Kritik Altyapı Güvenliği, Geo Focus: Birleşik Krallık, Geo’ya özgü
Hükümet kurumları 2025 Siber Güvenlik Hedefini karşılamayacak
Akhabokan Akan (Athokan_akhsha) •
31 Ocak 2025
İngiliz hükümeti, sivil BT sistemlerini 2025 yılına kadar siber saldırılara dayanacak şekilde önemli ölçüde güçlendirme hedefinin altında kaldı, denetçileri görevlilerin çoğunun eski sistemlerde çalıştığını vurguladı.
Ayrıca bakınız: Sıfır güven benimseme için mikro segmentasyon ile büyüme nasıl hızlandırılır
Birleşik Krallık, önümüzdeki üç yıl içinde siber saldırılara karşı kritik işlevlerin savunmalarını önemli ölçüde yükseltmek için siber güvenlik için 2022 stratejisine söz verdi. Strateji, tüm kamu sektörü, 2030’dan en geç bilinen güvenlik açıklarına ve saldırı yöntemlerine dayanıklı olması gerektiğini söyledi.
Olmayan, Çarşamba raporunda Hükümet Denetim Ofisi tarafından eski sistemlere suçlanan bir raporda analiz buluyor. 2019’dan gelen veriler, hükümetin neredeyse yarısının eski sistemlerin çalışmasını sağlamaya gittiğini göstermektedir – varlığı aslında iyileştirmelerden ziyade esneklikte bir bozulmaya yol açan sistemler.
Denetçiler, “Departmanların hala kullandığı yüzlerce yaşlanan miras BT sistemlerinin esnekliğinin daha kötü olması muhtemeldir ve departmanların bu savunmasız sistemlerin yarısı için tam olarak finanse edilmemesi.” Geçen Mart ayından itibaren, hükümet departmanları, çeyreğinden fazlasının olumsuz bir operasyonel ve güvenlik olayı yaşama olasılığı yüksek olan en az 228 eski sisteme dayandığını bildirdi. Semidatçılar, denetçilerin iyileştirmeyi finanse etmek için bütçeleri olmadıklarını söylese de, denetçiler departman liderlerinin “siber risklerin stratejik hedefleriyle nasıl alakalı olduğunu her zaman tanımadıklarını” söylediler.
Birleşik Krallık, 2024 yılında İngiltere savunmalarının yıpranmış doğasını çıplak bırakan siber güvenlik olaylarında bir artış yaşadı. Olaylar, bir İngiltere Ulusal Sağlık Servisi BT satıcısına kan sıkıntısına yol açan bir Haziran 2024 fidye yazılımı saldırısı içeriyordu. Denetçiler, siber saldırıların “kamu güvenliği için gerçek bir riski ve bireyler için yıkıcı sonuçları” olabileceği konusunda uyardı (bakınız: İngiltere, ‘ulusal açıdan önemli’ olaylarda% 50 artış).
Ulusal Denetim Ofisi başkanı Gareth Davies, “Ciddi olaylardan kaçınmak, esneklik oluşturmak ve operasyonlarının parası için değeri korumak için hükümet, karşılaştığı akut siber tehdidi yakalamalıdır.” Dedi.
2022 stratejisinin kritik sistemleri korumanın ilk hedefi zaten ulaşılamıyor, denetçiler, 2030 hedefini tüm sistemleri hava saldırılarına “iddialı” hale getirmek için artırmayı çağırıyor. Ulusal güvenlik sistemleri, sistemleri sadece “resmi” sınıflandırma düzeyinde inceleyen denetçilerin incelemesi için kapsamın dışındaydı.
Denetçiler, varlık yönetimi, koruyucu izleme ve müdahale planlaması dahil olmak üzere “çoklu temel sistem kontrolleri” eksik olan kritik işlevleri destekleyen 58 sistemin gözden geçirilmesini söylüyor.
Denetçiler, bankaların tasarım ilkelerine göre güvenli bir şekilde alımını artırmaya yönelik bir yaklaşımın, 2022 stratejisinin zaman dilimlerini karşılayacak kadar hızlı temettü ödemeyeceğini söyledi.
Bir Kabine Ofisi sözcüsü, hükümetin Temmuz 2024’ten bu yana BT altyapı güvenliğini desteklemek için çalıştığını söyledi. Önerilen bir plan, bu yılın ilerleyen saatlerinde siber güvenliği artırmak için mevzuatın getirilmesini içeriyor. Siber güvenlik ve esneklik faturası, kritik altyapı operatörleri için zorunlu yama gibi önlemleri zorunlu kılacaktır (bkz:: İngiltere İşçi Partisi Siber Güvenlik ve Esneklik Yasası’nı tanıttı).
Güvenlik uzmanları, raporu İngiltere hükümetinin derhal harekete geçmesi için bir uyandırma çağrısı olarak adlandırdı.
Londra merkezli davranışsal risk firması Cybsafe’nin CEO’su ve kurucusu Oz Alashe, hükümetin eski sistemlerinde daha iyi görünürlüğe ihtiyacı olduğunu söyledi.
Alashe, “Bu sistemlerin ne olduğunu net bir şekilde anlamadan, ne bilmediğimizi bilmiyoruz. Ayrıntılı veri toplamaya başlamak olumlu bir adımdır, çünkü sorunu çözmek bunu anlamakla başlar.” Dedi.