Избирательная комиссия Великобритании отделалась выговором за утечку ПДн

Опубликован официальный документ Управления Комиссара по информации Великобритании (ICO) по итогам расследования кибератаки 2021 года на серверы Избирательной комиссии Великобритании. Комиссия получила официальное предупреждение от регулятора за целый ряд нарушений безопасности, которые привели к краже ПДн 40 млн избирателей.

В документе говорится, что злоумышленники, ответственные за кибератаку на сервер Microsoft Exchange Избиркома трёхлетней давности, не найдены. Ранее Великобритания официально обвинила в этих атаках Китай.

Среди причин, которые привели к инциденту и 13 месяцам, ушедших на обнаружение вредоносной активности в сети, названы неэффективный режим исправления уязвимостей, не сумевший выявить многочисленные уязвимости, включая ProxyShell. Эксперты напоминают, что Microsoft выпустила патчи для ProxyShell в марте и апреле 2021 года, за несколько месяцев до начала атаки. Однако 16 сентября 2021-го, а также 13 июня и 2 августа 2022 года уязвимости были открыты, чем и воспользовались злоумышленники.

24 августа 2021 года, после первоначального доступа на серверы Exchange Избиркома, злоумышленники развернули веб-оболочку для постоянного удалённого управления, доступ к которой сохранялся до 2 августа 2022 года.

3 октября 2021-го другой злоумышленник также воспользовался уязвимостями ProxyShell и развернул веб-оболочку на сервере. Она была помещена на карантин и удалена 14 марта 2022 года. Однако из-за настроек сервера не удалось определить, сохранил ли злоумышленник доступ к серверу Exchange или он был повторно взломан в марте 2022 года. Расследование показало, что этот хакер действовал с одного и того же IP-адреса.

Также руководство Избиркома признано виновным в использовании паролей по умолчанию и неспособности внедрить соответствующие политики управления паролями в организации. После аудита паролей, проведённого после инцидента, 178 из них были быстро взломаны, поскольку оказались идентичны или похожи на те, которые были выданы при создании учётных записей.

Выговор Избиркому является формальным выражением неодобрения надзорного органа в отношении практики защиты данных. По мнению ICO, взыскание крупного штрафа, который предусмотрен GDPR Великобритании, — не лучший способ воздействия на организацию, испытывающую нехватку средств.

Ранее решение о выговоре было принято комиссаром по информации Джоном Эдвардсом, и в нём также содержались рекомендации по организации работ по защите данных.

В настоящее время Избирательная комиссия предприняла необходимые шаги для повышения своей безопасности в соответствии с требованиями законодательства Великобритании, реализовав план модернизации инфраструктуры.

Главный вывод регулятора заключается в том, что злоумышленники, спонсируемые китайским государством, в течение 13 месяцев имели доступ к именам и домашним адресам около 40 млн избирателей Великобритании из-за недостаточного контроля безопасности в Избирательной комиссии страны. Если бы Избирком предпринял элементарные шаги для защиты своих систем, своевременно устанавливая обновления безопасности и управляя паролями, весьма вероятно, что этой утечки данных не произошло бы, считают чиновники Управления Комиссара по информации. У них нет оснований полагать, что персональные данные граждан были использованы не по назначению или нарушение безопасности причинило кому-то прямой ущерб.

31 июля, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных