NHS tedarikçilerine, Savunma Bakanlığı’na ve British Library’ye yönelik saldırılardan oluşan bir dizi yerel siber güvenlik olayının ardından, tüm gözler Sir Keir Starmer’ın yeni hükümetinin büyük siber savunmalar üzerinde olumlu bir etki yaratmasına çevrildi.
Somut politika değişiklikleri ilan etmek için henüz çok erken olsa da İşçi Partisi’nin İngiltere’deki şirketlerden pek sabrı olmayacak. Birçoğu, hükümetin düşman devletlerden kaynaklanan artan tehdit ve terörle mücadele stratejilerine duyulan ihtiyaç hakkındaki manifesto taahhütlerinin eyleme dönüşmesini isteyecektir. The Chartered Institute for IT (BCS) gibi endüstri kuruluşları, hükümetin İngiltere’yi saldırılardan korumak için yeni mevzuata öncelik vermesi çağrısında bulundu.
Bununla birlikte, İşçi Partisi’nin niyetlerine dair bazı işaretler aldık. Siber Güvenlik ve Dayanıklılık (CSR) Tasarısı ve Dijital Bilgi ve Akıllı Veri (DISD) Tasarısı, Kral’ın Konuşması’nda sunuldu, ancak önemli ayrıntılardan yoksundu. Özellikle endişe verici olan, dijital kimlik güvenliğinin tanınmaması ve bunun İngiltere’nin günümüzün gelişen güvenlik zorluklarıyla başa çıkmasına nasıl yardımcı olabileceğiydi.
Başarılı bir siber politikanın sunulmasında tutarlılık, ister yeni yasa tasarıları arasındaki uyum olsun, ister AB komşularının düzenleyici rejimleriyle olsun, kilit öneme sahip olacak.
İşçi Partisi’nin siber güvenliğe ilişkin mevcut planları
Kralın Konuşması sırasında duyurulan 40 Yasa Tasarısı arasında CSR ve DISD Yasa Tasarıları da vardı. Bunların tanıtımı zamanında yapılmıştı ve yeni hükümetin siber güvenliğe olan bağlılığını yansıtıyordu, ancak ayrıntılar en iyi ihtimalle eksikti. Örneğin, DISD Yasa Tasarısı dijital kimlikler için düzenleyici bir çerçeve oluşturmayı amaçlıyor, ancak CSR Yasa Tasarısı siber güvenlik stratejisi için bir değerlendirme olarak dijital kimlikten bahsetmiyor. Bu, dijital kimliğe ve siber güvenliğe daha genel olarak tutarsız bir yaklaşım olduğunu gösteriyor. İhlallerin %80’inin tehlikeye atılmış veya kötüye kullanılmış ayrıcalıklı kimlik bilgilerini içerdiği göz önüne alındığında, İşçi Partisi Birleşik Krallık’ın siber güvenliğini güçlendirme stratejisinde dijital kimliği kabul etmelidir.
Şu anda, CSR Yasa Tasarısı, düzenlemenin dijital hizmetleri ve tedarik zincirlerini nasıl koruyabileceği konusunda düzenlemeleri genişletiyor, düzenleyiciler için yetkileri güçlendiriyor ve artan olay bildirimini zorunlu kılıyor. Bu doğru yönde atılmış bir adım, ancak ilk tekliflerde dikkat çekici bir ayrıntı eksikliği de vardı.
Bahsedildiği gibi, bir eksiklik dijital kimlik güvenliğinin tanınmasıydı. 2024’te, kötü yönetilen kimlik bilgileri ihlallerin ikinci önde gelen nedeniydi ve kuruluşların %90’ı geçen yıl en az bir kimlikle ilgili olay yaşadı. Konuya ek olarak, yapay zeka araçları kimlikle ilgili dolandırıcılığın daha da artmasına olanak sağlıyor ve amatör suçluların talep üzerine giderek daha karmaşık sentetik saldırılar üretmesini sağlıyor. Kendi verilerimiz, deepfake’lerin geçen yıl %3000, dijital sahteciliklerin ise %18 arttığını gösterdi.
DISD Tasarısı, hükümetin dijital kimlik inovasyonuna ve Birleşik Krallık genelinde güvenli dijital kimlik belgelerini (ID) teşvik etmeye kararlı olduğuna dair bir miktar güvence sağlasa da, endişe verici olan her iki Tasarı’da da tutarlılık eksikliğidir. Bir yandan, dijital kimlik dolandırıcılığa karşı daha iyi koruma sağlar – özellikle de yapay zekanın kullanımıyla deepfake’lerin ve sahte belgelerin kalitesi iyileştiğinden – ancak diğer yandan, CSR Tasarısı’nda siber güvenlik hususu olarak bahsedilmemiştir.
