[ad_1]
یوکے الیکٹورل کمیشن پر سائبر حملہ جس کے نتیجے میں 40 ملین افراد پر ووٹر رجسٹر ریکارڈز کی ڈیٹا کی خلاف ورزی کی گئی، اس کو مکمل طور پر روکا جا سکتا تھا اگر تنظیم نے بنیادی حفاظتی اقدامات کا استعمال کیا ہوتا، برطانیہ کے ڈیٹا پروٹیکشن واچ ڈاگ کی اس ہفتے شائع ہونے والی ایک نقصان دہ رپورٹ کے نتائج کے مطابق۔
رپورٹ برطانیہ کے انفارمیشن کمشنر آفس کے ذریعہ شائع کیا گیا ہے۔ پیر کے روز انتخابی کمیشن کو ذمہ دار ٹھہرایا گیا، جو کہ انتخابات میں ووٹ ڈالنے کے اہل شہریوں کے برطانیہ کے رجسٹر کی کاپیاں برقرار رکھتا ہے، سیکیورٹی کی ناکامیوں کی ایک سیریز کے لیے جس کی وجہ سے اگست 2021 سے ووٹروں کی معلومات کی بڑے پیمانے پر چوری ہوئی۔
الیکشن کمیشن نے ایک سال سے زیادہ عرصہ گزرنے کے بعد اکتوبر 2022 تک اپنے نظاموں میں سمجھوتہ نہیں کیا اور اس کے لیے اگست 2023 تک کا وقت لگا۔ عوامی طور پر انکشاف کریں سال بھر کے ڈیٹا کی خلاف ورزی۔
کمیشن نے عوامی انکشاف کے وقت کہا کہ ہیکرز نے اس کے ای میل والے سرورز میں توڑ پھوڑ کی اور دوسری چیزوں کے علاوہ برطانیہ کے انتخابی رجسٹروں کی کاپیاں بھی چرا لیں۔ یہ رجسٹر 2014 اور 2022 کے درمیان رجسٹرڈ ہونے والے ووٹرز کی معلومات کو محفوظ کرتے ہیں، اور ان میں نام، پوسٹل ایڈریس، فون نمبر اور غیر عوامی ووٹر کی معلومات شامل ہوتی ہیں۔
برطانیہ کی حکومت بعد میں چین کی مداخلت کا ذمہ دار ٹھہرایاکے ساتھ سینئر حکام نے انتباہ کیا۔ کہ چوری شدہ ڈیٹا کو “برطانیہ میں سمجھے جانے والے مخالفین اور ناقدین کی بڑے پیمانے پر جاسوسی اور بین الاقوامی جبر” کے لیے استعمال کیا جا سکتا ہے، چین نے اس خلاف ورزی میں ملوث ہونے کی تردید کی۔
ICO نے پیر کے روز برطانیہ کے ڈیٹا پروٹیکشن قوانین کی خلاف ورزی کرنے پر انتخابی کمیشن کی اپنی باضابطہ سرزنش جاری کرتے ہوئے مزید کہا: “اگر انتخابی کمیشن نے اپنے سسٹمز کی حفاظت کے لیے بنیادی اقدامات کیے ہوتے، جیسے کہ موثر سیکیورٹی پیچنگ اور پاس ورڈ کا انتظام، تو اس کا بہت زیادہ امکان ہے۔ ڈیٹا کی خلاف ورزی نہیں ہوتی۔”
اس کی طرف سے، انتخابی کمیشن نے تسلیم کیا ایک مختصر بیان رپورٹ کی اشاعت کے بعد کہ “کمیشن پر سائبر حملے کو روکنے کے لیے خاطر خواہ تحفظات موجود نہیں تھے۔”
ICO کی رپورٹ تک، یہ بالکل واضح نہیں تھا کہ دسیوں ملین یوکے ووٹروں کی معلومات کے ساتھ سمجھوتہ کرنے کی وجہ کیا ہے — یا مختلف طریقے سے کیا کیا جا سکتا تھا۔
اب ہم جانتے ہیں کہ ICO نے اپنے ای میل سرور میں “معروف سافٹ ویئر کی کمزوریوں” کو پیچ نہ کرنے کے لیے کمیشن پر خاص طور پر الزام لگایا، جو ہیکرز کے لیے دخل اندازی کا ابتدائی نقطہ تھا جنہوں نے ووٹر کے ڈیٹا کو دوبارہ حاصل کیا۔ رپورٹ میں اس تفصیل کی بھی تصدیق کی گئی ہے جیسا کہ 2023 میں ٹیک کرنچ نے رپورٹ کیا تھا کہ کمیشن کی ای میل ایک خود میزبان Microsoft Exchange سرور تھا۔.
