9 серпня Виборча комісія Великої Британії повідомила, що у жовтні 2022 року вона стала об’єктом комплексної кібератаки. У комісії заявили, що невідомим хакерам («ворожим особам») вдалося отримати доступ до копій реєстрів виборців ще у серпні 2021 року.
Зловмисники отримали доступ до систем документообігу й електронної пошти Виборчої комісії, через що в руки хакерів могли потрапити персональні дані усіх виборців Великої Британії: імена та адреси всіх, хто був зареєстрований для голосування між 2014 і 2022 роками; імена тих, хто був зареєстрований як виборці за кордоном; а також будь-які даніі, що надіслані до комісії електронною поштою або через форми на вебсайті. Про те, чи були завантажені або використані дані, що зберігаються у системах комісії, наразі не відомо.
Як сказано на сайті Виборчої комісії, вони отримали сповіщення про кібератаку через виявлення підозрілої моделі запитів на вхід до систем комісії ще у жовтні 2022 року. Втім, досі відповідальність за цю кібератаку не взяла на себе жодна з хакерських груп чи окремих осіб.
Після виявлення зламу комісія одразу звернулася до Національного центру кібербезпеки у Великій Британії та розпочала розслідування інциденту. Крім того, комісія повідомила, що вжила заходів для захисту своїх систем від майбутніх атак і покращила захист персональних даних. Для цього посилили вимоги для входу в систему комісії, покращили систему моніторингу та сповіщення про активні загрози.
Виборча комісія повідомила, що більшість даних у реєстрах виборців обмежені, а значна їх частина вже і так загальнодоступна. Водночас Виборча посадовці провели оцінку ризиків та потенційної шкоди від витоку персональних даних. Згідно з нею, сам по собі витік інформації про імʼя та адресу виборця не несе значних ризиків, однак ці дані можуть бути об'єднані з іншими відкритими даними та надалі використані для створення поведінкової моделі або ідентифікації людини.
У комісії заявили, що поки що викрадені дані не опубліковані в інтернеті, але цілком можливо, що з часом ця інформація опиниться у відкритому доступі.
Також у комісії повідомили, що витік даних не вплине на можливість виборців реалізувати свої права. Реєстри, до яких отримали доступ зловмисники, є копіями, їх використовують для досліджень. Оперативні списки виборців, які використовують для розсилки запрошень на вибори та виборчі дільниці, зберігаються в інших місцях та не постраждали під час кібератаки. Також викрадених даних недостатньо, аби хтось міг видати себе за іншу людину та взяти участь у виборах.
У комісії наголосили, що виборчий процес у Великій Британії децентралізований та багато в чому й досі грунтується на паперовій документації. Через це кібератака не мала такого значного впливу на безпеку даних та виборчого процесу. Комісія перепросила у постраждалих за те, що не мала достатньо засобів захисту, щоб запобігти цій кібератаці.
“Кібератака на виборчі реєстри Великої Британії — важливий урок і для України. В Україні вже довгий час ведуться дискусії запуск електронного голосування та переведення всього виборчого процесу в онлайн. Однак якщо Велика Британія не завжди може протистояти ризикам онлайн-простору й досі надає перевагу паперовій документації для зберігання найважливіших даних, Україні також не варто поспішно переводити всі демократичні процеси в діджитал. Україна вже мала досвід хакерських атак Російської Федерації на електронні системи ЦВК під час останніх президентських виборів. Перші повоєнні виборчі кампанії також навряд чи стануть винятком. Тож поки Україна й інші країни світу не виробили дієвих механізмів протидії втручанню до серверів виборчих комісій, процес голосування має залишатися традиційним. Лише так ми можемо забезпечити чесні та прозорі вибори, що відповідатимуть усім демократичним нормам”, — коментує аналітикиня ОПОРИ Ольга Снопок.