الحكومة غير مستعدة من أجل هجوم إلكتروني كارثي ولا تزال تعاني من ذلك من الإرث ، ولكنها إحراز تقدم ، لجنة الحسابات العامة من بيت العموم سمع.
شهدت اللجنة ، التي يرأسها جيفري كليفتون براون ، النائب المحافظ لشمال كوتسوولدز ، شهادة أمس (10 مارس 2025) من أربعة قادة حكوميين رفيعي المستوى حول المرونة الإلكترونية لإدارات وايتهول. أعقب ذلك المنشور ، في يناير ، من أ تقرير مكتب التدقيق الوطني (NAO)التي وجدت تفتقر مرونة حكومية عبر الإنترنت، أضعف بسبب إرث تكنولوجيا المعلومات ونقص المهارات ، ومواجهة تهديدات التثبيت.
فيها حكومة مرونة الإنترنت تقرير ، مراقبة إنفاق عام حذر من أن التهديد السيبراني لحكومة المملكة المتحدة “شديدة ويتقدم بسرعة”. ووجدت أن 58 أنظمة حكومية حكومية ، تم تقييمها في عام 2024 ، كانت لها فجوات كبيرة في مرونة الإنترنت ، وأن الحكومة لا تعرف مدى عرضة أنظمة تكنولوجيا المعلومات الضعيفة على الأقل 228 “إرث” للهجوم السيبراني.
رصد NAO أن مخطط ضمان الإنترنت للحكومة ، Govassure، وجدت فجوات كبيرة في المرونة السيبرانية ، مع وجود ضوابط متعددة في النظام الأساسي في مستويات منخفضة من النضج عبر الإدارات. Govassure يقيم النظم الحرجة للمنظمات الحكومية. تم إعداده في أبريل 2023.
لم يعد السؤال ، وفقًا للتقرير قيد المراجعة في جلسة لجنة PAC ، إذا واجهت الحكومة هجومًا إلكترونيًا ضارًا ، ولكن مدى شدة التأثيرات ، مع استمرار ارتفاع الرقي وعدد الهجمات.
عندما تصبح عمليات الحكومة رقمنة بشكل متزايد ، وكذلك شدة التأثيرات المحتملة الناتجة عن الهجمات الإلكترونية. في محاولة لمكافحة هذا ، نشرت الحكومة أ استراتيجية الأمن السيبراني في عام 2022 ، الذي وضع خططًا لجعل القطاع العام مرنًا للهجمات الإلكترونية بحلول عام 2030. قال رئيس PAC إن اللجنة ستنظر في “كيف تفهم الحكومة شدة التهديد السيبراني الذي تواجهه ، وكيف يمكن أن تحقق هدف الاستراتيجية بشكل أفضل ، وبناء مرونة الحكومة للهجمات السيبرانية”.
كانت الشهادة أمام اللجنة هي: Cat Little ، المدير التنفيذي للعمليات في الخدمة المدنية والسكرتير الدائم إلى مكتب مجلس الوزراء ؛ فنسنت ديفين ، كبير مسؤولي الأمن الحكومي ورئيس وظيفة الأمن الحكومية في مكتب مجلس الوزراء ؛ جوان دافينسون ، كبير المسؤولين الرقميين في الحكومة المؤقتة في وزارة العلوم والابتكار والتكنولوجيا ؛ وبيلا باول ، المديرة الإلكترونية لمجموعة الأمن الحكومية في مكتب مجلس الوزراء.
تتمثل إحدى المسألة المثيرة للقلق في النواب في اللجنة ، وهي عدم وجود موظفين مدنيين على الرؤية التي يبدو أنها في عدد من أنظمة تكنولوجيا المعلومات الحكومية ، وينتشرون عبر الإدارات و “الهيئات الطولية” ، وإلى أي مدى هم أنظمة “إرث” بشكل خاص للهجوم السيبراني.
