятно, что этой утечки данных не произошло бы, считают чиновники Управления Комиссара по информации. У них нет оснований полагать, что персональные данные граждан были использованы не по назначению или нарушение безопасности причинило кому-то прямой ущерб.

31 июля, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.06.2025
Архиватор ARZip поддерживает ОС «Альт Рабочая станция»
11.06.2025
МВД: На банковскую тайну никто не посягает
11.06.2025
Оплата QR-кодом и биометрией за год стала вдвое популярнее
11.06.2025
Минпромторг субсидирует на три года. Приоритет — микроэлектроника?
11.06.2025
Минцифры напомнило о поводах для изъятия «крипты»
11.06.2025
SentinelOne: Безопасники и хакеры вовлечены в гонку вооружений ИИ
10.06.2025
Три кита финансовой культуры: итоги V форума волонтеров финансового просвещения
10.06.2025
В Москве прошла конференция TECH WEEK 2025, посвящённая ИИ и технологиям для бизнеса
10.06.2025
Новый закон не даст обратить подростков в дропперов
10.06.2025
«Билайн» запрыгивает в антискам-вагон, бросая трубки за абонента

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных