Keir Starmer’ın İşçi Partisi hükümeti, İngiltere’nin siber savunmasını güçlendirmek ve dijital hizmetlerin sürekliliğini ve korumasını sağlamak amacıyla yeni parlamento döneminde Siber Güvenlik ve Dayanıklılık Yasa Tasarısı’nı gündeme getirecek. Yasa tasarısının temel taşlarından biri de zorunlu fidye yazılımlarına ilişkin bir düzenleme olacak.
Kral’ın Parlamento’nun resmi açılışında yaptığı konuşmada gündeme getirilen birçok potansiyel yeni yasa tasarısından biri olan yasa tasarısı, İngiltere’deki şirketlerin giderek daha fazla finansal amaçlı siber suçlular ve devlet aktörleri tarafından saldırıya uğradığını, büyük ve küçük tüm kuruluşların sıklıkla hedef alındığını kabul ediyor.
Hükümet, mevcut siber yasaların, artık Brüksel tarafından geçersiz kılınan Avrupa Birliği’nden (AB) devralınan yasaları yansıttığını ve bu nedenle uyum sağlamak için acilen güncellenmesi gerektiğini söyledi.
Hükümet, özellikle temel hizmetler ve kritik ulusal altyapının (CNI) düşman aktörlere karşı savunmasız olduğunu, bunun da son birkaç yılda NHS tedarikçilerini ve vakıflarını, Savunma Bakanlığı’nı, İngiliz Kütüphanesi’ni, Seçim Komisyonu’nu, Royal Mail’i ve sayısız başka kurumu etkileyen çok sayıda siber saldırıdan anlaşıldığını belirtti.
Bu bağlamda, Tasarı iki temel hedef içeriyor: Mevcut düzenlemelerin kapsamını genişletmek ve dijital hizmetleri ve tedarik zincirlerini koruma konusunda düzenleyicilere daha sağlam bir zemin sağlamak ve siber tehditler hakkında daha iyi bir resim oluşturmaya yardımcı olmak için raporlama gerekliliklerini iyileştirmek.
Hükümet, gelecekte daha fazla sayıda düzenleyici kurumun, kaynak sağlamak için maliyet kurtarma mekanizmaları ve BT sistemlerindeki güvenlik açıklarını proaktif olarak araştırma yeteneği de dahil olmak üzere daha fazla yetkiye sahip olabileceğini söyledi.
Bu arada, zorunlu olay raporlamasının hükümetin siber saldırılar hakkında daha iyi veri toplamasına, Birleşik Krallık’ın karşı karşıya olduğu tehditlere ilişkin ulusal anlayışı geliştirmesine ve düzenlenen bir kuruluş tarafından bildirilmesi gereken olayların türünü ve doğasını genişleterek kuruluşları ve bireyleri olası saldırılara karşı uyarmasına yardımcı olacağı belirtildi. Bu, doğal olarak fidye yazılımı saldırılarını da kapsayacaktır.
Fidye yazılımı raporlaması
Hükümetin hedeflerinden birinin AB ile aynı çizgide kalmak olduğu göz önüne alındığında (özellikle de 17 Ekim 2024’te yeni nesil Ağ ve Bilgi Güvenliği Direktifi’nin (NIS2) yürürlüğe girmesine hazırlanma aşamasında), fidye yazılımı bildirimini zorunlu kılma hedefinde başarılı olursa, Birleşik Krallık bazı açılardan Avrupa’nın önüne geçecek. Bu nokta, Ashurst hukuk firmasındaki risk uzmanları tarafından da belirtildi.
Ashurst Risk Advisory ortağı Matt Worsfold şunları söyledi: “Önerilen yasa tasarısı belirtildiği gibi yürürlüğe girerse, fidye yazılımı saldırılarına ilişkin istatistiklerin zorunlu raporlamayla karşı karşıya kaldığında nasıl sıçrayacağını görmek çarpıcı olacak. Zira bugüne kadar yaygın olarak kabul gören görüş, mevcut istatistiklerin gerçeği yansıtmadığı yönünde.”
Güçlü taahhüt
Royal United Services Institute (RUSI) düşünce kuruluşunda siber araştırma görevlisi olan Louise Marie Hurel, yasa tasarısının hükümetin sibere olan bağlılığının güçlü bir göstergesi olduğunu ve İşçi Partisi bildirgesinde siber saldırılara yapılan tek bir atıfla güçlü bir tezat oluşturduğunu söyledi. Siber güvenliğin bir niş konunun çok ötesinde olduğunu, aslında artık “hükümetin stratejisinin bir dizi alanda sürdürülebilirliğini sağlamaya yönelik” hale geldiğini savundu.
Hurel, “Önerilen yasa tasarısının metni üzerinde hala sınırlı bir görünürlük olsa da, belgenin etkili olabilmesi için herhangi bir raporlama gereksiniminin uygulanabilir olması ve farklı büyüklükteki endüstrilerle diyalog halinde yapılması gerekiyor” dedi.
