Birleşik Krallık’ın seçim otoritesine duyulan güven, 40 milyon seçmenin kayıtlarına sızan ve bir yıl boyunca tespit edilmeden kalan kötü niyetli bir siber saldırının ortaya çıkmasının ardından şüpheye düştü. Şaşırtıcı bir şekilde, bu ihlal tam 10 ay sonrasına kadar halka açıklanmadı.
Saldırı bir sonraki yılın Ekim ayında tespit edilmiş ve 72 saatlik bir süre içinde hem Bilgi Komiserliği Ofisine (ICO) hem de Ulusal Suç Teşkilatı’na derhal bildirilmiş olsa da, genel halk ancak son zamanlarda seçim kayıtlarının aşağıdakileri içerdiğinden haberdar oldu: milyonlarca seçmenin hassas verilerine bu uzun süre boyunca erişilmiş olabilir.
Güvenliği ihlal edilen bilgilerin kapsamını kesin olarak tespit edemediğini kabul eden Seçim Komisyonu, erişilen verilerin çoğunun zaten kamuya açık olduğunu açıkladı. Birleşik Krallık’ın öncelikle kağıt tabanlı seçim sürecinin sonuçlarını etkilemenin zor olacağını savunurken, komisyon seçmenlerin geçerli endişelerini kabul etti.
Eski GCHQ direktörü David Omand, Rusya’yı birincil şüpheli olarak tanımlarken, MI6’nın eski başkanı Sir Richard Dearlove bu duyguyu tekrarlayarak Kremlin’i doğrudan potansiyel suçlular listesinin başına yerleştirdi.
Saldırganlar, komisyonun araştırma ve siyasi bağışların doğrulanması için elinde tuttuğu seçmen kütüklerinin kapsamlı kopyalarını almayı başardılar. Bu kayıtlar, 2014 ile 2022 arasında kayıtlı olan tüm Birleşik Krallık seçmenlerinin adlarını ve adreslerini kapsar. Ek olarak, komisyonun e-posta sistemi bu siber saldırı sırasında savunmasızdı.
Seçim Komisyonu tarafından tutulan kütüğün tamamı halkın incelemesine açık olsa da, buna yalnızca seçim kayıt görevlileri aracılığıyla yerel olarak erişilebilir ve el yazısıyla yazılmış notlar, izin verilen tek belge biçimidir. Burada yer alan verilerin ticari veya pazarlama amacıyla kullanılması kesinlikle yasaktır.
Anonim seçmenlerin özel bilgilerinin ve denizaşırı seçmenlerin adreslerinin, ele geçirilen BT sisteminde davetsiz misafirlerin erişemeyeceği bir yerde olduğunu belirtmekte fayda var.
Bu saldırının yansımaları, Birleşik Krallık’ın seçim mekanizmalarının bütünlüğüne ilişkin endişeleri şimdiden artırdı. Ulusal Suç Teşkilatı, ulusun demokratik süreçlerini korumaya ve seçim sistemi siber direncinin güçlendirilmesine öncelik vermeye olan bağlılığını ileri sürmüş olsa da, bu çabaların yeterliliğine ilişkin sorular devam etmektedir.
Guru, ihlali ele almak için birkaç siber uzmana ulaştı.
Gelişmiş Siber Savunma Sistemleri’nde (ACDS) Kriminolog ve Siber Suç Danışmanı Paige Mullen:
“Bu, veri ihlallerinin, genellikle güvenecekleri kuruluşlara halkın güvenini nasıl azaltabileceğinin bir örneğidir. 40 milyon kayıtlı seçmenin verileri tehlikeye girdiğinde, bu küçük bir ihlal değil. Ayrıca, verileri ele geçirilmiş olanlar, bunu ancak 10 ay sonra öğrendikleri için mutlu değiller, çünkü hassas bilgilerine siber suçlular bu konuda hiçbir şey yapamadan çok uzun bir süre önce erişildi. Bunun sebebinin ise tehdit aktörlerinin sistemden uzaklaştırılmasının sağlanması ihtiyacından kaynaklandığı öğrenildi.
“Daha fazla bilgi olmadan, saldırının arkasındaki motivasyonu bilmek zor, ancak birçok kişi Rusya’nın bununla bir ilgisi olabileceğinden şüpheleniyor ve birincil sebep mali kazanç değildi. Seçim Komisyonu artık güveni yeniden inşa etmek ve ihlalin neden olduğu herhangi bir itibar zedelenmesi üzerinde çalışmak zorunda kalacak ve seçmenleri böyle bir saldırının bir daha olmayacağına dair güvence sağlamak için önlemler uyguladıklarını bilgilendirecek. Seçimlere katılan tüm kuruluşlar, arkalarındaki potansiyel hedeflerin farkında olmalı ve tehdit aktörlerinin bu olayda yaptıkları gibi sistemlerine sızma olasılığını ortadan kaldıracak kadar güçlü bir siber güvenlik duruşuna sahip olduğundan emin olmalıdır.”
Synopsys Software Integrity Group araştırma ve geliştirme kıdemli yöneticisi Andrew Bolster:
“Dünyadaki birçok seçim kütüğü gibi, Birleşik Krallık seçim kütüğü de yerel sicil daireleri aracılığıyla hemen hemen herkes tarafından görüntülenebilir. Bununla birlikte, iç seçmen kütüğüne bu müdahale, özellikle de kamu sicilinden çıkmayı tercih eden tescil ettirenlerin kayıtlarının ifşa edilmesi, kredi kayıtları ve şirket sicil verileri gibi diğer veri kümeleriyle ilişkilendirilirse vatandaşlar için önemli bir risk oluşturabilir.