وقال كلايف بيتس ، النائب العمالي لشيفيلد ساوث إيست: “هذه قضية مهمة للغاية. يتعلق الأمر بالتهديد الناتج عن الهجوم السيبراني المحتمل الذي يمكن إطلاقه ضد نظام قديم ، ولا نعرف بعد ما الذي ستبدأ به الأنظمة “.
هذه قضية مهمة للغاية. يتعلق الأمر بالتهديد الناتج عن الهجوم السيبراني المحتمل الذي يمكن إطلاقه ضد نظام قديم ، ولا نعرف بعد ما هي الأنظمة التي ستبدأ بها
كلايف بيتسالنائب العمالي لشيفيلد جنوب شرق
أجاب دافينسون: “إنها ليست بسيطة ،” ما هي القائمة؟ ” لقد طرحنا مسألة الإدارات ، وكان لدينا ردود من خلال إطار المخاطر القديمة لدينا. لدينا هذا الفهم ونحن نستمر في توسيع هذا إلى المنظمات الأخرى. [But] إنه ليس تمرينًا خاليًا من الموارد. “
يضاف القليل: “إن هذا الجزء من مناقشتنا يسلط الضوء عليه حقًا هو أن الحكومة ، في فترة من الموارد الشحيحة ، يجب أن تتخذ قرارات ذات الأولوية بناءً على المخاطر ومقدار التأكيد المطلوب. ومن بين الحكومة أن تحدد شهيتها للمخاطر ، واستخدام شهية المخاطر والمعلومات لتخصيص الموارد وفقًا لذلك.
“لقد حققنا تقدمًا كبيرًا في فهم أهم القضايا التي لدينا [in terms of legacy]، وبينما لا يكون كل نظام واحد ، فهو الغالبية العظمى … [and] نحن نستخدم كل من Govassure وخبراتنا الفنية في Legacy IT للوصول إلى الوزراء خيارات حول المخاطر ومقدار المخاطر التي يريدون شراؤها. هذا هو السؤال الأساسي. إذا كان لديك X مليار جنيه متاح لتمويل الأشخاص والموارد والمهارات ، لعلاج Legacy It ، والاستثمار في التكنولوجيا الجديدة ، فإن كيفية استخدام موردك التخصيص يجب أن يكون قائمًا على المخاطرة ، ويجب أن تكون قائمة على النتيجة. الهدف الكامل من عملية مراجعة الإنفاق هو جمع النتائج والمخاطر معًا حتى يتمكن الوزراء من اتخاذ خيار تخصيص التمويل. “
قال باول: “نحن نرفع عدد الأنظمة التي نبحث عنها. نحن لا نفعل ذلك بطريقة أسية ، لكنني أعتقد أنه من الجدير بالذكر أنه مع Govassure ، فإننا نقود السيارة ونبنيها في نفس الوقت. أطلقناها في أبريل 2023 بعد بعض الطيارين الأوائل مع الإدارات [when] كان لا يزال في عملية ضمان المرحلة المبكرة.
“هناك الكثير مما يمكننا القيام به ونحتاج إلى القيام به ، لا سيما فيما يتعلق بأتمتة تلك العملية ، من حيث توفير دعم وإرشادات أقوى للإدارات في تنفيذها ، وأيضًا في تحليل السبب الجذري لفهم البيانات التي نجمعها من تلك العملية بشكل أفضل. إنه ليس منتجًا نهائيًا بأي حال من الأحوال ، فهو ليس منتجًا مثاليًا بأي حال من الأحوال ، ولكن ما بدأ فعله بالفعل هو إعطاء النتائج التي نحتاجها من حيث فهم مستويات المرونة وحيث يمكننا اتخاذ إجراء. “
كان النواب قلقًا أيضًا بشأن مدى قيام الحكومة ، كما ذكر تقرير NAO ، بتقدير مدى المخاطر السيبرانية.
