3 способа, которыми правительство Великобритании планирует ужесточить правила кибербезопасности с новым законопроектом

На фоне резкого всплеска атак вымогателей, нарушающих основные услуги и критическую инфраструктуру, правительство Великобритании впервые установило сферу своего предстоящего законопроекта о кибербезопасности и устойчивости. Он направлен на то, чтобы исправить дыры в существующих кибер -нормативных актах страны и защитить критическую инфраструктуру от вымогателей и других типов атак.

«Законопроект о кибербезопасности и устойчивости поможет сделать цифровую экономику Великобритании одной из самых безопасных в мире - дает нам возможность защищать наши услуги, наши цепочки поставок и наши граждане - первая и самая важная работа любого правительства», - сказал в пресс -релизе министр технологии Питер Кайл.

1 апреля правительство опубликовало заявление о политике кибербезопасности и устойчивости, в котором изложено предложенный законопроект и некоторые дополнительные меры, которые в настоящее время рассматриваются в настоящее время. Ожидается, что он будет введен в парламенте в конце этого года, хотя точного срока реализации не было подтверждено.

В законопроекте есть три основных аспекта: расширение регулирующей масштаба, укрепление полномочий регуляторов и позволяя правительству вносить изменения по желанию.

Расширение регулирующего масштаба

Текущий киберзаконность в Великобритании был унаследован от E.U. и состоит из правил сетевых и информационных систем (NIS) 2018 года. Эти правила охватывают транспорт, энергию, питьевую воду, здоровье, цифровую инфраструктуру, онлайн -рыночные площадки, онлайн -системы и услуги облачных вычислений. Обзор 2022 года обнаружил, что они сильно устарели.

Пока Е.У. Обновил их, у Великобритании нет, поэтому законопроект о кибербезопасности и устойчивости направлена ​​на добавление около 1000 поставщиков услуг под их масштабом. Существует предлагаемая поправка к включению центров обработки данных после их назначения в качестве критической национальной инфраструктуры в сентябре.

Воздействия законопроекта может потребоваться время, чтобы быть реализованным

Уильям Ричмонд-Когган, партнер по управлению спорами в юридической фирме Freeths, считает, что последствия законопроекта могут ощущаться не так быстро, как может надеяться правительство.

Он сказал TechRepublic в электронном письме: «Даже если каждая организация, в которой новая правила направлены на то, чтобы иметь бюджет, технические возможности и пропускную способность лидерства, чтобы инвестировать в обновление своей инфраструктуры для удовлетворения текущей и будущей волны киберугроз, это, вероятно, будут охватывающими и дорогостоящими процессами, которые приводят все в свои системы, и с экологически чистыми. - Достижение кибербезопасной осанки - это не «одно и сделано».

«По крайней мере, одинаковое значение имеет столь необходимую работу по использованию людей, занятых в этих важных организациях, чтобы понять, что кибербезопасность столь же сильна, как и его самое слабое звено, и что каждый может сыграть свою роль в обеспечении безопасности таких организаций.

«Акцент на нисходящем регулировании изменений рискует разбавлять или отвлекать от этого сообщения, в тот момент, когда на каждом уровне требуется постоянная бдительность, чтобы защитить от растущих угроз, связанных с все более сложными киберпрумалами, и все более агрессивными актерами национального государства».

Укрепление регулирующих способностей

Законопроект о кибербезопасности и устойчивости предоставит регуляторам более полномочий для обеспечения адекватных мер безопасности. Им будет предоставлено больше инструментов, таких как возможность устанавливать и восстанавливать сборы за регулирующие действия и полномочия по выдаче кодексов практики и специфичных для сектора руководящих принципов. Управление комиссара по информации также будет иметь новые возможности, например, полномочия выпускать больше информации, позволяя ему активно расследовать потенциальную уязвимость.

Увеличение обязательного отчетности

Новый законопроект представит обязательную отчетность о более широком диапазоне кибер -инцидентов, включая атаки вымогателей, регуляторам. Есть надежда, что в конечном итоге это улучшит стратегии правительственных угроз и стратегии реагирования.

Вместо тех, которые прерывают непрерывность, отчеты, которые подлежат отчетным инцидентам, будут включать в себя те, которые могут значительно повлиять на предоставление основных услуг или повлиять на конфиденциальность, доступность и целостность системы. Например, предприятия должны будут сообщать, если их конфиденциальность данных будет скомпрометирована или становятся жертвами атаки шпионского программного обеспечения, которая затрагивает их клиенты.

Законопроект потребует от компаний уведомить свой регулятор и Национальный центр кибербезопасности о значительном инциденте в течение 24 часов после его открытия, и предоставил отчет об инциденте в течение 72 часов. Дата -центры или фирмы, которые предоставляют цифровые услуги, также должны уведомлять затронутых клиентов.

Правительство может внести специальные изменения в законопроект

Министр технологий сможет обновлять нормативно -правовую базу всякий раз, когда считается необходимым для национальной безопасности, например, путем расширения своих возможностей для покрытия новых секторов. Предлагаемая поправка также даст правительству полномочия выдавать направления безопасности организациям и регулирующим органам во время активной кибер-угрозы или инцидента. Это может включать в себя заказы на исправления систем в установленном сроке.

Когда дело доходит до применения, в заявлении политики говорится, что он «рассмотрит прецеденты, установленные Законом о телекоммуникациях (безопасности) 2021 года». Это законодательство позволяет правительству налагать ежедневные штрафы в размере до 100 000 фунтов стерлингов или 10% от оборота компании до достижения соответствия.

Великобритания - очаг киберпреступности

В течение прошлого года в Великобритании наблюдается рост громких хакерских мероприятий, включая инциденты с вымогательными программами, нацеленные на Британскую библиотеку, супермаркеты Sainsbury's и Morrisons, и патологическую компанию Synnovis, которая нарушила операции NHS. NCSC обрабатывал 430 инцидентов в 2024 году по сравнению с 371 в 2023 году, и 89 из них были «национально значимыми» инцидентами вымогателей, угрожающих основными услугами или более широкой экономикой.

В декабре глава NCSC предупредил, что кибер-риски страны «широко недооценены» и что «защита и устойчивость критической инфраструктуры, цепочки поставок, государственного сектора и нашей более широкой экономики должны улучшиться», чтобы защитить от этих угроз национального государства.

В январе правительство Великобритании объявило, что рассматривает вопрос о запрете выплат вымогателей у органов государственного сектора и критических отраслей, чтобы сделать их «непривлекательными целями для преступников», снижая частоту и влияние инцидентов в стране. Эксперты говорят, что критическая инфраструктура и секторы здравоохранения должны быть освобождены от запретов, так как удержание выкупа и получение простоя может привести к погибшим.