“Kendi başına zararsız gibi görünse de, bu tür toplu veri ifşası hedef odaklı kimlik avı saldırılarında güven ve itimat kazanmak veya birden fazla farklı veri kaynağını birleştirerek kişisel tehdit altındaki bireyleri “üçgenleştirmek” için kullanılabilir.
“E-posta tabanlı bir uzlaşmadan kaynaklandığı kaydedilen bu saldırının doğası, ‘çevreyi savunmanın’ her zaman yeterli olmadığını gösteriyor. Veri gizliliği söz konusu olduğunda, bu veri kümelerinin sahipleri, onları korumak için derinlemesine savunma ve erişim denetimi katmanları oluşturmalı ve uygulamalıdır.”
Nadir Israel, CTO ve Armis’in kurucu ortağı:
“Bu özel saldırı, büyük bir operasyonel başarısızlıkla sonuçlanmamış olabilir, ancak olabileceklerin temelini oluşturuyor. Aslında, bu yılın başlarında Armis’in Siber Savaş Durumu Raporundan daha önce yayınlanmamış veriler, bu endişeleri ortaya koydu – Birleşik Krallık’taki BT ve güvenlik uzmanlarının %68’i, siber savaşın seçim sürecinin siber güvenliğini etkileyebileceği konusunda hemfikir. Bu saldırının jeopolitik gerilimlerden kaynaklanıp kaynaklanmadığı bilinmemekle birlikte, saldırganın amacı ne olursa olsun, tehdit grupları vatandaşların en kritik sistemlerini hedef alarak günlük yaşamlarını bozmaya yönelik çalışmalarını sürdürürken güvenlik ekiplerinin son derece tetikte olması zorunludur.
“Bu sarsıcı gerçeklik, siber tehditlere karşı risk değerlendirmelerinin yeterliliğini gözden geçirmesi ve kendilerini genişletilmiş saldırı yüzeyinden koruyan esnek bir strateji oluşturması gereken kritik hizmet sağlayıcıları için bir eylem çağrısı olmalıdır. bireyler ve bir bütün olarak toplum. Özellikle seçim süreci gibi kritik demokratik prosedürler için potansiyel riskler oluşturan, giderek daha fazla birbirine bağlanan yardımcı BT sistemleri söz konusu olduğunda, siber dayanıklılığın önemi göz ardı edilemez. Avrupa Birliği, seçim sistemlerinden sorumlu olanlar da dahil olmak üzere kritik altyapı sağlayıcılarının belirli bir düzeyde operasyonel dayanıklılığa ulaşmasını zorunlu kılan NIS gibi yasalarla proaktif adımlar attı. Ancak, dirençli bir altyapı sağlamak için özel şirketlerden ve hükümetlerden daha fazlasına ihtiyaç var.”
Specops Software Kıdemli Ürün Müdürü Darren James:
“Genellikle devlet kurumlarına ve bunun gibi sistemlere yapılan saldırılar büyük olasılıkla ulus devlet destekli tehdit aktörlerinden geliyor – Rusya listenin en başında yer alıyor. Amaç, hedefi araştırmak, diğer bağlı sistemlere yanal gitmek, hedef hükümete olan kamuoyu güvenini baltalamak ve mali zarardan çok itibar skandalına neden olmaktır. Potansiyel olarak, Birleşik Krallık’taki 43 milyona kadar seçmenin adları, adresleri ve e-posta adresleri açığa çıkmış olabilir.
“Seçim sistemlerine göre web sitesi dosya paylaşımı ve e-posta sistemleri erişilebilirdi. Ayrıca, ağ oturum açma gereksinimlerini güçlendirdiklerini belirttiler – umarım bu, daha iyi bir parola/parola politikası benimsedikleri ve düzeltme ve kurtarma konusunda kendilerine yardımcı olan Ulusal Siber Güvenlik Merkezi tarafından önerildiği gibi, ihlal edildiği bilinen parolaları artık engelledikleri anlamına gelir. .
“Sistemde bir yıldan fazla bir süre tespit edilmeden kalmayı başarmaları ve ayrıca bu saldırının daha önce kamuya açıklanmaması ilginç olsa da ilginç.”
SenseOn Teknoloji Direktörü Brad Freeman:
“Demokrasi için seçim sisteminin bütünlüğü çok önemlidir. Neyse ki Birleşik Krallık’ta oyları toplamak ve doğrulamak için kağıt tabanlı bir sistem kullanıyoruz. Kağıda dayalı bir sistem, sayım için gecikmelere ve insan hatalarından dolayı küçük bir hata payına neden olsa da, süreç geniş çaplı kurcalamaya karşı çok dirençlidir. Seçmen kütüğünün doğrudan demokrasimize yönelik bir saldırıda kullanılması pek olası değildir. Bununla birlikte, büyük veritabanları, özellikle ulusumuzun ve vatandaşlarının daha eksiksiz resimlerini oluşturmak için diğer veri kümelerine karşı kullanıldıklarında, ulus devletler tarafından bilgi toplanması açısından değerlidir. Devlet BT sistemleri, her departmanın kendi sistemlerini oluşturması ve yönetmesi ile parçalanmıştır. Bu, hizmetlere telefon veya korkunç kağıt tabanlı formlar yerine çevrimiçi olarak erişilmesine izin vermek gibi yeniliklere izin verdiğinde harikadır. Ancak bu parçalanma, sistemlerin aynı güvenlik standartlarına göre inşa edilmediği anlamına gelebilir ve riski artırır. İnovasyonu mümkün kılmak ve riski yönetmek zor bir dengeleme eylemidir.”