في عام 2024 ، المركز الوطني للأمن السيبراني (NCSC) يحتفل عقد من شهادة الأمن السيبراني الأساسي ، Cyber Essentials (CE).
في حين أن NCSC قد وصفت فوائد المخطط ، إلا أن الرئيس التنفيذي ريتشارد هورن كان واضحًا بشأن “اتساع الفجوة“بين الدفاعات الإلكترونية في المملكة المتحدة والتهديدات التي تواجهها. هذا يأتي وسط أ ارتفاع مستوى التهديد المادي من الجهات الفاعلة الحكومية ، بما في ذلك عبر تخريب و تجسس، وكذلك وعي أكبر بتهديدات الدولة بحث و ابتكار.
هذه الصورة المتغيرة التهديد تدل على المزيد من الاهتمام على عمل هيئة أمن الحماية الوطنية (NPSA) ، السلطة التقنية الوطنية في المملكة المتحدة لأمن الحماية المادية والموظفين.
يثير التهديد المرتفع مسألة ما إذا كان يجب على NPSA اتباع دعوى NCSC وتطوير شهادة أمان الحماية الأساسية الخاصة بها كمكافئة لـ CE. ومع ذلك ، لمعالجة التهديد وبناء مرونة حقيقية ، نعتقد أن المملكة المتحدة تحتاج إلى نهج يتجاوز خطوط الأساس ويتم إبلاغه بالمخاطر.
هل هناك مستوى أساسي من الأمان الوقائي؟
تم إطلاق شهادة CE في عام 2014. إنه يحدد مستوى خط الأساس من الأمان الذي يهدف إلى أن يكون قابلاً للتطبيق عالميًا ومخاطرة. NCSC يؤكد هذا CE “مناسب لجميع المنظمات ، أو أي حجم ، في أي قطاع”. يتم تقييم CE دون الرجوع إلى المنظمة أو ملف تعريف المخاطر الخاص بها لأن ضوابط CE تهدف إلى هجمات السلع الأساسية التي تعتبر في كل مكان للمنظمات المتصلة بالإنترنت.
بعد 10 سنوات ، يستمر عدد المنظمات المعتمدة بموجب CE يزيد على أساس سنوي. لدى NCSC أيضًا خطط لتوسيع المخطط بشكل أكبر لمعالجة مخاطر سلسلة التوريد بشكل أفضل. على الرغم من هذه الإنجازات ، كانت هناك اقتراحات بأن اعتماد CE كان أقل من المتوقع ، مع تقرير واحد يقول ذلك يبقى الامتصاص أقل من 1 ٪ المنظمات المؤهلة.
الحجة للحصول على شهادة الأمن السيبراني الأساسية هي واحدة جيدة ؛ يؤدي تعزيز الأمن السيبراني للمنظمات الفردية إلى نظام بيئي أكثر مرونة وهو سلعة عامة. تعتبر الضوابط المشاركة في CE عالمية بما فيه الكفاية بحيث لا توجد حاجة لتطبيق الإشارة إلى تقييم المخاطر المحدد للمؤسسة.
ومع ذلك ، هناك أسباب للتساؤل عما إذا كانت شهادة أمن الأساس المكافئة لـ CE يمكن أن تكون فعالة.
أولاً ، من الصعب تحديد مستوى “خط أساسي” واحد من الأمان الواقي. تركز CE على خمسة ضوابط أمان أساسية تنطبق على أي منظمة. ليس من الواضح أنه يمكن إنشاء مجموعة أساسية مماثلة من الضوابط لمعالجة المناطق في وقت واحد مثل الأمن المادي ، أو التهديد الداخلي ، أو أمان التعاون البحثي.
ثانياً ، من المؤكد أن يتم تكرار عناصر التحكم في CE في أي شهادة أمان وقائية. قد يردع هذا المنظمات التي لديها بالفعل CE من البحث عن الشهادة الجديدة – في الوقت الذي يكون فيه عدد قليل نسبيًا من المؤسسات CE.
ثالثًا ، من شأن إنشاء شهادات أساسية منفصلة NCSC و NPSA تعزيز الصوامع بين جوانب مختلفة من الأمن. يجب أن نتحرك نحو نهج تتبنى فيه المنظمات نهجًا متناسبًا للأمن يعالج التهديدات بغض النظر عن وسائل تحقيقها.
محاولة لتربية CE في مساحة الأمن الواقية لذلك تخاطر بالسقوط بين براز ؛ كونه شاقًا للغاية بالنسبة لمعظم المنظمات ، في حين أنه غير كافٍ لمعالجة التهديدات الحقيقية. في الوقت نفسه ، فإنه يخاطر بتعزيز الفجوة المادية غير المفيدة في نهج العديد من المنظمات للأمن.
