Hükümet, felaket bir siber saldırı için yetersiz hazırlanıyor ve hala miras tarafından sarsıldı, ancak ilerleme kaydetti, Avam Kamarası Kamu Hesapları Komitesi duydu.
North Cotswolds Muhafazakar Milletvekili Geoffrey Clifton-Brown başkanlığında komite, 10 Mart’ta Whitehall departmanlarının siber esnekliği hakkında dört üst düzey hükümet BT liderinden tanıklık etti. Bu, Ocak ayında, hükümet siber esnekliğinin eksik olduğunu, miras ve beceri kıtlığıyla zayıfladığını ve montaj tehditleriyle karşı karşıya kalan Ulusal Denetim Ofisi (NAO) tarafından yayınlanan bir raporu izledi.
İçinde Hükümet siber esnekliği Raporda, kamu harcamaları gözlemcisi, Birleşik Krallık hükümeti için siber tehdidin “şiddetli ve hızla ilerlediği” konusunda uyardı. 2024’te değerlendirilen 58 kritik hükümet BT sisteminin siber esneklikte önemli boşluklara sahip olduğunu ve hükümetin en az 228 “miras” BT sisteminin siber saldırı için ne kadar savunmasız olduğunu bilmediğini buldu.
NAO, hükümetin siber güvence planının Govassure’un siber esneklikte önemli boşluklar bulduğunu ve departmanlar arasında düşük olgunluk seviyelerinde birden fazla temel sistem kontrolü bulduğunu fark etti. Hükümet kuruluşlarının kritik sistemlerini değerlendirir. Nisan 2023’te kuruldu.
PAC Komitesi Oturumunda incelenen rapora göre soru, hükümetin zarar verici bir siber saldırıya maruz kalacaksa değil, sofistike ve saldırı sayısı artmaya devam ettikçe etkilerin ne kadar şiddetli olabileceği.
Hükümetin operasyonları giderek daha fazla sayısallaştırıldıkça, siber saldırılardan kaynaklanan potansiyel etkilerin şiddeti de. Bununla mücadele etmek için hükümet, 2022’de kamu sektörünü 2030 yılına kadar siber saldırılara dayanıklı hale getirme planları oluşturan bir siber güvenlik stratejisi yayınladı. PAC başkanı, komitenin “hükümetin karşılaştığı siber tehdidin ciddiyetini nasıl anladığını, stratejinin amacına en iyi nasıl kurulabileceğini” nasıl anlayacağını söyledi.
Komite önünde tanıklık: Cat Little, Kamu Hizmeti Baş İşletme Müdürü ve Kabine Ofisi Daimi Sekreteri; Vincent Devine, devlet güvenlik görevlisi ve Kabine Ofisi’nin devlet güvenlik işlevi başkanı; Joanna Davinson, Bilim, İnovasyon ve Teknoloji Bölümü’nün geçici devlet başkanı; ve kabine ofisinin hükümet güvenlik grubunun siber direktörü Bella Powell.
Komitedeki milletvekilleri için bir endişe konusu, memurların çok sayıda hükümet BT sistemine, departmanlara ve “silah uzunluğu organlarına” yayılmış gibi görünen görünürlük eksikliği ve bunların ne ölçüde siber saldırıya karşı “miras” sistemleri olduklarıdır.
Sheffield Güney Doğu için İşçi Milletvekili Clive Betts, “Bu oldukça kritik bir konu. Bu, eski bir sisteme karşı başlatılabilecek potansiyel siber saldırı tehdidi ile ilgilidir ve sistemlerin neyle başlayacağını henüz bilmiyoruz. ”
Bu oldukça kritik bir konudur. Bu, eski bir sisteme karşı başlatılabilecek potansiyel siber saldırı tehdidi ile ilgilidir ve sistemlerin neye başlaması gerektiğini henüz bilmiyoruz.
Clive BettsSheffield Güney Doğu için İşçi Milletvekili
Davinson cevap verdi: “Bu basit değil, ‘Liste nedir?’ Bu departman sorusunu sorduk ve eski risk çerçevemiz aracılığıyla yanıt verdik. Bu anlayışa sahibiz ve bunu diğer kuruluşlara genişletmeye devam ediyoruz. [But] Kaynaksuz bir egzersiz değil. ”
Çok az eklendi: “Tartışmamızın bu kısmı gerçekten ışığa çıkardığı şey, kıt kaynakların bir döneminde, risklere ve ne kadar güvence istendiğine dayalı öncelikli kararlar vermesi gerektiğidir. Ve hükümetin risk iştahını belirlemesi ve kaynakları tahsis etmek için bu risk iştahını ve bilgileri kullanması.
