Ulusal Siber Güvenlik Merkezi (NCSC) destekli Güvenlik Sertifikasyon Programı aracılığıyla verilen siber temel rozetlerin sayısı artmaya devam ediyor, ancak İngiltere’nin iş dünyasının esnekliğini güvence altına almak için gerçekten gerekenden daha yavaş bir hızda.
Bu, 19 Haziran Perşembe günü hükümet tarafından yayınlanan Ocak-Mart 2025 çeyreğini kapsayan yeni istatistiklere göre, bu da 10.064 taban seviyesi siber esansiyel sertifikalarının ve 3.272 gelişmiş siber esansiyel artı sertifikaların verildiğini ortaya koydu.
Bu, 9.790 siber temel ve 3.388 siber esansiyel artı sertifikaların verildiği Ekim -Aralık 2024’ü kapsayan dönemde küçük bir avans oldu.
Mikrobusiness ve küçük işletmeler, ilk çeyrek sırasında en ağır temsil edilenlerdi ve sırasıyla 5.988 siber esansiyel sertifikaları oluşturdu. Toplam 1.780 orta ölçekli işletme rozetlerini aldı ve 916 büyük işletme sertifikalandırıldı.
Bununla birlikte, ilk çeyrekte verilen ödüllerin 7.557’si mevcut plan üyeleri tarafından yeniden sertifikalardı – siber temeller her 12 ayda bir yenilenmeli ve sadece 2.507 net yeni üyelere gitti, bu da Cyber Essentials genel bir başarı olsa da, planın farkındalığını artırmak için daha fazla çalışma yapılması gerektiğine dair bir gösterge.
Cardiff ve Londra’daki ofisleri olan bir Güvenlik Hizmetleri Sağlayıcısı (MSSP) CEO’su Andy Kays, “Bir İngiliz işletmesi, siber temeller sertifikası elde ediyor. Bu ilerleme kesinlikle kutlamak için bir şey, ancak büyük planda, alımı yüz işletmeden daha azıyla sınırlıdır” dedi.
Kays, “Hayal kırıklığı yaratan, 250 veya daha fazla çalışanı olan İngiltere işletmelerinin sadece dörtte biri siber temeller sertifikalıdır. Bu, sertifikanın tüm işletmelerin zaten takip etmesi gereken bir siber hijyen seviyesini kapsadığını düşünmekle ilgilidir” dedi.
Uyum ve sertifikasyon süreçleri yoluyla çalışmanın zahmetli bir angarya olabileceğine dair bir beklenti olduğunu kabul eden Kays, Siber Temel Standardı Standart Standartlarını koruyan işletmeler için siber temeller uyumluluğuna ulaşmanın bir doddle olması gerektiğine dikkat çekti.
“Son zamanlarda haberlerde yüksek profilli ihlal sayısı göz önüne alındığında, Cyber Essentials, müşterilere, ortaklara ve tedarikçilere siber güvenliğin ciddiye alındığına dair önemli bir fırsat sunuyor. Aynı zamanda kuruluşların daha proaktif güvenlik önlemleri için temel oluşturmalarına yardımcı oluyor” dedi.
Siber temeller nedir?
2014 yılında CESG’nin himayesinde başlatılan, daha sonra bilgi güvencesi için ulusal otorite – daha sonra NCSC’ye katlanacak – siber esansiyeller, İngiltere’nin işletmeleri ve kuruluşları siber saldırılardan korumak için daha fazlasını yapması gerektiğinin kabul edilmesinden kaynaklandı.
CESG tarafından 2010’ların başında yapılan soruşturmalar, sadece beş teknik kontrolden biri veya daha fazlasının mevcut olsaydı, birçok siber saldırının tamamen önlenebileceğini gösterdi:
- Güvenli Yapılandırma – Kötü aktörler için potansiyel giriş noktalarını en aza indirmek için bilgisayarlar kurmak;
- Kullanıcı Erişim Kontrolü – işletmelerin veri ve hizmetlere kimin erişebileceğini ve hangi düzeyde erişebileceğini sağlamak;
- Kötü amaçlı yazılım koruması – fidye yazılımı da dahil olmak üzere kötü amaçlı yazılımları durdurmanın yollarını belirleme, yatma şansı olmadan;
- Güvenlik Güncelleme Yönetimi – Kötü aktörlerin uygun ve zamanında yama stratejileri ile yazılım güvenlik açıkları yoluyla ağlara erişmesini durdurmak;
- Güvenlik Duvarı Uygulaması – Genel İnternet ile iş ağları ve sistemleri arasında bir filtre oluşturma.
Bu kontroller birlikte, 2020’den beri NCSC teslimat ortağı IASME tarafından teslim edilen siber temellerin temelini oluşturdu, bugüne kadar 190.000’e yakın sertifika yayınladı.
En önemlisi, hassas ve kişisel verileri ele almak için belirli İngiltere hükümet sözleşmelerini yürütmek isteyen işletmelerin siber temeller sertifikasını alması gerekir.
Geçen yıl planın onuncu yıldönümü vesilesiyle konuşan siber güvenlik bakanı Feryal Clarke şunları söyledi: “Her zaman siber temellerin ekonomi genelinde daha iyi siber güvenliği artırmaya yardımcı olduğuna inandık. Ancak şimdi bunu kanıtlayabiliriz.
“Son sigorta verileri, siber temelleri olan kuruluşların sigortaları hakkında bir talepte bulunma olasılıklarının onsuz olanlardan% 92 daha az olduğunu gösteriyor.
“Ayrıca, kuruluşların üçüncü taraflarının siber temeller elde etmelerini istediklerinde, daha az üçüncü taraf siber olayları yaşadıklarını biliyoruz” dedi.
O zamanlar Bilgisayar Haftası’nda yazan Cybersmart’ta bir siber güvenlik danışmanı Adam Pilton ve Dorset Polisi’ndeki siber suçu araştıran eski Dedektif Çavuş, mümkün olan en geniş terimlerle, siber esansiyellerin çok başarılı olduğunu, çünkü yol kenarında düşmüş olabilecek organizasyonların bazılarını bazı temelleri koymasına yardımcı olduğunu söyledi.
“Siber suçlu faaliyetlerin ihlali veya başka türlü vurulan bir kuruluşa katkıda bulunan en önemli faktörlerden biri olan siber suçu korumak ve araştırmak için kolluk kuvvetlerinde çalışırken, siber suçlular tarafından düşük asılı meyve olarak görülmelerini sağlayabilecekleri ve sofistike spektrumun alt ucunda aktörler tarafından hedeflenebileceklerdi.
“Siber esaslar… KOBİ’lerin rutin olarak kurban düştüğü siber saldırıların temel biçimlerine karşı korunmayı başardı. Siber temeller tarafından önerilen çerçevelerin bir örgütü tamamen daha kalıcı, sofistike bir şekilde koruması pek olası olmasa da, mühimmatlara, siber suçun daha da farklı olanlar için daha fazla sofistike karşı savunmak için mühimmat sağladı”.