اپنی رپورٹ میں، ICO نے تصدیق کی کہ کم از کم دو گروہوں نے 2021 اور 2022 کے دوران کمیشن کے خود میزبان ایکسچینج سرور کو تین خطرات کی ایک زنجیر کا استعمال کرتے ہوئے توڑا۔ اجتماعی طور پر ProxyShell کہا جاتا ہے۔، جس نے ہیکرز کو سرور پر گھسنے، کنٹرول حاصل کرنے اور بدنیتی پر مبنی کوڈ لگانے کی اجازت دی۔
مائیکروسافٹ نے کئی ماہ قبل اپریل اور مئی 2021 میں پراکسی شیل کے لیے پیچ جاری کیے تھے، لیکن کمیشن نے انہیں انسٹال نہیں کیا تھا۔
اگست 2021 تک، امریکی سائبر سیکیورٹی ایجنسی CISA الارم بجانے لگا کہ بدنیتی پر مبنی ہیکرز ProxyShell کا فعال طور پر استحصال کر رہے تھے، اس وقت کوئی بھی تنظیم جس کے پاس سیکیورٹی پیچنگ کا موثر عمل موجود تھا وہ مہینوں پہلے ہی اصلاحات کر چکی تھی اور پہلے ہی محفوظ تھی۔ الیکشن کمیشن ان اداروں میں شامل نہیں تھا۔
“انتخابی کمیشن کے پاس واقعے کے وقت مناسب پیچیدگی کا نظام موجود نہیں تھا،” ICO کی رپورٹ پڑھیں۔ “یہ ناکامی ایک بنیادی پیمانہ ہے۔”
آئی سی او کی تحقیقات کے دوران دریافت ہونے والے دیگر قابل ذکر سیکورٹی مسائل میں سے، انتخابی کمیشن نے ایسے پاس ورڈز کی اجازت دی جو “انتہائی حساس” تھے، اور یہ کہ کمیشن نے تصدیق کی کہ وہ اس بات سے آگاہ ہے کہ اس کے بنیادی ڈھانچے کے کچھ حصے پرانے ہیں۔
ICO کے ڈپٹی کمشنر اسٹیفن بونر نے ICO کی رپورٹ اور سرزنش پر ایک بیان میں کہا: “اگر انتخابی کمیشن نے اپنے نظام کی حفاظت کے لیے بنیادی اقدامات کیے ہوتے، جیسے کہ موثر سیکیورٹی پیچنگ اور پاس ورڈ کا انتظام، تو بہت زیادہ امکان ہے کہ اس ڈیٹا کی خلاف ورزی نہ ہوتی۔ ہوا.”
