Är regeringens cyberhandlingsplan ändamålsenlig?

Det är inte ofta regeringen erkänner att den hade fel. Ändå i början av året fick vi en sällsynt Mea culpaett erkännande av att ett tidigare mål att göra Whitehall motståndskraftigt mot alla kända sårbarheter och attackmetoder inte skulle vara uppnåeligt år 2030. Det medgivandet doldes i texten i Cyberhandlingsplanen (CAP), den senaste ansträngningen från den senaste administrationen för att förbättra centralregeringens säkerhetsställning.

Det är en detaljerad plan med många lovande möjligheter, och en som kommer att få genomslag långt utanför den offentliga sektorn. Men är den tillräcklig?

Varför regeringen behöver en plan

Att regeringen behöver en plan för att stärka cybermotståndskraften råder det ingen tvekan om. En bedömning från Government Security Group (GSG) under 2023–24 visade att 58 kritiska IT-system inom olika avdelningar hade "betydande" säkerhetsbrister, vilket skapade "extremt hög" risk. En separat nationell revisionsmyndighet (NAO) rapport Förra året fann man att 28 % av 228 äldre IT-system hade en hög sannolikhet för operativa och säkerhetsmässiga risker. Kompetensbrist och finansieringsbrist har förvärrat bilden, hävdade man.

Sedan dess har det skett stora intrång på Rättshjälpsbyrå, ett afghanskt bosättningsprogram  vilket kan kosta skattebetalarna hundratals miljoner pund, och minst två allvarliga säkerhetsincidenter vid Försvarsministeriets entreprenörerI en tid då pengar är en bristvara och offentliga tjänster minskar har regeringen dåligt råd med dyrare dataintrång och allt som äventyrar den välbehövliga digitala omvandlingen.

CAP pekar på flera brister:

• Institutionaliserad fragmentering
• Risk för bestående äldre system, cybersäkerhet och motståndskraft
• Siled data
• Underdigitalisering
• Inkonsekvent ledarskap
• Brist på digital kompetens
• Diffus köpkraft
• Föråldrade finansieringsmodeller

Vad finns i den gemensamma jordbrukspolitiken?

CAP utlovar en ”stark, centraliserad strategi, med tydlig riktning och aktivt ledarskap”, som kommer att sätta tydliga förväntningar på hur avdelningar ska hantera säkerhet och motståndskraft genom mer mätbara mål och resultat. Det övergripande målet är att förbättra insynen i cyberrisker och leverera starkare centraliserade åtgärder mot de tuffaste utmaningarna (som inte kan hanteras av avdelningar på egen hand). Den utlovar att förbättra hastigheten och kvaliteten på incidenthanteringen och ge centraliserat stöd för att åtgärda äldre problem.

För att uppnå sina mål anger den gemensamma jordbrukspolitiken tre genomförandefaser:

Fas 1 (senast april 2027): Inrätta en statlig cyberenhet, implementera ramverk för ansvarsskyldighet, lansera en myndighetsövergripande cyberprofession för att attrahera, kompetenshöja och behålla cyberexperter samt publicera en statlig plan för hantering av cyberincidenter.

Fas 2 (april 2027-2029): Skala upp den gemensamma jordbrukspolitiken genom datadrivet beslutsfattande, samt tillhandahålla cyberstödstjänster och skala upp responskapaciteten.

Fas 3 (april 2029+): Kontinuerlig förbättring genom delning av centrala datainsikter, erbjudande av tjänster i stor skala, utnyttjande av cyberprofessionen för transformation och säkerställande av att avdelningar proaktivt säkerställer cyberrisker i sina leveranskedjor.

Regeringen hävdar att den gemensamma jordbrukspolitiken, genom att möjliggöra en säker digitalisering av offentliga tjänster, skulle kunna frigöra så mycket som 45 miljarder pund i produktivitetsbesparingar. Ändå har den bara avsatt 210 miljoner pund till initiativet.

