Theo kết quả từ một báo cáo đáng lên án của cơ quan giám sát bảo vệ dữ liệu của Anh được công bố vào tuần này, một cuộc tấn công mạng vào Ủy ban Bầu cử Vương quốc Anh dẫn đến vi phạm dữ liệu hồ sơ đăng ký cử tri của 40 triệu người hoàn toàn có thể ngăn chặn được nếu tổ chức này áp dụng các biện pháp bảo mật cơ bản.
Báo cáo do Văn phòng Ủy viên Thông tin Vương quốc Anh công bố hôm thứ Hai đổ lỗi cho Ủy ban Bầu cử, đơn vị lưu giữ các bản sao sổ đăng ký công dân đủ điều kiện bỏ phiếu của Vương quốc Anh, về một loạt các lỗ hổng bảo mật dẫn đến tình trạng đánh cắp hàng loạt thông tin cử tri bắt đầu từ tháng 8 năm 2021.
Ủy ban Bầu cử không phát hiện ra sự xâm phạm hệ thống của mình cho đến hơn một năm sau vào tháng 10 năm 2022 và phải mất đến tháng 8 năm 2023 mới công khai vụ vi phạm dữ liệu kéo dài một năm.
Ủy ban cho biết tại thời điểm công bố công khai rằng tin tặc đã đột nhập vào máy chủ chứa email của Ủy ban và đánh cắp, trong số những thứ khác, bản sao sổ đăng ký bầu cử của Vương quốc Anh. Những sổ đăng ký đó lưu trữ thông tin về những cử tri đã đăng ký từ năm 2014 đến năm 2022, bao gồm tên, địa chỉ bưu chính, số điện thoại và thông tin cử tri không công khai.
Chính phủ Anh sau đó đã quy trách nhiệm cho Trung Quốc về vụ xâm nhập, khi các quan chức cấp cao cảnh báo rằng dữ liệu bị đánh cắp có thể được sử dụng cho “hoạt động gián điệp quy mô lớn và đàn áp xuyên quốc gia đối với những người bất đồng chính kiến và chỉ trích ở Anh”. Trung Quốc phủ nhận sự liên quan đến vụ xâm nhập.
Vào thứ Hai, ICO đã chính thức khiển trách Ủy ban Bầu cử vì vi phạm luật bảo vệ dữ liệu của Vương quốc Anh, đồng thời nói thêm: “Nếu Ủy ban Bầu cử thực hiện các bước cơ bản để bảo vệ hệ thống của mình, chẳng hạn như vá lỗi bảo mật hiệu quả và quản lý mật khẩu, thì khả năng rất cao là vụ vi phạm dữ liệu này sẽ không xảy ra”.
Về phần mình, Ủy ban Bầu cử thừa nhận trong một tuyên bố ngắn sau khi báo cáo được công bố rằng “không có đủ biện pháp bảo vệ để ngăn chặn cuộc tấn công mạng vào Ủy ban”.
Cho đến khi ICO đưa ra báo cáo, vẫn chưa rõ chính xác điều gì đã dẫn đến việc thông tin của hàng chục triệu cử tri Anh bị lộ – hoặc có thể làm gì khác đi.
Bây giờ chúng ta biết rằng ICO đã đổ lỗi cụ thể cho Ủy ban vì không vá “lỗ hổng phần mềm đã biết” trong máy chủ email của mình, đây là điểm xâm nhập ban đầu của tin tặc đã lấy cắp hàng loạt dữ liệu cử tri. Báo cáo cũng xác nhận một chi tiết như TechCrunch đã báo cáo vào năm 2023 rằng email của Ủy ban là máy chủ Microsoft Exchange tự lưu trữ.
Trong báo cáo của mình, ICO xác nhận rằng có ít nhất hai nhóm tin tặc độc hại đã đột nhập vào máy chủ Exchange tự lưu trữ của Ủy ban trong năm 2021 và 2022 bằng cách sử dụng chuỗi ba lỗ hổng được gọi chung là ProxyShell, cho phép tin tặc đột nhập, chiếm quyền kiểm soát và cài mã độc vào máy chủ.
Microsoft đã phát hành bản vá cho ProxyShell vào đầu tháng 4 và tháng 5 năm 2021, nhưng Ủy ban vẫn chưa cài đặt chúng.
