Serangan siber ke atas Suruhanjaya Pilihan Raya UK yang mengakibatkan data pendaftaran pengundi pada 40 juta orang terdedah adalah sepenuhnya dapat dielakkan sekiranya organisasi itu menggunakan langkah-langkah keselamatan asas, menurut dapatan daripada laporan yang mengecam oleh badan pengawas perlindungan data UK yang diterbitkan minggu ini.
Laporan yang diterbitkan oleh Pejabat Pesuruhjaya Maklumat UK pada Isnin menyalahkan Suruhanjaya Pilihan Raya, yang menjaga salinan pendaftaran warganegara UK yang layak mengundi dalam pilihan raya, atas siri kegagalan keselamatan yang menyebabkan pencurian data besar-besaran maklumat pengundi bermula Ogos 2021.
Suruhanjaya itu tidak menemui kompromi sistemnya sehingga lebih setahun kemudian pada Oktober 2022 dan mengambil masa sehingga Ogos 2023 untuk mengumumkan pencabulan data setahun itu secara terbuka.
Di era pengumuman awam pada masa itu, pihak peretas telah merompak pelayan yang mengandungi emel Suruhanjaya dan mencuri, antara lain, salinan pendaftar pilihan raya UK. Pendaftar itu menyimpan maklumat pengundi yang mendaftar antara tahun 2014 dan 2022, dan termasuk nama, alamat pos, nombor telefon dan maklumat pengundi yang tidak disiarkan.
Kerajaan UK kemudiannya mengaitkan pencerobohan itu dengan China, dengan pegawai kanan memperingatkan bahawa data yang dicuri boleh digunakan untuk "pengintipan besar-besaran dan represi transnasional terhadap golongan yang dilihat sebagai pengkritik dan penentang dalam UK." China telah menafikan keterlibatan dalam pencerobohan tersebut.
Pejabat Pesuruhjaya Maklumat mengeluarkan teguran rasmi mereka kepada Suruhanjaya Pilihan Raya pada Isnin kerana melanggar undang-undang perlindungan data UK, menambah: "Sekiranya Suruhanjaya Pilihan Raya telah mengambil langkah-langkah asas untuk melindungi sistemnya, seperti penyelenggaraan patch keselamatan yang berkesan dan pengurusan kata laluan, adalah sangat mungkin bahawa pencerobohan data ini tidak akan berlaku."
Bagi pihaknya, Suruhanjaya Pilihan Raya mengakui dalam kenyataan ringkas selepas penerbitan laporan itu bahawa "perlindungan yang mencukupi tidak di tempat untuk menghalang serangan siber ke atas Suruhanjaya".
Hingga laporan Pejabat Pesuruhjaya Maklumat, tidak jelas apa yang menyebabkan kompromi maklumat puluhan juta pengundi UK - atau apa yang boleh dilakukan secara berbeza.
Sekarang kita tahu bahawa Pejabat Pesuruhjaya Maklumat khusus menyalahkan Suruhanjaya kerana tidak memasang "kelemahan perisian yang diketahui" dalam pelayan emelnya, yang merupakan titik permulaan tekanan bagi pihak peretas yang melarikan diri dengan jurai maklumat pengundi. Laporan juga mengesahkan satu butir seperti yang dilaporkan oleh TechCrunch pada tahun 2023 bahawa emel Suruhanjaya adalah pelayan Exchange milik sendiri Microsoft.
Dalam laporan itu, Pejabat Pesuruhjaya Maklumat mengesahkan bahawa sekurang-kurangnya dua kumpulan peretas jahat masuk ke dalam pelayan Exchange milik sendiri Suruhanjaya semasa 2021 dan 2022 dengan menggunakan rangkaian tiga kelemahan yang dikenali secara kolektif sebagai ProxyShell, yang membolehkan pihak peretas merompak, mengambil kawalan, dan menanam kod berbahaya pada pelayan tersebut.
Microsoft telah mengeluarkan penyelesaian untuk ProxyShell beberapa bulan sebelumnya pada April dan Mei 2021, tetapi Suruhanjaya tidak memasangnya.
