İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), açıklama veya duyuru olmadan avukatlara, avukatlara ve hukuk firmalarına sağlanan ayrıntılı kamu bilgisayar güvenlik rehberliğini gizlice sansürledi.
Rehberlik, bir web sayfası ve “avukatlar, avukatlar ve hukuk uzmanları için siber güvenlik ipuçları” adlı yedi sayfalık bir PDF raporu, iki hafta önce 24 Şubat’ta merkezin halka açık web sitesinden çıkarıldı.
NCSC, CW’den gelen sorulara cevap vermeyi reddetti, silinen web sayfasının ve kitapçıkların ulusal arşivler tarafından otomatik olarak arşivlendiğini ve bunların hepsinin hala çevrimiçi olduğunu bilip gelmediğini sordu.
NCSC web sitesinde, yasal tavsiye web sayfası talepleri artık aynı sitedeki yanlış bir sayfaya yönlendiriliyor. Silinen kitapçık bağlantısı, “404” HTTP bulanamadı “Üzgünüm – aradığınız sayfa burada değil” diyen hata sayfası döndürür. NCSC için utanç verici bir şekilde, bulunamayan hata sayfası, ulusal arşivin kaldırılan dosyanın sürümlerini arşivlemiş olabileceğini düşündürmektedir. Öyle.
“Siber suçlular kime saldırdıkları konusunda telaşlı değil”, sansürlü NCSC kitapçığı, “her büyüklükteki hukuk uygulamalarının risk altında olduğu anlamına geliyor” diye uyardı. Kitapçık, avukat ve hukuk firmalarının “siber saldırının kurbanı olma olasılığını azaltmalarına yardımcı olmak için” 37 adım listeliyor.
Kitapçık, İngiltere hukuk sektörü için özel bir 2023 NSCS siber tehdit raporunun ardından 11 Ekim 2024’te yayınlandı. Baro Konseyi’nin yardımıyla yayınlanan siber tehdit raporu, 2020 yılına kadar İngiltere hukuk firmalarının dörtte üçünün siber saldırılar bildirdiğini belirtti.
Baroya göre, “İngiltere ve Galler’deki avukatlar, dünyanın dört bir yanından devlet ve devlet dışı aktörlerin ellerinde tehdit, taciz ve gözdağı ile karşı karşıya. Baro Konseyi, uluslararası yasal çalışmaları nedeniyle farklı saldırı ve tehdit biçimleriyle karşılaşan üyelerin artan raporları ile ilgilidir. ”
Baro Konseyine bildirilen hedeflenen saldırılar, siber gözetim, tehdit veya taklit etme e -postaları da dahil olmak üzere siber taciz, tekrarlanan ve sürekli hackleme girişimleri, ölüm tehditleri ve tecavüz tehditleri, e -posta veya sosyal medya yoluyla aile üyelerine yönelik tehditleri, duyarlı bilgileri hedefleyenleri ikna etmeye çalışan ‘ayrıcalık kimlik avı’ içermektedir.
“Bu tehditler sadece hukuk mesleğine bir saldırı değil, aynı zamanda adalete erişim ve hukukun üstünlüğü üzerinde ürpertici bir etkisi var” dedi.
‘Siyasi Sansür’
NCSC’nin avukatlara tavsiyesi, bar konseyinden gelen bu ciddi uyarılardan bir ay sonra ve Apple’ın bir Birleşik Krallık ev ofisinin “teknik yetenek bildirimi” (TCN), yüksek güvenlikli uçtan uca şifreli “önceden veri koruma” (ADP) sistemini devre dışı bırakmayı reddettiğini belirtti. ADP sistemi, kullanıcıların iCloud dosyalarının yalnızca cihazlarda depolanmasına neden olur, bu nedenle dış saldırganlardan gelen yasal veriler için güvenliği artırır.
Siber güvenlik uzmanı Dr Ian Brown’a göre, “Bu beceriksiz ev ofisi siyasi sansür gibi görünüyor”. “GCHQ’nun bu tür siyasallaştırılması [which runs NCSC] koruyucu güvenliğin gözetim için tabi olma riski nedeniyle güvenlik için bir tehlike ”dedi. Brown ve diğer güvenlik uzmanları, NCSC kurulduğunda, çatışma ve utançtan kaçınmak için GCHQ’dan ayrı olarak yürütülmesi gerektiğinde uyardı.
Cambridge Üniversitesi İletişim Sistemleri Profesörü John Crowcroft, Apple’a karşı hareket hakkında yorum yapıyor, “İngiltere şimdi daha zayıf bir koruma durumunda. Kötü adamlara olan cazibe, burada diğer ülkelerin üzerinde büyük ölçüde arttırılıyor… Hükümetimiz bize bir hedef çizdi ve açıkça günlük ticaret ve söylemden başka bir şeyle uğraşmayan tüm “ABD” üzerine. ”
NCSC, şifrelemeye referansları bırakır
İngiltere’nin NCSC tarafından önerdiği zayıf pozisyon, izole edilmiş ve belirsiz bir belge hariç, şimdi uçtan uca şifreleme kritik ihtiyacını ifade edemiyor. Avukatların artık bağlantılı olduğu yanlış sayfa şifrelemeye hiç değinmemektedir.
