Birleşik Krallık’taki güvenlik liderleri olarak, giderek daha agresif bir tehdit ortamı ile genişleyen bir yasal çerçeve arasında sık sık sıkışıp kaldığımızı hissediyoruz. Birleşik Krallık’ın siber güvenlik mevzuat çerçevesine ilişkin yeni bir değerlendirme, çoğumuzun sektör konferanslarında içki içerken tartıştığı şeyi doğruluyor: Uyum yükümlülükleri içinde boğuluyoruz, ancak ülkenin siber dayanıklılığı endişe verici derecede kırılgan olmaya devam ediyor. Birleşik Krallık’taki meslektaşlarım için bu rapor, gelecek stratejilerimizi şekillendirmesi gereken beş kritik sonuç sunuyor.
Birleşik Krallık Genel Veri Koruma Yönetmeliği (GDPR) teorik olarak Birleşik Krallık’taki işletmeleri büyük cezalarla tehdit ederken, Bilgi Komiserliği Ofisi (ICO) 2024’te yalnızca üç para cezası verdi ve çoğu zaman bunun yerine kınama cezalarını tercih etti. Daha da çarpıcı olanı, Ağ ve Bilgi Sistemleri (NIS) Düzenlemeleri ile ilgili uygulama boşluğudur.
Olay bildirimlerindeki önemli artışa rağmen, bilgi edinme özgürlüğü verileri, 2021 ile 2024 yılları arasında önemli yetkili makamlar tarafından neredeyse hiç resmi yaptırım uygulanmadığını göstermektedir (aşağıdaki “Durumun Anlık Görüntüsü” tablosuna bakın). Bu bir erteleme gibi görünse de, güvenlik yatırımına yönelik dahili iş durumlarımızı baltalıyor. Regülatör ısırmazsa kurul dinlemez.
Bu da ikinci ve belki de en endişe verici eğilime yol açıyor: yönetim kurulunun ayrılması. İngiltere’de yönetici sahipliğinde ölçülebilir bir düşüş görüldü. Siber güvenlik konusunda açık sorumluluk sahibi bir yönetim kurulu üyesi bulunan şirketlerin yüzdesi 2021’de %38’den 2025’te sadece %27’ye düştü. Bu bilgi, yöneticilerimizin gizlilik ve güvenliğe ne kadar ciddiyetle yaklaştığını ileriye dönük olarak önemli ölçüde etkileyecektir.
Baş bilgi güvenliği sorumluları (CISO) olarak, siber risk sorumluluklarının BT departmanına devredilmesine izin veremeyiz. Siber Güvenlik ve Dayanıklılık Yasası (CSRB), yönetim kurullarına ve yöneticilere hesap verebilirliği yasal bir görev haline getirmeye yönelik önemli bir fırsatı kaçırdı. Bu, riskleri ele alacak kaynak veya yetki olmadan sorumluluk atayarak CISO’yu “bilgi günah keçisi sorumlusu” haline getirmeyi içermez.
Bir yönetim kurulu üyesinin açıkça siber sorumluluğa sahip olduğu işletmelerde düşüş (2021’e karşı 2025) | Yüksek Risk: Yükümlülük artarken yönetici sahipliği de azalıyor. | ||
İhlallerden etkilenmeye devam eden büyük işletmelerin yüzdesi | Etkisizlik: Mevcut uyum harcamaları büyük firmalar için saldırıların başarı oranını düşürmüyor. | ||
2024 ile 2025 arasında fidye yazılımı saldırı sayılarında artış | Artan Tehdit: Saldırganlar, denetimleri geçmelerine rağmen savunma kontrollerini geride bırakıyor. | ||
ICO’nun 2024’te kınama tercihi dahil olmak üzere verdiği toplam para cezaları | Yaptırım Geçersizliği: Düzenleyici şu anda etkisizdir ve yalnızca para cezalarına dayalı güvenlik yatırımı ticari durumunu baltalamaktadır. | ||
NIS Düzenlemeleri (2021-2025) kapsamında yetkili makamlar tarafından resmi yaptırımların bulunmaması | Yanlış Güvenlik: İyileştirmeleri teşvik etmek için düzenleyici baskılara güvenmek başarısız bir stratejidir. | ||
Üçüncüsü, uyumluluğun dayanıklılığa eşit olmadığını kabul etmeliyiz. Birleşik Krallık’ın siber güvenlik ve gizlilik mevzuat çerçevesi: Etkililik, uygulama ve karmaşıklık Rapor, kaynakların etkili güvenlik kontrolleri yerine karmaşık yasal gereklilikleri karşılamaya yönlendirildiği bir “onay kutusu zihniyetinin” altını çiziyor. Sonuç ise çarpıcı bir istatistik: Büyük işletmelerde siber güvenlik ihlal oranları %74’te kalıyor.
