باعتبارنا قادة أمنيين في المملكة المتحدة، غالبًا ما نشعر بأننا محصورون بين مشهد التهديدات المتزايدة العدوانية والإطار التشريعي مترامي الأطراف. جديد تقييم الإطار التشريعي للأمن السيبراني في المملكة المتحدة يؤكد ما يناقشه الكثير منا أثناء احتساء المشروبات في مؤتمرات الصناعة: إننا نغرق في التزامات الامتثال، ومع ذلك فإن مرونة البلاد السيبرانية لا تزال هشة بشكل مثير للقلق. بالنسبة لزملائي في جميع أنحاء المملكة المتحدة، يقدم هذا التقرير خمس نقاط مهمة يجب أن تشكل استراتيجياتنا المستقبلية.
بينما اللائحة العامة لحماية البيانات في المملكة المتحدة (GDPR) من الناحية النظرية يهدد الشركات في المملكة المتحدة بعقوبات ضخمة، أصدر مكتب مفوض المعلومات (ICO) ثلاث غرامات فقط في عام 2024، وغالبًا ما يفضل التوبيخ بدلاً من ذلك. والأمر الأكثر إثارة للدهشة هو الفراغ التنفيذي فيما يتعلق لوائح الشبكات وأنظمة المعلومات (NIS)..
على الرغم من الارتفاع الكبير في الإخطارات بالحوادث، تشير بيانات حرية المعلومات إلى غياب شبه كامل للعقوبات الرسمية من قبل السلطات المختصة الرئيسية بين عامي 2021 و2024 (راجع جدول “لقطة الموقف” أدناه). في حين أن هذا قد يبدو بمثابة تأجيل، إلا أنه يقوض حالات العمل الداخلية لدينا فيما يتعلق بالاستثمار الأمني. إذا لم يعض المنظم، فإن مجلس الإدارة لن يستمع.
ويؤدي هذا إلى الاتجاه الثاني ــ وربما الأكثر إثارة للقلق ــ: وهو فك ارتباط المجلس. وقد شهدت المملكة المتحدة انخفاضاً ملموساً في الملكية التنفيذية. انخفضت نسبة الشركات التي يتولى أحد أعضاء مجلس إدارتها مسؤولية صريحة عن الأمن السيبراني من 38% في عام 2021 إلى 27% فقط في عام 2025. وستؤثر هذه المعرفة بشكل كبير على مدى جدية تعامل المديرين التنفيذيين لدينا مع الخصوصية والأمن في المستقبل.
باعتبارنا كبار مسؤولي أمن المعلومات (CISO)، لا يمكننا السماح بنقل مسؤوليات المخاطر السيبرانية إلى قسم تكنولوجيا المعلومات. ال مشروع قانون الأمن السيبراني والمرونة (CSRB) لقد أهدرت فرصة رئيسية لوضع المساءلة أمام مجالس الإدارة والمديرين التنفيذيين كواجب قانوني. ولا يشمل ذلك جعل رئيس أمن المعلومات “كبش فداء المعلومات الرئيسي” من خلال تحديد المسؤولية دون الموارد أو السلطة اللازمة لمعالجة المخاطر.
|
انخفاض في الشركات التي يتحمل فيها أحد أعضاء مجلس الإدارة مسؤولية إلكترونية صريحة (2021 مقابل 2025) |
مخاطر عالية: الملكية التنفيذية تتقلص مع تزايد المسؤولية. |
||
|
النسبة المئوية للشركات الكبيرة التي لا تزال تعاني من الانتهاكات |
عدم الفعالية: الإنفاق الحالي على الامتثال لا يقلل من معدل نجاح الهجمات على الشركات الكبيرة. |
||
|
زيادة في أعداد هجمات برامج الفدية بين عامي 2024 و2025 |
التهديد المتصاعد: يتفوق المهاجمون على الضوابط الدفاعية على الرغم من اجتياز عمليات التدقيق. |
||
|
إجمالي الغرامات الصادرة عن ICO في عام 2024، مع أفضلية التوبيخ |
الفراغ الإنفاذي: إن الهيئة التنظيمية غير فعالة في الوقت الحالي، مما يقوض الجدوى التجارية للاستثمار في الأوراق المالية القائم على الغرامات فقط. |
||
|
عدم وجود عقوبات رسمية من قبل السلطات المختصة بموجب أنظمة NIS (2021-2025) |
الأمن الزائف: الاعتماد على الضغوط التنظيمية لدفع التحسينات هو استراتيجية فاشلة. |
||
ثالثا، يتعين علينا أن ندرك أن الامتثال لا يعني المرونة. الإطار التشريعي للأمن السيبراني والخصوصية في المملكة المتحدة: الفعالية والتنفيذ والتعقيد يسلط التقرير الضوء على “عقلية مربع الاختيار” حيث يتم تحويل الموارد نحو التعامل مع المتطلبات القانونية المعقدة بدلاً من الضوابط الأمنية الفعالة. والنتيجة هي إحصائية مثيرة للقلق: تستمر معدلات اختراق الأمن السيبراني للشركات الكبيرة عند 74%.
