أصدر مكتب مفوض المعلومات (ICO) توبيخًا شديدًا لمنطقة هاكني في لندن بسبب سلسلة من الإخفاقات التي أدت إلى هجوم مدمر ببرامج الفدية في أكتوبر 2020.
قامت عصابة Pysa ransomware بتشفير ما يقرب من 440 ألف ملف مما أثر على 280 ألف من سكان هاكني في شرق لندن، بعد استغلالهم الخوادم والأنظمة القديمة الموجودة في الموقع للوصول إلى البنية التحتية لتكنولوجيا المعلومات الخاصة بالمجلس.
وقد توصل تحقيق مكتب مفوض المعلومات إلى أمثلة على الافتقار الواضح إلى سياسات الأمن المناسبة في مجلس هاكني. ومن بين أمور أخرى، قالت الهيئة التنظيمية إنها فشلت في ضمان تطبيق إجراءات إدارة التصحيح المناسبة بشكل نشط على جميع الأجهزة، كما أنها لم تغير كلمة مرور غير آمنة لحساب مستخدم غير نشط متصل بخوادم المجلس، والذي استغله مجرمو الإنترنت.
ومن بين الخدمات التي تأثرت بشكل خطير كانت عمليات خدمات الإسكان الخاصة بشركة هاكي، مع عدم تمكن المستأجرين من سداد المدفوعات، أو تسجيل الإصلاحات، أو الموافقة على طلبات الإسكان، أو التقدم بطلب للحصول على إعانة الإسكان أو مخطط تخفيض ضريبة المجلس. كما لم يتمكن سكان البلدة من سداد ضريبة المجلس ومعدلات الأعمال عبر الإنترنت لبعض الوقت.
وقد ضرب مجرمو الإنترنت المملكة المتحدة في الوقت الذي كانت فيه على وشك موجة تفشي كبيرة لفيروس كوفيد-19، والتي كانت ستدفع البلاد إلى سلسلة من عمليات الإغلاق وإلغاء عيد الميلاد فعليًا. ومن المرجح جدًا أن يؤدي هذا إلى زيادة التأثير النهائي على السكان. ولم يتم استعادة الخدمات العادية بالكامل حتى عام 2022.
وقال نائب مفوض مكتب مفوض المعلومات ستيفن بونر: “كان هذا خطأ واضحًا يمكن تجنبه من جانب منطقة هاكني في لندن، وهو ما أدى إلى فقدان كميات هائلة من البيانات وكان له تأثير ضار للغاية على العديد من السكان. وفي أسوأ حالاته، يعني هذا أن بعضًا من أعمق المعلومات الشخصية قد انتهى بها المطاف في أيدي المهاجمين. كانت الأنظمة التي يعتمد عليها الناس غير متصلة بالإنترنت لعدة أشهر. وهذا أمر غير مقبول تمامًا ولا ينبغي أن يحدث”.
“في حين أن الجهات الخبيثة قد تكون موجودة دائمًا، إلا أن المجلس فشل في تنفيذ التدابير الكافية التي كان من الممكن أن تحمي أنظمته وبياناته بشكل أفضل من الهجمات الإلكترونية. لا ينبغي لأي شخص مسؤول عن حماية البيانات الشخصية أن يرتكب أخطاء بسيطة مثل الاحتفاظ بحسابات خاملة حيث يكون اسم المستخدم وكلمة المرور متماثلين. مرارًا وتكرارًا، نرى خروقات لم تكن لتحدث لو تم تجنب مثل هذه الأخطاء.”
وقالت رئيسة بلدية هاكني كارولين وودلي: “كان هذا هجومًا مؤسفًا من قبل مجرمي الإنترنت المنظمين والمتطورين، والذي جاء في وقت كنا نستجيب فيه للموجة الأولى من جائحة كوفيد”.
“إننا نأسف بشدة للتأثير الذي أحدثه هذا الهجوم الإجرامي غير المبرر على سكان هاكني والشركات التجارية، وأنا ممتن لموظفي المجلس الذين واصلوا تقديم الخدمات لمجتمعاتنا على الرغم من التحديات، ولسكاننا على صبرهم أثناء تأثر الخدمات”.
بيانات الفئة الخاصة
خلال مسار التحقيق، قالت ICO إنها وجدت أن المعلومات المشفرة تتضمن معلومات عن بيانات الفئة المحمية بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة، بما في ذلك معلومات عن الخلفية العرقية والإثنية، والمعتقدات الدينية، والتوجه الجنسي، والبيانات الصحية، والبيانات الاقتصادية، وبيانات الجرائم الجنائية، والأسماء والعناوين.
