Nacionalna kancelarija za reviziju pronašla je u Velikoj Britaniji Cyber otpornost koja želi, oslabila naslijeđe i nedostatke vještina i suočavanje sa montažnim prijetnjama
Od
Brian McKenna,Enterprise Applications Editor
Objavljeno: 29. januara 2025. 0:01
Nacionalni ured za reviziju (NAO) pronašao je cyber otpornost u Velikoj Britaniji da bude značajno iza tamo gdje treba biti, pred montažama i opasnijim prijetnjama.
U svojoj Vladina cyber otpornost Izveštavanje, javna čuvar potrošnje upozorio je da cyber pretnja Velikoj Britaniji je “ozbiljna i napredna brzo”. Uložilo se da je 58 kritičnih državnih IT sistema, ocijenjeno 2024. godine, imao značajne razlike u cyber otpornosti, a vlada ne zna koliko je ranjiva najmanje 228 “naslijeđenih” IT sistema.
Izvještaj ne pokriva cyber otpornost lokalne uprave, NHS-a ili naciju u cjelini. Terenski rad za izvještaj proveden je između maja i oktobra, sa osobljem NAO-a koji intervjuiše službenike iz kabineta u kabinetu o naporima na podršci vladinim odjelima u provedbi vladine Cyber Strategiju sigurnosti: 2022-2030.
Strategija je uključivala cilj za ključne vladine organizacije koje su “značajno otvrdnute za cyber napad do 2025.”, ali vlada nije poboljšala njezinu cyber otpornost dovoljno brzo da bi se u skladu sa tim ciljem, rekao NAO.
NAO je također intervjuirao zvaničnike iz Nacionalnog Cyber sigurnosnog centra (NCSC) i Centralnog digitalnog i podatkovnog ureda (CDDO), zajedno sa cyber sigurnosnim državnim službenicima iz državnih odjela i britanske biblioteke.
Najveći rizik od otpornosti u Velikoj Britaniji od otpornosti na cyber napad predstavlja jaz vještina zijevanja, u skladu sa izvještajem. Pronašao je jedan u tri uloga za cyber sigurnosne sigurnosti u vladi bili prazni ili ispunjeni privremenim – i skupljim – osobljem 2023-24, dok je više od polovine cyber uloge u nekoliko odjela bilo upražnjeno, a 70% stručnih sigurnosnih arhitekata bilo je osoblje na privremenim ugovorima.
NAO je rekao da su odjeli izvijestile da su plaće i procesi zapošljavanja državne službe prepreke za zapošljavanje i održavanje ljudi sa cyber vještinama.
Ostale zabrinutosti uključuju nedostatak koordinacije unutar vlade, što ugrožava efikasnu cyber odbranu. NAO je utvrdio da su odgovarajuće uloge odjela i centralnih organizacija, poput NCSC-a, “nedovoljno shvaćene”, a ili niti imaju lideri odjela “dosljedno priznati relevantnost cyber rizika za njihove strateške ciljeve”.
Vlada mora djelovati sada, pozvala autore izvještaja.
Gareth Davies, šef NAO-a, rekao je: “Rizik od cyber napada je ozbiljan, a napadi na ključne javne usluge vjerovatno će se dogoditi redovno, ali vladin rad na rješavanju toga je spor.
“Da bi se izbjegli ozbiljni incidenti, izgraditi otpornost i zaštitu vrijednosti za novac svog poslovanja, vlada se mora nadoknaditi akutnom cyber prijetnjom.
Kako bi se izbjegli ozbiljni incidenti, izgradili otpornost i zaštitu vrijednosti za novac svog poslovanja, Vlada se mora nadoknaditi akutnom cyber prijetnjom koja mu se suočava Gareth Davies, Nacionalni ured za reviziju
“Vlada će se i dalje teško sustići dok se uspješno ne bavi dugogodišnjim nestašicom cyber vještina, jača odgovornost za cyber rizik, a bolje upravlja rizicima koje su bili naslijeđe.”