بناء المرونة ضد التهديدات
تظل CE ذات صلة على المستوى الفني ، ولكن الطريقة التي يتم بها تأطيرها تظهر بشكل متزايد على أنها تعليق من عصر جيوسياسي سابق.
غالبًا ما تصور صناعة الأمن السيبراني عملها على أنه تقني في المقام الأول وغير قابل للاعتراف. يمكن تقديم التهديدات الإلكترونية باعتبارها غير شخصية – وهي نتيجة حتمية لكونها على الإنترنت. يشير NCSC إلى CE باسم “النظافة الإلكترونية الأساسيةيتم نشر استعارات مماثلة من الصحة العامة أو البيئة بانتظام إلى “إلغاء تحديد” عناصر التحكم الأمنية هذه.
في المقابل ، أصبحت المملكة المتحدة صريحة بشكل متزايد بشأن تدهور بيئة التهديد وضرورة استجابة متضافرة. من المحتمل أن تتسارع هذه المراسلة لأن حكومة المملكة المتحدة تبني القضية العامة اللازمة لزيادة كبيرة في الإنفاق الدفاعي.
هذا من شأنه أن يتماشى أيضًا مع المحادثة الوطنية المتسعة في المملكة المتحدة حول المرونة عبر المجالات والقطاعات. القادم مشروع قانون الأمن السيبراني والمرونة (CSRB) هو مثال على هذا الاتجاه. على الرغم من أن CSRB يستهدف في المقام الأول تعزيز الدفاعات الإلكترونية للخدمات الحرجة، إنه جزء من مجموعة من الجهود المتوازية على الأمن البدني ، والاستقرار الاقتصادي ، والتأهب المجتمعي الذي يهدف إلى اتباع نهج كلي للتهديدات.
حكومة المملكة المتحدة إطار المرونة يحدد نهج جميع المخاوف ، ويغطي كل شيء بدءًا من الطقس القاسي والأوبئة إلى اضطرابات سلسلة التوريد وفشل CNI ، ويؤكد على التحضير والوقاية عبر المجتمع. مجلس جديد للأمن القومي صمود كما تم إنشاؤه ، برئاسة مستشار دوقية لانكستر ويتكون من أمناء الدولة لمجموعة واسعة من القطاعات. من شأن مخطط شهادة “الأمن المادي” المنفصل أن يتعارض مع الاتجاه نحو النهج الشامل للمرونة.
شهادة أمنية موحدة قائمة على المخاطر
بدلاً من تطوير شهادات منفصلة ، سيكون الخيار الأفضل هو شهادة موحدة لمرونة الأمان للمؤسسات المعرضة للخطر. هذا النموذج سوف يكمل خطوط الأساس المعمول بها مثل CE.
على عكس النهج الأساسي لـ CE ، ستكون نقطة الانطلاق للشهادة الجديدة بمثابة تقييم لمخاطر الأمن التنظيمية الموثوقة. سيتم دمج هذا التقييم ، ويدجذ النطاقات الأمنية مثل الأمن السيبراني والمادي والأفراد.
إلى جانب ذلك ، سيكون الإطار معياريًا ، مما يعكس عدم وجود خط أساس واحد من المنظمات المنتظمة في الأمن الوقائي. سيؤدي هذا المخطط إلى أن المؤسسة قد اتخذت تدابير أمنية وقائية متناسبة استجابة لتقييم المخاطر الخاصة بها.
سيتطلب تحقيق هذا المعيار جهدًا كبيرًا ولن يكون مناسبًا لمعظم المنظمات. ستكون عملية إصدار الشهادة بالضرورة أكثر تعمقًا من عملية CE. ومع ذلك ، من خلال الاستفادة من التنميط الموحد للمخاطر والتعاون بين القطاعات بين NCSC و NPSA ، فإن هذا النهج سيمكن المنظمات من تجاوز قوائم التحقق من الامتثال لتحقيق مرونة حقيقية تركز على النتائج.
ستصاحب هذه الشهادة حملة توعية تتعلق بالتهديد الجيوسياسي الذي تواجهه المنظمات المعرضة للخطر. سيكون من المهم توضيح أن هذا ليس “العمل كالمعتاد‘.
هذا النهج من شأنه أن يقلل من التعب مع الشهادات مع تقديم وضعية دفاع قوية وتكيفية. يتوافق مع تشريعات المرونة المقبلة ، وبوجهة نظر وطنية أوسع للمرونة كإنجاز مرغوب فيه في مشهد جيوسياسي مضطرب بشكل متزايد.
نيل أشداون هو رئيس البحث ل Tyburn St Raphael، استشارات أمنية.
طاش باكلي هو محلل أبحاث سابق في روسي ومربي ومحاضر أمن ، يبحث في القوة السيبرانية وتقاطع العلوم والابتكار التكنولوجي والأمن القومي.
