Kritična lokalna infrastruktura koja podržava gradske službe, usluge socijalne skrbi i lokalni prijevoz u Ujedinjenom Kraljevstvu propada kroz rupe u državnom i poslovnom planiranju za kibernetičku otpornost, tvrdi Jonathan Leedirektor cyber strategije u tvrtki za cyber sigurnost TrendAI.
U intervjuu za Computer Weekly, Lee kaže da bi općinska područja, poput Londona ili šireg Manchestera, mogla biti u opasnosti od više kibernetičkih napada koji bi mogli oštetiti lokalnu infrastrukturu, uzrokujući sve veće probleme za stanovnike koji bi mogli dovesti do ozbiljnih poremećaja.
“Moramo razmisliti o tome što bi se dogodilo da se više napada dogodi u isto vrijeme u cijeloj gradskoj regiji – i ljudskom utjecaju nemogućnosti obavljanja svog posla kako treba, nemogućnosti putovati okolo i nemogućnosti pružanja javnih usluga”, kaže.
Prijedlog zakona o kibernetičkoj sigurnosti i otpornosti (CSRB), koji trenutno prolazi kroz parlament, ima za cilj osigurati da su ključne nacionalne službe, poput zdravstva, vode, transporta i energije, zaštićene od kibernetičkih napada koji koštaju gospodarstvo milijarde funti godišnje. Ali lokalna infrastruktura relativno je zanemarena, tvrdi Lee.
Okvir Cyber Assurance Nacionalnog centra za kibernetičku sigurnost (NCSC), na primjer, ima za cilj pomoći operaterima kritične nacionalne infrastrukture (CNI) da pokažu osnovnu razinu spremnosti za kibernetičku sigurnost – ali to nije obavezno i ne provodi ga svaka organizacija koja bi ga trebala implementirati.
Sadržaj objave
Rizik cijelog društva
“Moramo biti stroži u osiguravanju da ljudi ovo shvate ozbiljno i da ne gledaju samo na vlastitu organizaciju, već da gledaju na rizik cijelog društva”, kaže Lee.
Napadi na javne službe, kao što je socijalna skrb koju vode općine, mogu imati katastrofalan učinak na NHS i skrb za pacijente, dodaje.
Postoji potreba za više savjeta “odozgo prema dolje” za pružatelje regionalne infrastrukture, od organizacija kao što je NCSC, koji nije toliko poznat kao što bi mogao biti među tvrtkama i tijelima javnog sektora koji pružaju lokalnu infrastrukturu.
“Poruka se mora prenijeti na lokalne razine kako bi se osiguralo širenje dosljedne poruke, a to također može biti putem partnera u industriji. To je nešto oko čega se snažno osjećam”, kaže Lee.
Program Cyber Essentials, koji je ažuriran kako bi uključio nove zahtjeve za organizacije da koriste multifaktorsku autentifikaciju (MFA) i zahtjeve za pružatelje usluga oblaka da zakrpe ranjivosti u roku od 14 dana, pomogao je u izgradnji otpornosti, ali samo za organizacije koje se odluče pridržavati toga.
Održavanje rezultata otpornosti
Vlada Ujedinjenog Kraljevstva također namjerava objaviti Cyber akcijski plan u nadolazećim mjesecima, koji će usmjeravati organizacije da isprave osnovnu sigurnost i poboljšaju svoju cyber sigurnost tijekom vremena.
Iako inicijativa i akcijskih planova ne nedostaje, postoji opasnost da će mnogi od tih planova ostati na polici.
Jedan pristup je da se organizacije ocijene na tablici rezultata za kibernetičku otpornost, na ljestvici od, recimo, 1 do 100, te da o svom napretku izvijeste direktore na razini odbora.
“Potreban nam je mehanizam za mjerenje utjecaja ovih intervencija, bilo da se radi o stvarima kao što su Cyber Assessment Framework, Cyber Essentials ili zakonodavstvo”, kaže Lee.