Şirketler denetimlerden geçiyor ancak yine de kimlik avı ve giderek daha karmaşık hale gelen fidye yazılımı saldırılarının kurbanı oluyor; sonuncusunun sayıları 2024 ile 2025 arasında ikiye katlandı. Odak noktamız, belge oluşturmaktan, olay müdahale planlarının sıkı bir şekilde test edilmesi yoluyla operasyonel esnekliği doğrulamaya geçmelidir.
Dördüncüsü, yasama ortamının karmaşıklığı getirilerin azaldığı bir noktaya ulaştı. Yeni CSRB ile Birleşik Krallık GDPR’si, NIS Yönetmelikleri, Bilgisayarın Kötüye Kullanımı Yasası ve Çevrimiçi Güvenlik Yasası’nın bir yama çalışmasından geçiyoruz. Bu kümülatif hacim, sınırlı kaynaklarımızı tüketen bir “uyum vergisi” yaratıyor.
Tedarik zincirlerini yöneten bizler için bu kritik önem taşıyor. Küçük ve orta ölçekli işletme (KOBİ) ortaklarımızın üzerindeki yük çok ağır ve güvendiğimiz yenilikçiliği potansiyel olarak boğuyor. Tedarik zincirlerimizi yalnızca güvenlik açısından değil, aynı zamanda bu düzenleyici yıpranmaya dayanabilme yetenekleri açısından da denetlemeliyiz.
Son olarak CSRB’nin genişletilmiş kapsamına hazırlanmalıyız. Uygulanan strateji, yönetilen hizmet sağlayıcıları (MSP’ler) ve veri merkezlerini doğrudan düzenleme kapsamına alarak “toplumun tamamı” yaklaşımına doğru kayıyor. Birçoğumuzun yaptığı gibi üçüncü taraflara güveniyorsanız, düzenlemelerin odağı genişlemek üzere.
Sonuçta bu rapor bir uyandırma çağrısı görevi görüyor. Sorunu çözmek için mevzuata güvenemeyeceğimiz gibi, bunu tutarlı bir şekilde uygulamak için düzenleyicilere de güvenemeyiz. “Uyum tuzağının” ötesine geçmeli ve düşmanlarımızla temasta hayatta kalabilecek kültürler ve kontroller inşa etmeliyiz.
Şuna bir yanıt: Birleşik Krallık’ın siber güvenlik ve gizlilik mevzuatı çerçevesi Oxford Martin Üyesi, Küresel Siber Güvenlik Kapasite Merkezi, Oxford Üniversitesi William Dutton’dan rapor:
“Bilgi teknolojilerine ilişkin hükümet politikasına ilişkin tartışmalar sıklıkla düzenleme yapılıp yapılmayacağı gibi geniş genellemeler etrafında dönüyor. Bu aydınlatıcı rapor daha derinlere iniyor. WCIT [Worshipful Company of Information Technologists] Güvenlik Paneli, politika yapıcılar, düzenleyiciler ve küçük işletmeler de dahil olmak üzere bir dizi ticari kuruluş için değerli bilgiler sağlayarak, temel hükümet, yasama ve düzenleme tercihlerinin temel yönlerindeki düzenleme paradoksu gibi sorunları ele alıyor. Bu rapor, siber güvenlik ve mahremiyetle bağlantılı konulara ciddi ilgi duyanlar için kısa ve değerli bir referanstır.”