Ocak 2024’te İngiltere Kabine Ofisi, kamu sektörü tedarik zincirinde siber güvenliği güçlendirmeyi amaçlayan yeni bir tedarik politikası notu (PPN 01/24) yayınladı. 1 Nisan 2024’te yürürlüğe giren politika, merkezi hükümet sözleşmelerinde teklif veren tedarikçiler için yeni gereksinimler ortaya koyuyor. En önemlisi, yılda 5 milyon £ veya daha fazla olan sözleşmeler için teklif veren kuruluşların artık siber esansiyeller sertifikasını asgari bir gereklilik olarak tutması bekleniyor. Bu değişikliğin amacı açıktır: hassas hükümet verilerini ele alan tüm tarafların siber hijyen standartlarını karşılamasını sağlayarak siber saldırılar riskini azaltmak.
Kamu altyapısı ve tedarikçileri hedefleyen siber tehditler son yıllarda giderek daha sofistike hale gelmiştir ve üçüncü taraf güvenlik açıklarını içeren olaylar sektörler arasında önemli bir bozulmaya neden olmuştur. PPN 01/24, hükümetin bu gelişen tehdit manzarasına verdiği yanıttır. Politika, ihlallerin gerçekleşmesini beklemek yerine, siber güvenlik beklentilerini tedarik sürecine yerleştirerek proaktif bir yaklaşım benimsiyor. Hükümet, siber temeller gibi tanınmış bir standarda uyum sağlayarak, temel siber güvenliğin sorumluluğunu doğrudan tedarikçilerin omuzlarına koyuyor.
Bu değişim, işletmelere siber güvenliğin artık hükümetle iş yapmanın ve yakında potansiyel olarak daha geniş özel sektörde de temel bir parçası olduğuna dair bir sinyali temsil ediyor. Politikanın neyi gerektirdiğini ve gereksinimlerini nasıl karşılayacağını anlamak, kamu sektörü sözleşmelerini kazanmayı veya korumayı uman herhangi bir kuruluş için gereklidir.
PPN 01/24’e uymak için ne yapmanız gerekir
PPN’nin merkezinde 01/24, tedarikçilerin geçerli siber temeller sertifikası tutma gereksinimi vardır. Cyber Essentials, Ulusal Siber Güvenlik Merkezi tarafından geliştirilen devlet destekli bir plandır. Kuruluşları en yaygın siber tehditlerden koruyan bir dizi temel güvenlik kontrolünü özetlemektedir. Bunlar arasında güvenlik duvarlarının uygun konfigürasyonu, cihazlar için güvenli ayarlar, verilere ve sistemlere kontrollü erişim, kötü amaçlı yazılım koruması ve yazılım güvenlik açıklarının derhal yamalanması gibi önlemleri içerir.
PPN 01/24’te belirtilen koşulları karşılamak için tedarikçiler, bu temel korumaların yerinde olduğunu ve aktif olarak korunduğunu göstermelidir. Politika, merkezi hükümet departmanları, icra ajansları ve bölüm dışı kamu kurumları ile yapılan sözleşmeler için geçerlidir. Mevcut eşik yılda 5 milyon £ veya daha fazla sözleşmede belirlenirken, politikanın daha geniş etkileri, bunun yakında hükümetin daha fazla alanında ve potansiyel olarak özel sektörün daha büyük bölgelerinde beklenen standart haline gelebileceğini düşündürmektedir.
Siber Essentials sertifikasının, özellikle küçük ve orta ölçekli işletmeler için külfetli olması amaçlanmamıştır. Kuruluşların dijital ortamlarını anlamalarını ve temel korumalara sahip olmalarını sağlayan siber güvenlik en iyi uygulamasına ulaşılabilir bir giriş noktası olacak şekilde tasarlanmıştır. Yine de süreç değerlendirme, kanıt toplama ve bazı durumlarda sistem veya politikalardaki güncellemeleri içerir. Sertifikasyon yıllık olarak yenilenmelidir, yani siber güvenlik bir kerelik bir proje olarak değil, devam eden bir sorumluluk olarak ele alınamaz.
Ayrıca, sözleşmeler için doğrudan teklif vermeyen kuruluşların bile hala etkilenebileceğini belirtmek gerekir. Seviye 1 tedarikçilerinin taşeronlarının ve daha geniş tedarik zincirlerinin uyumlu olmasını sağlamaları bekleniyor, bu da siber güvenlik durumunun giderek daha fazla işten iş ilişkilerinin bir parçası olacağı anlamına geliyor. Bir hükümet tedarikçisinin değer zincirinin bir parçasıysanız, ticari ortaklıklarınızı korumak için sertifika gerekebilir.
PPN 01/24 için nasıl hazırlanır
İşletmeniz henüz Siber Essentials sertifikalı değilse, şimdi sürece başlama zamanı. Bir sonraki sözleşme fırsatı ortaya çıkana kadar beklemek, gereksiz gecikmelere ve hatta tekliften diskalifiye olmaya neden olabilir. Hazırlık, mevcut siber güvenlik önlemlerinizin planın gereksinimlerine göre nerede durduğunu anlamakla başlar.
