/cdn.vox-cdn.com/uploads/chorus_asset/file/25623451/DSCF0036.jpg?w=120&resize=120,86&ssl=1)
Um ataque cibernético à Comissão Eleitoral do Reino Unido, que levou a uma violação de dados nos cadernos eleitorais de 40 milhões de pessoas, teria sido totalmente evitável se a organização tivesse tomado medidas básicas de segurança. Isto está de acordo com um relatório contundente da Autoridade de Proteção de Dados do Reino Unido publicado esta semana.
O relatório, publicado na segunda-feira pelo Gabinete do Comissário de Informação da Grã-Bretanha, culpou a Comissão Eleitoral, que mantém cópias do registo de eleitores elegíveis do Reino Unido, por uma série de falhas de segurança que levaram ao roubo em massa de informações eleitorais a partir de agosto de 2021.
A Comissão Eleitoral só descobriu o comprometimento dos seus sistemas mais de um ano depois, em Outubro de 2022, e demorou até Agosto de 2023 para divulgar publicamente a violação de dados que durou um ano.
A comissão disse no momento da publicação que os hackers invadiram servidores que armazenavam seus e-mails e roubaram cópias dos cadernos eleitorais britânicos, entre outras coisas. Esses diretórios armazenam informações sobre os eleitores registrados entre 2014 e 2022. Isso inclui nomes, endereços, números de telefone e informações não públicas dos eleitores.
Mais tarde, o governo britânico atribuiu o colapso à China. Altos funcionários do governo alertaram que os dados roubados poderiam ser usados para “espionagem em grande escala e repressão transnacional contra supostos dissidentes e críticos no Reino Unido”. No entanto, a China negou estar envolvida no roubo de dados.
A OIC repreendeu formalmente a Comissão Eleitoral na segunda-feira por violar as leis de proteção de dados do Reino Unido, acrescentando: “Se a Comissão Eleitoral tivesse tomado medidas básicas para proteger os seus sistemas, tais como patches de segurança eficazes e gestão de palavras-passe, é altamente provável que esta violação de dados não ocorreu.”
Por seu lado, a Comissão Eleitoral reconheceu numa breve declaração após a publicação do relatório que “havia salvaguardas insuficientes para evitar o ataque cibernético à Comissão”.
Até ao relatório da OIC, não estava claro exatamente o que tinha levado ao comprometimento dos dados de dezenas de milhões de eleitores britânicos – ou o que poderia ter sido feito de forma diferente.
Agora sabemos que a OIC acusou especificamente a Comissão de não corrigir “vulnerabilidades de software conhecidas” no seu servidor de e-mail, que foi o primeiro ponto de ataque dos hackers que roubaram resmas de dados eleitorais. O relatório também confirma um detalhe relatado pelo TechCrunch em 2023: o e-mail da comissão era um servidor Microsoft Exchange auto-hospedado.
No seu relatório, a ICO confirmou que pelo menos dois grupos de hackers maliciosos invadiram o servidor Exchange auto-hospedado da Comissão em 2021 e 2022. Eles usaram uma cadeia de três vulnerabilidades, conhecidas coletivamente como ProxyShell. Isso permitiu que os hackers invadissem, assumissem o controle e colocassem códigos maliciosos no servidor.
A Microsoft lançou patches para o ProxyShell vários meses antes, em abril e maio de 2021, mas a Comissão não os instalou.
Em agosto de 2021, a agência de segurança cibernética dos EUA, CISA, começou a soar o alarme de que hackers mal-intencionados estavam explorando ativamente o ProxyShell. Neste ponto, todas as organizações que tinham um processo eficaz de aplicação de patches de segurança já haviam implementado correções meses atrás e já estavam protegidas. A Comissão Eleitoral não era uma dessas organizações.
“A Comissão Eleitoral não tinha um sistema de correção apropriado no momento do incidente”, disse o relatório da OIC. “Essa falha é uma medida fundamental.”
Outras questões de segurança notáveis descobertas durante a investigação da OIC incluem que a Comissão Eleitoral permitiu a adivinhação de senhas que eram “extremamente vulneráveis” à adivinhação. A Comissão também confirmou que estava “consciente” de que partes da sua infraestrutura estavam desatualizadas.
O vice-comissário da OIC, Stephen Bonner, disse em um comunicado sobre o relatório e a reprimenda da OIC: “Se a Comissão Eleitoral tivesse tomado medidas básicas para proteger seus sistemas, como patches de segurança eficazes e gerenciamento de senhas, essa violação de dados provavelmente não teria acontecido”.
Por que a OIC não multou a Comissão Eleitoral?
Um ciberataque completamente evitável que expôs os dados pessoais de 40 milhões de eleitores britânicos pode parecer uma violação tão grave que a Comissão Eleitoral deveria ser multada não apenas com uma advertência. Mas a OIC apenas emitiu uma repreensão pública à segurança desleixada.
