Birleşik Krallık’taki kritik bir ulusal altyapı (CNI) hedefine karşı her an gerçekten yıkıcı bir fidye yazılımı saldırısının meydana gelme riski yüksek; Westminster’da böyle bir olay için planlama eksikliği, tüm ülkenin esasen “rehin” tutulduğu anlamına geliyor. Ulusal Güvenlik Stratejisi Ortak Komitesi uyardı.
Raporda Şansın rehinesi: fidye yazılımı ve Birleşik Krallık ulusal güvenliğiYapımı 12 ayı aşkın süredir Parlamentonun her iki kanadını da kapsayan komite, hükümetin ve Ulusal Siber Güvenlik Merkezi’nin (NCSC) siber dirençlilik konusunda yaptığı sağlam çalışmalara rağmen, Birleşik Krallık’taki CNI’nin “büyük bir kısmının” Başta sağlık hizmetleri ve yerel yönetim olmak üzere pek çok operasyonun eski BT sistemlerine dayanması nedeniyle son derece savunmasız durumda kaldı. Raporda ayrıca tedarik zincirlerinin özellikle savunmasız olduğu ve bunları CNI’nin “yumuşak karnı” olarak tanımladığı belirtildi.
Bunun sonucunda koordineli ve hedefe yönelik bir fidye yazılımı saldırısı, Birleşik Krallık’ın kamu hizmetleri altyapısının büyük bir bölümünü çökertebilir ve milyonlarca insanın ekonomisine ve günlük yaşamına ciddi zararlar verebilir.
Ocak ve Şubat 2023’te Royal Mail’e yapılan ve hizmetleri haftalarca felç eden kötü şöhretli LockBit saldırısı da dahil olmak üzere Britanya’nın kamu hizmetlerinin süregelen savunmasızlığını ortaya koyan bir dizi yakın tarihli saldırıya değindi; 2020’nin başlarında Redcar ve Cleveland İlçe Meclisi gibi yerel yetkililere, aynı yılın sonlarında Londra Hackney İlçesi’ne yönelik saldırılar; ve 2022’de tıbbi yazılım tedarikçisi Advanced Software’de meydana gelen ve NHS’yi kasıp kavuran olay.
“Hükümetin her an yıkıcı bir fidye yazılımı saldırısıyla karşı karşıya kalması ve planlamasının eksik bulunması riski yüksek. Raporda, eğer Birleşik Krallık’ın servetin rehinesi olmaktan kaçınmak istiyorsa, fidye yazılımının daha acil bir siyasi öncelik haline gelmesi ve Birleşik Krallık’ın ulusal güvenliğine yönelik bu zararlı tehdidin üstesinden gelmeye daha fazla kaynağın ayrılması hayati önem taşıyor” denildi.
“2020 yılında bu komite, hükümetin Kovid-19 salgınına yönelik hazırlıklarını inceledi ve bunun bize, etkisi yüksek, bilinen bir riske nasıl hazırlanacağımız konusunda neler öğretebileceğini değerlendirdi. Böyle bir senaryonun gerçekleşme ihtimalinin arttığını bilmemize rağmen hükümetin pandemiye yeterince hazırlanmadığını gördük.
“Hükümet aynı hatayı tekrar yapma riskiyle karşı karşıya: Büyük bir fidye yazılımı saldırısı olasılığının yüksek olduğunu biliyor, ancak daha sonra yıkıcı maliyetleri önlemek için yeterli yatırımı yapmıyor. Büyük bir kriz yaşandığında bu yaklaşımın hiçbir mazereti olmayacak ve haklı olarak stratejik bir başarısızlık olarak görülecektir.”
Komite, eski içişleri bakanı Suella Braverman’ın konuyla “hiç ilgi göstermediğini” ve bunun yerine yasadışı göç gibi konulara öncelik vermeyi tercih ettiğini söyleyerek, fidye yazılımlarının ulusal güvenlik riski ve politika sorunu olarak öne çıkmasına neden olan İçişleri Bakanlığı için özellikle sert sözler kullandı. ve küçük tekneler. Fidye yazılımının sorumluluğunun NCSC ve Ulusal Suç Ajansı (NCA) ile birlikte çalışan ve sonuçta şu anda başbakan yardımcısı olan Oliver Dowden tarafından denetlenen Kabine Ofisine devredilmesi çağrısında bulunuldu.
