Det er ikke ofte, at regeringen indrømmer, at den tog fejl. Alligevel blev vi i starten af året forkælet med en sjælden mea culpaen erkendelse af, at et tidligere mål om at gøre Whitehall modstandsdygtig over for alle kendte sårbarheder og angrebsmetoder ikke ville være opnåeligt inden 2030. Denne indrømmelse blev begravet i teksten til Cyberhandlingsplanen (CAP), den seneste indsats fra den seneste administration for at forbedre centralregeringens sikkerhedssituation.
Det er en detaljeret plan med masser af potentiale, og en plan som vil have en effekt langt ud over den offentlige sektor. Men er den nok?
Hvorfor regeringen har brug for en plan
At regeringen har brug for en plan til at styrke cyberrobustheden er uden tvivl. En vurdering fra Government Security Group (GSG) i 2023-24 viste, at 58 kritiske IT-systemer i afdelinger havde "betydelige" sikkerhedshuller, hvilket skabte "ekstremt høj" risiko. Et separat nationalt revisionsorgan (NAO) indberette sidste år viste det sig, at 28 % af 228 ældre IT-systemer havde en høj sandsynlighed for drifts- og sikkerhedsrisici. Manglende færdigheder og finansiering har forværret billedet, hævdede den.
Siden da har der været større indbrud hos Retshjælpsstyrelsen, en afghansk bosættelsesplan hvilket kan koste skatteyderne hundredvis af millioner af pund og mindst to alvorlige sikkerhedshændelser ved Forsvarsministeriets entreprenørerI en tid hvor penge er mangelvare, og offentlige tjenester er i tilbagegang, har regeringen dårligt råd til mere dyre brud på datasikkerheden og alt, der bringer den tiltrængte digitale transformation i fare.
CAP peger på flere mangler:
- Institutionaliseret fragmentering
- Vedvarende arv, cybersikkerheds- og modstandsdygtighedsrisiko
- Siled data
- Underdigitalisering
- Inkonsekvent lederskab
- Mangel på digitale færdigheder
- Diffus købekraft
- Forældede finansieringsmodeller
Hvad er der i den fælles landbrugspolitik?
Den fælles indsats (CAP) lover en "stærk, centraliseret tilgang med klar retning og aktiv ledelse", som vil sætte klare forventninger til, hvordan afdelinger skal håndtere sikkerhed og modstandsdygtighed gennem mere målbare mål og resultater. Det overordnede mål er at forbedre synligheden af cyberrisici og levere stærkere centraliseret indsats på de vanskeligste udfordringer (som ikke kan håndteres af afdelinger alene). Den lover at forbedre hastigheden og kvaliteten af hændelsesresponsen og yde centraliseret støtte til afhjælpning af ældre problemer.
For at nå sine mål fastlægger den fælles landbrugspolitik tre implementeringsfaser:
Fase 1 (inden april 2027): Oprettelse af en regeringsmæssig cyberenhed, implementering af ansvarlighedsrammer, lancering af en tværgående cyberprofession for at tiltrække, opkvalificere og fastholde cyberprofessionelle og offentliggørelse af en regeringsmæssig cyberhændelsesplan.
Fase 2 (april 2027-2029): Skalering af den fælles landbrugspolitik gennem datadrevet beslutningstagning, samt levering af cybersupporttjenester og skalering af reaktionskapaciteter.
Fase 3 (april 2029+): Kontinuerlig forbedring gennem deling af centrale dataindsigter, udbud af tjenester i stor skala, udnyttelse af cyberprofessionen til transformation og sikring af, at afdelinger proaktivt sikrer cyberrisiko på tværs af deres forsyningskæder.
Regeringen hævder, at den fælles landbrugspolitik (CAP) ved at gøre det muligt at digitalisere offentlige tjenester sikkert kan frigøre produktivitetsbesparelser på op til 45 milliarder pund. Alligevel har den kun afsat 210 millioner pund til initiativet.
