The Wspólny Komitet ds. Strategii Bezpieczeństwa Narodowego (JCNSS) oskarżyła rząd o przyjęcie „strusiej strategii” polegającej na chowaniu głowy w piasek i w dużym stopniu ignorowaniu zagrożenia, jakie dla społeczeństwa Wielkiej Brytanii stanowi możliwość poważnego cyberataku powodującego poważne zakłócenia w krytycznej infrastrukturze krajowej (CNI) i codziennym funkcjonowaniu życie.
Zaznaczam dzisiejszą publikację odpowiedź rządu w związku z obawami wyrażonymi w toku trwającego rok dochodzenia w sprawie systemu ransomware JCNSS wyraziło „ciągłe, głębokie obawy”, iż krótkoterminowe myślenie oraz brak przygotowań i planowania narażają kraj na szkodliwy incydent.
Wstępny raport JCNSS – opublikowany w grudniu 2023 r – przestrzegła, iż Wielka Brytania ryzykuje, iż stanie się „zakładnikiem fortuny” w związku z oprogramowaniem ransomware, a reakcja rządu nie dała jej powodów do radości.
„Być może nie jest zaskakujące, iż rząd nie koncentruje się na przygotowaniu na powszechnie znane, niezwykle wysokie ryzyko niszczycielskiego i rujnująco kosztownego cyberataku na Wielką Brytanię” – powiedziała przewodnicząca JCNSS, wieloletnia posłanka Partii Pracy Margaret Beckett.
„Pomimo tego, iż od lat zajmuje ona czołowe miejsce w krajowym rejestrze ryzyka Wielkiej Brytanii, naszą reakcję na pandemię, gdy nieuchronnie nadeszła, można uznać za chaotyczną.
„W odpowiedzi na nasz raport dotyczący systemu ransomware coraz wyraźniej widać, iż rząd nie zna zasięgu ani kosztów cyberataków w całym kraju – chociaż jesteśmy trzecim krajem na świecie pod względem liczby ataków cybernetycznych – ani nie ma żadnych mamy zamiar w odpowiedzi proporcjonalnie zwiększyć stawkę lub zasoby” – dodał Beckett.
„Jeśli rząd upiera się przy stosowaniu strusiej strategii na rzecz krajowego bezpieczeństwa cybernetycznego – w oparciu o ustawodawstwo uchwalone przed pojawieniem się Internetu, skupiające się na departamencie, który wydaje się mieć trudności ze wzbudzeniem dużego zainteresowania tą kwestią, i w jaskrawym przeciwieństwie do cyberprzestępców, którzy są tak fantastycznie dobrze skoordynowany i wyposażony – skąd ma pochodzić proaktywna reakcja w zakresie bezpieczeństwa narodowego mająca na celu ochronę Wielkiej Brytanii?
„Jeśli rząd upiera się przy stosowaniu strusiej strategii na rzecz bezpieczeństwa cybernetycznego kraju, skąd ma pochodzić proaktywna reakcja w zakresie bezpieczeństwa narodowego mająca na celu ochronę Wielkiej Brytanii?”
„Wielka Brytania jest i pozostanie zdemaskowana i nieprzygotowana, jeżeli będzie kontynuować takie podejście do zwalczania systemu ransomware. Ta odpowiedź rządu nie stanowi zapewnienia, o które zabiegała komisja, ani jakiego potrzebuje kraj, a wszystkie odpowiedzialne i koordynujące departamenty skorzystałyby na odejściu i ponownym rozważeniu, w jaki sposób Wielka Brytania ma bronić się przed tym najbardziej zgubnym zagrożeniem”.
W swojej odpowiedzi rząd odrzucił szereg zaleceń JCNSS, być może przede wszystkim pomysł utworzenia międzysektorowego organu regulacyjnego nadzorującego bezpieczeństwo cybernetyczne operatorów CNI. Stwierdziła, iż nie wierzy, iż pojedynczy krajowy organ regulacyjny zapewni lepszy nadzór oraz iż pomysł ten był rozważany w przeszłości i po odrzuceniu opinii branży.
JCNSS argumentował, iż sami organy regulacyjne odpowiedzialne za wdrażanie obecnego modelu już narzekają, iż ograniczenia zarówno w ich własnych możliwościach cybernetycznych, jak i w przepisach uniemożliwiają im pełne wykorzystanie przysługujących im uprawnień, podczas gdy 42 % operatorów usług kluczowych twierdzą, iż brakuje im umiejętności i potencjału cybernetycznego niezbędnych do działania wbrew obecnym przepisom dotyczącym bezpieczeństwa sieci i informacji.
JCNSS ponownie podkreślił potrzebę przedstawienia przez rząd i Krajowe Centrum Bezpieczeństwa Cybernetycznego nowej oferty pomocy ofiarom cyberataków w pokryciu kosztów reakcji, odzyskiwania danych i działań zaradczych w ramach programów pro bono z sektorem prywatnym, lepszych zasobów dla Krajowego Centrum Crime Agency i współpracować z sektorem ubezpieczeniowym.
W szczególności, jak stwierdził JCNSS, w odpowiedzi rząd nie potwierdził, iż cyberubezpieczenie dla niektórych ofiar, w szczególności MŚP i władz lokalnych, może okazać się niedostępny, a odrzucając jego zalecenie mówiące o konieczności interwencji publicznej w tym obszarze i sugerując, iż sama Krajowa Strategia Cyberbezpieczeństwa posłuży do zmniejszenia roszczeń i niższych składek, ignorowała szybkie wzrost liczby kosztownych ataków cybernetycznych oraz brak zrozumienia częstotliwości i rodzaju występujących incydentów oraz wysokości, jaką ofiary płacą w postaci okupu.
Skarżąca nie znalazła też w odpowiedzi niczego, co mogłoby rozwiać lub złagodzić obawy dotyczące tego, jak nieprzygotowane i pozbawione wsparcia władze lokalne mają sobie poradzić z atakiem systemu typu ransomware, ani nie zaproponowano rozwiązania problemu braku zasobów i umiejętności ani zwiększenia pomocy dla dotkniętych tym władz i instytucji. ludzie.
Komisja stwierdziła, iż spróbuje ocenić, czy podstawy, na których rząd odrzucił najważniejsze zalecenia, znajdują potwierdzenie w dowodach, a jeżeli nie, będzie przez cały czas nalegać na podjęcie zalecanych interwencji.
