تُظهر خروقات الناخبين في PSNI والمملكة المتحدة أنه يجب أخذ أمن البيانات على محمل الجد | أمن البيانات والكمبيوتر

“إنها وحشية. يتساءل الناس عما إذا كان ينبغي عليهم الاستقالة، أو تغيير المنزل، أو الحصول على البوابات المحصنة. يمكنك أن تشعر بالغضب.”

تعليق ضابط سابق في الشرطة إيرلندا الشمالية (PSNI) تؤكد العواقب الواقعية لحدث متكرر للغاية: خرق البيانات.

تلقت هيئة مراقبة البيانات في المملكة المتحدة تقارير عن أكثر من 9000 انتهاك للبيانات الشخصية في العام الماضي، لكن الغالبية العظمى منها لا تثير نقاشًا عامًا، ربما لأن التأثير ليس واضحًا على الفور أو لأن السكان أصبحوا معتادين على درجة من فقدان البيانات كتكلفة يومية الحياة الرقمية الحديثة.

حادثتان وقعتا هذا الأسبوع من شأنها أن تجعل الناس يفكرون مرة أخرى فيما يحدث لبياناتهم.

في يوم الثلاثاء، أصدرت PSNI، في استجابة فاشلة لطلب حرية المعلومات (FoI)، جدول بيانات Excel يحتوي على تفاصيل أكثر من 10000 ضابط وموظف. تم نشره على موقع ويب FoI يسمى WhatDo TheyKnow لمدة ساعتين ونصف تقريبًا قبل أن تدرك PSNI الخطأ وتتم إزالته.

وفي نفس اليوم، كشفت مفوضية الانتخابات عن ذلك تعرضت لهجوم سيبراني مما أدى إلى وصول الجناة إلى أسماء وعناوين أي شخص في المملكة المتحدة مسجل للتصويت بين عامي 2014 و2022، وهو ما يعادل بيانات 40 مليون شخص.

إن التهديد الأمني ​​المتضمن في اختراق PSNI واضح، خاصة بعد أن قال رئيس الشرطة يوم الخميس إن الجمهوريين المنشقين ادعى أنه يمتلك بعض المعلومات. وفي فبراير/شباط، قُتل مسلحون ملثمون أصيب ضابط كبير بجروح خطيرة (أوماغ في مقاطعة تيرون). وقال أحد أعضاء مجلس إدارة PSNI هذا الأسبوع إن المزيد من الهجمات قد تتبع في أعقاب الاختراق.

العواقب المترتبة على المخالفة في عموله انتخابيه، وهي هيئة مستقلة تشرف على الانتخابات في المملكة المتحدة، أقل وضوحا. وتقول إنها لا تعرف ما إذا كان قد تم تنزيل البيانات، وهي في المقام الأول نسخ مرجعية من السجلات الانتخابية. وقالت أيضًا إن نظام البريد الإلكتروني الخاص بها قد تم اختراقه، مما يعني أن أي بيانات واردة في رسائل البريد الإلكتروني المرسلة إلى اللجنة – مثل عناوين البريد الإلكتروني وصور الوثائق وأرقام الهواتف – من الممكن أن تكون قد سُرقت.

هوية المهاجمين السيبرانيين غير معروفة، لكن اللجنة وصفته بأنه هجوم “معقد”، وقال رؤساء المخابرات البريطانية السابقون إن روسيا، بسجلها في محاولات التدخل في الانتخابات، هي المشتبه به القوي.

من خلال العمل على افتراض أن نسخ السجل الانتخابي قد تم أخذها، يقول بعض الخبراء إنه يمكن دمج البيانات مع البيانات الأخرى المتاحة لتكوين ملف تعريف للمستخدمين وربما استهدافهم، على سبيل المثال، المعلومات المضللة التي يولدها الذكاء الاصطناعي في وقت قريب من الانتخابات.

ووصف هارجيندر لالي، وهو أكاديمي كبير في الأمن السيبراني بجامعة وارويك، المعلومات التي تم الكشف عنها في اختراق اللجنة بأنها لبنات بناء محتملة لحملة تلاعب، تديرها دولة معادية، ويمكن تنفيذها عبر البريد الإلكتروني أو البريد أو مجموعات WhatsApp أو منصات التواصل الاجتماعي.

