2024 yılında, Ulusal Siber Güvenlik Merkezi (NCSC), başlangıç siber güvenlik sertifikası olan Siber Essentials’ı (CE) on yılını kutladı.
NCSC, planın faydalarını yerine getirirken, CEO Richard Horne yine de İngiltere’nin siber savunmaları ve karşılaştığı tehditler arasındaki “genişleyen boşluk” hakkında açıktı. Bu, sabotaj ve casusluk yoluyla devlet aktörlerinin yüksek bir fiziksel tehdit seviyesinin yanı sıra, araştırma ve yeniliğe yönelik devlet tehditlerinin daha fazla farkındalığının ortasında geliyor.
Bu değişen tehdit resmi, İngiltere’nin fiziksel ve personel koruyucu güvenlik için ulusal teknik otoritesi olan Ulusal Koruyucu Güvenlik Otoritesi (NPSA) ‘nın çalışmalarına daha fazla dikkat çekti.
Yüksek tehdit, NPSA’nın NCSC’nin davasını takip edip etmeyeceği ve CE’ye eşdeğer olarak kendi temel koruyucu güvenlik sertifikasını geliştirip geliştirmeyeceği sorusunu gündeme getirmektedir. Bununla birlikte, tehdidi ele almak ve gerçek esneklik oluşturmak için İngiltere’nin temel çizgilerin ötesine geçen ve riskle bilgilendirilen bir yaklaşıma ihtiyacı olduğuna inanıyoruz.
Temel bir koruyucu güvenlik seviyesi var mı?
CE sertifikası 2014 yılında başlatıldı. Evrensel olarak uygulanabilir ve riski agnostik olması amaçlanan temel bir güvenlik seviyesini özetliyor. NCSC, CE’nin “herhangi bir sektörde tüm kuruluşlar veya herhangi bir büyüklük için uygun” olduğunu ileri sürmektedir. CE, CE kontrolleri internete bağlı kuruluşlar için her yerde bulunan emtia saldırılarına yönelik olduğu için kuruluşa veya risk profiline atıfta bulunulmadan değerlendirilir.
10 yıl sonra CE kapsamında sertifikalandırılan kuruluş sayısı yıllık % artmaya devam etmektedir. NCSC ayrıca tedarik zinciri risklerini daha iyi ele almak için şemayı daha da genişletme planlarına sahiptir. Bu başarılara rağmen, CE’nin benimsenmesinin beklenenden daha düşük olduğu yönündeki öneriler var, bir rapor alımın uygun kuruluşların% 1’inin altında kaldığını belirten bir rapor.
Temel siber güvenlik sertifikası argümanı iyi bir argüman; Bireysel kuruluşların siber güvenliğinin güçlendirilmesi daha esnek bir ekosisteme yol açar ve kamu yararına. CE’de yer alan kontroller, bir kuruluşun özel risk değerlendirmesine atıfta bulunmak için başvurunun gerekmediği için yeterince evrenseldir.
Bununla birlikte, koruyucu güvenlik için CE eşdeğer bir temel güvenlik sertifikasının etkili olup olmadığını sorgulamak için nedenler vardır.
İlk olarak, tek bir paylaşılan ‘temel’ koruyucu güvenlik seviyesini tanımlamak daha zordur. CE, herhangi bir kuruluş için geçerli beş temel güvenlik kontrolüne odaklanmıştır. Fiziksel güvenlik, içeriden gelen tehdit veya araştırma işbirliğinin güvenliği gibi alanları aynı anda ele almak için benzer bir temel kontrol setinin oluşturulabileceği açık değildir.
İkincisi, CE kontrolleri herhangi bir koruyucu güvenlik sertifikasında neredeyse kesinlikle çoğaltılacaktır. Bu, yeni sertifikayı arayan CE’li kuruluşları caydırabilir – nispeten az sayıda kuruluşun CE’si olduğu bir zamanda.
Üçüncüsü, ayrı NCSC ve NPSA taban çizgisi sertifikalarının oluşturulması, siloları güvenliğin farklı yönleri arasında güçlendirecektir. Kuruluşların, gerçekleştirme araçlarına bakılmaksızın tehditleri ele alan güvenliğe orantılı bir yaklaşım benimsedikleri bir yaklaşıma doğru ilerlemeliyiz.
Koruyucu güvenlik alanında CE’yi yansıtma girişimi bu nedenle iki dışkı arasında düşme riskiyle karşı karşıyadır; gerçek tehditlerle başa çıkmak için yetersizken, çoğu kuruluş için aşırı yorucu olmak. Aynı zamanda, birçok kuruluşun güvenliğe yaklaşımında yararsız bir fiziksel cyber bölünmesini güçlendirme riskiyle karşı karşıyadır.
