Niezależna organizacja zajmująca się obserwacją wyborów w Wielkiej Brytanii – Komisja Wyborcza (The Electoral Commission) w sierpniu poinformowała, że padła ofiarą dużego cyberataku, na skutek którego przestępcy uzyskali dostęp do rejestru wyborców.
Wyciek danych wyborców
Incydent został wykryty w październiku 2022 r. po odnotowaniu podejrzanej aktywności w systemach Komisji. Okazało się, że przestępcy po raz pierwszy uzyskali dostęp do systemów w sierpniu 2021 r. W ramach ataku nieupoważnione osoby uzyskały dostęp do kopii referencyjnych rejestrów wyborców przechowywanych przez Komisję do celów badawczych i umożliwienia kontroli dopuszczalności dokonywania darowizn na cele polityczne. Rejestry prowadzone w czasie cyberataku zawierały: imię i nazwisko oraz adres każdej osoby w Wielkiej Brytanii, która była zarejestrowana jako wyborca w latach 2014-2022, a także nazwiska osób zarejestrowanych jako wyborcy za granicą. Rejestry nie zawierały danych osób zarejestrowanych anonimowo. Jak poinformowała Komisja w swoim komunikacie, wyciek nie grozi wysokim ryzykiem dla praw i wolności osób dotkniętych zdarzeniem. Ponadto atak nie miał wpływu na proces wyborczy, na prawa ani dostęp do procesu demokratycznego żadnej osoby, ani na jej rejestrację wyborczą.
Co ciekawe Komisja twierdzi, że poinformowała organ nadzorczy w ciągu 72 godzin od wykrycia incydentu, ale dopiero 8 sierpnia 2023 r., prawie rok po wykryciu naruszenia, opublikowała oficjalne powiadomienie oraz poinformowała osoby, których dane dotyczą. Organizacja, wyjaśniając opóźnienie w ogłoszeniu incydentu, wyjaśniła, że oprócz usunięcia przestępców z systemów i oceny skali incydentu, musiała „nawiązać kontakt z Narodowym Centrum Cyberbezpieczeństwa i Biurem Rzecznika Informacji. „Musieliśmy również wprowadzić dodatkowe środki bezpieczeństwa, aby zapobiec podobnym atakom w przyszłości”. Sprawę aktualnie bada brytyjski organ nadzoru (Information Commissioner’s Office).
Zagrożenia związane z dużymi bazami danych osobowych
Duże bazy danych są szczególnie łakomym kąskiem dla przestępców. Próby uzyskania bezprawnego dostępu do nich są więc bardziej prawdopodobne. W związku z tym warto nie tylko dbać o techniczne środki bezpieczeństwa, ale również o procedury związane ze wystąpieniem naruszenia. Liczy się również szybkość reakcji – w przypadku Electoral Commision prawie roczna zwłoka w ogłoszeniu incydentu nie świadczy najlepiej o profesjonalizmie organizacji.
Źródło:
https://www.electoralcommission.org.uk/media-centre/electoral-commission-subject-cyber-attack
