Max Home IndustryИзбирательная комиссия подтвердила, что не прошла базовый тест на кибербезопасность примерно в то же время, когда хакеры получили доступ в организацию.
Информатор сообщил Би-би-си, что комиссия автоматически получила отказ во время аудита Cyber Essentials.
В прошлом месяце Комиссия сообщила, что «враждебные субъекты» получили доступ к ее электронной почте и, возможно, к данным 40 миллионов избирателей.
Пресс-секретарь заявила, что Комиссия до сих пор не прошла базовый тест.
В августе наблюдатель за выборами объявил, что хакеры взломали их ИТ-систему в августе 2021 года и имели доступ к конфиденциальным данным, пока они не были обнаружены и удалены в октябре 2022 года.
Неназванные злоумышленники получили доступ к электронной переписке Избирательной комиссии и могли просмотреть базы данных, содержащие имена и адреса 40 миллионов зарегистрированных избирателей, включая миллионы тех, кто не внесен в государственные реестры.
Кто осуществил вторжение и каким образом была нарушена комиссия, пока не сообщается.
Но теперь информатор сообщил, что в том же месяце, когда хакеры взломали организацию, аудиторы кибербезопасности сообщили Комиссии, что она не соответствует схеме Cyber Essentials — системе, поддерживаемой правительством, чтобы помочь организациям достичь минимальных результатов. передовой опыт в области кибербезопасности.
Cyber Essentials является добровольным, но широко используется организациями как способ показать клиентам, что они осведомлены о безопасности.
Правительство требует, чтобы все поставщики, претендующие на контракты на обработку определенной конфиденциальной и личной информации, имели актуальный сертификат Cyber Essentials.
Но Комиссия потерпела неудачу во многих областях, когда попыталась пройти сертификацию в 2021 году.
Пресс-секретарь Комиссии признала недостатки, но заявила, что они не связаны с кибератакой, которая затронула почтовые серверы.
Одной из причин, по которой тест не прошел, было то, что около 200 ноутбуков сотрудников использовали устаревшее и потенциально небезопасное программное обеспечение.
Комиссию призвали обновить операционную систему Windows 10 Enterprise, которая устарела для обновлений безопасности несколькими месяцами ранее.
Аудиторы также сообщили о сбое, поскольку сотрудники использовали старые iPhone, которые больше не поддерживаются Apple, для получения обновлений безопасности.
Национальный центр кибербезопасности (NCSC), поддерживающий схему Cyber Essentials, советует всем организациям обновлять программное обеспечение, «чтобы предотвратить использование известных уязвимостей» хакерами.
Консультант по кибербезопасности Дэниел Кард помог многим организациям стать совместимыми с Cyber Essentials и говорит, что еще слишком рано судить о том, позволили ли выявленные в ходе аудита сбои хакерам проникнуть внутрь.
«По предварительным данным, хакерам удалось проникнуть на серверы электронной почты другим способом, но есть вероятность, что цепочка атак могла включать одно или несколько этих плохо защищенных устройств», — сказал он.
Независимо от того, сделали ли это хакеры или нет, «это создает картину слабой позиции и вероятной неспособности управлять страной», добавил он.
NCSC продвигает сертификацию Cyber Essentials, заявляя, что «уязвимость к базовым атакам может сделать вас объектом более пристального нежелательного внимания со стороны киберпреступников и других лиц».
Управление комиссара по информации Великобритании, получившее сертификаты Cyber Essentials и Cyber Essentials Plus, заявило, что расследует кибератаку в срочном порядке.
Когда было объявлено о взломе, Избирательная комиссия заявила, что данные, полученные из полного списка избирателей, «в основном находятся в открытом доступе».
Однако менее половины данных в открытом реестре, которые можно приобрести, общедоступны, поэтому хакеры получили бы доступ к данным, принадлежащим десяткам миллионов людей, отказавшихся от участия в публичном списке.
Избирательная комиссия заявила, что не подавала заявку на участие в программе Cyber Essentials в 2022 году.
«Мы всегда работаем над улучшением нашей кибербезопасности и системы и опираемся на опыт Национального центра кибербезопасности — как это делают многие государственные органы — для продолжения разработки и улучшения защиты от киберугроз», — говорится в заявлении.