Đến tháng 8 năm 2021, cơ quan an ninh mạng Hoa Kỳ CISA bắt đầu gióng lên hồi chuông cảnh báo rằng tin tặc độc hại đang tích cực khai thác ProxyShell, tại thời điểm đó, bất kỳ tổ chức nào có quy trình vá lỗi bảo mật hiệu quả đều đã triển khai các bản sửa lỗi từ nhiều tháng trước và đã được bảo vệ. Ủy ban bầu cử không phải là một trong những tổ chức đó.
“Ủy ban Bầu cử không có chế độ vá lỗi phù hợp tại thời điểm xảy ra sự cố”, báo cáo của ICO viết. “Sự thất bại này là một biện pháp cơ bản”.
Trong số các vấn đề bảo mật đáng chú ý khác được phát hiện trong quá trình điều tra của ICO, Ủy ban Bầu cử đã cho phép đoán được những mật khẩu “có khả năng cao” và Ủy ban đã xác nhận rằng họ “biết” rằng một số bộ phận trong cơ sở hạ tầng của mình đã lỗi thời.
Phó ủy viên ICO Stephen Bonner cho biết trong một tuyên bố về báo cáo và lời khiển trách của ICO: “Nếu Ủy ban Bầu cử thực hiện các bước cơ bản để bảo vệ hệ thống của mình, chẳng hạn như vá lỗi bảo mật hiệu quả và quản lý mật khẩu, thì khả năng rất cao là vụ vi phạm dữ liệu này sẽ không xảy ra”.
Tại sao ICO không phạt Ủy ban Bầu cử?
Một cuộc tấn công mạng hoàn toàn có thể ngăn ngừa được đã tiết lộ dữ liệu cá nhân của 40 triệu cử tri Anh có thể nghe có vẻ là một vi phạm đủ nghiêm trọng để Ủy ban Bầu cử phải bị phạt tiền, không chỉ là khiển trách. Tuy nhiên, ICO chỉ đưa ra lời khiển trách công khai về sự bảo mật cẩu thả.
Các cơ quan khu vực công đã phải đối mặt với hình phạt vì vi phạm các quy tắc bảo vệ dữ liệu trong quá khứ. Nhưng vào tháng 6 năm 2022 dưới thời chính phủ bảo thủ trước đây, ICO đã thông báo sẽ thử nghiệm một cách tiếp cận sửa đổi để thực thi đối với các cơ quan công.
Cơ quan quản lý cho biết thay đổi chính sách có nghĩa là các cơ quan công quyền sẽ không có khả năng phải chịu mức phạt lớn đối với các hành vi vi phạm trong hai năm tới, ngay cả khi ICO đề xuất các sự cố vẫn sẽ được điều tra kỹ lưỡng. Nhưng ngành này được thông báo là sẽ phải chịu nhiều hình thức khiển trách và các quyền thực thi khác hơn là phạt tiền.
Trong một bức thư ngỏ giải thích về động thái này vào thời điểm đó, ủy viên thông tin John Edwards đã viết: “Tôi không tin rằng các khoản tiền phạt lớn tự chúng có hiệu quả răn đe trong khu vực công. Chúng không tác động đến các cổ đông hoặc giám đốc cá nhân theo cùng một cách như trong khu vực tư nhân mà đến trực tiếp từ ngân sách cung cấp dịch vụ. Tác động của khoản tiền phạt trong khu vực công cũng thường ảnh hưởng đến các nạn nhân của vi phạm, dưới hình thức cắt giảm ngân sách cho các dịch vụ quan trọng, chứ không phải thủ phạm. Trên thực tế, những người bị ảnh hưởng bởi vi phạm sẽ bị phạt hai lần.”
Nhìn thoáng qua, có vẻ như Ủy ban Bầu cử đã may mắn khi phát hiện ra vi phạm của mình trong quá trình thử nghiệm kéo dài hai năm của ICO về cách tiếp cận nhẹ nhàng hơn đối với việc thực thi theo ngành.
Cùng với tuyên bố của ICO rằng sẽ áp dụng ít biện pháp trừng phạt hơn đối với các vụ vi phạm dữ liệu của khu vực công, Edwards cho biết cơ quan quản lý này sẽ áp dụng quy trình làm việc chủ động hơn trong việc tiếp cận các nhà lãnh đạo cấp cao tại các cơ quan công quyền để cố gắng nâng cao tiêu chuẩn và thúc đẩy việc tuân thủ bảo vệ dữ liệu trên khắp các cơ quan chính phủ thông qua phương pháp phòng ngừa tác hại.