İleriye dönük olarak, yeni hükümet güvenli dijital kimlik doğrulamasını ve siber güvenlik korumasını etkinleştirmenin el ele gittiğini kabul etmelidir. Bunun yanı sıra, İşçi Partisi Birleşik Krallık Dijital Kimlik ve Nitelikler Güven Çerçevesi’ni (DIATF) yinelemeye ve iyileştirmeye devam etmeli, böylece Birleşik Krallık kimlik doğrulama sağlayıcıları ve hizmetlerine güvenenler için etkili bir güven çerçevesi sağlamaya devam etmelidir.
Küresel uyumun önemi
Birleşik Krallık’ın kendi siber güvenlik mevzuatlarına sahip olması hayati önem taşısa da, artık giderek daha küreselleşen ve birbirine bağlı bir dünyada yaşıyoruz. Küresel olarak tanınan standartlara uyum ve diğer düzenleyici rejimlerle uyum, bu savunma siber teknolojisinin Birleşik Krallık’ta ve ötesinde başarısını yönlendirecektir.
Örneğin, DISD Tasarısı söz konusu olduğunda, Keir Starmer’ın hükümeti, İngiltere’nin dijital kimlik sistemlerinin Avrupa’dakilerle uyumlu olduğundan emin olmak için önerilen Avrupa Dijital Kimlik düzenlemesini dikkate almalıdır. Bu uyumluluk, İngiltere işletmeleri ve vatandaşları için sınır ötesi faaliyetleri kolaylaştırmak için elzemdir. Benzer şekilde, CSR Tasarısı için, İngiltere işletmelerindeki ek uyumluluk yüklerini azaltmak ve ortak bir güvenlik ve güven düzeyi oluşturmak için AB’nin Dijital Operasyonlar Dayanıklılık Yasası (DORA) ile uyum gereklidir.
İşçi Partisi’nin en büyük güçlerinden biri, İngiliz iş dünyası için sürtüşmeleri azaltmak amacıyla, Avrupa genelinde halihazırda yürürlükte olan etkili rejimlerle nasıl çalışılacağına dair pragmatik, politik olmayan seçimler yapabilme yeteneğidir.
Peki, bundan sonra ne olacak?
Teknoloji toplumun tam kalbinde yer alır, bu da siber güvenlik zorluklarının hiçbir yere gitmeyeceği anlamına gelir. Bu amaçla, hükümetler ve daha geniş endüstri, bu tehditlerle birlikte yüzleşmek için ortak bir çıkar ve sorumluluğa sahiptir.
CSR ve DISD Tasarılarının başarılı olması için, yeni İşçi Partisi hükümeti bunların tutarlı olduğundan emin olmalı, aksi takdirde birleşik olmayan bir siber strateji riskiyle karşı karşıya kalacaktır. Birleşik Krallık’ın özel teknoloji sektörünün uzmanlığına ve bu hizmetleri kullananların deneyimlerine yaslanmak, bunların etkinliğini ve benimsenmesini destekleyebilir. Hükümet, sektörle etkileşim kurarak, işletmeler ve dijital hizmet kullanıcıları için sağlam siber güvenlik önlemlerinin uygulanmasındaki pratik zorlukları ve fırsatları daha iyi anlayabilir.
Ancak İşçi Partisi, Birleşik Krallık’ın dijital geleceğini güvence altına almak için AB ile birleşik ve koordineli bir yaklaşımı da değerlendirmelidir. CSR ve DISD Yasa Tasarılarının tanıtımı ileriye doğru atılmış bir adımdır, ancak bunların başarısı hükümetin bu girişimleri daha geniş uluslararası standartlar ve endüstri ihtiyaçlarıyla ne kadar iyi uyumlu hale getirebileceğine bağlı olabilir.
Aled Lloyd Owen, Onfido’da küresel politika direktörüdür ve kuruluşun kimlik doğrulama, yapay zeka, düzenleme ve uyumluluk alanındaki gelişmelerin ön saflarında kalmasını sağlamak için stratejik politikalara liderlik eder. Kariyeri boyunca İçişleri Bakanlığı, Kabine Ofisi, Dışişleri ve Milletler Topluluğu Bakanlığı ve İngiltere Sağlık Güvenlik Ajansı’nda görev alan Dr. O’Neill, ayrıca Yapay Zeka ile ilgili Tüm Parti Parlamento Grubu’nda danışma kurulu üyesi olarak görev yapıyor ve Kraliyet Sanat Topluluğu üyesidir.