Komitenin kanıt toplama çalışmasına kapsamlı katkıda bulunan bir düşünce kuruluşu olan Royal United Services Institute (RUSI)’de siber güvenlik araştırma görevlisi olan Jamie MacColl şunları söyledi: fidye yazılımı. Her ne kadar Birleşik Krallık hükümetinin fidye yazılımı konusundaki sicilini haklı olarak eleştirse de, diğer ulusal hükümetlerin de ortalığı kasıp kavurmaya devam eden Rus fidye yazılımı gruplarının maliyet-kazanç hesabını anlamlı bir şekilde değiştirmenin yollarını bulmakta zorlandığını hatırlamak önemlidir.”
‘Felaket oldu’
Komite tarafından Ocak 2023’te düzenlenen sözlü kanıt oturumu sırasında kritik bir fidye yazılımı olayının etkisini anlatan Redcar ve Cleveland Konseyi lideri meclis üyesi Mary Lanigan şunları söyledi: “Fidye yazılımı saldırısı bizi bir Cumartesi sabahı vurdu ve bunun nedeni sadece şuydu: BT personelimden biri sisteme girmişti [and] ‘Bu pek doğru görünmüyor’ diye düşündük ve fişi çektik, ne olduğunu anladık… O cumartesi günü fişi çektiğinde tetiklendi ve felaket oldu, çünkü her şeyimizi kaybettik; telefon sistemlerimizi, BT’mizi, her şeyi kaybettik.
“Sadece bu da değil, Cleveland Polisi de dahil olmak üzere ortaklıklarımız, tüm bunlar olup bittiği için üzerimizdeki fişi çekti. GCHQ geldi ve bize yardım etti. Bunu doğru bir şekilde yapabilmemiz aylar ve aylar aldı. Çocuk servisindeki personelim kağıt parçalarına yazı yazıyordu; bunlar onlarca yıldır yapılmayan şeylerdi. GCHQ ile birlikte çalışan BT personelim binada kaldı; İşleri ne kadar hızlı ilerletebileceğimizi görmek için onlara yatak koyduk” dedi.
“Bunu yapmak hâlâ aylarımızı aldı ve yerel yönetime maliyeti çok büyüktü; sadece fazla mesaiyle değil, uzman getirme ve yeni telefon sistemleri kurma çabalarıyla da. Merkezi hükümetle temasa geçtim ve bakanla konuştuk. ‘Ne olursa olsun bedelini karşılayacağız’ dedi. Ne yazık ki, bu her zaman ilerlediğinizde işe yaramaz; bunun ne kadar olduğunu ve bunun ne kadar olduğunu bilmek istiyorlar. Yaklaşık 7 milyon £ kaybettik. Redcar ve Cleveland Belediye Meclisi bunun için sigortalı değildi” dedi Lanigan.
Hükümet için öneriler
Raporda, hem hükümete hem de NCSC’ye, CNI siber dayanıklılığı konusunda yeni bir düzenleyici organın kurulması olasılığı da dahil olmak üzere çeşitli tavsiyeler yer alıyor. Raporda, “mevcut siber dayanıklılık düzenlemelerinin kötü uygulanması” göz önüne alındığında bunun gerekli olabileceği belirtildi.
Ayrıca, CNI operatörleri üzerinde düzenli ulusal tatbikatlar ve stres testleri yapılması ve NCSC’nin yerel yönetimler için özel bir siber program oluşturması ve operasyonlarının aksadığını tespit eden kamu sektörü mağdurlarını uygun şekilde desteklemesi için ekstra fon sağlanması çağrısında bulunuyor.
Ayrıca büyük siber saldırılar için hükümet destekli bir reasürans planının kapsamı da olabilir ve “zorlu bir mücadele” ile karşı karşıya olarak tanımladığı NCA’ya daha agresif bir yaklaşım sergilemesini sağlayacak şekilde daha fazla kaynak yatırımına kesinlikle ihtiyaç vardır. fidye yazılımı operatörlerini engellemeye yönelik bir yaklaşım.
Komite ayrıca Ulusal Denetim Ofisi’ne (NAO), Ulusal Siber Stratejinin (NCS) devam eden uygulamasını gözden geçirmesi çağrısında bulunarak, bu konudaki ilerleme raporlamasının “şu anda zayıf” olduğunu ve hükümetin bu konuda bir Ulusal Güvenlik Konseyi alt komitesi kurmasını istedi. NCS’nin beş sütununa göre ilerlemeyi ölçtüler ve son olarak ağırlığını, 30 yılı aşkın bir süredir geçerliliğini yitirmiş olan Bilgisayar Kötüye Kullanım Yasası’nda reform yapılmasına yönelik devam eden çağrılara verdi.