Çoğu insan kritik ulusal altyapı (CNI) düşündüğünde, enerji ızgaralarını, nakliye ağlarını veya hastaneleri resmedme eğilimindedir. Ancak İngiltere’nin seçim sistemi de bu kategoriye aittir. Demokrasimizin temelini oluşturur, bu yüzden seçimlerimizi bozmaya çalışanlardan korumak önemli bir görevdir. Ve tehdit gerçek.
Dünyanın dört bir yanında, seçim sistemleri son yıllarda siber saldırılarda keskin bir artışla karşılaştı. İngiltere, Seçim Komisyonu’nun sistemlerine sofistike bir ihlalde erişildiğini keşfettiğinde Ekim 2022’de bunu ilk elden deneyimledi. Saldırı seçimlerimizin güvenliğini etkilemese de, komisyonun sistemlerindeki bir dizi güvenlik açıkını ortaya çıkardı ve bize ve daha geniş BT topluluğunu hatırlattı, yetersiz yatırımların kamu kurumlarını nasıl açığa çıkarabileceğini hatırlattı.
Birçok müdahale gibi, ihlal olması gerekenden daha uzun süre tespit edilmedi. O zamanki korumalarımız saldırıyı önleyecek kadar güçlü değildi ve bizi ortaya çıkarmak zorunda olduğundan daha uzun sürdü. Ancak sorunun ölçeğini tanımak büyük değişimin katalizörü oldu. Uzaklıklı sistemleri kaldırmak, ağımızı temizlemek ve sonunda güvenlik altyapımızı sıfırlamak için Ulusal Siber Güvenlik Merkezi (NCSC) ile hızlı bir şekilde hareket edebildik. Başından beri, bunun zayıflıklara yammak ve uzun vadeli bir dayanıklılık programının başlangıcı olması gerektiğini biliyorduk.
Olaydan önce bile, geniş kapsamlı bir güvenlik geliştirme programına başlamıştık. O zamandan beri, bu çalışmayı hızlandırdık ve genişlettik: altyapımızı buluta taşımak, çok faktörlü kimlik doğrulamayı (MFA) uygulamak, Office365 E5 lisanslarına yükseltme ve 7/24 izleme hizmetlerinin dağıtılması. Personel şimdi sürekli eğitim görüyor ve Tehditleri yükselmeden önce tespit etmek için NCSC’nin erken uyarı sistemine kaydolduk. Yıllık siber güvenlik için harcamamızı üç katına çıkardık ve nasıl çalıştığımızın her yönüne yerleştirdik. NCSC ve Bilgi Komiseri Ofisi’nin güvenine komuta etmenin yanı sıra, geliştirilmiş BT sistemlerimiz şimdi ilk kez siber temeller artı sertifikası aldı, bize ve ortaklarımıza bilgi güvenliğindeki en yüksek standartlara bağlı olduğumuza dair güvence verdi. Birlikte ele alındığında, bu değişiklikler bize karşılaştığımız zorlukları daha iyi karşılayabilen bir esneklik seviyesi verdi. Abilasyon belirtisi göstermeyen zorluklar.
2024 İngiltere Genel Seçimi duyurulduğu gün, web sitemize iki büyük DDOS saldırısını engelledik ve oy kullanma gününde, güçlendirilmiş sistemlerimiz web sitemize 60.000’den fazla siber saldırı girişimini engelledi. Bu, o gün sitemizi ziyaret eden milyon kullanıcının nasıl ve nerede oy verileceği konusunda ihtiyaç duydukları bilgileri bulabilmelerini sağladı. BT liderlerinin dersi açıktır: Son başarılarınızı yolculuğun sonu olarak karıştırmayın. Siber güvenlik bir hedef değil, sürekli izleme, uyarlama ve güçlendirme sürecidir. Tehdit peyzajı günlük olarak gelişir ve kötü niyetli aktörler, sömürdükleri teknolojiler kadar çabuk yenilik yaparlar. Şikayet, herkesin en tehlikeli kırılganlığıdır.
Komisyonun taahhüdü şimdi kendi savunmalarımızı desteklemenin ötesine uzanıyor. Öğrendiklerimizi paylaşmak ve örgütleri savunmalarını güçlendirmeye teşvik etmek için İngiltere’nin hükümetleri, siyasi partileri ve diğer kamu kurumlarıyla birlikte çalışıyoruz. Eğer halkın demokrasiye olan güvenini koruyacaksak, seçim topluluğundaki her kuruluş riskleri tanımalı ve bunlara cevap vermeye hazır olmalıdır. İngiltere’nin seçim sisteminin dağınık doğası, güçlü yönlerinden biridir, bu da herhangi bir başarısızlık noktasının bütünü zayıflatmasını zorlaştırır, ancak bu esneklik hala işini yapan ve doğru çalışmaya bağlıdır.
BT liderliğinde akranları bir olayın zayıf yönlerinizi ortaya çıkarmasını beklememelerini isteyeceğim. Şimdi esnekliğe yatırım yapın ve doğru ortaklarla etkileşime geçin. Öğrenmeyi sektörlerde paylaşın. Siber tehditler hem kamu hem de özel sektörlerde hepimiz için bir gerçektir. Güvenliğimiz nasıl hazırlandığımız ve nasıl tepki verdiğimizde yatmaktadır. Komisyon için, 2021-22 ihlali, bize daha güçlü yeniden inşa etme fırsatı sağlayan bir uyandırma çağrısıydı. Şimdi iyileşmiş olsak da, başarımızı kabul etmeyeceğiz. Demokratik süreci korumak için güvenliğimizin ortaya çıkan ve mevcut tehditlere ayak uydurmasını sağlamaya devam edeceğiz.
Andrew Simpson, Seçim Komisyonu’nda dijital, bilgi, teknoloji ve tesisler (DITF) başkanıdır.