Även om den splittrade Brittiska kampanjer som gör dem säkrare, phishing är fortfarande ett allvarligt hot, säger USA: s säkerhetsexpert

Dataintrång

Cyberattack på BRITTISKA politiska parti “bara en fråga om tid”

Även om den splittrade Brittiska kampanjer som gör dem säkrare, phishing är fortfarande ett allvarligt hot, säger USA: s säkerhetsexpert

@alexhern

Tisdag 30 Maj 2017 15.00 BST

Senast uppdaterad den tisdag 30 Maj 2017 15.30 BST

Ett Brittiskt politiskt parti kommer att vara utsatt för ett hack som liknar dem som drabbats av Clinton och Streck presidentvalskampanjer, en ledande säkerhet forskare har varnat för.

James Norton, en före detta tjänsteman vid det AMERIKANSKA Department of Homeland Security och chef för säkerhet konsult-Spel-Action Strategier, sade: “Det skulle inte förvåna mig om det redan varit några stulna e-post … det skulle förvåna mig om det inte hända.”

Det var en fråga om när, inte om, ett hack skulle ske, sade han. “- Kampanjer är en guldgruva, i synnerhet nyare kampanjer där du försöker att förstå dynamiken … jag tror de skulle vara mål, om de inte redan är, i termer av att försöka förstå vad deras politik skulle vara. Även Theresa May är till stor del okända.”

EU: s chef för informationssäkerhet har tidigare aviserat att risken för hacking-attacker ökar kraftigt efter upplösning av parlamentet. Dr. Udo Helmbrecht varnade för kandidater att någon av de tusentals politiska kampanjer som är aktiva under valrörelsen skulle kunna fungera som ett skott från att tränga djupare in i parti maskiner.

“Om du tittar från en politiker perspektiv eller från en mans perspektiv, har du ett antal olika problemområden,” Helmbrecht sa the Guardian. “I Tyskland, Förbundsdagen blev hackad. Detta var inte en svaghet i den klassiska infrastruktur – det var naivt behandling av parlamentariker.”

Dildo O ‘ Brien, ett hot forskare vid säkerhetsföretaget Symantec, överens om att ett hack som på Streck “kan mycket väl hända igen”. Även en kick valet vänster gott om tid för en intresserad part ska vidta åtgärder, tillade han.

“Den typ av val som innebär att politiker är mogen för en attack. Regeringar är väl säkrad, politiska partier inte så mycket. Och sedan en kampanj expanderar från en central part i en mycket mer ad hoc-organisationer. Det är där du ser människor som använder resurser, moln-tjänster, med e-post, som de egentligen inte skulle använda i en mer permanent organisation. Som verkligen öppnar upp ytan för en attack.”

Till skillnad från en fransk eller amerikansk presidentvalskampanj, Brittiska valet är mycket mer fragmenterad, med mer lokal makt och mindre nationella tillsyn. Ur säkerhetssynpunkt, att fragmentering kan vara en välsignelse och en förbannelse: det finns skiljeväggar, se till att låg-nivå överträdelser inte läcka data för hela kampanjen, men också leder till en markant ökning i antalet potentiella mål för en extern angripare.

Ingen av de nationella kampanjerna skulle kommentar på säkerhetsfrågor, men alla trodde att ta råd från GCHQ på att skydda sina nätverk. Sitter MPs är hjälpt av den Parlamentariska Digital Tjänst tills parlamentet upplöses. Men för den parlamentariska kandidater som inte var MPs före valet kom att kallas, beloppet av stöd skiljer sig vilt.

Elaine Bagshawe, den liberale kandidaten för east London Poppel och Limehouse, sade: “Det är först nyligen när ‘informationssäkerhet’ började som en sikt. Det var normalt ‘dataskydd’, eller att bara prata om de specifika typer av angrepp som vi bör räkna med.”

Bagshawe, som arbetade för Financial Conduct Authority innan du kör för office, sade hennes professionella liv hade tränat henne en hel del “om risker för bedrägerier, dataintrång och stöld av identitet.” Partiet träning, dock var begränsad till “en hel del webinars,” sade hon. “Jag tror informationssäkerhet kommer att bli en.”

Många kandidater har tidigare varit kommunpolitiker, en annan roll som kommer med en viss utbildning i fråga om skydd av personuppgifter och information om säkerhetsfrågor. Emma Coad, Labour ‘ s Kensington kandidat, sade: “Om du gränssnitt med någon form av data, kan du gå igenom en massa träning. Sedan, när du har blivit en kandidat, du får en belastning av dokumentation.”

Coad sa Arbetskraft, som de Lib Dems, erbjuds information om säkerhet webbseminarier för kandidater, “om du vill få tag i dem”.

Sådana råd kan vara till hjälp, men Spela-Action ‘ s Norton hävdade att regelbunden, avsiktlig träning blev det behövs för att förhindra ett kostsamt och skadar hack. Både Clinton och Streck kampanjer, till exempel, hade trängt in genom phishing-attacker: hackare skapade falska Google inloggning sidor i ett försök att skörda data.

Hur du skyddar dig från phishing

Läs mer

Teknik kan hjälpa, liksom utbildning, Norton sa. “Det går tillbaka till investeringar. Har du ens vet att folk finns i ditt nätverk? Många gånger människor vet inte tills månader efter händelsen.”

Men det finns också lokala kampanjer verkar falla ner: Coad sa Labour hade aldrig talat med sin kampanj om två-faktor autentisering, ett sätt att begränsa de skador en phishing-attack kan orsaka, trots att hennes officiella kampanjen adress är en webbaserad tjänst som erbjuder det.

Ryan Kalember, chef för strategi för it-säkerhet på Proofpoint, backas Norton ‘ s varning. “Kampanjer i valen runt om i världen måste se till att de har genomfört korrekt försvar runt phishing, inklusive e-post säkerhet och multi-faktor autentisering, helst via knappar hårdvara”, sade han.

“Vår forskning har visat [att] angripare är att oförtröttligt arbeta för att utnyttja e-post kanal för kommunikation, oberoende av deras nivå av förfining, motivation, eller land. E-post är deras högsta mål eftersom det ger den enklaste öppning till en organisation, ett av de enklaste vägarna för att exportera konfidentiell information och för politiska syften, innehåll i e-postmeddelanden i sig erbjuder en inblick i strategier, motiv och personlighet.”

Fragmenteringen av valkrets kampanjer erbjuder förmåner samt, dock. Kampanjer för att få tillgång till data är begränsat till det som är relevant för deras lokala område. Bagshawe, Lib Dem kandidat, sade: “Det finns väldigt få gemensamt system och att de inte prata med varandra: jag kan inte se några data för den närliggande valkretsar i Hackney, till exempel.”

Likaså det stora utbud av olika tjänster som används av olika kampanjer som gör det svårare att använda en en-storlek-passar-alla angrepp. En falsk inloggningssida på Gmail, till exempel, kommer att ha mindre förmåga att lura en kampanj från en Hotmail-adress.