İngiliz hükümeti 200 milyon sterlinlik siber güvenlik bütçesini nasıl harcanacağı konusunda bilgi verdi. Buna göre savunma tedarik zinciri, kritik ulusal altyapıların siber savunması fondan en büyük payı alıyor.
Hükümet 2011 yılında Ulusal Siber Güvenlik Stratejisi’ni yayınlamıştı. Bu stratejinin hedefleri arasında Birleşik Krallığı online saldırılara karşı daha dayanıklı bir hale getirmek ve “siber alemde çıkarlarını daha iyi korumak” bulunuyor.
Ulusal Siber Güvenlik Programı tarafından desteklenen ve beş yıl içinde 860 milyon Sterlin fon ayrılan strateji İngiltere’nin en üst teknolojiye sahip tehditleri algılama ve üstesinden gelme kapasitesini geliştirme amaçların başında geliyor. Aynı zamanda online suçlarla baş edebilme konusunda polisi güçlendirme, İngiltere işletmelerinde siber bilinci artırma ve risk yönetimini geliştirmede stratejinin amaçları arasında yer alıyor.
Bakanlar Kurulu’nun yayınladığı son raporda bu yıl programa ayrılan 200 milyon Sterlin nereye gideceğinin ayrıntılarını verdi. En büyük pay (93.2 milyon £) yüksek teknolojiye sahip tehditleri algılama ve üstesinden gelme için kapasiteyi daha etkili hale getirmeye ayrılıyor. Yüksek teknoloji ürünü siber tehditleri ifadesinden devlet destekli casusluk saldırıları ve APT’lerin olduğu ifade ediliyor.
Bakanlar Kurulu, “Bütçenin büyük bir kısmı (bir istihbarat servisi olan) GCHQ’ya gidecek. Teşkilat İngiltere’nin karşılaştığı ve gittikçe karmaşıklaşan siber tehditleri algılayacak ve engelleyecek.” dedi.
Raporda tüm bu işlerin zorunlu kategorisine dahil edildiği ve GCHQ’nun elde ettiği istihbaratın ulusal ehemmiyeti olan kilit ağlarda hızlı ve ölçekli koruma sağlaması için kullanılacağına değiniliyor. Gelecek yıllarda ise GCHQ’nun bir istihbarat paylaşım programı geliştireceğine işaret ediliyor. Buna göre iletişim şirketlerinde erişim izni olan personeli ile düşman devlet ve siber suç faaliyetleri hakkındaki bilgiler paylaşılacak. Böylece onlar da kendi ağlarını saldırılardan koruyabilecek.
Fonun ikinci büyük kısmı ise savunma sanayinde siber güvenliğin güçlendirilmesine ayrılıyor. Savunma tedarik zinciri yoluyla güvenliği geliştirme amaçlanıyor. (200 milyon Sterlinlik bütçeye siber alandaki daha genel savunma harcamaları dâhil değil. Bunun yerine silahlı kuvvetler 500 milyon Sterlin projeleri kapsamında kendi dijital savaş taarruzu kapasitelerini kendileri inşa ediyor.)
2014’ün başında hükümet, İngiliz savunma endüstrisinin uzun süredir askeri sırları çalmak isteyen devlet destekli hackerların hedefinde olduğunu ve bu hackerların askeri intranette gedik açmayı başardıklarını açıklamıştı.
200 milyon Sterlin tutarındaki fon kapsamında bu iki alanın dışında hükümet siber suçla polisin mücadelesini geliştirmek için 29.1 milyon £ harcıyor. Ayrıca 21 milyon £ da özel sektörün bilincini artırmak için ayrılmış durumda.
Rapor özel sektörün siber suçları önlemesi için geliştirilmesi ile ilgili girişimlerin ayrıntılarına da yer veriyor. Bunlar arasında Bilim Sanayi ve Kalkınma Bakanlığı tarafından yürütülen “Sağlık Kontrolü” projesi var. Bu proje İngiltere’deki en iyi şirketlerin online risklerle nasıl baş ettiklerini değerlendiriyor.
Bakanlık ayrıca kurumsal finans sektörü için tavsiyeler yayınladı. Bu tavsiyeler birleşme ve devralmalar, satınalmalar ve girişim sermayesini hedefleyen siber tehditleri gösteriyor.
Rapora göre tehlikeli maillerin yüzde 94’ü Gelir ve Gümrük İdaresi’nin web domainlerini hedef alıyor. Bu mailler internet servis sağlayıcıları tarafından müşterilerin gelen kutularına gitmeden silinmiş. Bunun yanında Gelir ve Gümrük İdaresi 75000 kimlik hırsızlığı teşebbüsü içeren 4000’den fazla illegal web sitesine de karşılık vermiş.
Tüm bunlarla birlikte özel sektördeki siber savunmanın genel durumunda bakıca çok da iyi bir tablo çıkmıyor: Hükümetin kendi araştırmaları güvenlik ihlallerinin maliyeti ve şiddeti önemli ölçüde artarken büyük kuruluşların yüzde 81’inin, küçük kuruluşların ise yüzde 60’ınıngüvenlik ihlali yaşadığını gösteriyor. Küçük şirketler için en zararlı ihlalin maliyeti 65 000-115 000 £ arasında değişiyor. Büyük şirketler içinse bu maliyet 600 000 £ ile 1.15 milyon £ arasında değişiyor.
Haziranda Gelir ve Gümrük İdaresi, Bilim Sanayi ve Kalkınma Bakanlığı ve Bakanlar Kurulu şirketleri temel güvenlik kontrollerini benimsemesini teşvik “Siberin Temelleri” sertifikasını başlattı. Şimdiye kadar sadece 124 sertifika verildi. Bu sene Ekimde ise devlet için çalışan bazı tedarikçilere Siberin Temelleri Sertifikası zorunlu hale gelecek.