تقوم الشركات باجتياز عمليات التدقيق، لكنها لا تزال تقع ضحية لها التصيد الاحتيالي وهجمات برامج الفدية المتطورة بشكل متزايد، والتي شهدت الأخيرة تضاعف الأرقام بين عامي 2024 و2025. ويجب أن يتحول تركيزنا من إنشاء الوثائق إلى التحقق من المرونة التشغيلية من خلال الاختبار الصارم لخطط الاستجابة للحوادث.
رابعاً، وصل تعقيد المشهد التشريعي إلى نقطة تناقص العائدات. نحن نتعامل مع خليط من اللائحة العامة لحماية البيانات (GDPR) في المملكة المتحدة، ولوائح NIS، وقانون إساءة استخدام الكمبيوتر، وقانون السلامة عبر الإنترنت، مع CSRB الجديد. ويخلق هذا الحجم التراكمي “ضريبة الامتثال” التي تستنزف مواردنا المحدودة.
بالنسبة لأولئك منا الذين يديرون سلاسل التوريد، يعد هذا أمرًا بالغ الأهمية. إن العبء الواقع على عاتق شركائنا من المؤسسات الصغيرة والمتوسطة الحجم هائل، مما قد يؤدي إلى خنق الابتكار نفسه الذي نعتمد عليه. ويتعين علينا أن نراجع سلاسل التوريد لدينا، ليس فقط من أجل الأمن، بل وأيضاً من أجل قدرتها على النجاة من هذا الاستنزاف التنظيمي.
وأخيرا، يجب علينا أن نستعد للنطاق الموسع لمجلس مراجعة الأنظمة الأمنية. وتتحول الإستراتيجية المستخدمة نحو نهج “المجتمع بأكمله”، مما يجلب مقدمي الخدمات المدارة (MSPs) ومراكز البيانات مباشرة إلى الحظيرة التنظيمية. إذا كنت تعتمد على أطراف ثالثة، كما يفعل الكثير منا، فإن الأضواء التنظيمية على وشك الاتساع.
وفي نهاية المطاف، يعد هذا التقرير بمثابة دعوة للاستيقاظ. ولا يمكننا أن نعتمد على التشريعات لحل المشكلة، ولا يمكننا أن نعتمد على الهيئات التنظيمية لفرضها بشكل مستمر. ويتعين علينا أن نتجاوز “فخ الامتثال” وأن نبني ثقافات وضوابط تصمد أمام التواصل مع خصومنا.
ردا على الإطار التشريعي للأمن السيبراني والخصوصية في المملكة المتحدة تقرير من ويليام داتون، زميل أكسفورد مارتن، المركز العالمي لقدرات الأمن السيبراني، جامعة أكسفورد:
“إن النقاش حول السياسة الحكومية المتعلقة بتكنولوجيا المعلومات يدور في كثير من الأحيان حول عموميات واسعة، مثل ما إذا كان ينبغي التنظيم أم لا. وهذا التقرير الثاقب يتعمق أكثر. المؤتمر العالمي للاتصالات وتكنولوجيا المعلومات [Worshipful Company of Information Technologists] تتناول Security Panel قضايا مثل التناقض التنظيمي عبر الجوانب الرئيسية للخيارات الحكومية والتشريعية والتنظيمية الرئيسية، مما يوفر رؤى قيمة لصانعي السياسات والمنظمين ومجموعة من منظمات الأعمال، بما في ذلك الشركات الصغيرة. ويعد هذا التقرير مرجعًا موجزًا وقيمًا لأولئك الذين لديهم اهتمام جدي بالقضايا المرتبطة بالأمن السيبراني والخصوصية.
