Da li griješimo regulativu sa otpornošću?

Kao sigurnosni lideri u Velikoj Britaniji, često se osjećamo stisnuti između sve agresivnijeg okruženja prijetnji i proširenog zakonodavnog okvira. Nova procjena zakonodavnog okvira britanske kibernetičke sigurnosti potvrđuje ono o čemu mnogi od nas raspravljaju uz piće na industrijskim konferencijama: davimo se u obavezama usklađenosti, a ipak je sajber otpornost nacije i dalje alarmantno krhka. Za moje kolege širom Ujedinjenog Kraljevstva, ovaj izvještaj nudi pet ključnih zaključaka koji bi trebali oblikovati naše buduće strategije.

Dok Opća uredba o zaštiti podataka Ujedinjenog Kraljevstva (GDPR) teoretski prijeti britanskim kompanijama ogromnim kaznama, Ured povjerenika za informacije (ICO) izdao je samo tri novčane kazne u 2024., umjesto toga često favorizirajući opomene. Još je upadljivija praznina u sprovođenju propisa o mrežnim i informacionim sistemima (NIS).

Uprkos značajnom porastu broja obaveštenja o incidentima, podaci o slobodi informisanja ukazuju na skoro potpuni odsustvo formalnih sankcija od strane ključnih nadležnih organa između 2021. i 2024. (pogledajte tabelu “Snimak situacije” ispod). Iako ovo može zvučati kao odlaganje, to podriva naše interne poslovne slučajeve za ulaganje u sigurnost. Ako regulator neće gristi, ploča neće slušati.

Ovo dovodi do drugog – i možda najviše zabrinjavajućeg – trenda: odvajanja odbora. Velika Britanija je doživjela mjerljiv pad u vlasništvu izvršne vlasti. Procenat preduzeća sa članom odbora koji ima eksplicitnu odgovornost za sajber bezbednost pao je sa 38% u 2021. na samo 27% u 2025. Ovo saznanje će značajno uticati na to koliko ozbiljno naši rukovodioci tretiraju privatnost i bezbednost u budućnosti.

Kao glavni službenici za sigurnost informacija (CISO), ne možemo dozvoliti da se odgovornosti za sajber rizik prebace na IT odjel. Zakon o sajber sigurnosti i otpornosti (CSRB) propustio je ključnu priliku da se odgovornost pred odborima i rukovodiocima stavi kao zakonska obaveza. Ovo ne bi uključivalo pretvaranje CISO-a u „glavnog službenika žrtvenog jarca za informacije“ dodjeljivanjem odgovornosti bez resursa ili ovlaštenja za rješavanje rizika.

Treće, moramo priznati da usklađenost nije jednaka otpornosti. Britanski zakonodavni okvir za kibernetičku sigurnost i privatnost: djelotvornost, provedba i složenost Izvještaj naglašava „mentalitet u polju za potvrdu” gdje se resursi preusmjeravaju na snalaženje u složenim zakonskim zahtjevima, a ne na efikasne sigurnosne kontrole. Rezultat je otrežnjujuća statistika: stopa kršenja sajber sigurnosti za velika preduzeća i dalje iznosi 74%.

Kompanije prolaze revizije, ali i dalje postaju žrtve phishinga i sve sofisticiranijih napada ransomware-a, od kojih su se broj udvostručio između 2024. i 2025. Naš fokus se mora pomjeriti sa generiranja dokumentacije na validaciju operativne otpornosti kroz rigorozno testiranje planova odgovora na incidente.

Četvrto, složenost zakonodavnog pejzaža dostigla je tačku smanjenja povrata. Sa novim CSRB-om se krećemo kroz UK GDPR, NIS regulativu, Zakon o zloupotrebi računara i Zakon o bezbednosti na mreži. Ovaj kumulativni volumen stvara “porez na usklađenost” koji crpi naše ograničene resurse.

Za one od nas koji upravljaju lancima nabavke, ovo je kritično. Teret za naše partnere u malim i srednjim preduzećima (SME) je rušio, potencijalno gušići samu inovaciju na koju se oslanjamo. Moramo revidirati naše lance snabdijevanja ne samo zbog sigurnosti, već i zbog njihove sposobnosti da prežive ovaj regulatorni gubitak.

Konačno, moramo se pripremiti za prošireni opseg CSRB-a. Primijenjena strategija se pomjera ka pristupu „cijelog društva“, dovodeći upravljane pružatelje usluga (MSP) i centre podataka direktno u regulatorno krilo. Ako se oslanjate na treće strane, kao što mnogi od nas čine, regulatorno svjetlo će se uskoro proširiti.

Na kraju, ovaj izvještaj služi kao poziv za buđenje. Ne možemo se osloniti na zakon da riješi problem, niti se možemo osloniti na regulatore da ga dosljedno provode. Moramo izaći izvan „zamke usklađenosti” i izgraditi kulture i kontrole koje preživljavaju kontakt s našim protivnicima.

Odgovor na Britanski zakonodavni okvir za sajber sigurnost i privatnost izvještaj, od Williama Duttona, Oxford Martin Fellow, Global Cyber ​​Security Capacity Centre, Oxford University:

“Debata o vladinoj politici o informacionim tehnologijama prečesto se vrti oko širokih uopštenosti, kao što je da li da se reguliše. Ovaj pronicljivi izveštaj kopa dublje. WCIT [Worshipful Company of Information Technologists] Sigurnosni panel se bavi pitanjima kao što je regulatorni paradoks u ključnim aspektima glavnih vladinih, zakonodavnih i regulatornih izbora, pružajući vrijedne uvide kreatorima politike, regulatorima i nizu poslovnih organizacija, uključujući mala preduzeća. Ovaj izvještaj je sažeta i vrijedna referenca za one koji su ozbiljno zainteresovani za pitanja vezana za sajber sigurnost i privatnost.”

Pročitajte više o usklađenosti sa propisima i zahtjevima standarda

• Britanski Cyber ​​Bill trebao bi biti samo dio šireg napora

• MSP-ovi razmišljaju o uticaju zakona o sajber sigurnosti

  Autor: Simon Quicke

• Kompanije za IT usluge i centri podataka suočavaju se s regulacijom dok zakon o sajber sigurnosti stiže u parlament

  Autor: Bill Goodwin

• Ključ za dijeljenje obavještajnih podataka za sajber sigurnost u Evropi, kaže stručnjak za kibernetiku Komisije EU

  Autor: Lis Evenstad