GAPS CYBER Resilience
NAO je ocijenio da li vlada drži korak sa brzo razvijanjem cyber prijetnjom koja se suočava s neprijateljskim akterima. Otkrilo je da nije.
Primijetio je da je vladina shema osiguranja vlade, Govasseure, koja je samostalno ocijenila 58 kritičnih IT sistema od strane do 2024. godine, pronašla značajne praznine u cyber otpornosti, s višestrukim kontrolama temeljnih sustava na malim nivoima dospijeća u odjelima. Govassure procjenjuje kritične sisteme vladinih organizacija. Postavljen je u aprilu 2023. godine.
Prema izvještaju NAO-a, vladini odjeli su koristili najmanje 228 naslijeđenih IT sistemaOd marta 2024. godine, a vlada ne zna koliko su ranjivi ovi sistemi Cyber napad.
Izvještaj je napomenuo da je u aprilu 2024. godine, vladina grupa Vlade kabineta (GSG) izvijestila ministrima da su neki odjeli značajno smanjili svoje programe za poboljšanje cyber sigurnosti za finansiranje drugih prioriteta. To je zbog “smanjenja finansiranja programa, nedostatak pristupa cyber vještinama, izazovima sa partnerima za dostavu i kašnjenja u odjeljenju i prekobilježbu odobrenja”.
Kao primjeri načina na koji šteti cyber napadi, Nao je naveo instancu, u junu 2024. godine napad na dobavljača patoloških usluga NHS-u na jugoistočnom Londonu, koji je doveo do dva NHS fondacijska povjerenja odgodeći 10.152 akutne vanjske sastanke i 1.710 izbornih postupaka. Također je naveo napad britanske biblioteke Ransomware u oktobru 2023. godine, koji je već koštao 600.000 funti za obnovu svojih usluga. Biblioteka očekuje da će više puta provesti više kao što se i dalje oporavlja.
Izvještaj je također dao i druge primjere napada na Ministarstvo odbrane i parlamenta. U maju 2024. godine, mrežnu mrežu radova iz plaćanja moma kompromitirala je napadač – mreža koja je održala podatke osoblja Oružanih snaga. Dalje se na vrijeme, 2021. godine, kineski napadač koji je pridružen, rekao je, rekao je izveštaj, vrlo vjerovatno odgovoran za cyber kampanju protiv parlamentarnih računa e-pošte članova u oba doma parlamenta.
Izvještaj je izjavio da u martu 2024. godine, odjeli nisu u potpunosti financirali planove za osnaživanje oko polovine naslijeđene IT imovine vlade – 53%, ili 120 od 228.
NAO preporučuje da se vlada razvija, akcije i započinje korištenjem plana provedbe u okviru vladine cyber sigurnosne sigurnosti u narednih šest mjeseci. Također sugerira cjelokupnu vladu treba drugačije djelovati.
U sljedećoj godini, vlada bi trebala napraviti i donijeti planove za ispunjenje praznine cyber vještina u radnovima, rekao je NAO.
Tehnologije najviše trube trenutnu i prethodnu vladu – umjetna inteligencija (AI) – AI može poboljšati vladinu cyber sigurnost, ali također može pomoći prijetnjama u našem demokratskom sustavu. NCSC sarađuje sa svojim partnerima kako bi ostvarili pridružene rizike. “
Pročitajte više o tome za vladin i javni sektor
HMRC izgleda nadograditi SOC sa naprednim Siem Tech
Napisao: Alex Scroxton
Vlada Velike Britanije nedovoljno pripremljena za katastrofalni cyber napad, čuje PAC
Napisao: Brian McKenna
Poduzeća u Velikoj Britaniji trebale bi pogledati Irsku AMID EU Cyber sigurnosni remont
Vlada iznosi Cyber bezbednosni kodeks za stoke AI rast
