Birleşik Krallık hükümeti, artan siber tehditler ile kamu sektörünün etkili bir şekilde yanıt verme yeteneği arasındaki büyüyen uçurumu kapatmaya yönelik yenilenmiş bir çaba olarak Hükümetin Siber Eylem Planını açıkladı.
Hareket, Birleşik Krallık perakende ve imalat sektörlerini hedef alan bir dizi siber saldırının, kritik hizmetleri ve hükümet operasyonlarını etkileyen daha geniş güvenlik açıklarının altını çizen olayların ortasında gerçekleşti.
Birleşik Krallık’ın siber direncini güçlendirmek için tasarlanan plan, parçalı siber girişimlerden devlet daireleri genelinde daha koordineli, hesap verebilir ve sonuç odaklı bir yaklaşıma geçişi yansıtıyor.
Tehditler ve Savunmalar Arasında Büyüyen Bir Uçurum
Son dönemde yaşanan siber olaylar kalıcı bir zorluğun altını çizdi: Kamu hizmetlerine yönelik tehditler ölçek ve karmaşıklık açısından büyümeye devam ederken, savunma yetenekleri buna ayak uyduramıyor. Bilim, Yenilik ve Teknoloji Bakanlığı (DSIT) tarafından yürütülen incelemeler, kamu sektöründeki siber ve dijital esnekliğin daha önce değerlendirilenlerden önemli ölçüde düşük olduğunu ortaya çıkardı.
Bu değerlendirme, Ulusal Denetim Ofisi’nin hükümetin siber dayanıklılığına ilişkin raporuyla da desteklendi; bu raporda, acil iyileştirmeler yapılmadığı takdirde hükümetin ciddi olaylar ve operasyonel aksama riskiyle karşı karşıya olduğu konusunda uyarıda bulunuldu. Raporda, hizmetleri korumak ve paranın karşılığını sağlamak için kamu sektörünün “karşılaştığı akut siber tehdide yetişmesi” gerektiği sonucuna varıldı.
Mevcut Temellerin Üzerine İnşa Edilmesi
Hükümetin Siber Eylem Planı, DSIT, Ulusal Siber Güvenlik Merkezi (NCSC) ve Kabine Ofisi arasındaki daha önceki işbirliği çabalarına dayanıyor. Bugüne kadarki kayda değer başarılar arasında, hükümetler arası olaylara müdahaleyi yönetmek için oluşturulan Devlet Siber Koordinasyon Merkezi’nin (GC3) kurulması ve hükümetin kritik sistemlerinin güvenliğini değerlendirmek için tasarlanmış bir plan olan GovAssure’un kullanıma sunulması yer alıyor.
Bu girişimlere rağmen yetkililer, yapısal sorunların, tutarsız yönetişimin ve sınırlı hesap verebilirliğin etkili siber risk yönetimini engellemeye devam ettiğini kabul etti. GCAP bu boşlukları doğrudan gidermeyi amaçlamaktadır.
Hükümetin Siber Eylem Planının Beş Teslimat Kolu
Hükümetin Siber Eylem Planının temelinde, departmanlar arasında hesap verebilirliği güçlendirmeyi ve operasyonel esnekliği artırmayı amaçlayan beş dağıtım unsuru yer alıyor.
İlk kısım hesap verebilirliğe odaklanıyor ve siber risk yönetimi konusunda muhasebe görevlilerine, kıdemli liderlere, Dijital ve Bilgi Sorumlularına (CDIO’lar) ve Bilgi Güvenliği Baş Yöneticilerine (CISO’lar) daha net sorumluluk veriyor.
İkinci aşama, departmanların ortak siber uzmanlığa erişmesini ve yüksek riskli durumlarda teknik ekiplerin hızla konuşlandırılmasını sağlayarak desteği vurguluyor.
Hizmetler kolu kapsamında GCAP, bir kez oluşturulabilen ve birden fazla departmanda kullanılabilen güvenli dijital çözümlerin geliştirilmesini desteklemektedir. Bu yaklaşımın amacı, NCSC’nin ACD 2.0 programı gibi girişimler de dahil olmak üzere, tekrarları azaltmak, tutarlılığı artırmak ve yenilik yoluyla yetenek boşluklarını ele almaktır.
Devlet Siber Olaylara Müdahale Planı’nın (G-CIRP) uygulamaya konulmasıyla birlikte müdahale, bir diğer önemli odak noktasıdır. Bu çerçeve, ulusal düzeydeki etkinlikler sırasında koordinasyonu geliştirerek departmanların siber olayları nasıl raporladığını ve bunlara nasıl yanıt verdiğini resmileştirir.
Son aşama, hükümet çapındaki siber profesyonelleri çekmeyi, geliştirmeyi ve elde tutmayı amaçlayan becerilere değiniyor. Bu çabanın merkezinde, özellikle siber güvenlik ve dayanıklılığa odaklanan ilk özel devlet mesleği olan Devlet Siber Güvenlik Mesleği’nin oluşturulması yer alıyor.
NCSC’nin Rolü ve Uzun Vadeli Etkisi
NCSC, olaylar sırasında departmanları desteklemekten dayanıklılığı artıran hizmetlerin tasarlanmasına yardımcı olmaya kadar Hükümetin Siber Eylem Planının beş aşamasının tamamında merkezi bir rol oynayacak. Bu yaklaşım, teknik rehberlik, güvence ve olay müdahale desteği sunan, NCSC’nin kritik ulusal altyapı ve kamu sektörü kuruluşlarıyla yaptığı mevcut çalışmayla uyumludur.
GCAP’nin uygulanması 2029 ve sonrasına kadar aşamalı olarak gerçekleştirilecek olsa da yetkililer, çerçevenin ilk yılında bile ölçülebilir iyileştirmeler sağlamasının beklendiğini söylüyor. Bunlar arasında daha güçlü risk yönetimi uygulamaları ve siber olaylar sırasında daha hızlı koordinasyon yer alıyor.
NCSC’de Devlet Siber Dayanıklılığı Direktör Yardımcısı Johnny McManus’a göre, DSIT’in dağıtım liderliği ile NCSC’nin teknik otoritesinin birleşimi, Birleşik Krallık’ın kamu sektörü genelinde siber dayanıklılığını dönüştürmek için bir temel sağlıyor.