El perro de vigilancia electoral del Reino Unido dice que ha llevado tres años y al menos un cuarto de millón de libras para recuperarse por completo de un truco que vio los detalles particulares de 40 millones de votantes a los que accedieron las espías cibernéticos chinos.
El año pasado, la comisión electoral fue reprendido Para una letanía de fallas de seguridad que permitieron a los grupos de piratas informáticos espiar, después de entrar en bases de datos y sistemas de correo electrónico.
En la primera entrevista sobre Hack, el jefe de la nueva comisión admite grandes errores, pero dice que la organización ahora es segura.
“Todo el asunto fue un gran shock y básicamente tomamos unos años para recuperarnos”, dice el ejecutivo -che Vijay Rangarajan.
“La cultura aquí ha cambiado significativamente ahora como resultado. Es una forma muy dolorosa de aprender”.
La Comisión Electoral supervisa las elecciones y regula las finanzas políticas en el Reino Unido para garantizar la integridad del proceso democrático.
Rangarajan no era CEO cuando ocurrió el truco, pero dice que sus colegas describieron el caos de descubrir a los piratas informáticos como “sentirse que te robaron mientras aún estaba en interiores”.
La primera violación de los piratas informáticos fue en agosto de 2021, utilizando una falla de seguridad en un popular programa de software llamado Microsoft Exchange. El agujero digital estaba siendo explorado por sospechosos de espías chinos en todo el mundo y se advirtió a las organizaciones que descargaran un parche de software para protegerse. A pesar de los meses de advertencias, la comisión falló.
Los piratas informáticos tenían acceso al registro electoral abierto completo, que contenía los nombres y direcciones de los 40 millones de votantes del Reino Unido.
También podrían leer todos y correos electrónicos enviados y recibidos en la Comisión.
Los delincuentes no se encontraron hasta octubre de 2022 durante una actualización del sistema de contraseña.
No mantener el software actualizado fue uno de los varios errores de seguridad básicos cometidos, incluidas las malas prácticas de contraseña, no en una auditoría de seguridad básica administrada por el gobierno e ignorando los consejos del Centro Nacional de Seguridad Cibernética.
La Oficina del Comisionado emitió una reprimenda formal a la Comisión Electoral, pero si se cometieran errores equivalentes en una violación del sector privado, probablemente habría llevado a una gran multa.
Rangarajan dice que, como la reprensión, las partes interesadas, incluso en el parlamento, se sorprendieron por la complacencia y le preguntaron “¿qué estaba haciendo?”
Ninguna persona individual ha sido reprendida públicamente por lapsos de seguridad.
Hubo seis elecciones durante el período en que los piratas informáticos estaban dentro de las redes de TI del comité, pero no hay evidencia de que algo se viera afectado por ello.
Sin embargo, la Comisión dice que aún no sabe qué estaban haciendo los piratas informáticos o qué información puede haber descargado.
Rangarajan admite que los piratas informáticos podrían haber causado importantes interrupciones si el software malicioso hubiera instalado o obstaculizado las comunicaciones durante una elección.
“Todo esto podría habernos causado problemas sorprendentes. Fue algo peligroso haber sucedido”, dijo.
Los espías chinos fueron culpable del ataque y recibió sanciones de las autoridades británicas y estadounidenses. China siempre ha negado cualquier participación.
Rangarajan dijo que los empleados de la época no parecían pensar que la comisión sería el objetivo de los piratas informáticos. Esto ocurrió a pesar de los casos de interferencia electoral de alto nivel, como el truco de elecciones presidenciales de EE. UU. En 2016 de Hilary Clinton y los correos electrónicos.
“Creo que todos se dieron cuenta de cuántos sistemas democráticos y sistemas electorales estaban atacados. Tendemos a estar bastante cómodos en la forma en que manejamos las cosas. Ahora debemos estar realmente de acuerdo con las amenazas”, dijo.
La Comisión Electoral ha recibido donaciones de más de 250,000 para recuperarse de la violación y ahora dice que gasta significativamente más de su presupuesto de seguridad cibernética.
Ahora la certificación cibernética del Centro de Seguridad Cibernética: la auditoría que Una fuente le dijo a BBC que falló En la construcción del hack. También alcanzó Cyber Essentials Plus, el nivel más alto de certificación del esquema.
