近日,英国政府发布《2022年网络安全激励和监管审查报告》。本文详细介绍了 2016 年至 2021 年间在提高网络弹性方面取得的进展,并提供了证据和分析,说明为什么需要采取进一步行动以确保我们有效地管理英国的网络风险。该审查是2016 年网络安全监管和激励审查的后续行动,审查是否需要额外的监管或激励措施来促进整个经济的网络风险管理。
网络威胁程度日益升级,但网络攻击方式往往并不复杂。由于网络安全防护薄弱和利用已知漏洞,网络攻击成功率极高。对于每一个高度复杂的敌对状态攻击,例如SolarWinds,都有数百次底层的网络钓鱼、拒绝服务和勒索软件攻击。提高整个经济和社会的网络弹性,即使这只是确保一致实施良好网络安全实践的基础,也是抵御网络攻击的第一道防线。政府认识到这是一个复杂的挑战,如果英国要成功地变得更具网络弹性,就需要企业、组织和公众的参与。
自2016 年以来,政府在应对网络威胁和提高英国社会和经济的复原力方面取得了重大进展。通过国家网络安全战略(2016-2021),政府的工作重点是解决对英国的网络威胁。通过提供国家网络安全中心的建议和指导,以及实施《通用数据保护条例》、《2018年数据保护法》和《2018年网络和信息系统条例》,网络风险管理得到了改善。更广泛的业务框架集尚未有效激发整个业务所需的治理和问责制,以显著提高弹性并有效管理当前和未来的网络风险。
为了提高整个经济和社会的网络弹性,政府需要更加主动和干预。本文列出了这种方法变化的证据,并解释了未来政府在四个关键政策领域进行干预的拟议方向:
基金会:提供有关网络风险管理的建议和指导以及促进可信赖的服务;
能力:支持能够实施建议和指导的熟练专业人员;
市场激励:与市场参与者合作,为组织投资网络安全措施创造激励机制;
问责制:让组织对其网络风险的有效管理负责。
本次审查中提出的方法构成了计划的一部分,以实现最近发布的国家网络战略的成果,其中包括:建立一个有弹性和繁荣的数字英国,降低网络风险并确保公民网上隐私安全并相信其数据是受保护的。
战略政策框架
勒索软件攻击在全球范围内显著增加,这可能对关键的国家基础设施和政府服务造成严重破坏。2021年 5 月,针对Colonial Pipeline Company的勒索软件攻击关闭了美国最大的燃料管道数日,并导致该国东海岸的燃料短缺。国家网络安全中心 (NCSC) 报告称,2020年针对英国的勒索软件攻击显著增加,其中包括针对Redcar 和克利夫兰自治市议会的攻击,该攻击使该委员会损失了约1040 万英镑。
这一趋势表明,企图勒索软件攻击将在全球和英国增加,犯罪分子正在开发新技术来规避网络防御。NCSC还发现了勒索软件攻击方式的转变:犯罪分子不仅没有阻止对数据的访问,反而越来越多地窃取敏感数据并威胁要公开泄露数据,不仅损害了组织安全,还损害了个人安全。
随着供应链变得越来越相互关联,供应商产品和服务中的漏洞相应地成为寻求访问组织的攻击者的更具吸引力的目标。最近备受瞩目的攻击包括2021 年 7月的 Kaseya全球供应链入侵。Kaseya是一家托管服务提供商的信息技术解决方案开发商,当恶意行为者利用软件漏洞针对多个托管服务提供商及其客户时,该公司遭到入侵。目前估计有 800 到1500个组织受到攻击。该事件表明,组织供应链中看似很小的参与者如何将不成比例的高水平网络风险引入更广泛的经济。在这种背景下,政府将业务弹性和网络安全视为内在联系。
威胁正在适应快节奏的网络环境,因此网络安全计划的设计必须能够在变化期间不断发展。“网络弹性”——组织准备、响应和从网络攻击和安全漏洞中恢复的能力——是运营弹性和连续性的关键,也是我们适应整个英国经济增长和繁荣的关键。线上运营的需求。
在弹性方面,政府需要查看“数字堆栈”的各个层面。网络弹性不能简单地视为保护数据或采购最新技术:它涉及识别关键服务和基础设施、评估漏洞、确保适当的缓解措施和系统到位,以及创建支持性治理结构。
