Ulusal Denetim Ofisi (NAO), İngiltere hükümetinin siber esnekliğinin, montaj ve daha tehlikeli tehditler karşısında olması gereken yerlerde önemli ölçüde arkada olduğunu buldu.
İçinde Hükümet siber esnekliği Raporda, kamu harcamaları gözlemcisi, Birleşik Krallık hükümeti için siber tehdidin “şiddetli ve hızla ilerlediği” konusunda uyardı. 2024’te değerlendirilen 58 kritik hükümet BT sisteminin siber esneklikte önemli boşluklara sahip olduğunu ve hükümetin en az 228 “miras” BT sisteminin siber saldırı için ne kadar savunmasız olduğunu bilmediğini buldu.
Rapor, yerel yönetimin, NHS’nin veya bir bütün olarak ulusun siber esnekliğini kapsamaz. Rapor için saha çalışması Mayıs ve Ekim 2024 arasında, NAO personelinin Dolap ofisinden memurlarla görüşme yetkilileri, hükümet departmanlarını hükümet siber güvenlik stratejisinin uygulanmasında destekleme çabaları hakkında yapıldı: 2022-2030.
Strateji, kilit hükümet kuruluşlarının “2025 yılına kadar siber saldırıya önemli ölçüde sertleşmesi” için bir hedef içeriyordu, ancak hükümetin siber esnekliğini bu amaca ulaşacak kadar hızlı bir şekilde geliştirmediğini söyledi.
NAO ayrıca Ulusal Siber Güvenlik Merkezi (NCSC) ve Merkezi Dijital ve Veri Ofisi (CDDO) yetkilileriyle birlikte devlet dairelerinden ve İngiliz Kütüphanesi’nden siber güvenlik memurları ile röportaj yaptı.
Rapora göre, İngiltere hükümetini siber saldırıya dayanıklı hale getirmenin en büyük riski esneme becerileri boşluğu. Hükümette üç siber güvenlik rolünden birinin 2023-24 yıllarında geçici-ve daha pahalı-personel tarafından doldurulduğunu veya birkaç bölümdeki siber rollerin yarısından fazlasının boş olduğunu ve uzman güvenlik mimarlarının% 70’inin personel olduğunu buldu. geçici sözleşmeler.
NAO, departmanların maaşların ve kamu hizmeti işe alım süreçlerinin, insanları siber becerilere sahip insanları işe almanın ve tutmanın önündeki engeller olduğunu bildirdi.
Diğer endişeler arasında etkili siber savunmayı tehlikeye atan hükümet içinde koordinasyon eksikliği yer alıyor. NAO, NCSC gibi departmanların ve merkezi örgütlerin ilgili rollerinin “yeterince anlaşılmadığını” ve departman liderlerinin “siber riskin stratejik hedefleriyle ilgisini sürekli olarak kabul ettiklerini” buldu.
Hükümet şimdi harekete geçmeli, raporun yazarlarını çağırdı.
NAO başkanı Gareth Davies şunları söyledi: “Siber saldırı riski şiddetli ve kilit kamu hizmetlerine yönelik saldırıların düzenli olarak gerçekleşmesi muhtemeldir, ancak hükümetin bunu ele alma çalışması yavaş olmuştur.
“Ciddi olaylardan kaçınmak, esneklik oluşturmak ve operasyonlarının parası için değeri korumak için hükümetin karşılaştığı akut siber tehdidi yakalaması gerekir.
Ciddi olaylardan kaçınmak, esneklik oluşturmak ve operasyonlarının parası için değeri korumak için hükümetin karşılaştığı akut siber tehdidi yakalaması gerekir
Gareth Davies, Ulusal Denetim Ofisi
“Hükümet, siber becerilerin uzun süredir devam eden sıkıntısını başarıyla ele alana, siber risk için hesap verebilirliği güçlendirene ve miras tarafından ortaya çıkan riskleri daha iyi yönetene kadar yakalanmayı zor bulmaya devam edecek.”