Tehditlere karşı esneklik oluşturmak
CE teknik düzeyde alakalı kalır, ancak çerçevelenme şekli giderek daha önceki bir jeopolitik çağdan bir tutuş olarak görünmektedir.
Siber güvenlik endüstrisi genellikle çalışmalarını öncelikle teknik ve kabul edilemez olarak tasvir eder. Siber tehditler kişisel olmayan olarak sunulabilir – çevrimiçi olmanın kaçınılmaz bir sonucu. NCSC, CE’yi “temel siber hijyen” olarak adlandırır ve halk sağlığı veya ekolojisinden gelen benzer metaforlar, bu güvenlik kontrollerini ‘sektuplamak’ için düzenli olarak konuşlandırılır.
Buna karşılık, İngiltere kötüleşen tehdit ortamı ve uyumlu bir yanıtın gerekliliği konusunda giderek daha açık hale geldi. Birleşik Krallık hükümeti savunma harcamalarında önemli bir artış için gerekli kamu davasını oluşturduğundan mesajlaşmanın hızlanması muhtemeldir.
Bu aynı zamanda İngiltere’nin alanlar ve sektörler arasındaki esneklik konusundaki ulusal konuşmasıyla da uyumlu olacaktır. Yaklaşan Siber Güvenlik ve Dayanıklılık Yasası (CSRB) bu eğilimin bir örneğidir. Her ne kadar CSRB öncelikle kritik hizmetler için siber savunmaları desteklemeyi hedeflemekle birlikte, tehditlere bütünsel bir yaklaşımı hedefleyen fiziksel güvenlik, ekonomik istikrar ve topluluk hazırlık konusunda bir dizi paralel çabanın bir parçasıdır.
İngiltere hükümetinin esneklik çerçevesi, aşırı hava ve pandemilerden tedarik zinciri kesintileri ve CNI başarısızlıklarına kadar her şeyi kapsayan ve toplum genelinde hazırlık ve önlemeyi vurgulayan her şeyi kapsayan tüm tehlikeler yaklaşımını özetlemektedir. Lancaster Dükalığı Şansölyesi başkanlığında ve çok çeşitli sektörler için Devlet Sekreterlerinden oluşan yeni bir Ulusal Dayanıklılık Konseyi de oluşturuldu. Ayrı bir ‘fiziksel güvenlik’ sertifikasyon şeması, dayanıklılığa bütünsel bir yaklaşıma yönelik eğilime aykırı olacaktır.
Birleşik Risk Tabanlı Güvenlik Sertifikasyonu
Ayrı sertifikalar geliştirmek yerine, daha iyi bir seçenek, risk altındaki kuruluşlar için birleşik bir güvenlik esnekliği sertifikası olacaktır. Bu model CE gibi yerleşik temel çizgileri tamamlayacaktır.
CE’nin temel yaklaşımından farklı olarak, yeni sertifikanın başlangıç noktası güvenilir bir organizasyonel güvenlik riski değerlendirmesi olacaktır. Bu değerlendirme, siber, fiziksel ve personel güvenliği gibi güvenlik alanlarını entegre edecektir.
Bunun ötesinde, çerçeve modüler olacaktır ve koruyucu güvenlikte tek bir organizasyon-agnostik taban çizgisinin yokluğunu yansıtır. Program, kuruluşun kendi risk değerlendirmesine yanıt olarak orantılı koruyucu güvenlik önlemleri aldığını onaylayacaktır.
Bu standarda ulaşmak önemli bir çaba gerektirir ve çoğu kuruluş için uygun olmaz. Sertifikasyon süreci mutlaka CE sürecinden daha derinlemesine olacaktır. Bununla birlikte, NCSC ve NPSA arasındaki birleşik risk profili ve sektörler arası işbirliğinden yararlanarak, bu yaklaşım kuruluşların gerçek, sonuç odaklı esneklik elde etmek için uyum kontrol listelerinin ötesine geçmesini sağlayacaktır.
Bu sertifikaya, risk altındaki kuruluşların karşılaştığı jeopolitik tehdit hakkında açık olan bir farkındalık kampanyası eşlik edecektir. Bunun ‘her zamanki gibi iş’ olmadığını açıkça belirtmek önemlidir.
Bu yaklaşım, sağlam, uyarlanabilir bir savunma duruşu sağlarken sertifikasyon yorgunluğunu azaltacaktır. Gelecek esneklik mevzuatı ve daha geniş bir ulusal esneklik görüşüyle, giderek daha çalkantılı bir jeopolitik ortamda arzu edilen bir başarı olarak uyumludur.
Neil Ashdown, bir güvenlik danışmanlığı olan Tyburn St Raphael için araştırma başkanıdır.
Tash Buckley Rusi’de eski bir araştırma analisti ve bir güvenlik eğitimcisi ve öğretim görevlisidir, siber gücün ve bilim, teknoloji yeniliği ve ulusal güvenliğin kesişimini araştıran.