Coğrafi Odak: Birleşik Krallık, Jeo-Özel, Hükümet
Uzmanlar Seyahatin Aciliyetini ve Yönünü, Soru Finansmanını ve Yaptırımları Selamlıyor
Mathew J. Schwartz (euroinfosec) •
8 Ocak 2026
Birleşik Krallık, “dijital dayanıklılığımızdaki tekrarlanan, sistemik başarısızlıklara” dikkat çeken bir stratejiyle hükümet sistemlerini ve altyapısını güvence altına almaya yönelik planların yeniden yapılması çağrısında bulunuyor.
Ayrıca bakınız: Birleşik Krallık Kamu Sektöründe ve Eğitimde Fidye Yazılımını Önlemeye Yönelik 3 Temel Strateji
Salı günü Parlamento’ya sunulan Hükümetin Siber Eylem Planı, o zamanki Muhafazakar hükümet tarafından 2022’de uygulamaya konulan ve 2030’a kadar sürmesi planlanan mevcut stratejinin erken bir yenilemesidir. Aynı şey, hükümetin bu baharda yenilemeyi planladığı 2022 Ulusal Siber Stratejisi için de geçerlidir.
Bu tür çabalara öncülük eden Bilim, Yenilik ve Teknoloji Bakanlığı devlet bakanı Ian Murray, Salı günü Başbakan Keir Starmer’ın hükümeti tarafından tanıtılan yenilenen hükümet siber eylem planının daha modern, dijital hükümet hizmetleri oluşturmak için zorunlu olduğunu söyledi. Yeni planın “hükümetin açık hesap verebilirlik, zorunlu gereklilikler ve kapsamlı merkezi destek ile nasıl proaktif, risk odaklı eylemlerde bulunacağını ortaya koyduğunu” söyledi.
Daha iyisini yapma aciliyeti, kritik altyapılara yönelik yıllarca süren zarar verici siber saldırılardan ve yaşlanan hükümet sistemlerinin saldırılara açık olduğuna dair tekrarlanan uyarılardan sonra ortaya çıkıyor. 2024’te kamu-özel ortaklığı Synnovis’e yapılan fidye yazılımı saldırısı, Londra genelinde ameliyat iptallerine ve ülke çapında O tipi kan için kritik uyarı eksikliğine yol açtı. Fidye yazılımı olayları yerel konseylerin sosyal bakım sunamamasına neden oldu. İngiltere Merkez Bankası Kasım ayında ekonomik büyümedeki düşüşü kısmen 2025 sonbaharında otomobil üreticisi Jaguar Land Rover’a yapılan saldırıya bağladı.
Yeni plan, dört stratejik hedefin aşamalı olarak uygulanmasına odaklanıyor: Siber güvenlik ve direnç risklerine ilişkin daha iyi görünürlük elde etmek, en karmaşık ve ciddi riskleri ele almak, hızlı gelişen olaylarla daha hızlı başa çıkmak ve hükümetin kendi siber direncini hızla artırmak.
Hükümet ayrıca Bilim, Yenilik ve Teknoloji Dairesi bünyesinde hükümetin CISO’su Bella Powell liderliğinde yeni bir siber birimin kurulduğunu da duyurdu. Yeni birim, eylem planını ileriye taşımak ve devlet kurumlarını desteklemek için dört yıl boyunca 282 milyon dolar finansman alacak.
Hükümetin siber uygulama başkanı Alex Harris, planın erken yenilenmesinin itici güçlerinden biri olarak “kendimizi içinde bulduğumuz çok daha şiddetli tehdit ve dayanıklılık bağlamının” neden olduğu “ciddi zorluğu” gösterdi.
Uzmanlar, hükümetin önceki yaklaşımları yinelediğini söyledi. DSIT Siber Dayanıklılık Uzmanı Danışma Grubu üyesi Jen Ellis, “Bu, istedikleri şey açısından yeni değil, daha ziyade mevcut yaklaşımın işe yaramadığının kabulü ve yeni, daha fazla desteklenen bir yaklaşıma bağlılık anlamına geliyor” dedi.
“Ne olduğundan çok, nasıl olduğu önemli” dedi.
Bunun gerçekleşmesine yardımcı olmak için gereken siber güvenlik uzmanlığını daha iyi geliştirmek ve işe almak için hükümet, 50 farklı güvenlik rolündeki profesyonelleri işe almayı, eğitmeyi ve elde tutmayı amaçlayan yeni bir Devlet Siber Mesleğinin başlatıldığını duyurdu.
