Kampanyayı yürütenlere göre, hükümet siber güvenlik mesleğinin etkili bir şekilde yanıt verme yeteneğini engelleyen 33 yıllık mevzuatta çok ihtiyaç duyulan reformlara karşı sıcak ve soğuk davranırken İngiliz işletmeleri yaygın siber suçların kurbanı olmaya devam ediyor. Bu haftaki Kral’ın Konuşmasında “kaçırılan fırsat”.
Yıllardır, 1990 tarihli güncelliğini yitirmiş Bilgisayar Kötüye Kullanım Yasası’nın (CMA) yeniden düzenlenmesi için çabalayan CyberUp kampanyası, yasadaki maddelerin yalnızca işlerini yaptıkları için güvenlik profesyonellerini kovuşturmak için kullanılabileceği temelinde, neredeyse sekiz milyon kişinin bilgisayar korsanı olduğunu söylüyor. Hükümetin yasayı ilk kez Mayıs 2021’de incelemeyi taahhüt etmesinden bu yana ülke genelinde dakikada altı siber suç vakası kaydedildi.
Kampanya, George VI’nın 1950’de Parlamentoyu açmasından bu yana yapılan ilk konuşma olan Kral’ın Konuşmasının reformun özünü kavramada başarısız olduğunu ve bu nedenle Birleşik Krallık kuruluşlarının risk altında kalacağını söyledi. Hükümete konuyla ilgili istişareyi sonuçlandırmak için hızlı hareket etmesi ve CMA’yı 21. toplantıya getirmesi çağrısında bulundu.st yüzyıl.
CREST UK başkanı ve CyberUp Kampanyası temsilcisi SecAlliance CEO’su Rob Dartnall şunları söyledi: “Gerçek şu ki, siber suça karşı savaşta profesyonellerimizin eli kolu güncelliğini kaybetmiş yasalarla bağlı. Elbette şimdi, hükümetin siber güvenlik mevzuatında reform yapma taahhüdünden bu yana yaklaşık sekiz milyon siber saldırının gerçekleştiği göz önüne alındığında, bunu siyasi bir öncelik haline getirmenin ve bize ülkeyi çevrimiçi tehditlerden koruyacak araçları vermenin aciliyeti olmalıdır.
“Daha zamanında yapılan reformların, işletmelerimiz ve hayır kurumlarımız için çok büyük sonuçlar doğuran bu tehditlerin önemli bir kısmının önlenmesine yardımcı olabileceği neredeyse kesin. Reform yapılmadan geçen her gün, insanları daha da hızla büyüyen tehditlerle karşı karşıya bırakıyor.”
CyberUp kampanyası ne istiyor?
Kampanyacının taleplerinin merkezinde CMA’da, nüfusun yalnızca %0,5’inin bebek internetine erişebildiği bir dönemde yürürlüğe giren, bilgisayar materyallerine izinsiz erişimi engelleyen bir madde yer alıyor.
CMA’nın Birinci Bölümü şu şekildedir: Bir kişi, (a) herhangi bir bilgisayarda tutulan herhangi bir programa veya veriye erişimi güvence altına almak veya bu tür bir erişimin sağlanması amacıyla bir bilgisayarın herhangi bir işlev gerçekleştirmesine neden olursa, suç işlemiş olur. güvenli; (b) güvence altına almayı veya güvence altına alınmasını sağlamayı amaçladığı erişimin izinsiz olması; ve (c) bilgisayarın işlevi gerçekleştirmesine neden olduğu anda durumun bu olduğunu biliyor.
CyberUp kampanyası, bunun sektör üzerinde “caydırıcı bir etkisi” olduğunu, çünkü siber güvenlik olaylarına müdahale edenleri ve etik olarak hareket eden araştırmacıları kovuşturma riskiyle karşı karşıya bıraktığını söylüyor.
Birleşik Krallık’ta, Ulusal Siber Güvenlik Merkezi (NCSC), Ulusal Suç Ajansı (NCA) ve diğer kurumlar şeklindeki kamu sektörü, ülkeyi savunmak için özel sektör siber uzmanlarıyla el ele çalışıyor, ancak hükümler CMA’nın bu kararı, çalışmalarının çoğunun kasıtsız olarak suç sayıldığı anlamına geliyor.
Kampanya tarafından 2021’de yapılan bir bilgi edinme özgürlüğü (FoI) talebinde, reforma ilişkin ön istişarelere katılanların üçte ikisinin suç sayılma konusunda endişeleri olduğu ortaya çıktı; bu da sonuçta Birleşik Krallık’ta daha az tehdit istihbaratı ve güvenlik açığı araştırması çalışması yapıldığı anlamına geliyor.
Bu, hükümetin sık sık dile getirdiği, Birleşik Krallık’ı “çevrimiçi yaşamak ve çalışmak için dünyadaki en güvenli yer” yapma hedefine aykırı gibi görünüyor ve aynı zamanda Birleşik Krallık’ı rekabet açısından dezavantajlı duruma sokuyor olabilir.
Bu yılın başlarında, hükümetin baş bilimsel danışmanı Patrick Vallance, şansölyenin 2023 Bahar Bildirisinde CMA’da reform yapma sözü vermesiyle aynı zamanda yayınlanan bir incelemede, Fransa ve ABD gibi diğer ülkelerin düzenlemelerini halihazırda güncellediklerini ve Westminster’ın da aynısını yapması gerekiyordu.