Tuy nhiên, khi Edwards tiết lộ kế hoạch thử nghiệm kết hợp thực thi mềm mỏng hơn với tiếp cận chủ động, ông thừa nhận rằng điều này đòi hỏi nỗ lực từ cả hai phía, ông viết: “[W]Chúng ta không thể tự mình làm được điều này. Phải có trách nhiệm để mang lại những cải thiện này ở mọi phía.”
Do đó, vi phạm của Ủy ban Bầu cử có thể đặt ra nhiều câu hỏi hơn về sự thành công của phiên tòa xét xử ICO, bao gồm cả việc liệu các cơ quan khu vực công có thực hiện đúng thỏa thuận được cho là biện minh cho việc thực thi nhẹ nhàng hơn hay không.
Chắc chắn là Ủy ban Bầu cử không chủ động đầy đủ trong việc đánh giá rủi ro vi phạm trong những tháng đầu của phiên tòa ICO — tức là trước khi phát hiện ra vụ xâm nhập vào tháng 10 năm 2022. Lời khiển trách của ICO khi gọi việc Ủy ban không vá lỗ hổng phần mềm đã biết là “biện pháp cơ bản” chẳng hạn, nghe giống như định nghĩa về vi phạm dữ liệu có thể tránh được mà cơ quan quản lý đã nói rằng họ muốn cơ quan này xóa bỏ chính sách thay đổi trong khu vực công.
Tuy nhiên, trong trường hợp này, ICO tuyên bố họ đã không áp dụng chính sách thực thi mềm mỏng hơn đối với khu vực công.
Trả lời các câu hỏi về lý do tại sao ICO không áp dụng hình phạt đối với Ủy ban Bầu cử, người phát ngôn Lucy Milburn của ICO nói với TechCrunch: “Sau một cuộc điều tra kỹ lưỡng, chúng tôi không cân nhắc đến khoản tiền phạt cho trường hợp này. Mặc dù có nhiều người bị ảnh hưởng, dữ liệu cá nhân liên quan chủ yếu chỉ giới hạn ở tên và địa chỉ có trong Sổ đăng ký bầu cử. Cuộc điều tra của chúng tôi không tìm thấy bất kỳ bằng chứng nào cho thấy dữ liệu cá nhân bị sử dụng sai mục đích hoặc bất kỳ tác hại trực tiếp nào do vi phạm này gây ra”.
Người phát ngôn cho biết thêm: “Ủy ban Bầu cử hiện đã thực hiện các bước cần thiết mà chúng tôi mong đợi sẽ cải thiện được vấn đề bảo mật sau sự cố, bao gồm triển khai kế hoạch hiện đại hóa cơ sở hạ tầng, cũng như kiểm soát chính sách mật khẩu và xác thực đa yếu tố cho tất cả người dùng”.
Theo như cơ quan quản lý cho biết, không có khoản tiền phạt nào được đưa ra vì không có dữ liệu nào bị sử dụng sai mục đích, hay đúng hơn là ICO không tìm thấy bất kỳ bằng chứng nào về việc sử dụng sai mục đích. Chỉ việc tiết lộ thông tin của 40 triệu cử tri không đáp ứng được tiêu chuẩn của ICO.
Người ta có thể tự hỏi rằng liệu cuộc điều tra của cơ quan quản lý có tập trung bao nhiêu vào việc tìm ra cách thông tin cử tri có thể bị sử dụng sai mục đích hay không?
Quay trở lại cuộc thử nghiệm thực thi khu vực công của ICO vào cuối tháng 6, khi cuộc thử nghiệm đã gần đến mốc hai năm, cơ quan quản lý đã đưa ra tuyên bố cho biết họ sẽ xem xét chính sách trước khi đưa ra quyết định về tương lai của cách tiếp cận theo ngành vào mùa thu.
Liệu chính sách này có được duy trì hay có sự thay đổi sang ít khiển trách hơn và nhiều tiền phạt hơn đối với các vi phạm dữ liệu của khu vực công vẫn còn phải chờ xem. Bất kể thế nào, vụ vi phạm của Ủy ban Bầu cử cho thấy ICO không muốn trừng phạt khu vực công — trừ khi việc tiết lộ dữ liệu của mọi người có thể liên quan đến tác hại có thể chứng minh được.
Không rõ liệu cách tiếp cận theo quy định lỏng lẻo về tính răn đe có giúp thúc đẩy các tiêu chuẩn bảo vệ dữ liệu trên toàn chính phủ hay không.