Technológia

A hosszú távú gondolkodás létfontosságú az Egyesült Királyság kritikus infrastruktúrájának biztosításához

Az Egyesült Királyság kormánya a kiberet a terrorizmus mellett első osztályú fenyegetésként határozta meg, és a számítógépes bűnözés évente hatalmas összegekbe kerül az Egyesült Királyság üzleti vállalkozásainak – és ez csak az a számítástechnikai bűnözés, amelyről tudunk, mert erről rendkívül keveset számoltak be.

Kormány és kritikus nemzeti infrastruktúra (CNI) továbbra is a számítógépes bűnözés nagy részét futtató szervezett bűnözői bandák, valamint az ellenséges nemzetállamok kulcsfontosságú célpontjai, bár ezek ritkábban fordulnak elő. Azonban néha kiszervezik ezt a fajta „munkát” bűnbandáknak.

Így, kiberháború (amint azt a CNI elleni támadásoknak is tekinthetjük) valójában nemcsak az ellenséges nemzetek kezében lehetnek, hanem azoknak az ellenséges nemzeteknek, vagy akár más nemzeteknek is a bűnözői elemei.

A világ valójában többször látta, mi történik, ha sikeresek lesznek (gondoljunk csak Ukrajna háromszor leszerelt hálózati hálózatára, valamint a WannaCry és a NotPetya rokkanttevékenységére a vállalkozások és az NHS számára). De vajon a biztonsági vezetésünk eléggé fejlett-e ahhoz, hogy megbirkózzunk ezzel a tartós és változó fenyegetéssel?

“A legnagyobb fenyegetést a biztonságra ma a meggyőződés hiánya jelenti, hogy bármilyen fenyegetés fennáll” – mondta Lord Radcliffe egy biztonsági jelentésben 1962-ben.

Ennek az első szintű fenyegetésnek a kezelése érdekében a kormányzat középpontjában valódi megértésnek kell lennie – már több éve, hogy a Nemzeti Számvevőszék (NAO) bírálta az információbiztonság körüli megértés és vezető szerep hiányát.

A távvezérelt vagy webalapú rendszerek száma évről évre növekszik, és teljesen helyesen, CNI-jünknek ki kell használnia a megnövekedett kezelhetőséget és költségmegtakarítást, amelyet ezek az új munkamódszerek biztosítanak.

Ugyanakkor a számos régi rendszer összekapcsolására irányuló törekvés változatlanul folytatódik, így azok a rendszerek, amelyeket soha nem internetkapcsolatra terveztek, pontosan ez.

Csatlakozás OT és örökölt rendszerek az internet „legitim” célponttá teszi őket a támadó támadási képességeket kihasználó nemzetállamok, valamint a bűnözők és a terroristák számára egyaránt. Nem tesznek különbséget semmilyen erkölcsi vagy etikai kódex alapján – eredményre törekednek.

Tehát, ha továbbra is mindent lehetővé teszünk az interneten a CNI-nkben, megbocsátható lenne elképzelni, hogy minden lehetséges intézkedést megtettünk biztonságuk és ellenálló képességük biztosítása érdekében.

Még nemrégiben 2017-ben fedeztük fel, hogy az Egyesült Királyság infrastrukturális szervezeteinek több mint egyharmada nem teljesítette az Egyesült Királyság kormánya által kiadott alapvető 10 lépés a kiberbiztonsághoz.

Aligha lehet kétséges, hogy hiányzik a hosszú távú gondolkodás ezen a területen, és olyan megközelítésnek tűnik, amely hasonlít ahhoz, hogy „ha nem tört el, ne javítsd ki”.

Más szóval, ha még mindig működik, akkor tudjuk, hogy nem biztos, hogy biztonságos, de nem fogjuk kiadni a cseréjét, ha még mindig működik. Ennek oka, hogy a javítás nehéznek vagy költségesnek bizonyulhat, esetleg beszállítói beavatkozást igényel. Előfordulhat, hogy az operációs rendszert, amelyre építették, már nem lehet biztonsági javításokkal támogatni, és a karbantartás vagy a csere költségeit nem építették be az életciklus költségeibe.

Kombinálja ezt azzal a különbséggel, amely most körülveszi a CNI fogalmát, és ez nagyon bizonytalan helyzetbe hozza az Egyesült Királyságot. A CNI ma már laza gyűjtemény a nyilvánosság számára és magántulajdonban lévő szervezetek vagy szervezetek, amelyek esetleg nem is belföldi tulajdonban vannak.

Csak olyan sokáig lehet eltemetni a fejét a homokban. Az Egyesült Királyság stratégiai helyzetét ugyanazok diktálják, akik ötéves stratégiákat szoktak írni ötéves kormányzati ciklusokra. De a kiberbiztonság nem működik ötéves ciklusokon; a cyber ma működik, és a valódi ellenálló képességről való beszélgetés csak akkor történhet meg, ha ezt tényként fogadják el.

Mozgékony, iteratív és proaktív válaszra van szükség. A kibernetikai stratégia frissítésének hat év várakozása egyszerűen alátámasztja az NAO észrevételeit, miszerint a kormány nem fogja fel teljesen a fenyegetést.

Ez lehet vagy nem igaz, de igaz, hogy az Egyesült Királyság kiberbiztonságával való első lábra jutás álmai csak azok maradnak, amíg nem valósulunk meg olyan stratégiák felépítésével, amelyek foglalkoznak a nehezebb és kényelmetlenebb valóságokkal viselkednek, és rendszeresen vizsgálják felül őket.