عصابة بيسا في وقت لاحق تسربت بعض بيانات المجلس، بما في ذلك المعلومات الشخصية التي يمكن التعرف عليها (PII) بما في ذلك بيانات جواز السفر، ومسح مستندات تدقيق الإيجار، وبيانات الموظفين، ومعلومات السلامة المجتمعية. وقال مكتب مفوض المعلومات إن إجمالي 9605 سجلات تم استخراجها وتشكل خطرًا كبيرًا على 230 شخصًا.
“إذا أردنا أن يثق الناس في السلطات المحلية، فعليهم أن يثقوا في أن السلطات المحلية ستعتني ببياناتهم على النحو اللائق. لقد تعلم سكان هاكني بالطريقة الصعبة العواقب المترتبة على هذه الأخطاء – يجب على المجالس المحلية في جميع أنحاء البلاد أن تتحرك الآن لضمان عدم تعرض الأشخاص المسؤولين عنهم لنفس المصير”، قال بونر.
إجراءات سريعة وشاملة
وفي حكمها، قالت منظمة مفوض المعلومات إن مجلس هاكني كان على حق في بعض الأمور – فقد اتخذ “إجراءً سريعًا وشاملاً” للتخفيف من حدة الهجوم بمجرد أن اتضح ما كان يحدث، كما قال بونر، وتواصل بشكل إيجابي مع هيئات مثل المركز الوطني للأمن السيبراني (NCSC)، والوكالة الوطنية لمكافحة الجريمة (NCA)، وقوة شرطة العاصمة لندن.
وأشادت منظمة ICO أيضًا بمجلس هاكني لتفاعله الفعال مع السكان وإبقاء الأشخاص الذين يُعتبرون معرضين لخطر كبير على اطلاع دائم.
كما أقر بأن المجلس كان على دراية إلى حد ما بالثغرات الأساسية التي أدت إلى هجوم برامج الفدية، وكان في طريقه إلى تحسين سياسات إدارة التصحيحات الخاصة به بنظام جديد. وأشاد مكتب مفوض المعلومات أيضًا بهياكل الحوكمة الشاملة للمجلس والسياسات وخطط التحسين، التدريب وتنمية الموظفين في أعقاب الهجوم، وتقديم سياسة أمنية جديدة تقوم على مبدأ الثقة الصفرية.
وفي إصدارها للتوبيخ، بدلاً من الغرامة، أشارت ICO أيضًا إلى التأثير الذي أحدثه كوفيد-19 على الموارد في السلطات المحلية في وقت الهجوم.
وقال بونر: “هناك دروس حيوية يمكن تعلمها من هذا لكل من هاكني والمجالس في جميع أنحاء البلاد. يجب تحديث الأنظمة؛ يجب اتخاذ تدابير وقائية للحد من مخاطر وتأثير الخطأ البشري المحتمل ويجب التأكد من حماية البيانات الموكلة إليك”.
مجلس هاكني يعترض على النتائج
ولكن في أعقاب حكم مكتب مفوض المعلومات، رد كل من وودلي ومجلس هاكني، قائلين إنهما يشككان في عدد من النتائج التي توصلت إليها الهيئة التنظيمية. وقالا إنهما أكدا أن المجلس لم ينتهك التزاماته الأمنية واتهما مكتب مفوض المعلومات بسوء فهم الحقائق وسوء تطبيق القانون، فضلاً عن سوء وصف وتضخيم المخاطر التي تهدد بيانات السكان.
وقال متحدث باسم المجلس: “ومع ذلك، لا نعتقد أنه من مصلحة سكاننا استخدام مواردنا المحدودة لتحدي قرار ICO. وبدلاً من ذلك، سنواصل العمل بشكل وثيق مع المركز الوطني للأمن السيبراني والحكومة المركزية والزملاء في جميع أنحاء الحكومة المحلية والقطاع العام الأوسع نطاقًا للقيام بدورنا في الدفاع عن الخدمات العامة ضد التهديدات المتزايدة باستمرار للهجوم السيبراني والمساعدة في ضمان سلامة ورفاهية سكاننا.
“تعتبر أنظمة تكنولوجيا المعلومات الحديثة معقدة للغاية وتستمر التهديدات السيبرانية في النمو. منذ عام 2020، وقعت المنظمات من جميع الأحجام في القطاعين العام والخاص ضحية للمجرمين الذين ينشرون أساليب أكثر تعقيدًا وتطورًا للهجمات السيبرانية. لمواجهة هذا التهديد المتغير بسرعة، قمنا بالاستثمار وإعادة بناء أنظمتنا لتسريع تنفيذ استراتيجيتنا المتمثلة في استخدام أحدث الأنظمة وأكثرها أمانًا.”