Separat lanserade den en ny Program för ambassadörer för programvarusäkerhet att driva på antagandet av Programvarusäkerhetskoden – ett frivilligt initiativ som syftar till att minimera risker och störningar i programvaruleveranskedjan. Cisco, Palo Alto Networks, Sage, Santander, NCC Group och andra har gått med på att bli ambassadörer. De kommer att förespråka koden i olika sektorer, "visa upp praktisk implementering och ge feedback för att informera framtida policyförbättringar".

Leverantörer i rampljuset

Tristan Watkins, chef för tjänsteinnovation på IT-tjänsteföretaget Advania UK, välkomnar i stort sett den gemensamma jordbrukspolitiken som "grundad av tydliga bedömningar av våra nuvarande grundproblem". Han menar att den kommer att betyda olika saker för olika leverantörer.

”Regeringens ’strategiska leverantörer’ kommer att ha krav på cybersäkerhet och motståndskraft inbyggda i sina avtal, vilka vi kan förvänta oss träda i kraft i mars 2027”, säger han till IO. ”Dessa detaljer är ännu inte fastställda. För andra leverantörer kan vi förvänta oss mer klarhet efter april 2027, vilket är den första milstolpen för att etablera regeringens cyberenhet.”

Nick Dyer, regional vice VD för lösningsteknik på Arctic Wolf, hävdar att leverantörer som ett absolut minimum förväntas utföra årliga Cyber ​​Essentials-kontroller om de vill fortsätta att uppfylla kraven. Keiron Shepherd, senior lösningsarkitekt på F5, håller med. ”Leverantörer bör vara redo för mer djupgående bedömningar och strängare rapporteringsförväntningar”, säger han till IO. ”Denna övergång till kontinuerlig kvalitetssäkring är en starkare strategi än nuvarande tidsbestämda efterlevnadskrav.”

Ett pågående arbete

Ingen av experterna tror dock att den aviserade finansieringen kommer att vara tillräcklig. Arctic Wolfs Dyer säger att den "absolut inte kommer att vara tillräcklig" för att uppnå de önskade resultaten.

”Fortlöpande investeringar och efterlevnad av den färdplan som regeringen har fastställt kommer att vara avgörande för dess framgång”, säger han till IO. ”Den föreslagna trestegsmetoden som leder fram till ett fullständigt genomförande i början av 2027 är praktisk. Dess framgång kommer dock att bero på engagemang. Prioriteringar kan förändras och omständigheterna kan förändras under ett år, vilket innebär att fortsatt tillsyn är avgörande för att säkerställa att planen ger de avsedda resultaten.”

Det finns också frågetecken kring programvarusäkerhetsambassadörsprogrammet. Advania UKs Watkins välkomnar initiativet men menar att organisationer inte bör ta det som ett tecken på att lätta på riskhanteringen i leveranskedjan.

”I slutändan bör uppförandekoden och systemet ses som goda motsvarigheter till den nya gemensamma jordbrukspolitiken och lagen om cybersäkerhet och motståndskraft, och i tid ta itu med en relaterad fråga”, säger han. ”Men jag skulle rekommendera att organisationer fokuserar sina interna säkerhetsinsatser på problem kring programvaruleveranskedjan, eftersom vi inte kan förlita oss på en uppförandekod för att tillgodose dessa behov.”

Arctic Wolfs Dyer går längre och varnar för att den, som en frivillig kod, kan leda till "inkonsekvent implementering" mellan organisationer.

”Att obligatoriskt införa koden skulle å andra sidan öka konsekvensen i implementeringen och göra ansvarsskyldigheten mätbar”, tillägger han. ”Att lagligt upprätthålla den skulle säkerställa att mjukvaruutvecklare uppfyller viktiga säkerhetsrutiner, vilket utan tvekan skulle ha varit ett mer effektivt sätt att skydda kritiska myndighetssystem.”

F5:s Shepherd håller med. ”Systemet är konstruktivt, men om ambitionen är att minska risken i hela programvaruleveranskedjan, kommer frivilliga åtgärder ensamma inte att uppnå detta”, avslutar han. ”Vi kommer snart att nå en punkt där obligatoriska standarder för designsäkra lösningar kommer att vara det mest effektiva sättet att uppnå konsekvens och täppa till luckorna.”