Siber esneklik boşlukları
NAO, hükümetin düşmanca aktörlerden karşılaştığı hızla gelişen siber tehditlere ayak uydurup tutmadığını değerlendirdi. Olmadığını buldu.
Ağustos 2024 yılına kadar 58 kritik bölüm BT sistemini bağımsız olarak değerlendiren Siber Güvence Programı’nın Govassure, siber esneklikte önemli boşluklar bulduğunu ve departmanlar arasında düşük olgunluk seviyelerinde çoklu temel sistem kontrolleri bulduğunu fark etti. Hükümet kuruluşlarının kritik sistemlerini değerlendirir. Nisan 2023’te kuruldu.
NAO raporuna göre, devlet daireleri en az 228 eski BT sistemini kullanıyordu2024 Mart itibariyle ve hükümet bu sistemlerin siber saldırı için ne kadar savunmasız olduğunu bilmiyor.
Raporda, Nisan 2024’te Kabine Ofisi Hükümet Güvenlik Grubu’nun (GSG) bakanlara bazı departmanların diğer öncelikleri finanse etmek için siber güvenlik iyileştirme programlarını önemli ölçüde azalttığını bildirdi. Bunun nedeni, “program finansmanı kesintileri, siber becerilere erişim eksikliği, teslimat ortakları ile ilgili zorluklar ve departman ve hükümetler arası onaylardaki gecikmeler” idi.
Siber saldırıların nasıl zararlı olabileceğine dair örnekler olarak NAO, Haziran 2024’te, güney doğu Londra’daki NHS’ye bir patoloji hizmeti tedarikçisine yönelik bir saldırıya neden olan ve bu da 10.152 akut kürek atamaları ertelemesine yol açtı. ve 1.710 seçmeli prosedür. Ayrıca, Ekim 2023’te, hizmetlerini yeniden inşa etmek için zaten 600.000 £ ‘a mal olan İngiliz Kütüphanesi Fidye yazılımı saldırısına atıfta bulundu. Kütüphane, iyileşmeye devam ettikçe birçok kez daha fazla harcama yapmayı bekliyor.
Raporda ayrıca Savunma ve Parlamento Bakanlığı’na yönelik başka saldırılar örnekleri de verdi. Mayıs 2024’te, MOD’un bordro yüklenicisinin ağı, bir saldırgan – Silahlı Kuvvetler personelinin verilerini tutan bir ağ tarafından tehlikeye atıldı. Zaman içinde, 2021’de Çin devlete bağlı bir saldırgan olduğunu, raporda, her iki Parlamento Meclisi’ndeki üyelerin parlamento e-posta hesaplarına karşı siber bir kampanyadan büyük olasılıkla sorumlu olduğunu söyledi.
Raporda, Mart 2024’te, departmanların hükümetin miras BT varlıklarının yaklaşık yarısını düzeltme planlarını tam olarak finanse etmediğini belirtti -%53 veya 228 üzerinden 120.
NAO, hükümetin önümüzdeki altı ay içinde hükümet siber güvenlik stratejisi için bir hükümetler arası uygulama planı geliştirmesini, paylaşmasını ve kullanmaya başlamasını önerir. Ayrıca, tüm hükümetin farklı çalışması gerektiğini öne sürüyor.
NAO, önümüzdeki yıl hükümetin siber beceri boşluklarını işgücü boşluklarını doldurma planları yapması ve çıkarması gerektiğini söyledi.
Mevcut ve önceki hükümet – yapay zeka (AI) – tarafından en çok boğulduğu teknolojinin raporu şunları söyledi: “AI hükümetin siber güvenliğini artırabilir, ancak aynı zamanda demokratik sistemimize güveni müdahale etmek veya zayıflatmak isteyen aktörlere yardımcı olabilir. NCSC, AI’nın faydalarını gerçekleştirmek ve ilgili güvenlik risklerine karşı korumak için ortaklarıyla işbirliği yapıyor. ”