No passado, os organismos públicos tiveram de enfrentar sanções caso violassem os regulamentos de protecção de dados. Mas em Junho de 2022, sob o governo conservador anterior, a OIC anunciou que iria testar uma abordagem revista para fazer cumprir as regulamentações públicas.
O regulador disse que a mudança de política significa que é improvável que as autoridades tenham de pagar multas elevadas por violações nos próximos dois anos, embora a ICO tenha indicado que os incidentes continuariam a ser minuciosamente investigados. No entanto, o sector deverá esperar um maior recurso a repreensões e outros poderes de execução, em vez de multas.
Numa carta aberta explicando a medida na altura, o comissário da protecção de dados, John Edwards, escreveu: “Não estou convencido de que multas elevadas por si só sejam um elemento dissuasor tão eficaz no sector público. Não afectam os accionistas ou os administradores individuais da mesma forma que no sector privado, mas são financiados directamente pelo orçamento de prestação de serviços. Além disso, o impacto de uma multa no sector público recai frequentemente sobre as vítimas da violação, sob a forma de orçamentos reduzidos para serviços essenciais, e não sobre os autores. Com efeito, as pessoas afetadas por uma violação são penalizadas duas vezes.”
À primeira vista, pode parecer que a Comissão Eleitoral teve a sorte de descobrir a sua violação como parte da tentativa de dois anos da OIC de uma abordagem mais suave à aplicação sectorial.
Edwards concordou com a declaração da OIC sobre a imposição de menos sanções para violações de dados no setor público. Ao mesmo tempo, disse que o regulador adoptaria um fluxo de trabalho mais proactivo e envolveria a gestão sénior das autoridades públicas para tentar elevar os padrões e impulsionar a conformidade da protecção de dados em todos os departamentos governamentais através de uma abordagem de prevenção de danos.
No entanto, quando Edwards revelou o plano para testar uma combinação de aplicação mais branda e divulgação proativa, ele reconheceu que isso exigiria esforços de ambos os lados, escrevendo: “[W]Não podemos fazer isso sozinhos. Todas as partes devem ser responsáveis por trazer essas melhorias.”
A violação dos regulamentos da Comissão Eleitoral poderia, portanto, levantar questões mais amplas sobre o sucesso do processo da OIC. Entre outras coisas, poderia levantar questões sobre se as autoridades do sector público cumpriram a sua parte no acordo, o que deveria justificar uma aplicação mais branda.
Em qualquer caso, não parece que a Comissão Eleitoral tenha sido suficientemente pró-activa na avaliação dos riscos de segurança nos primeiros meses do processo da OIC – ou seja, antes de descobrir a violação em Outubro de 2022. Por exemplo, a repreensão do ICO, que descreve o fracasso da Comissão em corrigir bugs de software conhecidos como uma “medida fundamental”, soa como a definição de uma violação de dados evitável que o regulador procurou eliminar com a sua mudança de política no sector público.
Contudo, neste caso, a OIC alega que não aplicou a política de aplicação mais branda do setor público.
Quando questionada sobre por que a Comissão Eleitoral não impôs uma penalidade, a porta-voz da OIC, Lucy Milburn, disse ao TechCrunch: “Após uma investigação completa, nenhuma multa foi considerada neste caso. Apesar do número de pessoas afetadas, os dados pessoais afetados limitaram-se principalmente a nomes e endereços constantes dos cadernos eleitorais. Nossa investigação não encontrou nenhuma evidência de que informações pessoais tenham sido mal utilizadas ou que qualquer dano direto tenha resultado dessa violação.”
“A Comissão Eleitoral tomou agora as medidas necessárias para melhorar a sua segurança após o facto, incluindo a implementação de um plano para modernizar a sua infra-estrutura, bem como controlos de política de palavras-passe e autenticação multifactor para todos os utilizadores”, acrescentou o porta-voz.
Como diz o regulador, nenhuma multa foi imposta porque nenhum dado foi utilizado indevidamente, ou melhor, a ICO não encontrou nenhuma evidência de uso indevido. A simples divulgação das informações de 40 milhões de eleitores não atendeu aos requisitos da OIC.
Poderíamos perguntar até que ponto a investigação do regulador se concentrou em descobrir como as informações dos eleitores podem ter sido mal utilizadas.
Voltando ao processo de aplicação do setor público da OIC no final de junho, quando a experiência se aproximava da marca de dois anos, o regulador emitiu uma declaração dizendo que iria rever a política antes de tomar uma decisão sobre o futuro da sua abordagem setorial no outono. .
Resta saber se esta política se manterá ou se haverá menos avisos e mais multas por violações de dados no sector público. Independentemente disso, o caso de violação de dados da Comissão Eleitoral mostra que a OIC está relutante em sancionar o sector público – a menos que a divulgação de dados pessoais possa estar associada a danos demonstráveis.
Não está claro como é que uma abordagem regulamentar que, em primeiro lugar, não limite tanto a dissuasão, ajudará a elevar os padrões de privacidade em todas as áreas do governo.
&w=120&resize=120,86&ssl=1)