“فيما يتعلق بالجهات الفاعلة في الدولة، فإن اللبنات الأساسية تمكنهم من البناء [disinformation] الحملات هي الأسماء والعناوين. فهو يساعد في تحديد الأشخاص من حيث العرق، وربما من حيث ظروفهم المالية، وإذا تم دمجه مع وسائل أخرى لجمع البيانات، مثل ملفات تعريف وسائل التواصل الاجتماعي، يمكن للجهات الفاعلة الحكومية استخدام تلك المعلومات لبناء حملات انتخابية جديدة.

وطمأنت اللجنة الناخبين بشأن نزاهة النظام الانتخابي الورقي إلى حد كبير، وقالت إن الكثير من البيانات المكشوفة كانت “متاحة بالفعل للعامة”، على سبيل المثال، يمكن للأشخاص والمنظمات والشركات شراء السجل الانتخابي المفتوح بالفعل. الذي يحتوي على نفس المعلومات.

وبينما قال بعض الخبراء إن البيانات يمكن أن تكون متحالفة مع قوة الذكاء الاصطناعي التوليدي – الأدوات التي يمكنها إنتاج نصوص وصور وحتى صوت معقولة – لإجراء وإرسال اتصالات مضللة على نطاق واسع، قال آخرون إن هذا سيكون طموحًا، حتى بالنسبة لدولة معادية. ولاية.

وقال جون هولتكويست، كبير المحللين في شركة مانديانت للأمن السيبراني، هذا الأسبوع إن التسلل إلى الشبكة الانتخابية “لا يعادل التلاعب بالتصويت”. وأضاف أنه مع ذلك، يمكن استهداف البيانات لأسباب مختلفة، مثل “تجميع هذه المعلومات في قاعدة بيانات يمكن استخدامها لتحديد وتتبع وحتى استغلال الأشخاص موضع الاهتمام”.

المعلومات الشخصية متاحة للعامة (في الملفات الشخصية على وسائل التواصل الاجتماعي، على سبيل المثال) أو على الويب المظلم، وهو مصطلح يشير إلى مناطق الإنترنت التي لا يمكن الوصول إليها إلا عبر متصفح ويب متخصص. فحص سريع على مواقع مثل https://haveibeenpwned.com/ يمكن أن يُظهر ما إذا كانت رسائل البريد الإلكتروني للأشخاص والبيانات الأخرى قد تم الكشف عنها في الخروقات.

وقالت كارولين كاروثرز، التي تدير شركة استشارات بيانات وهي مديرة بيانات سابقة في Network Rail، إن البيانات المتعلقة بالأشخاص يمكن أن تكون متاحة من خلال الانتهاكات البارزة، مثل تلك التي تعرضت لها الخطوط الجوية البريطانية في عام 2018، أو من مصادر مشروعة، مثل وسطاء البيانات. من تجميع البيانات عن الأفراد من عدد من المصادر – بما في ذلك السجل الانتخابي المفتوح – وبيعه لأطراف ثالثة.

وقالت إن الملفات الشخصية على وسائل التواصل الاجتماعي وحدها يمكن أن تقدم كنزًا من المعلومات. وروت كاروثرز أن مواطنًا سابقًا من ألمانيا الشرقية أظهر لها تقريرًا سريًا للشرطة عن حفل عشاء حضره وكان يقتصر على ورقة، وقارنت ذلك بمجموعة أصدقاء على فيسبوك تناقش وجبة حضرتها مؤخرًا والتي تحتوي على تفاصيل أكثر بكثير.

“كان هناك الكثير من المعلومات التي يحتمل أن تكون مفيدة على فيسبوك أكثر بكثير مما كان موجودًا في تقرير ستاسي”.

وقالت كاروثرز إنها تأمل أن تؤدي حوادث PSNI واللجنة الانتخابية إلى تحفيز مواقف الناس تجاه حماية بياناتهم من سوء الاستخدام التجاري والإجرامي.

“آمل حقاً أن تكون هذه دعوة للاستيقاظ. لدي مخاوف جدية بشأن كيفية عدم أخذنا لبياناتنا، وما يتم استخدامها من أجله، على محمل الجد بما فيه الكفاية.