ICO نے الیکشن کمیشن کو جرمانہ کیوں نہیں کیا؟
ایک مکمل طور پر روکا جانے والا سائبر حملہ جس نے برطانیہ کے 40 ملین ووٹروں کے ذاتی ڈیٹا کو بے نقاب کیا، انتخابی کمیشن کے لیے صرف ایک سرزنش ہی نہیں بلکہ جرمانے کے ساتھ سزا دینے کے لیے کافی سنگین خلاف ورزی کی طرح لگ سکتا ہے۔ اس کے باوجود، ICO نے صرف میلا سیکورٹی کے لیے عوامی ڈریسنگ ڈاون جاری کیا ہے۔
پبلک سیکٹر باڈیز کو ماضی میں ڈیٹا پروٹیکشن رولز توڑنے پر جرمانے کا سامنا کرنا پڑا ہے۔ لیکن میں جون 2022 سابقہ قدامت پسند حکومت کے تحت، ICO نے اعلان کیا کہ وہ عوامی اداروں پر نفاذ کے لیے نظر ثانی شدہ طریقہ کار کو آزمائے گا۔
ریگولیٹر نے کہا کہ پالیسی میں تبدیلی کا مطلب یہ ہے کہ عوامی حکام کی جانب سے اگلے دو سالوں تک خلاف ورزیوں پر بڑے جرمانے عائد کیے جانے کا امکان نہیں ہوگا، جیسا کہ ICO نے تجویز کیا کہ واقعات کی ابھی بھی مکمل چھان بین کی جائے گی۔ لیکن اس شعبے سے کہا گیا کہ وہ جرمانے کے بجائے سرزنش اور دیگر نفاذ کے اختیارات کے بڑھتے ہوئے استعمال کی توقع کرے۔
ایک میں کھلا خط اس وقت اس اقدام کی وضاحت کرتے ہوئے، انفارمیشن کمشنر جان ایڈورڈز نے لکھا: “میں اس بات پر قائل نہیں ہوں کہ خود بڑے جرمانے پبلک سیکٹر کے اندر ایک رکاوٹ کے طور پر موثر ہیں۔ وہ شیئر ہولڈرز یا انفرادی ڈائریکٹرز پر اس طرح اثر انداز نہیں ہوتے جیسے وہ نجی شعبے میں کرتے ہیں لیکن خدمات کی فراہمی کے لیے براہ راست بجٹ سے آتے ہیں۔ سرکاری شعبے کے جرمانے کا اثر اکثر خلاف ورزی کے متاثرین پر بھی پڑتا ہے، اہم خدمات کے لیے کم بجٹ کی صورت میں، نہ کہ مجرموں پر۔ درحقیقت، خلاف ورزی سے متاثرہ افراد کو دو بار سزا دی جاتی ہے۔”
ایک نظر میں، ایسا لگتا ہے کہ انتخابی کمیشن کو سیکٹرل انفورسمنٹ کے لیے ایک نرم رویہ کے ICO کے دو سالہ ٹرائل کے دوران اس کی خلاف ورزی کا پتہ لگانے کی خوش قسمتی ملی ہے۔
ICO کے ساتھ کنسرٹ میں یہ کہتے ہوئے کہ یہ پبلک سیکٹر کے ڈیٹا کی خلاف ورزیوں پر کم پابندیوں کی جانچ کرے گا، ایڈورڈز نے کہا کہ ریگولیٹر عوامی حکام میں سینئر رہنماؤں تک رسائی کا زیادہ فعال ورک فلو اپنائے گا تاکہ معیارات کو بلند کرنے اور سرکاری اداروں میں ڈیٹا کے تحفظ کی تعمیل کو آگے بڑھانے کی کوشش کی جا سکے۔ نقصان سے بچاؤ کا طریقہ
تاہم، جب ایڈورڈز نے فعال آؤٹ ریچ کے ساتھ نرم نفاذ کو یکجا کرنے کے منصوبے کا انکشاف کیا، تو اس نے تسلیم کیا کہ اس کے لیے دونوں سروں پر کوشش کی ضرورت ہوگی، لکھتے ہوئے: “[W]یہ ہم خود نہیں کر سکتے۔ ان بہتریوں کو ہر طرف سے پہنچانے کے لیے احتساب ہونا چاہیے۔‘‘
انتخابی کمیشن کی خلاف ورزی اس وجہ سے ICO کے مقدمے کی کامیابی پر وسیع تر سوالات اٹھا سکتی ہے، بشمول کیا پبلک سیکٹر کے حکام نے اس سودے کا اپنا ساتھ رکھا ہے جس کے بارے میں سوچا جاتا تھا کہ نرم نفاذ کا جواز پیش کیا جائے۔
