Birleşik Krallık Seçim Komisyonu, bir tehdit aktörünün ağustos ayında başlayan bir yıl boyunca sistemlerini ihlal etmesi ve milyonlarca İngiliz seçmenin verilerini çalmasıyla hemen hemen aynı zamanlarda Ulusal Siber Güvenlik Merkezi (NCSC) Siber Esaslar denetiminde başarısız olduğunu itiraf etti. 2021.
Durum hakkında dahili bir ihbarcı tarafından uyarılan BBC’ye göre, seçim gözlemcisi, Cyber Essentials değerlendiricilerinin programa uygun olmadığını tespit etmesinden sonra otomatik olarak başarısız oldu.
Denetçiler tarafından tespit edilen bazı iddia edilen arızalar arasında, artık güvenlik güncellemelerini almayan ve iki yıldan biraz fazla bir süre içinde desteğin sonuna ulaşacak olan Windows 10 Enterprise da dahil olmak üzere, eski sistem ve yazılımları çalıştıran personelin dizüstü bilgisayarları ve akıllı telefonları vardı.
2022’de bir takip testi yapmayan Seçim Komisyonu, Siber Temeller denetiminde başarısız olmasına neden olan sorunlardan hiçbirinin, ihlal edilen bir e-posta sunucusuyla bağlantılı olan siber saldırıyla ilgili olmadığını söyledi. her şekilde.
“Siber güvenliğimizi ve sistemlerimizi geliştirmek için her zaman çalışıyoruz. Seçim Komisyonu sözcüsü, “Siber tehditlere karşı korumaları geliştirmeye ve ilerletmeye devam etmek için, birçok kamu kurumunun yaptığı gibi, Ulusal Siber Güvenlik Merkezi’nin uzmanlığından yararlanıyoruz” dedi.
“Siber tehditler geliştikçe ve farklı biçimler alırken devam eden risklerle başa çıkmak için sistemlerimiz hakkında düzenli olarak rehberlik ve geri bildirim alıyoruz. Bu öğrenmeleri memnuniyetle karşılıyor ve bunlara göre hareket ediyoruz.”
NCSC ve ortağı ISAME konsorsiyumu tarafından denetlenen, hükümet destekli Siber Temeller programı, kuruluşlar içinde siber güvenlik yeterliliğinin temelini oluşturmak için tasarlanmıştır.
Kuruluşlara siber güvenlik karşısında nerede durduklarına dair net bir tablo sunması ve müşterilere ve yeni iş ortaklarına, kuruluşların uygun önlemlerin uygulandığı minimum standartlarla güvence altına alındığına dair güvence görevi görmesi bekleniyor.
Cyber Essentials sertifikasyonu herkes için geçerli değildir ancak çoğu kuruluş için şiddetle tavsiye edilir ve kişisel verilerin işlenmesini veya belirli BT ürün ve hizmetlerinin sağlanmasını içeren bir devlet sözleşmesine sahip olan herkesin sertifika alması zorunludur.
Rubrik EMEA CISO’su Richard Cassidy, Siber Temeller denetimini geçememenin kötü bir mahallede kapılarınızı ve pencerelerinizi açık bırakmaya benzediğini söyledi.
“Siber Temeller denetimi, bir kuruluşun siber dayanıklılığını desteklemek için tasarlanmış en basit sektör çerçevelerinden biridir. Bu çerçeveler, dijital hijyenin temellerine uyulmasını sağlamak için mevcuttur ve güncel olmayan sistem ve cihazlar nedeniyle bunların başarısız olması, alarmı iyi ve gerçekten yükseltmiş olmalıdır” dedi.
“İhlal her zaman bir dizi hatanın sonucudur: düzgün şekilde kullanılmayan veya yapılandırılmayan teknoloji veya doğru teknolojinin hiç dağıtılmaması, yetersiz tanımlanmış veya uyulmayan süreçler ve bunlara uyulmayan kişiler.” En iyi uygulamalar konusunda yeterince eğitimli veya yetkilendirilmiş değiliz. Bu bir zincir ve her halka önemli. Biri başarısız olduğunda tüm zincirin bütünlüğü tehlikeye girer. Siber Esaslar denetimi, tüm zincirin bütünlüğünün korunmasını sağlamaya yardımcı olur” dedi Cassidy.