Det skjer ikke ofte at myndighetene innrømmer at de tok feil. Likevel, i begynnelsen av året, ble vi møtt med en sjelden Mea Culpaen erkjennelse av at et tidligere mål om å gjøre Whitehall motstandsdyktig mot alle kjente sårbarheter og angrepsmetoder ikke ville være oppnåelig innen 2030. Den innrømmelsen ble begravd i teksten til handlingsplanen for cyberangrep (CAP), den siste innsatsen fra den siste administrasjonen for å forbedre sikkerhetsstillingen til sentralregjeringen.

Det er en detaljert plan med mye potensial, og en som vil ha en innvirkning langt utover den offentlige sektoren. Men er det nok?

Hvorfor myndighetene trenger en plan

At myndighetene trenger en plan for å styrke cyberrobustheten er det ingen tvil om. En vurdering fra Government Security Group (GSG) i 2023–24 fant at 58 kritiske IT-systemer i avdelinger hadde «betydelige» sikkerhetshull, noe som skapte «ekstremt høy» risiko. Et separat nasjonalt revisjonskontor (NAO) rapporterer fant i fjor at 28 % av 228 eldre IT-systemer hadde høy sannsynlighet for driftsmessige og sikkerhetsmessige risikoer. Kompetansemangel og finansieringsmangel har forverret bildet, hevdet den.

Siden den gang har det vært store innbrudd på Rettshjelpsbyrået, en afghansk bosetningsplan  som kan koste skattebetalerne hundrevis av millioner pund, og minst to alvorlige sikkerhetshendelser på Forsvarsdepartementets entreprenørerI en tid hvor penger er mangelvare og offentlige tjenester er i tilbakegang, har myndighetene dårlig råd til mer kostbare sikkerhetsbrudd og alt som setter sårt tiltrengt digital transformasjon i fare.

CAP peker på flere mangler:

  • Institusjonalisert fragmentering
  • Vedvarende arv, cybersikkerhet og robusthetsrisiko
  • Siled data
  • Underdigitalisering
  • Inkonsekvent lederskap
  • Mangel på digitale ferdigheter
  • Diffus kjøpekraft
  • Utdaterte finansieringsmodeller

Hva står i CAP?

CAP lover en «sterk, sentralisert tilnærming, med klar retning og aktivt lederskap», som vil sette klare forventninger til hvordan avdelinger skal håndtere sikkerhet og robusthet gjennom mer målbare mål og resultater. Det overordnede målet er å forbedre synligheten av cyberrisiko og levere sterkere sentraliserte tiltak mot de vanskeligste utfordringene (som ikke kan håndteres av avdelinger alene). Den lover å forbedre hastigheten og kvaliteten på hendelsesresponsen og gi sentralisert støtte for å utbedre eldre problemer.

For å nå sine mål setter CAP opp tre faser for implementering:

Fase 1 (innen april 2027): Etablering av en statlig cyberenhet, implementering av ansvarlighetsrammeverk, lansering av en tverrstatlig cyberprofesjon for å tiltrekke, oppgradere og beholde cyberfagfolk, og publisering av en statlig plan for respons på cyberhendelser.

Fase 2 (april 2027–2029): Skalering av den felles jordbrukspolitikken gjennom datadrevet beslutningstaking, samt levering av cyberstøttetjenester og skalering av responskapasiteter.

Fase 3 (april 2029+): Kontinuerlig forbedring gjennom deling av sentral datainnsikt, tilbud av tjenester i stor skala, utnyttelse av cyberprofesjonen for transformasjon og å sørge for at avdelinger proaktivt sikrer cyberrisiko på tvers av forsyningskjedene sine.

Regjeringen hevder at CAP, ved å gjøre det mulig å digitalisere offentlige tjenester på en sikker måte, kan frigjøre produktivitetsbesparelser på opptil 45 milliarder pund. Likevel har de bare bevilget 210 millioner pund til initiativet.