证据表明,自2016年以来的政府举措对网络安全产生了积极影响,特别是《通用数据保护条例》(GDPR)和《网络和信息系统安全》(NIS)指令的实施,以及建立英国世界领先的国家网络安全中心 (NCSC)。尽管如此,通过我们的年度网络安全漏洞调查和我们的2019年网络安全激励与监管审查收集的证据表明,这些努力本身不足以推动组织网络风险管理的必要改进,并确保经济作为整体得到充分保护。
2016-2021 年进展回顾
2016年监管和激励措施回顾认识到,对于许多组织而言,缺乏信息可能是行动的主要障碍。因此,在(当时)即将出台的 GDPR 和NIS 指令的新要求之前,第一个国家网络安全战略侧重于通过增加提供支持和信息来为组织做好准备,以提高组织嵌入GDPR 和 NIS指令的能力。NCSC的建立旨在作为提供这种支持和信息的重要门户。
关于监管和激励措施的正确组合,2016年审查侧重于如何将良好的网络风险管理更好地嵌入公司治理流程。虽然已经有几项监管提案正在考虑之中,但 2016年审查得出结论,从积极的业务参与立场出发,网络风险管理会更有效,而不是建立可能不会导致变革性行为改变的合规文化。因此,2016 年审查建议NCSC 与董事会合作,了解他们的网络风险以及他们如何改进风险管理。作为回应,并直接与董事会接触,NCSC为各种规模的董事会制作了网络安全工具包,以帮助他们向其组织的领导团队提出正确的问题。
GDPR 和NIS 指令被认为是积极的干预措施,有可能推动网络安全行为的显著改善。然而,2016年审查建议其影响必须接受定期审查,并指出该评估可能导致考虑采取进一步的政府行动,以实现所需的网络风险管理改进。
自2016 年以来,政府通过其网络安全漏洞调查每年跟踪组织在网络安全漏洞和攻击方面的经验。2020年网络安全漏洞调查发现,随着时间的推移,组织对漏洞和攻击的抵御能力越来越强,与2016 年相比,他们报告漏洞带来的负面结果或影响的可能性更低,并且更有可能实现更快的恢复。2021年网络安全漏洞调查显示,其中一些进展已经趋于平稳或在某些情况下恶化,这可能是由于企业发现在COVID-19 大流行期间更难管理网络安全措施。然而,总体而言,组织仍然比 2016 年更具弹性。
2020 年,DCMS发布了 GDPR对网络安全成果的影响。这项研究特别关注GDPR 的影响,与网络安全漏洞调查类似,表明自GDPR 引入以来,网络安全优先级和实践发生了积极变化。DCMS正在就数据保护和英国GDPR的改革进行更广泛的咨询,以确保人们的数据安全可靠,同时支持英国的增长和创新。尽管组织的网络风险管理有了这些改进,但大量识别网络安全漏洞或攻击的组织报告了特定的负面结果或影响。
2019 年,DCMS发起了网络安全激励和监管征询证据,以寻求有关组织在管理其数字安全风险方面面临的核心障碍的反馈。特别是,它呼吁行业确定信息和保证,这些信息和保证将使组织更好地优先考虑和投资减轻网络风险,作为其更广泛的组织弹性和业务连续性的一部分。征集证据是检验许多组织在管理风险时面临障碍时,理解的关键第一步。当政府公布收到的证据摘要时,这些障碍被概述为:组织可能存在的一系列无能,从不知道该做什么,到没有正确的技能和资源缺乏商业理由或刺激的商业驱动力,网络风险管理的优先级和投资复杂且不安全的数字环境,在这个数字时代,组织的许多业务运营都在其中建立超过70% 的受访者同意,这三个障碍中的每一个都是组织有效管理风险的障碍。受访者还强调了另外两个障碍:缺乏激励措施来支持组织保护其在线组织;监管不足,无法迫使组织更好地管理网络风险。
调查结果强调,缺乏商业理由是组织的一个重大障碍,并且被确定为微型和小型组织的一个更严重的障碍。总体表明,较软的杠杆和积极的业务参与本身不足以改变行业行为以应对日益增长的威胁形势。
政府必须帮助公司董事会了解网络安全是其业务弹性不可或缺的组成部分,并且必须成为其风险管理的一部分。他们的客户和他们的股东一样期待它。为了有效管理网络风险,组织必须将网络风险管理与更广泛的企业和数字风险管理相结合。因此,需要将网络安全纳入强有力的公司治理程序和董事会层面的代表,建立和发展来自NCSC、BEIS和 DCMS 的现有支持。