Dartnall, “Reforma tabi tutulacak bir yasa, ülkemizi tehlikeli bir şekilde açığa çıkaran mevcut mevzuattan rahatsız olan Birleşik Krallık siber güvenlik sektörünün tüm potansiyelini ortaya çıkaracaktır” dedi.
“Hükümeti reforma yönelik sonraki adımlar için net bir zaman çizelgesi hazırlamaya çağırıyoruz; bu, sektörün profesyonel güvenlik önlemlerine verdiği desteği olumlu bir şekilde yansıtıyor. Güvenlik ortamımızın geleceği giderek belirsizleşirken, siber profesyonellerimizin düşman tehdit aktörlerinin ve siber suçluların önünde kalabilmeleri için gerekli araçlarla donatıldığından emin olmalıyız.”
Kampanyanın destekçileri arasında, eski ulusal siber güvenlik danışmanı Pauline Neville-Jones, internet girişimcisi Martha Lane-Fox ve Postane Horizon’da mağdur edilen alt postane müdürlerinin sesli bir destekçisi olan James Arbuthnot da dahil olmak üzere çok sayıda parlamenter yer alıyor. skandal. Parlamentoda milletvekillerine ve milletvekillerine Birleşik Krallık’ın gelecekteki büyümesini, üretkenliğini ve başarısını güvence altına almak ve destek tabanını genişletmek için yasaların neden güncellenmesi gerektiğini vurgulamak için bir katılımlı etkinliğe ev sahipliği yapmayı planlıyor.
Siber gündem ilerliyor
Siber güvenlikle ilgili diğer alanlarda, Birleşik Krallık’ın Avrupa Birliği (AB) Genel Verilerini uygulama şeklini değiştirecek olan güncellenmiş Veri Koruma ve Dijital Bilgi (DPDI) Yasa Tasarısı ile Kral’ın Konuşması gündemde bir miktar ilerleme kaydetti. Koruma Yönetmeliği (GDPR) ve Kanun Uygulama Direktifi (LED), her ikisi de Brexit sonrasında Birleşik Krallık yasalarına aktarılmıştır.
DPDI Tasarısı, bunun Birleşik Krallık’ı AB vatandaşlarının veri haklarını baltalayan bir “sızdıran vanaya” dönüştüreceğinden ve Birleşik Krallık’ın veri yeterliliği düzenlemesini riske atabileceğinden korkan gizlilik kampanyacılarının ve siber uzmanların öfkesini çekti.
“Veri Koruma ve Dijital Bilgi (No. 2) Kanun Tasarısının bir sonraki parlamento oturumuna taşınmış ve yasa tasarısında dile getirilmiş olması Kral‘S KonuşmaBir hukuk firması olan Ashurst’ün ortağı ve Birleşik Krallık veri gizliliği ve siber güvenlik başkanı Rhiannon Webster, “Veri koruma reformunun mevcut hükümet için yasal bir öncelik olmaya devam ettiğinin sinyalini veriyor” dedi.
“Tasarı zaten meclis onay sürecinin ortasında olduğundan, kuruluşların bir sonraki genel seçimlerden önce yasanın kanun kitabında yer alması için hazırlanmaları gerekiyor ve bürokrasi ve uyum yüklerini azaltmayı amaçlayan değişiklikler görmeyi bekleyebilirler” dedi. .
Risk yönetimi uzmanı SecurityScorecard’ın üst düzey hükümet işleri direktörü Dan Morgan, İngiltere’nin siber çerçevesini güçlendirmesi için “zorunlu bir ihtiyaç” olduğunu söyledi.
“Dijital Piyasalar, Rekabet ve Tüketiciler Yasası ve Veri Koruma ve Dijital Bilgi Yasası da dahil olmak üzere yedi önemli yasa tasarısının bu oturumda kabul edilmesi beklenen Birleşik Krallık, büyümeyi teşvik etmek ve rekabeti yoğunlaştırmak için düzenlemeleri yenilemeyi amaçlıyor. Bu olumlu ve ilerici bir gündem ama siber güvenliğe yönelik bir mevzuat planı yok” dedi.
Morgan, NIS2 ve Siber Dayanıklılık Yasası (CRA) gibi direktifler aracılığıyla AB’de alınan daha proaktif bir duruşun aksine, NCSC’nin tüm çabalarına ve devam eden projelere rağmen Birleşik Krallık’ta uyumlu bir yasama muadilinin bulunmadığını söyledi. Birleşik Krallık’ın kritik ulusal altyapısının (CNI) siber dayanıklılığına ilişkin Bilim ve Teknoloji Seçme Komitesi araştırması.
“SecurityScorecard bu fırsatı kullanarak komiteyi kapsamlı yasama eylemini savunmaya teşvik ediyor. SecurityScorecard için standartlaştırılmış siber risk ölçümlerinin yokluğu, farklı sektörler ve ülkeler arasında önemli ölçüde farklılık gösteren düzenleme ve standartlarla birlikte güvenlik güveni açığının devam etmesine neden oldu” dedi Morgan.
“Bu tutarsızlık, güvenlik önlemlerinde yama çalışmasına yol açarak kritik altyapıları siber tehditlere açık hale getirdi. Şirket ayrıca, sürekli gelişen tehditler karşısında anlık siber risk değerlendirmelerinin yetersiz olduğunu da belirtiyor. Kritik altyapı sektörü ve devlet kurumlarında görünürlüğü artırmak için siber risk derecelendirmelerinin benimsenmesini savunuyorlar.”