Rząd Partii Pracy Keira Starmera ma przedstawić Ustawa o bezpieczeństwie cybernetycznym i odporności w nowej kadencji parlamentu, z zamiarem wzmocnienia cyberobrony Wielkiej Brytanii i zapewnienia ciągłości oraz ochrony usług cyfrowych, przy czym proponowany obowiązek zgłaszania przypadków ataku ransomware będzie stanowić podstawę prawa.
Jeden z wielu potencjalnych nowych aktów prawnych, który został wprowadzony przemówienie królewskie na otwarciu sesji parlamentarnejProjekt ustawy uznaje, iż spółki akcyjne w Wielkiej Brytanii padają coraz częściej ofiarą ataków ze strony cyberprzestępców działających na rzecz interesów finansowych oraz podmiotów państwowych, a celem ataków często padają organizacje zarówno duże, jak i małe.
Rząd stwierdził, iż obowiązujące przepisy dotyczące cyberbezpieczeństwa odzwierciedlają przepisy przejęte od Unii Europejskiej (UE), które są w tej chwili zastępowane przez Brukselę, i dlatego wymagają pilnej aktualizacji, aby nadążyć za zmianami.
Rząd powiedział podstawowe usługi i krytyczna infrastruktura narodowa (CNI) są szczególnie podatne na ataki wrogich podmiotów, o czym świadczy szereg cyberataków, które miały miejsce w ciągu ostatnich kilku lat Dostawcy i fundacje NHS, Ministerstwo Obrony, Biblioteka Brytyjska, Komisja Wyborcza, Królewska Pocztai niezliczoną ilość innych ciał.
W związku z tym projekt ustawy zawiera dwa główne cele: rozszerzenie zakresu istniejących regulacji i zapewnienie organom regulacyjnym solidniejszych podstaw w zakresie ochrony usług cyfrowych i łańcuchów dostaw, a także udoskonalenie wymagań sprawozdawczych w celu uzyskania lepszego obrazu zagrożeń cybernetycznych.
Rząd stwierdził, iż w przyszłości większa liczba organów regulacyjnych może otrzymać większe uprawnienia, w tym potencjalnie mechanizmy odzyskiwania kosztów w celu zapewnienia zasobów oraz możliwość proaktywnego badania luk w zabezpieczeniach systemów informatycznych.
Tymczasem, jak stwierdzono, obowiązkowe zgłaszanie incydentów pomoże rządowi zebrać lepsze dane na temat cyberataków, poprawić krajowe zrozumienie zagrożeń, z jakimi mierzy się Wielka Brytania, i pomóc ostrzegać organizacje i osoby o potencjalnych atakach poprzez rozszerzenie rodzaju i charakteru incydentów, które muszą być zgłaszane przez regulowany podmiot. Naturalnie obejmowałoby to ataki ransomware.
Zgłaszanie systemu ransomware
Biorąc pod uwagę, iż częścią celu rządu jest nadążanie za UE, zwłaszcza w kontekście przygotowań do rozpoczęcia wdrażania dyrektywy nowej generacji, która ma nastąpić 17 października 2024 r. Dyrektywa w sprawie bezpieczeństwa sieci i informacji (NIS2) – jeżeli uda się zrealizować ambicję wprowadzenia obowiązku zgłaszania przypadków systemu wymuszającego okup, Wielka Brytania faktycznie wyprzedzi Europę pod pewnymi względami, na co zwrócili uwagę eksperci ds. ryzyka z kancelarii prawnej Ashurst.
Matt Worsfold, partner w Ashurst Risk Advisory, powiedział: „Jeśli proponowane przepisy zostaną wprowadzone zgodnie z założeniami, będzie uderzające, jak statystyki dotyczące ataków ransomware potencjalnie wzrosną w obliczu obowiązkowego raportowania, biorąc pod uwagę, iż do tej pory powszechnie uważano, iż obecne statystyki nie odzwierciedlają rzeczywistości”.
Silne zaangażowanie
Louise Marie Hurel, specjalistka ds. badań cybernetycznych w Królewski Instytut Usług Zjednoczonych (RUSI) think tank, stwierdził, iż projekt ustawy był silnym wskaźnikiem zaangażowania rządu w cyberprzestrzeń i mocno kontrastował z pojedynczym odniesieniem do cyberataków w manifeście Partii Pracy. Twierdziła, iż cyberbezpieczeństwo wykraczało poza niszowy temat, w istocie stało się teraz „transwersalne dla zapewnienia trwałości strategii rządu w wielu obszarach”.
„Choć przejrzystość tekstu proponowanego projektu ustawy jest przez cały czas ograniczona, dokument będzie musiał gwarantować, iż wszelkie wymogi dotyczące sprawozdawczości będą możliwe do wdrożenia i będą realizowane w dialogu z branżami różnej wielkości, jeżeli ma być skuteczny” – powiedział Hurel.