یقینی طور پر یہ ظاہر نہیں ہوتا ہے کہ انتخابی کمیشن ICO کے مقدمے کے ابتدائی مہینوں میں خلاف ورزی کے خطرات کا اندازہ لگانے میں کافی حد تک متحرک تھا – یعنی اکتوبر 2022 میں مداخلت کا پتہ لگانے سے پہلے۔ مثال کے طور پر ایک “بنیادی اقدام”، ایسا لگتا ہے جیسے قابل گریز ڈیٹا کی خلاف ورزی کی تعریف ریگولیٹر نے کہا تھا کہ وہ اپنی پبلک سیکٹر کی پالیسی کو صاف کرنا چاہتا ہے۔
تاہم، اس معاملے میں، ICO کا دعویٰ ہے کہ اس نے اس معاملے میں پبلک سیکٹر کے نفاذ کی نرم پالیسی کا اطلاق نہیں کیا۔
اس سوال کے جواب میں کہ اس نے الیکٹورل کمیشن پر جرمانہ کیوں نہیں لگایا، ICO کی ترجمان لوسی ملبرن نے TechCrunch کو بتایا: “ایک مکمل تحقیقات کے بعد، اس کیس کے لیے جرمانے پر غور نہیں کیا گیا۔ متاثر ہونے والے افراد کی تعداد کے باوجود، اس میں شامل ذاتی ڈیٹا بنیادی طور پر انتخابی رجسٹر میں موجود ناموں اور پتے تک محدود تھا۔ ہماری تحقیقات میں کوئی ثبوت نہیں ملا کہ ذاتی ڈیٹا کا غلط استعمال کیا گیا ہے، یا اس خلاف ورزی کی وجہ سے کوئی براہ راست نقصان پہنچا ہے۔
ترجمان نے مزید کہا، “الیکٹورل کمیشن نے اب ضروری اقدامات کیے ہیں جو ہم اس کے بعد اس کی سیکیورٹی کو بہتر بنانے کی توقع کریں گے، جس میں ان کے بنیادی ڈھانچے کو جدید بنانے کے منصوبے پر عمل درآمد کے ساتھ ساتھ تمام صارفین کے لیے پاس ورڈ پالیسی کنٹرول اور ملٹی فیکٹر تصدیق شامل ہے۔”
جیسا کہ ریگولیٹر اسے بتاتا ہے، کوئی جرمانہ جاری نہیں کیا گیا کیونکہ کسی ڈیٹا کا غلط استعمال نہیں کیا گیا، یا اس کے بجائے، ICO کو غلط استعمال کا کوئی ثبوت نہیں ملا۔ محض 40 ملین ووٹرز کی معلومات کو منظر عام پر لانا ICO کے بار پر پورا نہیں اترا۔
کوئی سوچ سکتا ہے کہ ریگولیٹر کی تحقیقات کا یہ پتہ لگانے پر کتنی توجہ مرکوز تھی کہ ووٹر کی معلومات کا غلط استعمال کیسے ہوا؟
میں ICO کے پبلک سیکٹر انفورسمنٹ ٹرائل پر واپس جانا جون کے آخر میں، جیسے ہی تجربہ دو سال کے نشان کے قریب پہنچا، ریگولیٹر نے ایک بیان جاری کیا کہ وہ موسم خزاں میں اپنے شعبہ جاتی نقطہ نظر کے مستقبل کے بارے میں کوئی فیصلہ کرنے سے پہلے پالیسی کا جائزہ لے گا۔
چاہے پالیسی قائم رہتی ہے یا پبلک سیکٹر کے ڈیٹا کی خلاف ورزیوں پر کم سرزنش اور زیادہ جرمانے کی طرف تبدیلی ہوتی ہے یہ دیکھنا باقی ہے۔ قطع نظر، الیکٹورل کمیشن کی خلاف ورزی کا کیس ظاہر کرتا ہے کہ ICO پبلک سیکٹر کی منظوری دینے سے گریزاں ہے — جب تک کہ لوگوں کے ڈیٹا کو بے نقاب کرنے کو قابلِ نقصان سے جوڑا جا سکتا ہے۔
یہ واضح نہیں ہے کہ ایک ریگولیٹری اپروچ جو ڈیٹرنس کی طرف سے ڈیزائن میں سستی ہے، حکومت بھر میں ڈیٹا کے تحفظ کے معیارات کو بڑھانے میں کس طرح مدد کرے گا۔
[ad_2]
Source link
techcrunch.com