Pada Ogos 2021, agensi keselamatan siber AS CISA telah memulakan pengalih pemikiran bahawa peretas jahat sedang mengalami eksploitasi ProxyShell secara aktif, pada masa itu mana-mana organisasi yang memiliki proses penyelenggaraan patch keselamatan yang berkesan sudah menggulung penyelesaian berbulan-bulan yang lalu dan sudah terlindung. Suruhanjaya Pilihan Raya bukanlah salah satu organisasi itu.
"Suruhanjaya Pilihan Raya tidak mempunyai rezim penyelenggaraan patch yang sesuai pada masa kejadian," kata laporan Pejabat Pesuruhjaya Maklumat. "Kegagalan ini adalah langkah asas."
Antara isu keselamatan lain yang mencolok yang ditemui semasa penyiasatan Pejabat Pesuruhjaya Maklumat, Suruhanjaya Pilihan Raya membenarkan kata laluan yang "sangat mudah diteka" terpakai, dan bahawa Suruhanjaya mengesahkan bahawa sebahagian infrastrukturnya sudah ketinggalan.
Deputy Pesuruhjaya Pejabat, Stephen Bonner berkata dalam kenyataan di laporan dan teguran Pejabat Pesuruhjaya Maklumat: “Sekiranya Suruhanjaya Pilihan Raya telah mengambil langkah-langkah asas untuk melindungi sistemnya, seperti penyelenggaraan patch keselamatan yang berkesan dan pengurusan kata laluan, adanya sangat mungkin bahawa pencerobohan data ini tidak akan berlaku."
Mengapa Pejabat Pesuruhjaya Maklumat tidak mengenakan denda ke atas Suruhanjaya Pilihan Raya?
Serangan siber sepenuhnya dapat dielakkan yang mendedahkan data peribadi 40 juta pengundi UK mungkin kedengaran sebagai kesalahan yang cukup serius untuk Suruhanjaya Pilihan Raya dikenakan denda, bukan hanya teguran. Namun, Pejabat Pesuruhjaya Maklumat hanya memberi teguran awam bagi keselamatan yang longgar.
Badan sektor awam telah dikenakan denda kerana melanggar peraturan perlindungan data pada masa lalu. Tetapi pada Jun 2022 di bawah kerajaan konservatif sebelumnya, Pejabat Pesuruhjaya Maklumat mengumumkan ia akan mencuba pendekatan semula terhadap penguatkuasaan ke atas badan-badan awam.
Pihak penjaga itu berkata perubahan dasar itu bermaksud autoriti awam kemungkinan tidak akan dikenakan denda besar atas kesalahan untuk dua tahun akan datang, walaupun Pejabat Pesuruhjaya Maklumat menyarankan insiden masih akan disiasat sepenuhnya. Tetapi sektor itu diminta mengharapkan penggunaan teguran yang lebih kerap dan kuasa penguatkuasaan lain, bukan denda.
Dalam surat terbuka menjelaskan langkah itu pada masa itu, pesuruhjaya maklumat John Edwards menulis: "Saya tidak yakin denda besar itu secara tunggal adalah satu langkah pencegah yang efektif dalam sektor awam. Ia tidak memberi tekanan kepada pemegang saham atau pengarah individu dengan cara yang sama seperti dalam sektor swasta tetapi datang terus dari bajet untuk penyediaan perkhidmatan. Kesan denda sektor awam juga sering dilampirkan kepada mangsa pencerobohan, dalam bentuk penurunan bajet untuk perkhidmatan penting, bukan kepada pelakunya. Pada hakikatnya, orang yang terkesan oleh pencerobohan akan dihukum dua kali.”
Pada pandangan pertama, kelihatan seperti Suruhanjaya Pilihan Raya mengalami nasib baik kerana menemui pencerobohan dalam perintis dua tahun ujian Pejabat Pesuruhjaya Maklumat atas pendekatan yang lebih lembut terhadap penguatkuasaan sektor.
Sejajar dengan Pejabat Pesuruhjaya Maklumat mengatakan akan menguji kurang sanksi bagi pencerobohan data sektor awam, Edwards berkata pihak regulator akan mengambil aliran kerja lebih proaktif dengan menghubungi pemimpin kanan di badan-badan awam untuk mencuba meningkatkan standard dan mendorong pematuhan perlindungan data di seluruh badan kerajaan melalui pendekatan pencegahan kemudaratan.