因此,政府未来对提高企业网络弹性的支持将侧重于:在企业内部实现更好的决策和治理实践,提高组织对什么是适合和相称的自身运营的理解,并对其拥有所有权和责任风险管理采取更具干预性的方法来利用市场激励措施和法规,以便快速建立更好的实践,以跟上不断变化的风险环境,并确保对网络攻击对其自身业务、客户和客户的影响承担责任他们开展业务的更广泛的经济体。
方法
我们的方法是:加快采取有效行为的速度,政府将在国家网络战略的弹性支柱背景下制定明确的战略框架,以便专注于帮助组织了解采用网络安全实践作为业务弹性的核心部分的商业理由。
为了确保英国的网络弹性结果持续改善,政府将在所有四个政策领域提供支持:基础、能力、市场激励和责任(P1 - P4)。
四个政策领域:整体方法基础和能力(P1 和P2)侧重于政府如何为企业提供工具、支持和技能,以帮助他们了解如何实施网络卫生实践。后两个领域,市场激励和问责制(P3 和P4),关注需要从市场驱动或监管角度刺激对这些行为的吸收需求。整体方法与数字监管计划中规定的监管原则一致,该计划要求政府利用所有可用的监管工具,包括行业主导或共同监管措施。
将供应链风险管理纳入市场激励工作流程表明,这些支柱旨在相辅相成。如果组织不提供必要的指导和技能以帮助组织了解行为改变的诱因并有效遵守,则期望组织自愿改变其行为或政府采取监管行动是不合适的。
以下部分概述了这四个支柱中每个支柱中现有的和新的优先政策举措。这些部分将涵盖将于 2021 年底发布的下一个国家网络战略过程中的活动。
基础:建议、指导和活动
国家网络安全战略(NCSS) 于 2016年实施时,网络安全指导和支持主要针对关键的国家基础设施,对更广泛经济中的企业的支持有限。
在NCSS的过程中,重点关注为企业创建可访问的、量身定制的指导和支持,以帮助解决采取行动的障碍并防范最常见的网络威胁。为了建立网络弹性的基础,政府重点关注三个广泛领域:
提高对网络威胁的认识;
帮助企业知道该做什么(指导、标准和框架);
提高对现有政府支持的吸收(参与活动)。
提高对威胁的认识是我们希望企业采取行动的重要一步。在过去五年中,政府开展了 CyberAware(前身为 CyberStreetwise)活动,以突出威胁并向公众和小企业展示如何保护自己。此外,警察局的保护计划将专门的网络官员带入所有警察部队,这为当地企业在地区内的参与创造了机会。
作为政府在网络安全方面的技术专长中心,NCSC现在已经为包括公民在内的整个经济和社会的受众制定了广泛的定制指南。面向小型企业的入门级指南和计划有助于抵御大量低复杂度、无针对性的网络攻击。这包括CyberEssentials Readiness Toolkit 和通过CyberAware 提供的建议。
对于较大的组织,有更广泛的建议来支持所需的网络风险管理活动范围。这包括帮助公司了解他们需要采取的行动范围的综合战略和框架,例如网络安全的10 个步骤,它超越了技术措施,包括治理流程和组织文化。董事会工具包展示了高级管理人员如何推动网络弹性改进,同时在线培训和事件演习也可从NCSC 免费获得。
为了加强对网络威胁的认识,分发指导并推动网络安全措施的采用,政府实施了一项重要的行业参与计划。这包括 BEIS 和NCSC等政府部门的沟通、活动和参与,执法部门的活动和外展,以及与行业组织和贸易机构(如小企业联合会和英国零售联盟)的合作。其中一个关键部分是将信息与NCSC 技术建议保持一致,并确保通过政府研究收集的见解以及与经济和社会各部门的接触为活动提供信息。
然而,在实现整个经济的网络弹性转型之前还有一段路要走,这在2016 年国家网络安全战略中被列为目标。英国网络调查研究表明,大约一半的企业(48%)不将网络安全视为优先事项,或者认为它们不太可能成为攻击目标。让更多此类企业参与制定基本保护措施是关键优先级,以及推动其他参与度更高的公司在网络弹性成熟度的旅程中走得更远。
因此,需要一种更积极的方法来推动更快、更广泛地采用网络弹性措施。我们正在探索哪些政府干预措施将扩大现有指导和参与的范围,以使网络安全成为良好商业实践标准集的一部分。这将需要更大的市场干预,特别是通过探索增加企业问责制的机制。
基础:标准