Ocak 2025’te yayınlanan bir Ulusal Denetim Ofisi raporu, hükümetin siber iyileştirme cephesindeki yavaş ilerlemesinin, onu hem ulus devlet hem de siber suç gruplarının oluşturduğu artan tehdit nedeniyle ciddi risk altında bıraktığı konusunda uyardı.
Yüzlerce eski sistem hâlâ kullanımdayken (hükümetin BT varlığının neredeyse üçte birini oluştururken) denetim ofisi ayrıca “departmanların bu savunmasız sistemlerin yarısı için tam olarak finanse edilen iyileştirme planlarının bulunmadığı” konusunda uyardı; bu da hükümetin birçok kritik işlevi gerekli siber direnç yetenekleriyle desteklemesine olanak tanıyamadı.
Royal United Services Institute adlı düşünce kuruluşundan kıdemli araştırma görevlisi Jamie MacColl, hükümetin yeni eylem planının açıklanmasının denetim ofisinin bulgularına kısmi bir tepki ve mevcut çabaların yeterli olmadığının kabulü olarak okunduğunu söyledi.
MacColl, “Hem hükümetin siber güvenliğinin durumu hem de bir bütün olarak ülke açısından kesinlikle daha acil bir durum olduğunu düşünüyorum. Ancak, gerçekten fark yaratabilecek türden önlemlerin, mekanizmaların ve finansmanın uygulamaya konduğu konusunda biraz şüpheliyim” dedi.
Finansman sorunu (hem yeterli olup olmadığı, hem de en iyi avantaja göre kullanılması) büyük önem taşıyor. Çarşamba günü bir parlamento komitesi, Adalet Bakanlığı’nı ve Adli Yardım Kurumu’nu, Aralık 2024’te gerçekleşen ve kurumun ilk müdahaleden dört ay sonra tespit ettiği “adli yardım başvuru sahiplerinin ve sağlayıcılarının kişisel verilerinin önemli bir kısmını tehlikeye atan” bir saldırı nedeniyle eleştirdi. Komite, sistemlerin devre dışı bırakılmasına ve adli yardım avukatlarının ücretsiz çalışmak zorunda kalmasına neden olan saldırının, bakanlığın eski adli yardım BT sistemlerini güncellemek için halihazırda 67 milyon dolardan fazla harcama yapmış olmasına rağmen başarılı olduğunu söyledi.
Hükümet, Kendini İyileştir
Siber eylem planının açıklanması, hükümetin Siber Güvenlik ve Dayanıklılık Yasası’nın ikinci okunmasından bir gün önce gerçekleşti. Taslak mevzuat, özel sektörün geniş bir kesiminde olay raporlama ve tedarik zinciri güvenlik açığı yönetimi konusunda daha katı kurallar uygulayacak.
Tasarı, merkezi hükümeti kapsanan kritik altyapı sektörü olarak kapsamıyor. Uzmanlar, yeni eylem planının zamanlamasının Westminster’ın daha iyisini yapma ihtiyacının ötesinde öz farkındalığını göstermesi gibi göründüğünü söyledi.
İngiliz hükümeti, AB’nin Ağ ve Bilgi Güvenliği Direktifi 2’nin izinden gitmedi. Bu, çok sayıda siber güvenlik uygulamasını zorunlu kılıyor, ayrıca daha iyi risk yönetimi, raporlama gereklilikleri ve bilgi paylaşımını zorunlu hale getiriyor ve bunu yapmama durumunda ciddi para cezaları tehdidiyle destekleniyor. NIS2’ye uyması gereken 18 sektör arasında AB’nin merkezi hükümetleri de yer alıyor.
MacColl’un yeni siber eylem planına ilişkin analizi, hesap verebilirlik cephesi de dahil olmak üzere bazı açılardan ileriye doğru atılmış iyi bir adım olduğunu, ancak gerekli finansman veya gerekli uygulama düzeylerinden yoksun olduğunu gösteriyor. “Çoğu iyi, çoğu bana mantıklı geliyor, ancak temelde mevzuat ve düzenlemelerin sahip olacağı türden yaptırım mekanizmalarının yerini almıyor” dedi.
Siber Güvenlik ve Dayanıklılık Yasası, özel kuruluşların siber güvenlik ve dayanıklılık temellerini karşılamasını talep ediyor ve bunu yapmamaları halinde para cezası tehdidiyle destekleniyor.
MacColl, “CSRB kapsamına giren birçok özel sektör kuruluşundan duyduğunuz eleştiri, bize, yani özel sektöre, siber güvenliğe çok daha fazla para harcamasını söylediğiniz, ancak hükümeti aynı standartta tutmadığınızdır; bence bu makul bir eleştiridir” dedi.