Kabine Ofisi, İngiltere hükümetinin 2025 sonuna kadar “siber esnek” olma hedeflerini kaçıracak ve bir Kamu Hesapları Komitesi (PAC) raporu, destekleyici departmanlar arasında doğru dengeyi vurmak ve hükümet merkezinden daha fazlasını yapmak için daha fazlasını yapması gerekiyor.
Raporda, Hükümet siber esnekliğibugün yayınlanan (9 Mayıs 2025), çapraz tezgah PAC bulgularının karışık bir resmini sundu. Olumlu tarafta, kabine ofisine devlet dairelerindeki kritik BT sistemlerinin dayanıklılığını bağımsız olarak doğrulamak için adımlar attığı için övdü.
Bununla birlikte, bu egzersizin genel olarak esnekliğin beklenenden çok daha düşük olduğunu ve birçok sistemin temel zayıflıklar içeren olduğunu ortaya koyduğunu söyledi.
35 departmanda 72 kritik sistemin Temmuz 2024’teki değerlendirmesi, risk yönetimi ve olay müdahale planlamasında çoklu kontrol hataları ile önemli siber esneklik boşlukları tespit etti ve bu, geçmişte bir iyileşme olmasına rağmen, PAC daha hızlı yapılması gerektiğini söyledi. Özellikle, Mart ayında uzman ifadesi sırasında ortaya çıkan bir nokta olan risk altındaki, eski varlıkları tanımlamak için öz-değerlendirmeye güvenmeye tekrar ağıt yaktı.
Geoffrey Clifton -Brown başkanlığındaki PAC, “Bilim, İnovasyon ve Teknoloji Departmanı (DSIT) tahmin edilen riskli miras BT sistemlerinin, kamu sektörünün BT mülkünün% 28’ini oluşturduğunu – benzer şekilde bağımsız bir değerlendirme geçirmediğini endişe verici buluyoruz” dedi.
“Kamu sektörünün büyüklüğünün ve karmaşıklığının ve tedarik zincirlerinin, hükümetin siber riski yönetmesini zorlaştırdığını kabul ediyoruz. Bununla birlikte, hükümet merkezinin hükümette kaç miras var olduğunu bilmediği ve bu nedenle ilişkili siber riskleri yönetemediği kabul edilemez.”
Buna ek olarak, devlet daireleri, kabine ofisinden net rehberlik eksikliğinin yardımcı olmadığı bir durum olan siber güvenliğe öncelik vermek için yeterli yapmamıştır. Westminster genelinde, çeşitli bedenler tehdidin ciddiyetini hafife alıyor ve kararları konunun aciliyetini yansıtmıyor. Rapor, tüm departmanların güvenlik liderlerinin üst yönetim ve karar verme düzeylerine dahil olmalarını sağlamak için daha fazlasını yapmasını gerektiriyor.
Raporda, “İleriye baktığımızda, kabine ofisi hükümetin 2025 sonuna kadar siber esnek olma hedefini karşılamayacak. Kabine ofisi, 2030 yılına kadar daha geniş kamu sektörüne yardım etmenin hükümetin temelde farklı bir yaklaşım almasını gerektireceğinin farkında.” Dedi.
PAC, kabine ofisinin doğru yolda olduğunu ve başkalarının deneyimlerinden öğrendiğini ekledi ve milletvekilleri, siber esneklik konusundaki genel ilerleme konusunda daha fazla şeffaflık beklediklerini söyledi.
Daha iyi ödeme lütfen
Komitenin raporu, hükümeti doğru siber güvenlik profesyonellerini Whitehall’a işe almak için gereken maaşları “ödemek istemediği” için eleştirmeye devam etti ve hükümetin daha geniş dijital işgücünü yaklaşık 23.000 kişiye artırmasına rağmen, üç siber güvenlik rolünden birinin ya doldurulmadığını ya da üçüncü taraf yüklenicileri tarafından gerçekleştirildiğini belirtti.
Raporda, “Deneyim, hükümetin işe alabileceği ve elde tutabileceği en iyi insanlardan kaçının gerçekçi olması gerektiğini gösteriyor” dedi.
“Bu, departmanların en üst düzey kurullarında dijital ve güvenlik liderlerine sahip olma ihtiyacını da içeriyor. Birçok departman siber tehdidin ciddiyetini anlamadı veya siber güvenliğe öncelik verecek kadar yapılmış.”
Ayak uydurmamak
Genel olarak, PAC raporu, hükümetin İngiliz kütüphanesinden 2023 fidye yazılımı saldırısı, NHS Tedarikçisi Synnovis’teki 2024 olayı ve daha yakın zamanda İngiltere süpergrafetlerini etkileyen olaylar tarafından örneklenen düşman yabancı devletlerden ve finansal olarak motive edilen suçlulardan toplama siber tehdidine ayak uydurmadığını tespit etti. Artık tehdidin kapsamı ile hükümetin buna verdiği tepki arasında önemli bir boşluk var.
Komite ayrıca, yetersiz finansman, personel ve gözetim mekanizmalarının, üçüncü taraf olayların kamu sektörüne girme riskinin gösterdiği gibi, saldırı patoloji hizmetleri sağlayıcısını bozduktan sonra binlerce hastane randevusunun iptal edilmesi gerektiği anlamına geldiği daha fazla risk belirledi.
Raporda, kabine ofisinin, 2025 harcama incelemesinin sonuçlandırılmasının ardından, siber esnekliğe yeni bir yaklaşım ortaya çıkarmak için hangi kolları ve enstrümanları almayı planladığını belirlemesini istedi.
Ulusal Siber Güvenlik Merkezi, bu haftanın başlarında, önümüzdeki iki yıl içinde yapay zekanın sağladığı siber tehditlere ayak uydurabilecek kuruluşlar ve geride kalanlar arasında bir bölünmenin ortaya çıkacağı konusunda uyardı.