除了提供建议和指导外,政府还开发了一系列风险管理和值得信赖的产品和服务,通过激励组织遵守规定的网络卫生措施来帮助他们保持在线安全。这些产品使组织能够展示他们对网络安全的承诺,并让客户、投资者、保险公司和其他利益相关者相信他们已采取必要措施来管理网络风险。
政府目前提供了许多产品,使组织能够确信他们受到保护和保险,可以抵御一系列常见的网络攻击,其中最著名的是CyberEssentials 和 CyberEssentials Plus。未来将继续推动它们的使用,并在必要时采取措施,在情况允许的情况下强制使用。
CyberEssentials 计划旨在通过设置五项基本技术控制措施(可以通过CyberEssentials PLUS 进行独立审计或测试)来帮助无论规模大小的组织提高其网络弹性并保护自己免受最常见的基于互联网的威胁。
DCMS 目前正在与NCSC 合作,就如何改进CyberEssentials 提出一系列建议。这些建议考虑了组织在访问该计划时可能遇到的障碍的关键见解;以及整个英国经济的需求;不断变化的威胁格局;CyberEssentials 于 2020年 4 月向单一交付合作伙伴IASME 联盟过渡所带来的机遇。此外,政府将继续评估CyberEssentials 作为帮助管理政府供应链风险的工具的有效性,覆盖面和深度方面。
NCSC还开发了网络评估框架,这是一种评估网络弹性的工具。
网络评估框架主要针对在英国日常生活中发挥重要作用的组织,例如构成关键国家基础设施一部分或受某些类型网络监管的组织,包括网络和信息系统法规。网络评估框架和相关指南旨在提供一种系统的综合方法来评估特定基本功能的网络风险由负责组织管理的程度。
网络评估框架的基础是一组14 项原则,它们共同代表了强大的网络安全和弹性水平。这些原则描述了组织需要实现的重要成果,以成功管理由网络攻击导致的组织基本功能中断的风险。由于它不是网络安全控制的规定性清单,因此网络评估框架可供多个部门的广泛组织使用。它最适合具有既定网络安全能力水平的大型组织。
网络评估框架已被英国网络监管机构广泛采用,是评估英国关键国家基础设施中组织的网络弹性的最常用方法。NCSC将继续与网络评估框架利益相关者合作,以确定是否需要网络评估框架的特定部门方面,如果需要,则协助引入变革。
尽管政府和行业提供了广泛的现有网络风险管理认证以及保证标准和框架,但2019 年网络安全激励措施和法规征集证据发现,三分之二的受访者认为缺乏有效网络安全的标准化定义风险管理是组织有效管理其网络风险的中度至严重障碍。
此外,来自证据、参与和分析的见解表明,在采用现有的政府和行业标准和框架方面存在许多障碍,这些障碍阻碍了组织充分利用这种支持。其中包括围绕满足 CyberEssentials技术要求的高成本的可访问性问题、语言的技术性质和控制本身,以及担心现有标准被视为合规性练习,因此不能为其他感兴趣的人提供足够的保证组织有效管理其网络风险的各方。
证据征集还强调,现有的标准/框架经常被视为不适合目的,因为它们过于规范和/或过于基本,或者在光谱的另一端,过于模糊或要求苛刻。专注于改善组织内的网络安全治理通常可以最快地提高整体网络弹性,而行业主导的研究也表明,需要更好地治理组织内的网络安全作为提高整体组织弹性的公认方面。
我们将继续与NCSC、BEIS和其他相关部门、行业合作伙伴和学术界密切合作,通过考虑如何在网络风险管理标准的背景下解决对治理的更多关注,进一步整理相关证据并测试这些发现和框架以提高接受度,利用大量现有工作,包括 NCSC更新现有风险管理指南和行业主导的网络十字路口项目,并致力于打造称职的专业人士。
能力
在国家网络安全战略的实施过程中,政府建立了证据基础,以更好地了解行业的网络技能要求。这包括在英国劳动力市场进行年度网络技能调查、网络安全部门分析,以及一个独立的研究文章,重点是了解网络安全招聘池这为确定行业需求和所面临问题的细微差别提供了一个起点,并提供了一个衡量进展情况的机会,以衡量干预措施随着时间的推移产生的影响。
