تقنية

NAO: حكومة المملكة المتحدة مرونة إلكترونية ضعيفة في مواجهة التهديدات المتصاعدة


وجد المكتب الوطني للتدقيق (NAO) أن مرونة حكومة المملكة المتحدة للمرونة الإلكترونية تتخلف بشكل كبير حيث يجب أن تكون ، في مواجهة التثبيت والتهديدات الأكثر خطورة.

فيها حكومة مرونة الإنترنت تقرير ، مراقبة إنفاق عام حذر من أن التهديد السيبراني لحكومة المملكة المتحدة “شديدة ويتقدم بسرعة”. ووجدت أن 58 أنظمة حكومية حكومية ، تم تقييمها في عام 2024 ، كانت لها فجوات كبيرة في مرونة الإنترنت ، وأن الحكومة لا تعرف مدى عرضة أنظمة تكنولوجيا المعلومات الضعيفة على الأقل 228 “إرث” للهجوم السيبراني.

لا يغطي التقرير المرونة الإلكترونية للحكومة المحلية أو NHS أو الأمة ككل. تم إجراء العمل الميداني للتقرير بين مايو وأكتوبر 2024 ، مع موظفي NAO لإجراء مقابلة مع مسؤولين من مكتب مجلس الوزراء حول الجهود المبذولة لدعم الإدارات الحكومية في تنفيذ استراتيجية الأمن السيبراني الحكومي: 2022-2030.

شملت الاستراتيجية هدفًا للمنظمات الحكومية الرئيسية “تصلب بشكل كبير على الهجوم السيبراني بحلول عام 2025” ، لكن الحكومة لم تحسن مرونة الإنترنت بسرعة كافية لتحقيق هذا الهدف.

كما أجرت NAO مقابلة مع مسؤولي من المركز الوطني للأمن السيبراني (NCSC) و المكتب الرقمي ومكتب البيانات المركزي (CDDO)، إلى جانب موظفي الخدمة المدنية للأمن السيبراني من الإدارات الحكومية و المكتبة البريطانية.

أكبر خطر لجعل حكومة المملكة المتحدة مرنة للهجوم السيبراني هو فجوة مهارات التثاؤب ، وفقًا للتقرير. ووجدت أن واحدة من كل ثلاثة أدوار أمنية الإنترنت في الحكومة كانت شاغرة أو مليئة بالموظفين المؤقتين-وأكثر تكلفة-في 2023-24 ، في حين أن أكثر من نصف أدوار الإنترنت في العديد من الإدارات كانت شاغرة ، و 70 ٪ من مهندسي الأمن المتخصصين كانوا موظفين في عقود مؤقتة.

وقالت NAO إن الإدارات أفادت أن الرواتب وعمليات توظيف الخدمة المدنية هي عوائق أمام توظيف الأشخاص ذوي المهارات الإلكترونية والحفاظ عليها.

تشمل المخاوف الأخرى عدم التنسيق داخل الحكومة ، وهو ما يعرض الدفاع الإلكتروني الفعال للخطر. وجدت NAO أن الأدوار ذات الصلة بالإدارات والمنظمات المركزية ، مثل NCSC ، “غير مفهومة بشكل كاف” ، كما أن قادة الإدارات “أدركوا باستمرار أهمية المخاطر الإلكترونية على أهدافهم الاستراتيجية”.

يجب أن تتصرف الحكومة الآن ، وحثت مؤلفي التقرير.

وقال غاريث ديفيز ، رئيس NAO: “إن خطر الهجوم السيبراني شديد ، ومن المرجح أن تحدث الهجمات على الخدمات العامة الرئيسية بانتظام ، ومع ذلك كان عمل الحكومة لمعالجة ذلك بطيئًا.

“لتجنب الحوادث الخطيرة ، وبناء المرونة وحماية القيمة مقابل المال من عملياتها ، يجب على الحكومة اللحاق بالتهديد الإلكترونية الحاد الذي تواجهه.

لتجنب الحوادث الخطيرة ، وبناء المرونة وحماية القيمة مقابل المال من عملياتها ، يجب على الحكومة اللحاق بالتهديد الإلكترونية الحاد الذي تواجهه

غاريث ديفيز ، مكتب التدقيق الوطني

“ستواصل الحكومة أن تجد صعوبة في اللحاق بالركب حتى تعالج بنجاح النقص الطويل الأمد في مهارات الإنترنت ، ويعزز المساءلة عن المخاطر السيبرانية ، ويدير بشكل أفضل المخاطر التي يطرحها ذلك.”