“Bu, yenilik ve mevcut veriler ile siber olay raporlama gerekliliklerine ilişkin güncellemeler arasında ince bir denge gerektirecektir. Ancak, yasa tasarısının, gelişmiş ulusal siber dayanıklılığın sağlanmasına yönelik bir bağlılığın göstergesi olmasına rağmen, siber tehditlere karşı önleme ve yanıtları etkili bir şekilde entegre eden bir vizyonun parçası olması gerekiyor.
“Önümüzdeki aylar, İşçi Partisi hükümetinin, manifestoda çevrimiçi dolandırıcılığa değinmesi ve devlet bağlantılı siber tehditlere yanıt vermesi kapsamında, İngiltere’nin siber suçlarla -özellikle de fidye yazılımlarıyla- mücadele kapasitesini nasıl artırmaya çalışacağını gösterecek; bu, yaklaşan savunma incelemesinde de yer almalı.”
Illumio’nun kritik altyapı yöneticisi Trevor Dearing, hükümetin planlarını öven birçok güvenlik liderinden biriydi ancak bunu bir uyarıyla yumuşattı.
“Düzenleyiciler ve raporlama için artırılmış yetkiler, siber dayanıklılığın oluşturulması için kritik öneme sahip olacak,” dedi. “Ancak, düzenleme yalnızca kamu kurumları için ek fonlama ile birlikte yapılırsa başarılı olacaktır, aksi takdirde olacak tek şey düzenlemelerin uygulanması maliyet açısından engelleyici olan gerçekçi olmayan bir hedef yaratmasıdır.
“Üçüncü taraf sağlayıcıların hükümet departmanlarının can damarını oluşturması göz önüne alındığında, tedarik zinciri güvenliğine güçlü bir vurgu görmemiz de önemlidir. Siber suçlular daha değerli sistemlere erişmek için her zaman zincirdeki en zayıf halkanın peşine düşecektir, bu nedenle tedarikçilerden bir ihlalin kaçınılmaz olduğunu kabul etmeli ve riski buna göre azaltmalıyız. Güvenliğe risk tabanlı bir yaklaşım, bunu başarmanın anahtarıdır ve en çok tehdit altındaki hizmetlerin en fazla kaynağa sahip olmasını sağlar.”
Siber istek listesi
Diğerleri ise hükümetin daha ileri gitmeye cesaret etmesini dilediklerini söyledi. Güvenli veri depolama konusunda uzman olan Flexxon’un CEO’su Camellia Chan, siber suçla mücadeleye ve özellikle NHS’nin güvenliğini sağlamaya daha fazla vurgu yapılmasını istediğini söyledi.
Chan, “Ulusal sağlık hizmetlerinden küçük hastanelere ve eczanelere kadar sağlık hizmeti, verileri gasp etmek ve maddi tazminat talep etmek isteyen suçlular için altın madeni. Ancak bu tür saldırıların sonuçları maddi kayıpların çok ötesine uzanabilir ve doğrudan hasta bakımını etkileyebilir” dedi.
“Bu, hayati önem taşıyan ilaçların alınmasında gecikmelere, tıbbi sonuçların bulunamamasına ve tesislerin kapanmasına yol açabilir ve bunların hepsi ölümcül olabilir. NHS’de fidye yazılımı saldırıları randevuların iptal edilmesine ve binlerce hastanın tedavisinin gecikmesine yol açtı. NHS ve hükümet de dahil olmak üzere sağlık kuruluşlarının harekete geçip en son siber yeniliklere yatırım yaparak sözlerini eyleme dökmelerinin zamanı geldi.”
Bu arada, uzun süredir devam eden CyberUp kampanyasının temsilcisi olarak konuşan NCC’den Matt Hull, 1990 tarihli ve güncelliğini yitirmiş Bilgisayar Kötüye Kullanımı Yasası’nın acilen reform edilmesini istiyor. Bu yasa, mevcut haliyle meşru tehdit araştırmalarını cezai yaptırımlarla cezalandırma riski taşıyor. Grubun yeni parlamentoda baskı yapmaya devam edeceğini söyledi.
Hull, “Bugün Siber Güvenlik ve Dayanıklılık Yasa Tasarısı’nın sunulması, Birleşik Krallık’ı artan siber saldırılardan korumak için kilit öneme sahip olacak. Siber suç geçen yıl neredeyse üçte bir oranında artarken, hükümetin siber yasalarımızda güncellemelere öncelik verdiğini görmek yüreklendirici,” dedi.
“Ülkenin siber dayanıklılığını artırmanın daha ileri yolları konusunda hükümetle birlikte çalışmayı, özellikle de güncelliğini yitirmiş 1990 Bilgisayar Kötüye Kullanımı Yasası’yla mücadele çabalarını dört gözle bekliyoruz.
“Yasanın güncellenmesi, İngiltere’deki siber profesyonellerin İngiltere’yi çevrimiçi ortamda daha iyi korumasını, dijital ekonomiyi güvence altına almasını ve siber güvenlik sektörümüzün tam büyüme potansiyelinin kilidini açmasını sağlayacak” diye ekledi.