为了解决人才缺乏问题,需要为该领域提供持续、优质的多样化人才。为了支持这一点并激发行业响应以激发更广泛的努力,DCMS和 NCSC在过去五年的国家网络安全计划中资助了许多干预措施。这包括旨在激励下一代网络安全人才的持续活动。
CyberFirst于 2015年启动,旨在识别和培养有才华的学生从事网络安全工作。最初是作为助学金计划建立的,申请人之间的低多样性意味着该计划必须重新回到教育系统,实施一些旨在鼓励和激励更多学生,尤其是女学生考虑从事技术和职业的活动。除了大学助学金计划外,该计划现在还包括学位学徒计划、仅限女生的比赛,以及英国大学和学院的CyberFirst课程的数千个免费名额。
为了实现有意义和可持续的变革,需要确保网络安全领域的学位、认证和资格范围。迄今为止所做的努力包括由 NCSC领导的工作,以认证整个英国的网络安全学位,以使高等教育产品保持一致,并为学生提供他们在做出学习选择时所需的信心和理解。
因此,政府正在建立英国国内卓越的学术成就,并寻求提供适当的结构来磨练和鼓励在这一领域的合作,从而更广泛地改进跨教育的产品。2020 年 12月,首批 9所英国大学被认定为网络安全教育卓越学术中心(ACE-CSE)。这些机构因提供认证的网络安全学位、提高整个机构的网络安全以及与当地社区合作以提升网络技能而受到认可。
除了与学术机构合作之外,布里斯托大学还开发了网络安全知识体系(CyBOK)。该产品定义并编纂了从事或接近网络安全角色的人员所需的基础知识的广度。CyBOK旨在为一致性提供基础,该基础可以映射到网络安全中的所有教育和培训产品,作为为活跃的培训市场和学习环境带来一致性和质量保证的一部分。
在过去的五年中,政府、学术界、工业界和专业领域开展了大量工作,以发展该领域并确保其灵活性以适应不断变化的威胁形势,以及网络安全专业人员所需了解并能够掌握的技能。行业开拓者团体齐心协力起草、挑战和推进行业设计的3、4和 6级学徒标准就说明了这一点,这些标准可以通过学徒征税得到支持。未来几年DCMS、NCSC和更广泛的政府将越来越多地与理事会合作,以确保全面的技能干预,确保从事学习、技能和发展活动的候选人的一致性和质量。
市场激励:内部和外部驱动因素
为了在企业管理网络风险的方式上建立持久的变化并提高其弹性水平,仍然需要刺激市场激励。许多行业或整个经济中尚未形成可以使整个经济中的网络安全投资正常化并导致公司感到有必要采取有效的网络风险管理的市场驱动因素,例如强大的消费者压力和竞争优势。虽然更严厉的政府干预形式(包括立法)可以成为从上层推动行为改变的有用工具,但同时刺激市场激励措施将确保企业本身优先考虑网络弹性,并且这种做法将继续适应不断变化的威胁。
2019年网络安全激励措施和监管证据征集发现,71%的受访者认为缺乏强有力的商业理由是有效网络风险管理的障碍。电话会议的回应显示,有许多信息失败阻止组织进行强大的网络风险评估,包括威胁(攻击的频率和严重程度)、网络事件的影响或危害,以及组织的缓解活动和相关成本需要针对其特定的风险状况进行适当的调整。
鉴于这些信息失败,组织发现很难证明网络安全投资的回报,因其无法量化网络风险的水平,因此无法证明投资于网络风险缓解的合理性。网络事件成本信息的敏感性加剧了这一问题,导致支持组织开发有效投资回报案例的商业产品非常有限。
虽然网络事件的“影响或危害”可能包括组织及其客户或客户所经历的一系列负面结果,但它通常被认为和量化为与网络攻击相关的成本。因此,就本出版物而言,我们将“影响信息”称为组织在短期和长期内发生的成本,包括直接成本(如股份价值)和间接成本(如员工时间损失)。
市场未能创造影响信息为政府干预创造了一个案例:组织发现很难对影响进行定价,因为没有通用的方法。在考虑违规的影响时,组织往往会忽略间接、长期和无形的成本。因此,组织很可能低估了网络违规的真实成本。对这些成本缺乏认识、理解和透明度是组织做出适当、知情投资决策的障碍,并可能导致在网络安全方面投资不足。
其次,鉴于有关网络事件影响的信息的敏感性,行业很难开发出能够提供有关其影响的更可靠信息的解决方案。政府正在努力开发和提供组织所需的影响信息,以便为优先考虑和投资网络安全提供更有力的理由。