Separat lancerede den en ny Softwaresikkerhedsambassadørordning at fremme implementeringen af Software Security Code of Practice – et frivilligt initiativ, der sigter mod at minimere risiko og forstyrrelser i softwareforsyningskæden. Cisco, Palo Alto Networks, Sage, Santander, NCC Group og andre har indvilliget i at blive ambassadører. De vil fremme kodeksen på tværs af sektorer, "fremvise praktisk implementering og give feedback for at informere fremtidige politiske forbedringer".
Leverandører i rampelyset
Tristan Watkins, direktør for serviceinnovation hos IT-servicevirksomheden Advania UK, bifalder generelt den fælles landbrugspolitik som "understøttet af klare vurderinger af vores nuværende underliggende problemer". Han argumenterer for, at den vil betyde forskellige ting for forskellige leverandører.
"Regeringens 'strategiske leverandører' vil have krav til cybersikkerhed og modstandsdygtighed indbygget i deres aftaler, som vi kan forvente træder i kraft i marts 2027," fortæller han IO. "Disse detaljer er stadig ikke fastlagt. For andre leverandører kan vi forvente at have mere klarhed efter april 2027, som er den første milepæl for etableringen af regeringens cyberenhed."
Nick Dyer, regional vicedirektør for løsningsteknik hos Arctic Wolf, hævder, at leverandører som minimum forventes at udføre årlige Cyber Essentials-kontroller, hvis de ønsker at forblive compliant. Keiron Shepherd, senior løsningsarkitekt hos F5, er enig. "Leverandørerne bør være klar til mere dybdegående vurderinger og strammere rapporteringsforventninger," fortæller han IO. "Dette skift mod løbende sikring er en stærkere tilgang end den nuværende compliance på tidspunktet for aftalen."
Et igangværende arbejde
Ingen af eksperterne mener dog, at den annoncerede finansiering vil være tilstrækkelig. Dyer fra Arctic Wolf siger, at den "bestemt ikke vil være nok" til at opnå de håbede resultater.
"Vedvarende investeringer og overholdelse af den køreplan, som regeringen har fastlagt, vil være afgørende for dens succes," siger han til IO. "Den foreslåede tretrinstilgang, der fører frem til fuld implementering i begyndelsen af 2027, er praktisk. Dens succes vil dog afhænge af engagement. Prioriteter kan ændre sig, og omstændighederne kan ændre sig i løbet af et år, hvilket betyder, at fortsat tilsyn er afgørende for at sikre, at planen leverer de tilsigtede resultater."
Der er også spørgsmålstegn ved Software Security Ambassador Scheme. Advania UKs Watkins hilser initiativet velkommen, men argumenterer for, at organisationer ikke bør tage det som et tegn på at lempe på risikostyring i forsyningskæden.
"I sidste ende bør praksiskodekset og ordningen ses som gode modstykker til den nye fælles landbrugspolitik og lovforslaget om cybersikkerhed og modstandsdygtighed, der rettidigt dækker et relateret problem," siger han. "Men jeg vil anbefale, at organisationer fokuserer deres interne sikkerhedsindsats på problemer i forbindelse med softwareforsyningskæden, da vi ikke kan stole på en praksiskodeks for at opfylde disse behov."
Arctic Wolfs Dyer går endnu videre og advarer om, at det som en frivillig kodeks kan føre til "inkonsekvent implementering" på tværs af organisationer.
"Påbud om koden ville derimod øge ensartetheden i implementeringen og gøre ansvarlighed målbar," tilføjer han. "Lovlig håndhævelse ville sikre, at softwareudviklere overholder essentielle sikkerhedspraksisser, hvilket uden tvivl ville have været en mere effektiv måde at beskytte kritiske regeringssystemer på."
F5's Shepherd er enig. "Ordningen er konstruktiv, men hvis ambitionen er at reducere risikoen i hele softwareforsyningskæden, vil frivillige foranstaltninger alene ikke opnå dette," konkluderer han. "Vi vil snart nå et punkt, hvor obligatoriske standarder for sikker design vil være den mest effektive måde at opnå konsistens og lukke hullerne på."