كان ديفين صريحًا فيما يتعلق بتأخر إدخال Govassure في أبريل 2023. ربما كنا غير واقعيين في الاعتماد على التقييم الذاتي [of government departments]قال.
لم نرفع استجابة الحكومة للأمن السيبراني من التأكيد إلى الاستجابة بالسرعة التي ينبغي أن نمتلكها … لأننا [weren’t] على قيد الحياة للتهديدات كما كان ينبغي أن نكون
فنسنت ديفينمكتب مجلس الوزراء
“على الرغم من إدراك ذلك في عام 2010 ، حيث بدأنا في استثمار الأموال بشكل كبير في عام 2016 ، لم نؤدي إلى زيادة الاستجابة الحكومية للأمن السيبراني من التأكيد إلى الاستجابة بالسرعة التي ينبغي لنا ، في الماضي. لماذا؟ لأنني لا أعتقد أننا كنا على قيد الحياة للتهديدات كما كان ينبغي أن نكون ، وربما لأننا لم نواجه الحوادث التي جعلنا نواجهنا في الحياة التي مررنا بها نحن وحلفائنا على مدار السنوات الخمس الماضية. إنها ليست إجابة جيدة ، لكنها الإجابة الحقيقية “.
إلى ذلك ، أضاف القليل: “من الصعب حقًا العودة في الوقت المناسب إلى أسلافنا. مثل كل إدارة المخاطر الجيدة ، فإنك تدير المخاطر قدر الإمكان حتى تصبح مشكلة. عندما يصبحون مشكلة ، وهم يعيشون وهم حقيقيون ، فأنت تكثف ردك … لقد عرفنا دائمًا بالمخاطر ، لكن لم يكن الأمر كذلك حتى تصبح مسألة حقيقية حية أن حجم ما كنا نتعامل معه أصبح واضحًا ، ويحتاج إلى نوع مختلف من الاستجابة. “
أعطى تقرير NAO الأصلي ، كمثال على مدى إضرار الهجمات الإلكترونية ، على سبيل المثال ، في يونيو 2024 ، من الهجوم على مورد خدمات علم الأمراض إلى NHS في جنوب شرق لندن ، والتي أدت إلى صناديق اثنين من مؤسسة NHS تأجيل 10،152 مواعيد العيادات الخارجية الحادة و 1710 إجراء اختياري. كما استشهد هجوم رانسومواري المكتبة البريطانية في أكتوبر 2023 ، الذي كلف بالفعل 600000 جنيه إسترليني لإعادة بناء الخدمات. تتوقع المكتبة قضاء عدة مرات مع استمرار التعافي. تم ذكر هذه في جلسة PAC.
وجد التقرير أن أكبر خطر لجعل حكومة المملكة المتحدة مرنة للهجوم السيبراني هو فجوة مهارات الفجوة. واحد من كل ثلاثة أدوار الأمن السيبراني في الحكومة كانت شاغرة أو مليئة بالموظفين المؤقتين-وأكثر تكلفة-في 2023-24 ، في حين أن أكثر من نصف أدوار الإنترنت في العديد من الإدارات كانت شاغرة ، و 70 ٪ من مهندسي الأمن المتخصصين كانوا من الموظفين في العقود المؤقتة.
في اجتماع لجنة الحسابات العامة ، قالت ليتل إنها كانت حزينة لرؤية الاعتماد الزائد على المقاولين ، لكن هذه المبادرات مثل أ تيبر الأمن السريع تيار وجديد “إطار الدفع الرقمي“كانت” بدأت لها تأثير “.
وأضاف باول أن العدد الإجمالي لمهنيي التكنولوجيا الرقمية في الخدمة المدنية قد نما ، ويبلغ حوالي 6 ٪. “ليس بقدر ما نود أن يكون. وقالت إننا نتعامل مع الموارد الفنية للغاية ، وهذه مشكلة في السوق – فهي نادرة في القطاع الخاص وكذلك في القطاع العام “.