İlk adım, BT altyapınızın öz değerlendirmesini yapmaktır. Güvenlik duvarı yapılandırmalarınızdaki boşlukları belirleyin, tüm şirket cihazlarının güvenli ayarlar kullandığından emin olun ve sistemlere ve verilere erişimin nasıl yönetildiğini inceleyin. Kötü amaçlı yazılım korumasının yürürlükte olduğunu ve yazılım güncellemelerinin düzenli ve derhal uygulandığını doğrulamak da önemlidir. Bu kontroller sertifika sürecinizin temelini oluşturacak ve iyileştirmelerin gerekli olduğu yerlerde tam olarak belirlenecektir.
Teknik kontrollerin ötesinde, kuruluşlar iç politikalarını ve personel farkındalığını da dikkate almalıdır. İnsan hatası siber ihlallerin önde gelen bir nedeni olmaya devam etmektedir ve siber temellerde özetlenen korumaların çoğu tutarlı kullanıcı davranışına dayanmaktadır. Personel, kimlik avı e -postalarını tanımak, güçlü şifreleri kullanarak ve şüpheli aktiviteyi bildirmek gibi siber hijyenin temellerini anlamalıdır.
Dokümantasyon da önemlidir. Sertifikasyon süreci, ayrıntılı bir anketin tamamlanmasını ve bazı durumlarda harici bir teknik denetimden geçmeyi içerir. Güvenlik duruşunuzu net politikalar, prosedürler ve denetim izleri ile gösterebilmek süreci kolaylaştıracak ve gecikmeler riskini azaltacaktır.
Siber Essentials sertifikasyon süreci elde edilebilecek şekilde tasarlanmış olsa da, özellikle karmaşık BT ortamları veya eski sistemleri olan kuruluşlar için zaman alır. Erken başlamak, teklif zamanı geldiğinde zayıflıkları ele alabilmenizi ve bozulmayı önlemenizi sağlar.
MSP’ler uyum konusunda nasıl yardımcı olabilir?
Birçok işletme, özellikle de özel siber güvenlik ekipleri olmayanlar için sertifikasyon yolculuğu zor olabilir. Bu, yönetilen hizmet sağlayıcıların veya MSP’lerin gerçek bir fark yaratabileceği yerdir. MSP’ler, kuruluşların sertifikasyon sürecinde gezinmesine, güvenlik açıklarını tanımlamalarına ve siber temeller için gereken kontrolleri uygulamalarına yardımcı olmak için iyi yerleştirilmiştir.
MSP’ler, mevcut güvenlik duruşunuzu değerlendirmek ve ayarlamaların nereye ihtiyaç duyulduğuna dair tavsiyelerde bulunmak için ilk denetimleri gerçekleştirebilir. Ayrıca sistemlerin yapılandırılmasına, koruyucu teknolojilerin dağıtılmasına ve sertifikasyon standartlarına uygun politikalar geliştirmeye yardımcı olabilirler. Teknik ayak işlerini üstlenerek, MSP’ler dahili ekipler üzerindeki yükü azaltır ve işletmelerin uyumluluk gereksinimlerini daha verimli bir şekilde karşılamalarına yardımcı olur.
Belki de en önemlisi, MSP’ler sürekli destek sağlar. Siber Essentials sertifikası her yıl yenilenmesi gerektiğinden, uyumluluğun korunması devam eden bir süreçtir. Tehditler gelişir, sistemler değişir ve bir yıl yeterli olan şey bir sonraki olmayabilir. MSP’ler, işletmenizin uzun vadede uyumlu ve güvenli kalmasını sağlamak için sürekli izleme, sistem güncellemeleri ve tavsiyeler sunabilir.
Bir MSP ile çalışmak da stratejik bir perspektiften mantıklıdır. Birçoğu zaten siber temeller planına aşinadır ve süreç boyunca iş hedeflerinizle uyumlu olacak şekilde size rehberlik edebilir. Giderek daha rekabetçi bir tedarik ortamında, güvenilir bir ortağın desteklenmesiyle sağlam bir siber güvenlik duruşu gösterebilmek değerli bir farklılaştırıcı olabilir.
İngiltere’de siber güvenliğin geleceği
PPN 01/24, Birleşik Krallık Hükümeti’nin kamu alımında siber güvenliğe nasıl yaklaştığı konusunda bir dönüm noktasını işaret ediyor. Siber Essentials sertifikasını yüksek değerli sözleşmeler için zorunlu hale getirerek, politika açık bir mesaj gönderir: Temel siber güvenlik artık isteğe bağlı değildir. Hükümetle iş yapmak isteyen herhangi bir kuruluş için artık asgari bir beklenti.
Bu değişiklik sadece ana yüklenicileri değil, aynı zamanda daha geniş tedarik zincirini de etkileyecektir. Her büyüklükteki işletmeler bunu savunmalarını güçlendirmek, siber tehditlere maruz kaldıklarını azaltma ve sorumlu dijital uygulamalara olan bağlılıklarını gösterme fırsatı olarak görmelidir.
Erken hazırlanmak, doğru desteğe yatırım yapmak ve siber güvenliği tek seferlik bir onay kutusu yerine devam eden bir iş işlevi olarak görmek anahtar olacaktır. Hızlı bir şekilde adapte olanlar, sözleşmeler kazanmak, ortaklıkları sürdürmek ve güvenliğin giderek daha fazla güven direği olarak görüldüğü bir ortamda gelişmek için daha iyi konumlandırılacaklar.
PPN PPN 01/24: Ne anlama geliyor ve işletmelerin nasıl hazırlanabileceği BT Security Guru’da ilk kez ortaya çıktı.