Walau bagaimanapun, ketika Edwards mendedahkan rancangan untuk menguji penggabungan penguatkuasaan yang lebih lembut dengan penyampain proaktif, beliau mengakui ia akan memerlukan usaha di kedua-dua hujung, menulis: “[K]ita tidak boleh melakukannya sendiri. Harus ada akauntabiliti untuk memberikan peningkatan ini dari segala sudut.”
Pencabulan Suruhanjaya mungkin oleh itu menimbulkan persoalan lebih luas mengenai kejayaan ujian Pejabat Pesuruhjaya Maklumat, termasuk sama ada badan berkenaan telah menunaikan kewajipan mereka yang sepatutnya bagi membenarkan pelonggaran penguatkuasaan.
Tentu saja tidak kelihatan bahawa Suruhanjaya Pilihan Raya cukup proaktif dalam menilai risiko pencabulan dalam bulan-bulan awal ujian Pejabat Pesuruhjaya Maklumat - iaitu, sebelum ia menemui pencerobohan pada Oktober 2022. Teguran Pejabat Pesuruhjaya Maklumat menggelar kegagalan Suruhanjaya memasang kelemahan perisian yang diketahui sebagai "ukuran asas," misalnya, kedengaran seperti definisi pencerobohan data yang boleh dielakkan yang penguatkuasa itu berkata ia ingin menyucikan dari dasar penguatkuasaan sektor awamnya.
Dalam kes ini, bagaimanapun, Pejabat Pesuruhjaya Maklumat menggesa ia tidak mengenakan dasar penguatkuasaan sektor awam yang lebih ringan dalam kes ini.
Merespons kepada soalan mengapa ia tidak mengenakan denda ke atas Suruhanjaya Pilihan Raya, jurucakap Pejabat Pesuruhjaya Maklumat Lucy Milburn memberitahu TechCrunch: "Selepas penyiasatan menyeluruh, denda tidak dipertimbangkan untuk kes ini. Walaupun jumlah orang yang terkesan, data peribadi yang terlibat terhad dalamnya terutamanya nama dan alamat yang terkandung di Daftar Pilihan Raya. Penyiasatan kami tidak menemui bukti bahawa data peribadi dimisahkan, atau bahawa sebarang kemudaratan langsung telah disebabkan oleh pencabulan ini.”
"Suruhanjaya Pilihan Raya kini melaksanakan langkah-langkah yang diperlukan yang kami harap akan meningkatkan keselamatan mereka dalam lanjutannya, termasuk melaksanakan perancangan untuk mengemaskini infrastruktur mereka, serta kawalan dasar untuk kata laluan dan autentikasi pelbagai faktor bagi semua pengguna," tambah jurucakap itu.
Bagi pihak regulator, tiada denda dikeluarkan kerana tiada data dijadikan bahan, atau lebih tepat lagi, Pejabat Pesuruhjaya Maklumat tidak menemui sebarang bukti penyalahgunaan. Hanya mendedahkan maklumat 40 juta pengundi tidak memenuhi tahap Pejabat Pesuruhjaya Maklumat.
Seseorang mungkin bertanya berapa banyak penyiasatan regulator yang difokuskan untuk mengetahui bagaimana maklumat pengundi mungkin telah disalahgunakan?
Pada kembali ke ujian penguatkuasaan sektor awam Pejabat Pesuruhjaya Maklumat pada hujung Jun, semasa eksperimen mendekati penanda dua tahun, pihak pengawal itu mengeluarkan kenyataan yang berkata ia akan menilai dasar sebelum membuat keputusan tentang masa depan pendekatan sektoralnya pada musim gugur.
Sama ada dasar itu kekal atau terdapat perubahan kepada lebih sedikit teguran dan lebih banyak denda bagi pencabulan data sektor awam mesti ditunggu. Walau bagaimanapun, kes pencabulan Suruhanjaya Pilihan Raya menunjukkan Pejabat Pesuruhjaya Maklumat enggan mengenakan denda ke atas sektor awam - kecuali pendedahan data individu boleh dikaitkan dengan kemudaratan yang jelas.
Tidak jelas bagaimana pendekatan pengawalseliaan yang longgar secara sengaja akan membantu meningkatkan standard perlindungan data di seluruh kerajaan.