DCMS将探索这些影响信息如何使组织能够:建立业务案例以增加对网络安全的投资,包括额外的网络安全保险或相关培训;在组织的风险登记册上定位网络安全;提供额外的证据来支持外部报告要求,例如网络保险索赔。
作为这些努力的一部分,DCMS委托 IpsosMORI 研究网络安全漏洞的全部成本,并生成与行业和规模无关的一系列成本(和成本类别),以反映对组织的网络攻击总成本的全面评估。DCMS 将探索如何使用这种方法来帮助组织更好地估计违规的全部成本。
虽然组织需要采取行动来改善自己的网络风险管理,但政府也在优先考虑那些能够影响和设定市场预期的专业人士,因此能够刺激对整个英国经济对网络安全进行更多投资的需求。我们将这些专业人士称为“市场风险管理者”,因为他们有能力通过推动组织、客户和客户将网络安全作为更广泛的组织弹性和业务连续性的一部分,在更广泛的经济中规范网络风险管理投资。
尽管这些市场风险管理者有可能必须激励并确定如何将网络安全整合到所有业务运营中,但大多数人尚未尽可能有效地运营。迄今为止,证据库和参与的调查结果确定了三个主要挑战:对网络风险管理的兴趣/意识有限。2021年网络安全漏洞调查发现,只有12% 的组织正式审查了直接供应商的网络风险,这表明采购专业人员并未广泛考虑此类风险。同样,调查的定性结果指出,投资者和股东对他们所投资的组织如何管理网络风险几乎没有兴趣。
与投资回报和网络攻击可能性有关的信息失败。即使市场风险管理者意识到网络风险,也需要有关组织为管理网络威胁而实施的网络风险态势和缓解措施的信息。虽然一些已确定的市场风险经理更了解并能够理解网络风险(例如咨询公司/保险公司),但这些市场风险经理对组织的影响力较小,因为他们通常提供建议和支持,而不是具有激励组织的责任和购买力以提高他们的网络弹性。
在接下来的几年中,跨政府的努力将集中于设计干预措施,以提高市场风险管理者的意识和网络风险管理的优先级,并使他们能够最有效地利用他们对企业的影响力。
展望未来,政府将重点关注: 董事会、投资者和股东:NCSC 将继续迭代和发展他们对组织董事会的支持,包括 NCSC 董事会工具包等关键指南,并将领导政府与投资者的接触、,以提高对新兴技术初创企业对国家安全威胁和风险的理解和认识。
采购专业人员:DCMS 将推动有关如何更好地支持采购人员和管理组织中供应链网络风险的人员的政策工作流程。
信息技术、风险和管理咨询以及法定审计:商业、能源和工业战略部将促进与信息技术、风险和管理顾问的协调和持续对话,以分享有关如何激励董事会吸收和投资的学习和见解。此外,BEIS 将寻求在审计和公司报告改革提案中纳入相应的网络安全考虑,政府最近就该提案发起了公众咨询。
网络保险:英国财政部将继续与网络保险部门密切合作,探索如何使更多数据可用于建模。DCMS 的政策重点是创建和共享更强大的网络风险影响信息,这也将有助于实现这一目标。
英国网络安全委员会:英国网络安全委员会将在确定在适当情况下执行网络风险管理所需的技能方面发挥关键作用。 这将提高专业人士的能力,并通过这告知政府和行业如何选择专门为这些市场风险经理量身定制的培训课程,以提高他们对网络风险管理的理解和能力。
通过这种方式,政府旨在提高对网络威胁和网络风险潜在影响的认识,鼓励这些市场风险管理者优先考虑网络弹性,并敦促他们影响和建议的组织改善网络安全,并加强这些市场功能能力,以便他们可以更好地让组织负责或支持他们变得更加安全在线。
市场激励:供应链
网络威胁正越来越多地通过供应商或所提供产品和服务的漏洞影响到组织。最近发生的备受瞩目的网络事件,其中攻击者利用供应链中的漏洞作为攻击公司的手段,这清楚地提醒我们,组织供应链中看似很小的参与者可能会带来不成比例的高水平网络风险。
DCMS 2021 年网络安全漏洞调查发现,只有12% 的企业审查了其供应商带来的网络安全风险,而5% 的企业已对其更广泛的供应链进行了审查。
通过DCMS委托研究和行业参与收集的证据发现,组织面临着一些障碍,这些障碍限制了他们优先考虑供应商网络风险管理的能力、他们对采取什么行动的理解以及他们采取行动的能力。