Buna karşılık ve birden fazla yüksek değerli hedefe karşı şüpheli Çin LED saldırılarının saldırısı karşısında, ABD eşdeğer siber savunma ajansı CISA, son zamanlarda “yüksek hedefli bireyler [should] Sağlanan en iyi uygulamaları derhal gözden geçirin ve uygulayın… uçtan uca şifrelemenin tutarlı kullanımı dahil. ”
CISA’nın tavsiyesi, “Yüksek hedefli bireyler, hükümet ve kişisel cihazlar da dahil olmak üzere mobil cihazlar arasındaki tüm iletişimin ve internet hizmetlerinin müdahale veya manipülasyon riski altında olduğunu varsaymalıdır” diyor.
NCSC bu hafta CW’den gelen soruları cevaplamayı reddetti ve soruşturmaları da yanıt vermeyi reddeden ev ofisine yönlendirdi. Hala cevaplanmamış sorular, yayından kaldırmayı kimin sipariş ettiğini, neden ve ortak yasal kuruluşların kurcalamadan önce bilgilendirilmediğini veya danışılmadığını içeriyordu. NCSC ayrıca, şimdi hükümet arşiv kopyalarının silinmesini ve bir “bellek deliğine” gönderilmesini isteyip istemediğini söylemeyi reddetti – Orwell’in 1984’teki Hakikat Bakanlığı tarafından benimsenen tekniğe referans; veya sansürlü sayfaları geri koyup bırakmayacakları.
Gizli yayından kaldırılana kadar, NCSC kitapçığı avukatlara “şifrelemeyi açma” talimatını içeriyordu.
“Pencerelerinizde veya Apple cihazlarınızda bulunan ücretsiz şifreleme ürünlerini açın, böylece cihazınız kaybolursa veya çalınırsa siber saldırganlar hassas verilerinize erişemez. Mobil cihazınızda şifreleme etkin olduğundan emin olun (bu, modern Android/Apple cihazlarında otomatik olarak yapılır) ”.
İOS cihazları için, kullanıcılara iCloud için gelişmiş veri korumasını etkinleştirmeleri söylendi. Bu tavsiye, Apple’ın ev ofisi bildirimine tepkisi nedeniyle İngiliz kullanıcıları için imkansız hale gelmişti. Kitapçıktaki diğer tüm siber güvenlik rehberliği geçerli kaldı
Ulusal Güvenlik Bildirimleri hakkındaki yeni endişeler
Apple ve İçişleri Bakanlığı arasındaki artan sıra, “ulusal güvenlik bildirimleri” yayınlayarak telekomünikasyon şirketlerine kontrol uygulamak için geniş kapsamlı güçlerin kullanımı ile ilgili daha ciddi endişeleri de temizlemiştir.
Ulusal güvenlik bildirimlerinin belirsiz şartları, telekomünikasyon operatörlerinin “Dışişleri Bakanı’nın ulusal güvenlik yararına gerekli olduğunu düşündüğü belirli adımları atmasını gerektirir.
Parlamento, bu gücün sadece müdahale düzenlemeleri gibi teknik tesislere uygulandığına inanmaya yönlendirildi. Birden fazla endüstri kaynakları, 2016 yılından bu yana NSN’lerin, Apple da dahil olmak üzere telekomünikasyon şirket kurullarının, tüm üyeleri ve personeli ve işe aldıkları avukatların gelişmiş veteriner (DV) çekleri için onaylanması gerektiğini gizli ev ofisi kontrollü ve seçilmiş iç ulusal güvenlik komiteleri için devredmesini gerektirdiğini söylüyor. Düzenleme, şirketlerin ve mühendislik personelinin artık bildikleri güvenlik ihlallerini uygulamak için sipariş edilebileceği anlamına geliyor.
Gelişmiş veterinerin kötüye kullanılması
Kötü şöhretli bir şekilde, 2016 Soruşturma Güçleri Yasası yürürlüğe girdikten sonra, İçişleri Bakanlığı ve istihbarat teşkilatları, yeni atanan soruşturma yetkileri komiseri Lord Justice Adrian Fulford’un seçilen soruşturma başkanlarını atamaktan, gözetim hukuku eğitimi alanında öğretim görevlisi olan gelişmiş veterinerlik sürecini kullandılar.
Başlangıçta bir veteriner ofisler tarafından onaylanmasına rağmen, Kind, Güvenlik Servisi MI5’in müdahalesinden sonra DV güvenlik izni reddedildiği söylendi.
Daha önce bildirildiği gibi, Apple şimdi ADP talimatına karşı soruşturma yetkileri mahkemesine itiraz etti. IPT’nin on bir üyesi hakim olarak görev yapan kıdemli avukatlardır.
Kontrol ettikten sonra, Baro Konseyi Computer Weekly’ye “bu belgenin NCSC tarafından yayından kaldırılmasından haberdar edilmediğini söyledi. NCSC ile iletişime geçeceğiz ve belgenin durumu ve kaldırılması hakkında sorular soracağız. ”
Bir bar avukatı sözcüsü, konseyin kaldırılan sayfanın ulusal bir arşiv kopyasına bağlanmayı düşüneceğini ve “BT panelimizle konuştuktan ve NCSC ile yükselttikten sonra” belgeleyeceğini ekledi.