Nagana dla Komisji Wyborczej za naruszenie danych
Biuro Komisarza ds. Informacji (ICO) skrytykowało Komisję Wyborczą za pozostawienie danych 40 milionów wyborców w stanie podatnym na ataki hakerów. Hakerzy uzyskali dostęp do rejestru wyborców w sierpniu 2021 roku i utrzymali go przez ponad rok, do października 2022 roku. Wyciek obejmował nazwiska wyborców oraz adresy domowe. Sprawcy uzyskali dostęp do systemu, podszywając się pod konto użytkownika i wykorzystując znaną lukę w zabezpieczeniach, która nie została załatana pomimo dostępności odpowiedniej aktualizacji zabezpieczeń kilka miesięcy wcześniej.
ICO ujawniło, że dostęp do serwerów był uzyskiwany kilkakrotnie bez wiedzy Komisji Wyborczej. Komisja przyznała, że brak wdrożenia odpowiednich środków bezpieczeństwa był poważnym zaniedbaniem. "Od czasu ataku wprowadziliśmy znaczące zmiany w naszym podejściu do bezpieczeństwa systemów, zwiększając ich odporność na przyszłe zagrożenia" — czytamy w oświadczeniu Komisji.
Mimo że naruszenie dotknęło ogromnej liczby osób, ICO stwierdziło, że nie ma dowodów na niewłaściwe wykorzystanie ujawnionych danych osobowych. "Gdyby Komisja Wyborcza podjęła podstawowe kroki w celu ochrony swoich systemów, takie jak regularne łatanie zabezpieczeń i skuteczne zarządzanie hasłami, do tego naruszenia danych prawdopodobnie by nie doszło" — powiedział Stephen Bonner, zastępca komisarza ICO. Dodał, że brak terminowej instalacji aktualizacji zabezpieczeń sprawił, że systemy były podatne na ataki, co powinno być przestrogą dla wszystkich organizacji.
Odpowiedź rządu i dalsze działania
W związku z tym incydentem rząd Wielkiej Brytanii formalnie oskarżył Chiny o złośliwy atak i nałożył sankcje na dwie osoby oraz firmę. Ambasada Chin w Wielkiej Brytanii odrzuciła te oskarżenia jako bezpodstawne i oszczercze.
W lipcu ICO udzieliło również nagany władzom London Borough of Hackney za cyberatak z 2020 roku, który dotknął 280 000 mieszkańców. Atak był wynikiem braku odpowiednich środków bezpieczeństwa. W obu przypadkach hakerzy uzyskali dostęp do systemów, wykorzystując znane luki w zabezpieczeniach, które nie zostały naprawione mimo dostępności odpowiednich aktualizacji.
Te incydenty podkreślają konieczność stosowania podstawowych środków bezpieczeństwa w ochronie danych osobowych. Organizacje muszą traktować bezpieczeństwo danych jako priorytet, aby chronić prywatność użytkowników i zapobiegać przyszłym cyberatakom. Brak terminowej instalacji najnowszych aktualizacji zabezpieczeń oraz skutecznego zarządzania hasłami może prowadzić do poważnych naruszeń bezpieczeństwa, narażając wrażliwe dane na ryzyko.