فجوات المرونة الإلكترونية

قامت NAO بتقييم ما إذا كانت الحكومة تواكب التهديد السيبراني المتطور الذي يواجهه من الجهات الفاعلة المعادية. وجد أنه ليس كذلك.

لقد رصدت أن مخطط ضمان الإنترنت للحكومة ، Govassure، التي قامت بتقييم 58 أنظمة تكنولوجيا المعلومات في الإدارات الحرجة بحلول أغسطس 2024 ، وجدت فجوات كبيرة في مرونة الإنترنت ، مع وجود ضوابط متعددة في النظام الأساسي في مستويات منخفضة من النضج عبر الإدارات. Govassure يقيم النظم الحرجة للمنظمات الحكومية. تم إعداده في أبريل 2023.

وفقًا لتقرير NAO ، كانت الإدارات الحكومية تستخدم ما لا يقل عن 228 أنظمة تكنولوجيا المعلومات القديمة اعتبارًا من مارس 2024 ، والحكومة لا تعرف مدى ضعف هذه الأنظمة للهجوم السيبراني.

أشار التقرير إلى أنه في أبريل 2024 ، أبلغت مجموعة أمن حكومة مكتب مجلس الوزراء (GSG) للوزراء أن بعض الإدارات قللت بشكل كبير من برامج تحسين الأمن السيبراني لتمويل الأولويات الأخرى. كان هذا بسبب “التخفيضات في تمويل البرمجيات ، وعدم الوصول إلى المهارات الإلكترونية ، والتحديات مع شركاء التوصيل ، والتأخير في الموافقات على الإدارات والحكومة المتقاطعة”.

كأمثلة على مدى إضرار الهجمات الإلكترونية ، استشهدت NAO بالمثال ، في يونيو 2024 ، من الهجوم على مورد خدمات علم الأمراض إلى NHS في جنوب شرق لندن ، والتي أدت إلى صناديق اثنين من مؤسسة NHS تأجيل 10،152 مواعيد العيادات الخارجية الحادة و 1710 إجراء اختياري. استشهد أيضا الهجوم الفدية المكتبة البريطانية في أكتوبر 2023 ، والتي كلفتها بالفعل 600000 جنيه إسترليني لإعادة بناء خدماتها. تتوقع المكتبة قضاء عدة مرات مع استمرار التعافي.

كما قدم التقرير أمثلة أخرى على الهجمات على وزارة الدفاع والبرلمان. في مايو 2024 ، تعرضت شبكة مقاول الرواتب في MOD للخطر من قبل مهاجم – شبكة عقدت بيانات موظفي القوات المسلحة. علاوة على ذلك في الوقت المناسب ، في عام 2021 ، كان هناك مهاجم تابع للدولة صينية ، إنه من المحتمل أن يكون التقرير مسؤولاً للغاية عن حملة إلكترونية ضد حسابات البريد الإلكتروني البرلمانية للأعضاء في مجلسي البرلمان.

وذكر التقرير أنه في مارس 2024 ، لم يكن لدى الإدارات خطط تمول بالكامل لعلاج حوالي نصف تراث الحكومة في تكنولوجيا المعلومات – 53 ٪ ، أو 120 من 228.

توصي NAO بالقيام بتطوير وتشارك وتبدأ في استخدام خطة تنفيذ الحكومة المتقاطعة لاستراتيجية الأمن السيبراني الحكومي خلال الأشهر الستة المقبلة. كما يشير إلى أن الحكومة بأكملها تحتاج إلى العمل بشكل مختلف.

خلال العام المقبل ، يجب على الحكومة وضع خطط لملء الفجوات في المهارات الإلكترونية في القوى العاملة.

من التكنولوجيا بوق أكثر من قبل التيار و الحكومة السابقة – الذكاء الاصطناعي (AI) – قال التقرير: “يمكن لمنظمة العفو الدولية تحسين الأمن السيبراني للحكومة ، ولكنها يمكن أن تساعد أيضًا في التهديد الجهات الفاعلة التي تتطلع إلى التداخل أو تقويض الثقة في نظامنا الديمقراطي. تتعاون NCSC مع شركائها لتحقيق فوائد الذكاء الاصطناعي والحماية من المخاطر الأمنية المرتبطة بها. “



Source link

زر الذهاب إلى الأعلى