识别供应商风险:许多组织通常不清楚其供应商的网络安全如何与自身安全相关联。 在采购过程中通常根本不考虑网络风险,或者优先于其他问题。
对供应链的可见性有限:供应链可能非常复杂,通常涉及许多供应商及其分包商。 组织经常发现很难从供应商那里获取必要的信息来管理风险,要么是因为缺乏信息可用性,要么是因为拒绝共享关键信息。
评估供应商网络风险的专业知识不足:组织中管理供应商风险的人员通常不知道要向供应商提出什么问题或如何寻求有效网络安全的保证。
评估供应商网络风险工具欠缺:网络安全标准可以帮助组织了解其供应商的系统和风险状况。 然而,市场上有许多标准,没有关于组织应如何使用这些标准来解决其供应商风险的总体框架或大纲。
由于结构性失衡而采取行动的限制:组织会觉得缺乏足够的影响力来与大型或专业供应商一起推行安全措施或标准,或者如果这些供应商拒绝满足他们的要求,他们可能缺乏替代选择。
现有的政府支持在一定程度上帮助组织克服了上述障碍。NCSC 的供应链安全指南为组织提供了更高水平的供应链安全意识和管理供应商风险的能力基线水平。这得到了一组供应商保证问题的支持,以提高组织对其供应商网络风险管理实践的信心以及采购某些技术(包括云服务和移动设备)的具体指导的能力。
政府进一步寻求通过向政府推广涉及处理官方政府数据和/或提供某些信息和通信技术产品和服务的所有供应商的CyberEssentials 来提高基线供应链风险管理能力。然而,上面详述的障碍仍然阻碍组织真正认识到其供应链所构成的网络威胁的规模,并限制他们优先考虑和减轻这些威胁的能力。
组织必须首先有动力解决其供应链中的网络风险,然后才能从有关如何这样做或投资于供应商保证产品、服务和资源的指导中受益。与更广泛的网络风险管理一样,即使组织意识到威胁,通常也缺乏明确的商业理由来实施有效的攻击缓解措施。
那些在组织中管理供应商风险的人具有独特的优势,可以通过确保网络风险不会因供应链中的漏洞而在整个组织中蔓延,从而保护其组织免受这种威胁。他们可以通过表现出对认证更好的供应商的市场偏好(即他们对供应商拥有强大的购买力),通过合同义务来满足网络安全标准,例如CyberEssentials,来改善供应商的网络风险管理,并确保对供应商的持续监控,以确保遵守合同安全要求。
因此,DCMS正在与组织中管理供应商风险的人员(包括网络和风险管理专业人员,以及参与采购流程的人员和相关成员机构)建立网络和合作伙伴关系,以更好地了解当前的供应商风险管理实践并探索降低风险的方法有效的供应商风险管理的障碍。DCMS还在考虑改进整个供应链的网络安全基线标准的方法,鼓励网络风险管理人员酌情将CyberEssentials 作为合同中的最低安全要求。
通过2021 年 5月发布的关于供应链和托管服务提供商(MSP)网络安全的征集意见征集,政府寻求对现有建议和指导的反馈,以进一步确定在整个经济中哪些行之有效、哪些良好做法以及需要采取哪些进一步的行动来确保激励组织优先考虑和投资于供应商风险管理。咨询进一步关注MSP,它们通常在英国供应链中发挥关键作用,因为许多组织依赖托管服务进行日常运营,包括政府和关键的国家基础设施。对征求意见的回应将于今年晚些时候公布。DCMS正在与 NCSC合作,将调查结果以及行业参与的见解纳入其中,以制定政策干预措施,以增强组织管理供应链风险的能力。
责任:问责制和监管
组织有责任评估和管理其网络弹性,以保护自己和客户免受网络攻击。在 2016 - 2021年国家网络安全战略的过程中,政府已寻求建立正确的网络安全框架,以确保行业采取行动保护自己免受威胁,注重结果和足够敏捷,并提供竞争优势为英国。
2018年,政府通过实施《通用数据保护条例》(GDPR)、2018年《数据保护法》和2018 年《网络和信息系统条例》,在加强网络监管框架方面采取了重大措施。这些法规自实施以来已经过审查,并被评估为对如何管理网络风险具有积极影响。然而,要增强英国与行业面临的网络风险相应的弹性,还需要进一步改进。
