İhlal Bildirimi, Hükümet, Sektöre Özel
Siber Güvenlik ve Dayanıklılık Tasarısı 72 Saatlik Raporlama Süresi ve Ağır Cezaları Kapsıyor
Akşaya Asokan (asokan_akshaya) •
17 Ekim 2024
Eski Ulusal Siber Güvenlik Merkezi şefi Ciaran Martin, Birleşik Krallık hükümetinin önerdiği Siber Güvenlik ve Dayanıklılık Yasa Tasarısı’nın, işletmeleri fidye yazılımı olaylarını bildirmeye teşvik etmek için “ileriye doğru atılmış iyi bir adım” olduğunu söyledi. Ancak yeni düzenlemelerin başarısının aynı zamanda siber mağdurlara yönelik destek mekanizmasına da bağlı olduğunu söyledi.
Ayrıca bakınız: FedRAMP ve StateRAMP’ı Anlamak
Birleşik Krallık hükümetinin Siber Güvenlik ve Dayanıklılık Yasa Tasarısını Mart ayında ele alması bekleniyor. Ayrıntılar az olsa da hükümet yetkilileri, fidye yazılımlarının ve diğer siber olayların hükümete bildirilmesi için zorunlu 72 saatlik bir sürenin zorunlu olacağını belirten önemli bir hükmü belirtti (bkz: Birleşik Krallık İşçi Partisi Siber Güvenlik ve Dayanıklılık Yasa Tasarısını Tanıttı).
Tasarı, olay raporlamanın yanı sıra yama uygulama ve güvenlik açığının açıklanmasını zorunlu kılan Avrupa Birliği’ndeki Siber Dayanıklılık Yasası’nın Birleşik Krallık’taki eşdeğeri niteliğindedir.
Şu anda Oxford Üniversitesi’nde yönetim uygulamaları profesörü olarak çalışan Martin, “Bu ileriye doğru atılmış iyi bir adım” dedi ve düzenlemelerin ülkenin kritik altyapısını korumada çok önemli bir rol oynayabileceğini söyledi. Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin kurucu başkanı olan Martin, raporlama zorunluluğunun aynı zamanda hükümet ve kolluk kuvvetlerinin siber olayları ele almak için gereken önemli verileri toplamasına da yardımcı olabileceğini söyledi.
Birleşik Krallık Bilgi Komiserliği Ofisi, işletmelere ve diğer kuruluşlara, hedeflenen sistemlere yapılan saldırının ciddiyetine bağlı olarak bir siber olayı 72 saat içinde bildirme çağrısında bulunur, ancak mağdurlar genellikle itibar kaybı ve para cezası korkusuyla olayları bildirmezler (bkz: Birleşik Krallık’taki Firmaların ve Yardım Kuruluşlarının Yarısı Siber Olayları Bildiremedi).
Örneğin, Ağustos ayında Birleşik Krallık ICO’su, 2022’de ulusal acil bakım tıbbi yardım hattını kesintiye uğratan bir fidye yazılımı saldırısını ve veri ihlalini önleyemediği için Gelişmiş Bilgisayar Yazılım Grubu’na 6,09 milyon sterlin para cezası vereceğini açıklamıştı (bkz: İngiltere’nin Advanced’i LockBit Saldırısından Sonra 6 Milyon Pound Cezayla Karşı Karşıya).
Siber olayların eksik raporlanması, özellikle siber saldırılarla ilgili veri eksikliğinin kuruluşun ülkenin karşı karşıya olduğu siber tehditlerin boyutunu anlamasını veya bunlara hızlı bir şekilde yanıt vermesini engellediğini söyleyen Ulusal Suç Dairesi gibi Birleşik Krallık’ın kolluk kuvvetleri için bir sorun olmuştur. olaylar (bkz: Birleşik Krallık ICO ve NCA, Siber Olaylara Hazırlık Konusunda İşbirliği Yapacak ).
Tasarı yasalaştığı takdirde siber olaylara ilişkin zorunlu raporlama yükümlülüklerini getiren ilk yasa olacak.
Fidye yazılımı ve benzeri siber saldırıların mağdurlar için genellikle “travmatik bir deneyim” olduğu göz önüne alındığında Martin, tasarının etkililiğinin, onları daha fazla mağdur etmek yerine, hükümetin siber suç mağdurlarını ortaya çıkarmalarına yardımcı olacak yeterli kaynaklara sahip olduğundan emin olmak gibi nüanslara bağlı olacağını söyledi. .
“Hukuk yönetim şirketlerinin eyaletteki posta kutularını olay raporlarıyla doldurması ve şirketlerin hiçbir yanıt alamaması olmamalı. Mağdurların, bekledikleri ve bekleyemeyecekleri konusunda doğru yardımı almaları gerekiyor. bazı şeyleri rapor edin.” Martin dedi
Çin’den Yaklaşan Tehdit
Martin, ulus devlet tehdidinin İngiltere için büyük bir risk oluşturduğunu söyledi. Çinli grupların, özellikle de Volt Typhoon’un, İngiltere’nin kritik altyapısına odaklandığını söyledi. Çin’in son yirmi yıldaki hackleme operasyonu büyük ölçüde casusluk ve casusluğa odaklanmış olsa da, Volt Typhoon ve diğer grupların faaliyetleri, Batı’nın kritik altyapısını hedef alan daha yıkıcı saldırılarla taktik değişikliklerine işaret ediyor.
Martin, “Volt Typhoon’un, Batı çıkarlarına yönelik ulus devlet tehdidi açısından siber güvenlik tehdit tablosundaki en önemli değişiklik olduğunu düşünüyorum” dedi.
2021 yılının ortalarından bu yana aktif olan Volt Typhoon, son aylarda iletişim, bilgi teknolojileri ve devlet kurumları gibi kritik altyapı sektörlerini hedef aldı. Mayıs ayında ABD hükümeti ve Beş Göz istihbarat paylaşım ittifakı, grubun Guam ve ABD’deki kritik altyapıyı hedef aldığını ortaya çıkardı (bkz: Çin Devlet Hacker ‘Volt Typhoon’ Guam ve ABD’yi Hedef Alıyor).
Grup, uç cihazlardaki kusurlardan ödün vererek kapsamlı keşifler gerçekleştirdiği bilinen Çin ulus devlet gruplarının arasında yer alıyor. Benzer taktikleri izleyen diğer gruplar arasında Salt Typhoon ve Flax Typhoon yer alıyor.
Martin, ülkenin genel güvenlik duruşunu iyileştirmek için hükümet ve özel sektörün birlikte çalışmasının çok önemli olduğunu söyledi.
Martin, “Bence her şey uzun vadeli çözümlere dayanıyor; bu, aksaklıkları planlamakla ilgili, ama aynı zamanda savunmaları elinizden geldiğince geliştirmekle de ilgili. Bu, yazılım ve yazılımla ilgili ürünlerin tasarımı yoluyla güvenlikle ilgili,” dedi.