2024-08-27

გაერთიანებული სამეფოს მონაცემთა დაცვის საზედამხედველო ორგანოს შენიშვნა საარჩევნო კომისიაზე კიბერთავდასხმის შესახებ

---

გაერთიანებული სამეფოს მონაცემთა საზედამხედველო ორგანომ საარჩევნო კომისიის მისამართით შენიშვნა გამოსცა,[1] საარჩევნო კომისიის სერვერებზე  კიბერთავდასხმასთან დაკავშირებით. კიბერთავდასხმის შედეგად დამნაშავეებმა მოიპოვეს  წვდომა სერვერებზე, სადაც განთავსებული იყო 40 მილიონი ადამიანის პერსონალური მონაცემები.

2021 წლის აგვისტოში, დამნაშავეებმა მოახერხეს საარჩევნო კომისიის სერვერზე (“Microsoft Exchange Server”) წვდომა და პროგრამული ხარვეზების შესახებ ინფორმაციაზე დაყრდნობით შეაღწიეს სერვერზე, რომლებიც სათანადოდ არ იყო დაცული.

2021 წლის ინციდენტიდან ერთი წლის შემდეგ, 2022 წლის ოქტომბერში თავდამსხმელებს საარჩევნო რეესტრში განთავსებულ პერსონალურ მონაცემებზე ჰქონდათ წვდომა, მათ შორის, ამომრჩეველთა სახელებზე, გვარებზე და  მისამართებზე. ამასთან, სერვერებზე შეღწევის რამდენიმე შემთხვევა დაფიქსირდა, რის შესახებაც საარჩევნო კომისიას არ ჰქონდა ინფორმაცია.

გაერთიანებული სამეფოს საზედამხედველო ორგანოს მოკვლევის საფუძველზე დადგინდა, რომ საარჩევნო კომისიას არ ჰქონდა მიღებული სათანადო უსაფრთხოების ზომები პერსონალური მონაცემების დასაცავად. სერვერები არ იყო დაცული შესაბამისი უსაფრთხოების სისტემის განახლებებით (“Security Updates“). თავდასხმამდე რამდენიმე თვით ადრე, 2021 წლის აპრილში და მაისში გამოქვეყნდა პროგრამული ხარვეზების გასწორებისათვის საჭირო განახლების პროგრამები (“Security Patches“). ვინაიდან საარჩევნო კომისიის მიერ სერვერების დაცვის სისტემა დროულად არ განახლდა, თავდამსხმელებმა შეაღწიეს სერვერებზე.

თავდასხმის მომენტში, საარჩევნო კომისიას არ ჰქონდა გამართული წესები და პროცედურები მონაცემთა უსაფრთხოების მიმართულებით.  

საარჩევნო კომისიამ მიიღო თავდასხმის შემდგომი გამოსასწორებელი ზომები, უსაფრთხოების გასაუმჯობესებლად, მათ შორის, ინფრასტუქტურის განახლების, პაროლების შესახებ წესების და პოლიტიკის დოკუმენტების, ისევე როგორც სისტემაში შესვლის დადასტურების (“Multi-factor Authentication“) მექანიზმების დანერგვის მიმართულებით.