2016年激励和法规审查得出结论,通过实施GDPR 可以显著改善网络风险管理。这一结论在2020 年 8月进行了测试,发现GDPR对组织及其管理网络风险的方式产生了整体积极影响。然而,该研究指出了组织内部仍需要改进的几个领域,包括应用程序安全、网络安全、供应链风险管理和连续性规划。鉴于在数字环境中运营的组织之间存在的互连性以及技术发展的速度,组织必须优先考虑这些领域的改进。
英国组织受其他非网络法规的约束,这些法规明确或隐含地提及网络安全和应该影响组织管理其网络风险的方式的信息安全。《公司法》、《公司治理准则》和《审计条例》提供的业务框架塑造了业务治理和问责制,是提高网络弹性的重要杠杆。很明显,在当今依赖数字化的经济中,更好的公司治理是增强组织在管理其网络风险方面的责任感的关键。
组织需要采取更多措施来管理其网络弹性。虽然一些组织优先考虑管理其网络风险并将其视为其更广泛的运营弹性的一部分,但整个经济并非如此。根据 2021 年网络安全漏洞调查,超过三分之一(39%) 的企业报告在过去12 个月内经历过网络安全漏洞或攻击,但只有35% 的组织已采取行动,通过安全监控帮助识别网络安全风险在过去十二个月内。值得注意的是,2021年网络安全漏洞调查显示,只有五分之二(37%)的企业实际上报告了其最具破坏性的外部漏洞(例如向公众或执法部门)。网络是所有组织都需要管理的顶级战略风险。如果组织没有采取足够的行动或责任来有效管理其网络弹性,他们应该承担更多责任。新技术和现有技术的使用将以有针对性的有效监管为基础,以确保那些对保护组织、个人和重要部门免受破坏性和有害网络攻击负有最大责任的人实施适当的网络弹性措施。
网络和信息系统法规英国网络监管格局的一个重要组成部分是2018 年网络和信息系统法规(“NIS法规”),该法规已经生效三年多。这些要求水、健康、能源、运输和数字基础设施部门的基本服务运营商以及选定的数字服务提供商采取适当和相称的措施,以确保支持其服务的网络的安全。通过实施这些法规,政府一直在努力确保英国的基本服务更加安全。
NIS 条例的第一次实施后审查于2020 年 5月发布,发现该条例对条例范围内的基本服务运营商和相关数字服务提供商的网络安全产生了积极影响并推动了投资。该条例提高了我们大规模了解这些基本服务实体的网络安全水平的能力,并帮助提供了需要改进的地方的证据。
实施后审查的结论是,NIS法规提高了高级管理层的安全优先级。人们认为,这种变化可能是由 NIS条例的监督和执行权力,以及其处罚制度和主管当局发布的指南推动的。
审查表明,尽管NIS 法规正在改进安全性,但组织需要加速这些改进。审查还建议了一些其他可能的改进措施,例如:解决供应链漏洞、进一步发展和完善执法制度、新的上诉机制,以及改进对主管当局的支持和指导。因此,政府在 2020 年对NIS 条例提出了立法修正案,以实施审查的一些建议。
展望未来,NIS法规保持灵活性并能够应对不断变化的威胁至关重要。实施后审查中的一些建议仍然悬而未决,因为它们需要制定主要立法。政府正在考虑如何确保建立适当的成本机制,以使监管机构能够有效应对网络威胁并为组织提供足够的支持。
政府仍然认为,NIS法规正在对英国基本服务的弹性产生积极影响。如上所述,政府将研究加强法规以使其更有效的方法。政府还在考虑是否应将《条例》扩大到其他部门,尤其是那些还没有有效的网络弹性立法框架的部门。
结论
互联网,以及建立在其上的数字经济和通信,为英国和英国经济带来了巨大的利益。然而,利用其弱点的尝试继续增加和发展。犯罪分子和国营的恶意行为者继续积极寻求利用英国网络防御中的漏洞。组织和个人使用的网络、系统和设备的日益互联的性质以及数字服务使用的增加,加剧了蓄意或意外网络事件的风险。
这种威胁无法完全消除,因为数字技术必然是开放的,开放带来风险。然而,风险可以大大降低到一个水平,让社会继续繁荣,并从数字技术带来的巨大机遇中受益。政府十分清楚,需要采取更具干预性的方法来保护英国免受网络攻击。等待市场激励更好的安全实践并不会导致缓解即将到来的威胁所需的变革步伐和规模,并且会使英国工业和服务业变得脆弱。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
