Vláda Spojeného království označila počítačovou kybernetiku za hrozbu prvního stupně vedle terorismu a počítačová kriminalita stojí britské podniky každý rok obrovské částky peněz – a to je jen ta počítačová kriminalita, o které víme, protože je velmi nedostatečně hlášena.
Vláda a kritická národní infrastruktura (CNI) zůstávají klíčovými cíli pro gangy organizovaného zločinu, které provozují velkou část počítačové kriminality, i pro nepřátelské národní státy, i když jsou vzácnější. Někdy však tento druh „práce“ zadávají zločineckým gangům.
Tak, kybernetická válka (jak můžeme dobře považovat za útoky na CNI) by ve skutečnosti mohl být v rukou nejen nepřátelských národů, ale i kriminálního prvku těchto nepřátelských národů nebo dokonce jiných národů.
Svět ve skutečnosti několikrát viděl, co se stane, když budou úspěšní (přemýšlejte o tom, že ukrajinská energetická síť byla odstraněna třikrát a WannaCry a NotPetya deaktivují podniky a NHS). Ale je naše vedoucí postavení v oblasti bezpečnosti dostatečně vyvinuté, aby dokázalo zvládnout tuto trvalou a vyvíjející se hrozbu?
„Největší hrozbou pro bezpečnost je dnes obecný nedostatek přesvědčení, že nějaká hrozba existuje“ – řekl lord Radcliffe ve zprávě o bezpečnosti z roku 1962.
Aby bylo možné čelit této hrozbě prvního stupně, musí být v srdci vlády skutečné porozumění – je tomu již několik let, co Národní kontrolní úřad (NAO) kritizoval nedostatečné porozumění a vedení v oblasti informační bezpečnosti.
Počet vzdáleně spravovaných nebo webových systémů každý rok roste a je zcela správné, že náš CNI musí těžit ze zvýšené správy a úspor nákladů, které tyto nové způsoby práce poskytují.
Zároveň pokračuje neustálý nápor propojovat četné starší systémy, což z nich dělá systémy, které nikdy nebyly navrženy tak, aby byly orientovány na internet.
Spojovací OT a starší systémy internet je „legitimním“ cílem národních států využívajících útočné útočné schopnosti a zločinců i teroristů. Nerobí rozdíly na základě žádného morálního nebo etického kodexu – usilují o výsledek.
Takže pokud budeme i nadále umožňovat web vše v našem CNI, bylo by přehnané si představit, že jsme přijali veškerá možná opatření k zajištění jejich bezpečnosti a odolnosti.
Ještě v roce 2017 jsme zjistili, že více než třetina infrastrukturních organizací ve Velké Británii nedokončila základní standardy kybernetické bezpečnosti vydané britskou vládou, známé jako 10 kroků ke kybernetické bezpečnosti.
Nelze tedy pochybovat o tom, že v této oblasti chybí dlouhodobé přemýšlení a to, co vypadá jako přístup podobný „pokud se nerozbije, neopravujte to“.
Jinými slovy, pokud stále funguje, víme, že to nemusí být bezpečné, ale nebudeme si ji vyměňovat, pokud stále funguje. Důvodem je, že oprava se může ukázat jako obtížná nebo nákladná, což může vyžadovat zásah dodavatele. Operační systém, na kterém byl postaven, již nemusí být podporován bezpečnostními opravami a náklady na údržbu nebo výměnu nebyly integrovány do nákladů životního cyklu.
Zkombinujte to s rozdílem, který nyní obklopuje koncept CNI, a tím se Spojené království dostává do velmi nejisté situace. CNI je nyní volná sbírka veřejně a soukromé subjekty nebo organizace, které nemusí být ani v tuzemském vlastnictví.
Existuje jen tak dlouho, že si můžete zabořit hlavu do písku. Strategické prostředí Spojeného království je diktováno stejnými lidmi, kteří jsou zvyklí psát pětileté strategie pro pětileté vládní období. Kybernetická bezpečnost však nefunguje v pětiletých cyklech; cyber funguje dnes a mluvit o skutečné odolnosti se pravděpodobně nemůže stát, pokud to nebude přijato jako fakt.
Je zapotřebí agilní, iterativní a proaktivní reakce. Čekání na šest let na aktualizaci vaší kybernetické strategie jednoduše podporuje pozorování NAO, že vláda tuto hrozbu plně nepochopila.
To může, ale nemusí být pravda, ale co je pravda, je to, že sny o tom, jak se s kybernetickou bezpečností ve Velké Británii postavit na nohy, zůstanou právě tím, dokud nebudeme skuteční v budování strategií, které řeší některé z obtížnějších a nepohodlnějších realit, ve skutečnosti se chovat a pravidelně je kontrolovat.