„Będzie to wymagało delikatnej równowagi między innowacją a aktualizacjami istniejących danych i wymogami raportowania cyberincydentów. Jednak ustawa, choć jest wskaźnikiem zaangażowania w zapewnienie zwiększonej krajowej odporności cybernetycznej, musi być częścią wizji, która skutecznie integruje zapobieganie i reagowanie na cyberzagrożenia.
„Następne miesiące pokażą, w jaki sposób rząd Partii Pracy będzie starał się zwiększyć zdolność Wielkiej Brytanii do walki z cyberprzestępczością – a zwłaszcza z oprogramowaniem wymuszającym okup – w ramach wzmianek o oszustwach internetowych w manifeście i reagowania na zagrożenia cybernetyczne powiązane z państwem, które również powinny zostać uwzględnione w nadchodzący przegląd obronności.”
Iluminacja Dyrektor ds. infrastruktury krytycznej Trevor Dearing był jednym z wielu liderów służb bezpieczeństwa, którzy chwalili plany rządu, ale złagodził swoje słowa ostrzeżeniem.
„Zwiększone uprawnienia regulatorów i raportowanie będą miały najważniejsze znaczenie dla budowania cyberodporności” – powiedział. „Jednakże regulacje odniosą sukces tylko wtedy, gdy będą towarzyszyć im dodatkowe fundusze dla organów publicznych, w przeciwnym razie wszystko, co się stanie, to to, iż regulacje stworzą nierealny cel, którego wdrożenie będzie nieopłacalne.
„Ważne jest również, abyśmy położyli silny nacisk na bezpieczeństwo łańcucha dostaw, biorąc pod uwagę, iż zewnętrzni dostawcy są siłą napędową departamentów rządowych. Cyberprzestępcy zawsze będą atakować najsłabsze ogniwo w łańcuchu, aby uzyskać dostęp do cenniejszego systemu, dlatego musimy uznać nieuchronność naruszenia bezpieczeństwa przez dostawców i odpowiednio ograniczyć ryzyko. Kluczem do osiągnięcia tego celu jest podejście do bezpieczeństwa oparte na ryzyku, zapewniające, iż najbardziej zagrożone usługi otrzymają najwięcej zasobów”.
Lista życzeń cybernetycznych
Inni powiedzieli, iż chcieliby, aby rząd odważył się pójść dalej. Camellia Chan, dyrektor generalna flexxonspecjalistka ds. bezpiecznego przechowywania danych, powiedziała, iż chciałaby, aby większy nacisk położono na zwalczanie cyberprzestępczości, a w szczególności na zapewnienie bezpieczeństwa brytyjskiej służby zdrowia (NHS).
„Opieka zdrowotna – od krajowych służb zdrowia po małe szpitale i apteki – to kopalnia złota dla przestępców, którzy chcą wyłudzić dane i żądać rekompensaty finansowej. Jednak konsekwencje takich ataków mogą wykraczać daleko poza straty finansowe i bezpośrednio wpływać na opiekę nad pacjentami” – powiedział Chan.
„Może to skutkować opóźnieniami w otrzymywaniu niezbędnych leków, niedostępnością wyników badań medycznych i zamykaniem placówek, co może być śmiertelne. W przypadku NHS ataki ransomware doprowadziły do anulowania wizyt, opóźniając leczenie tysięcy pacjentów. Czas, aby organizacje zajmujące się ochroną zdrowia, w tym NHS, i rząd podjęły działania i poparły swoje słowa czynami, inwestując w najnowsze cyberinnowacje”.
Tymczasem Matt Hull z NCC, wypowiadając się w roli przedstawiciela długofalowej Cybernetyczny kampania, która domaga się pilnej reformy przestarzałej ustawy o nadużyciach komputerowych z 1990 r. – która w obecnej formie grozi karaniem uzasadnionych badań nad zagrożeniami sankcjami karnymi, stwierdziła, iż grupa utrzymać presję w nowym parlamencie.
„Wprowadzenie ustawy o cyberbezpieczeństwie i odporności będzie dziś najważniejsze dla ochrony Wielkiej Brytanii przed rosnącymi atakami cybernetycznymi. Biorąc pod uwagę wzrost cyberprzestępczości o prawie jedną trzecią w zeszłym roku, cieszy fakt, iż rząd priorytetowo traktuje aktualizacje naszych cyberpraw” — powiedział Hull.
„Chcemy współpracować z rządem nad dalszymi sposobami zwiększania cyberodporności kraju, a w szczególności nad wszelkimi wysiłkami mającymi na celu uporanie się z przestarzałą ustawą o nadużyciach komputerowych z 1990 r.
„Aktualizacja ustawy umożliwi brytyjskim specjalistom ds. cyberbezpieczeństwa lepszą ochronę Wielkiej Brytanii w sieci, zabezpieczenie gospodarki cyfrowej i uwolnienie pełnego potencjału wzrostu naszej branży cyberbezpieczeństwa” – dodał.