Separat lanserte den en ny Programvaresikkerhetsambassadørordning å fremme implementeringen av kodeksen for programvaresikkerhet – et frivillig initiativ som tar sikte på å minimere risiko og forstyrrelser i programvareforsyningskjeden. Cisco, Palo Alto Networks, Sage, Santander, NCC Group og andre har blitt ambassadører. De vil fremme kodeksen på tvers av sektorer, «vise frem praktisk implementering og gi tilbakemeldinger for å informere fremtidige forbedringer av policyen».

Leverandører i søkelyset

Tristan Watkins, direktør for tjenesteinnovasjon i IT-tjenesteselskapet Advania UK, ønsker generelt CAP velkommen og mener den er «underbygd av klare vurderinger av våre nåværende underliggende problemer». Han argumenterer for at den vil bety forskjellige ting for forskjellige leverandører.

«Regjeringens «strategiske leverandører» vil ha krav til cybersikkerhet og robusthet innebygd i avtalene sine, som vi kan forvente vil tre i kraft innen mars 2027», sier han til IO. «Disse detaljene er fortsatt ikke klare. For andre leverandører kan vi forvente å ha mer klarhet etter april 2027, som er den første milepælen for etableringen av regjeringens cyberenhet.»

Nick Dyer, regional visepresident for løsningsteknikk i Arctic Wolf, hevder at leverandører som et minimum vil bli forventet å utføre årlige Cyber ​​Essentials-kontroller hvis de ønsker å forbli i samsvar med regelverket. Keiron Shepherd, senior løsningsarkitekt i F5, er enig. «Leverandører bør være forberedt på mer grundige vurderinger og strengere rapporteringsforventninger», sier han til IO. «Dette skiftet mot kontinuerlig sikring er en sterkere tilnærming enn dagens samsvar på tidspunktet.»

Et arbeid som pågår

Ingen av ekspertene tror imidlertid at den annonserte finansieringen vil være tilstrekkelig. Dyer fra Arctic Wolf sier at den «absolutt ikke vil være nok» til å oppnå de håpefulle resultatene.

«Vedvarende investeringer og overholdelse av planen som er fastsatt av myndighetene vil være avgjørende for at den skal lykkes», sier han til IO. «Den foreslåtte tretrinnstilnærmingen som fører frem til full implementering innen tidlig 2027 er praktisk. Suksessen vil imidlertid avhenge av engasjement. Prioriteringer kan endre seg, og omstendighetene kan endre seg i løpet av et år, noe som betyr at fortsatt tilsyn er avgjørende for å sikre at planen leverer de tiltenkte resultatene.»

Det er også spørsmålstegn ved programvaresikkerhetsambassadørordningen. Advania UKs Watkins ønsker initiativet velkommen, men argumenterer for at organisasjoner ikke bør ta det som et tegn på å lette på risikostyring i forsyningskjeden.

«Til syvende og sist bør praksiskodeksen og ordningen sees på som gode motstykker til den nye CAP og lovforslaget om cybersikkerhet og robusthet, og dekke et relatert problem i tide», sier han. «Men jeg vil anbefale at organisasjoner fokuserer sin interne sikkerhetsinnsats på bekymringer knyttet til programvareforsyningskjeden, ettersom vi ikke kan stole på en praksiskodeks for å dekke disse behovene.»

Arctic Wolfs Dyer går lenger og advarer om at det, som en frivillig kodeks, kan føre til «inkonsekvent adopsjon» på tvers av organisasjoner.

«Å gjøre koden obligatorisk, derimot, ville øke konsistensen i adopsjonen og gjøre ansvarlighet målbar», legger han til. «Å håndheve den juridisk ville sikre at programvareutviklere oppfyller viktige sikkerhetspraksiser, noe som uten tvil ville vært en mer effektiv måte å beskytte kritiske offentlige systemer på.»

F5s Shepherd er enig. «Ordningen er konstruktiv, men hvis ambisjonen er å redusere risikoen i hele programvareforsyningskjeden, vil ikke frivillige tiltak alene oppnå dette», konkluderer han. «Vi vil snart nå et punkt der obligatoriske standarder for sikker design vil være den mest effektive måten å oppnå konsistens og lukke hullene på.»