İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), İngiltere’nin kritik ulusal altyapısının (CNI) operatörlerine güvenlik riski profillerini daha iyi yönetmelerine yardımcı olmayı amaçlayan Siber Değerlendirme Çerçevesi’ne (CAF) bir dizi güncelleme yayınladı.
NCSC’ye göre, CAF Sürüm 4.0’a götüren geliştirmeler, AI ile ilgili riskin genişletilmiş kapsamı da dahil olmak üzere siber risk yönetiminin çeşitli alanlarına daha fazla önem veriyor ve Nisan 2024’ten bu yana CAF’a ilk güncellemeyi işaret ediyor.
Aradan geçen aylarda, çerçevenin benimsenmesi geniş bir şekilde genişlemiştir – şimdi siber düzenleyici güçlere sahip neredeyse tüm İngiltere organları ve İngiltere’de CNI esnekliğini değerlendiren güvence şeması olan Govassure tarafından kullanılmaktadır.
Bir NCSC sözcüsü, “Aynı zamanda, İngiltere’nin CNI’sine yönelik siber tehdit artmaya devam etti. Saldırı yöntemlerinin evrimine ayak uydurmak, kritik hizmetlere yönelik artan siber tehditler ile bunlara karşı savunma yeteneğimiz arasındaki genişleme boşluğunu kapatmak için esastır.
CAF 4.0 dört temel geliştirme içerir. Birincisi, NCSC, kuruluşların daha iyi siber risk kararları almalarına yardımcı olmak için siber suç ve tehdit aktör yöntemleri ve motivasyonlarının anlaşılmasının önemi hakkında yeni bir bölüm ekledi.
İkinci yeni bir bölüm, temel hizmetlerde kullanılan yazılım ürünlerinin sadece ilk bir güvenlik zihniyeti ile geliştirilmesini değil, aynı zamanda uygun şekilde korunmasını sağlamak için giderek daha önemli konuyu kapsamaktadır.
Üçüncüsü, NCSC, kuruluşların tehditleri algıladıklarını ve bunları azaltmaya nasıl geldiklerini geliştirmelerine yardımcı olmak için CAF çerçevesinin sürekli güvenlik izleme ve tehdit avı ile ilgili bölümlerini güncellemiştir.
Son olarak, Ulusal Siber Otorite, daha geniş çerçeve boyunca dağılmış AI ile ilgili siber riskleri kapsamını artırmıştır.
CAF ne için?
CAF başlangıçta CNI ve diğer temel kamu hizmetlerinin operatörlerinin bugünün tehlikeli ve dinamik tehdit manzarasında gezinirken uygun siber esnekliği elde etmesine ve göstermelerine yardımcı olmak için geliştirildi.
CAF’ı risk yönetimi profillerine dahil etmesi gereken kuruluşlar, enerji, sağlık, ulaşım, dijital altyapı ve yerel ve merkezi hükümette faaliyet gösteren kuruluşları içerir.
Bu tür kuruluşlara ve birlikte çalıştıkları ve sahip oldukları siber saldırılar, İngiltere’de günlük yaşamda önemli etkilere neden oldu. Örneğin, 2024 yazında, Güney Londra’daki NHS hizmetleri, patoloji laboratuvar hizmetleri tedarikçisi olan Synnovis’e yönelik fidye yazılımı saldırısı ile önemli ölçüde bozuldu. Belki de en ünlü olan diğer yüksek profilli olaylar, 2021’de ABD’de yakıt malzemelerini bozan sömürge boru hattı siber saldırısını içeriyordu.
CAF, kuruluşların zorunlu siber sonuçlarını ne kadar iyi karşılamalarını gösteren kapsamlı bir çerçeve sunarak, bu tür organların genellikle karmaşık yasal ve düzenleyici gereksinimleri – örneğin NIS – karşılamalarına yardımcı olmak için bir adım taşı olarak hizmet eder.
En son güncelleme turu, siber düzenleyiciler ve diğer gözetim organları ile işbirliği içinde üretildi. NCSC, süreç boyunca geri bildirimlerinin çok yardımcı olduğunu söyledi.
NCSC şimdi CAF’ın bir sonraki beşinci yinelemesine bakacak, bu da siber güvenlik ve esneklik faturasında kurulacak yeni hükümleri açıklamak zorunda kalacak ve yılın çıkmasından önce Parlamento’dan önce atılacak.
Bu hükümler, CNI operatörlerinin siber ceza fidye yazılımı çetelerini ve zorunlu raporlama mekanizmalarını ödemesini yasaklayan yasal yetkileri içerebilir.