“Elimizdeki en önemli sorunları anlamada büyük ilerleme kaydettik. [in terms of legacy]ve her bir sistem olmasa da, büyük çoğunluk … [and] Bakanlar için risk ve ne kadar risk satın almak istedikleri konusundaki seçimleri yapmak için hem govassure hem de teknik uzmanlığımızı Legacy BT’de kullanıyoruz. Temel soru bu. İnsanlara, kaynakları, becerileri finanse etmek ve mirası iyileştirmek ve yeni teknolojiye yatırım yapmak için X milyar liranız varsa, tahsis edici kaynağınızı nasıl kullandığınız riske dayalı olmalı ve sonuç temelli olmalıdır. Harcama gözden geçirme sürecinin tüm amacı, bakanların finansman tahsisi seçimi yapabilmeleri için sonuçları ve riskleri bir araya getirmektir. ”
Powell şunları söyledi: “Baktığımız sistem sayısını artırıyoruz. Bunu üstel bir şekilde yapmıyoruz, ama bence govassure ile arabayı sürdüğümüzü ve aynı zamanda inşa ettiğimizi de belirtmek gerekir. Nisan 2023’te bölümlerle bazı erken pilotların ardından başlattık [when] Hala erken aşama güvence sürecindeydi.
“Özellikle bu sürecin otomasyonu açısından, bu süreçten topladığımız verileri daha iyi anlamak için departmanlara daha güçlü destek ve rehberlik sağlamak için, özellikle bu sürecin otomasyonu açısından yapabileceğimiz ve yapmamız gereken çok daha fazlası var. Hiçbir şekilde bitmiş bir ürün değildir, hiçbir şekilde mükemmel bir ürün değildir, ancak zaten yapmaya başladığı şey, esneklik seviyelerini anlama ve nerede harekete geçebileceğimiz açısından ihtiyacımız olan sonuçları vermektir. ”
Milletvekilleri ayrıca, NAO raporunun belirttiği gibi, hükümetin siber riskin kapsamını az tahmin ettiği konusunda da endişeliydi.
Devine, Nisan 2023’te govassure tanıtımının gecikmesi ile ilgili olarak samimi oldu. Kendini değerlendirmeye güvenmekte muhtemelen gerçekçi değildik [of government departments]”Dedi.
Hükümetin, olması gerektiği kadar hızlı bir şekilde güvenceden cevabına siber güvenliğe verilen tepkiyi artırmadık … çünkü [weren’t] Tehditlere canlı olarak sahip olmamız gerektiği gibi
Vincent DevineKabine
“2010 yılında bunu tanımasına rağmen, 2016’da önemli ölçüde para yatırmaya başlamış olmasına rağmen, hükümetin güvenceden, algılama noktasına kadar, güvenceden tepkiye verdiği yanıt vermeyi geriye dönük olarak artırmadık. Neden? Çünkü tehditlere sahip olduğumuz kadar canlı olduğumuzu sanmıyorum ve muhtemelen bizim ve müttefiklerimizin son beş yıldır sahip oldukları bizim için hayata geçiren olaylara sahip olmadığımız için. Bu iyi bir cevap değil, ama gerçek cevap, ”diye ekledi Devine.
Buna çok az ekledi: “Seleflerimize zamanında geri dönmek gerçekten zor. Tüm iyi risk yönetimi gibi, riskleri bir sorun haline gelene kadar elinizden gelenin en iyisini yönetirsiniz. Bir sorun haline geldiklerinde ve yaşadıklarında ve gerçekler, cevabınızı hızlandırıyorsunuz…. Riskleri her zaman bildik, ancak gerçek, canlı bir mesele haline gelene kadar, uğraştığımız şeyin ölçeğinin netleştiği ve farklı bir yanıt türüne ihtiyacı vardı. ”
Orijinal NAO raporu, Siber Saldırıların Haziran 2024’te, güneydoğu Londra’daki NHS’ye bir patoloji hizmeti tedarikçisine yapılan bir saldırının nasıl olabileceğine bir örnek olarak, 10.152 akut poliklinik randevusu ve 1.710 seçkin prosedürleri ertelemeye yol açtı. Ayrıca, hizmetleri yeniden inşa etmek için zaten 600.000 £ maliyeti olan Ekim 2023’te İngiliz Kütüphanesi Fidye yazılımı saldırısına atıfta bulundu. Kütüphane, iyileşmeye devam ettikçe birçok kez daha fazla harcama yapmayı bekliyor. Bunlar PAC oturumunda belirtildi.
Raporda, Birleşik Krallık hükümetini siber saldırıya dayanıklı hale getirmenin en büyük riskinin bir boşluk becerisi boşluğu olduğunu buldu. Hükümetteki her üç siber güvenlik rolünden biri 2023-24 yıllarında geçici-ve daha pahalı-personel tarafından doldurulmuş veya doldurulurken, çeşitli departmanlardaki siber rollerin yarısından fazlası boştu ve uzman güvenlik mimarlarının% 70’i geçici sözleşmelerde personeldi.
Kamu Hesapları Komitesi toplantısında Little, yüklenicilere aşırı güven duyduğunu görmek üzücü olduğunu, ancak siber güvenlik hızlı akışı ve yeni bir “dijital ödeme çerçevesi” gibi girişimlerin “bir etkiye sahip olmaya başladığını” söyledi.
Powell, kamu hizmetindeki dijital teknoloji profesyonellerinin sayısının büyüdüğünü ve yaklaşık%6’dır. “İstediğimiz kadar değil. Çok teknik kaynaklarla mücadele ediyoruz ve bu bir piyasa sorunu – özel sektörde olduğu kadar kamu sektöründe de azdır ”dedi.