Het komt niet vaak voor dat de overheid toegeeft dat ze een fout heeft gemaakt. Maar begin dit jaar werden we getrakteerd op een zeldzaam voorbeeld. mea culpaEen erkenning dat een eerder gestelde doelstelling om Whitehall weerbaar te maken tegen alle bekende kwetsbaarheden en aanvalsmethoden niet haalbaar zou zijn tegen 2030. Die erkenning was weggestopt in de tekst van... het Cyberactieplan (CAP), de meest recente poging van de huidige regering om de veiligheid van de centrale overheid te verbeteren.

Het is een gedetailleerd plan met veel potentie, en een plan dat een impact zal hebben die veel verder reikt dan de publieke sector. Maar is het genoeg?

Waarom de overheid een plan nodig heeft

Dat de overheid een plan nodig heeft om de cyberweerbaarheid te versterken, staat buiten kijf. Een beoordeling van de Government Security Group (GSG) in 2023-24 wees uit dat 58 kritieke IT-systemen van ministeries "aanzienlijke" beveiligingslekken vertoonden, wat een "extreem hoog" risico met zich meebracht. Een aparte beoordeling van de National Audit Office (NAO) verslag Uit een onderzoek van vorig jaar bleek dat 28% van de 228 verouderde IT-systemen een grote kans op operationele en beveiligingsrisico's met zich meebracht. Tekorten aan gekwalificeerd personeel en een gebrek aan financiering hebben de situatie verergerd, aldus het rapport.

Sindsdien hebben er zich grote schendingen voorgedaan bij de Bureau voor rechtsbijstandeen Afghaans nederzettingsplan  wat de belastingbetaler geld zou kunnen kosten honderden miljoenen ponden, en minstens twee ernstige veiligheidsincidenten bij aannemers van het Ministerie van DefensieIn een tijd waarin geld schaars is en de publieke dienstverlening achteruitgaat, kan de overheid zich geen kostbare inbreuken veroorloven, en al helemaal niet alles wat de broodnodige digitale transformatie in gevaar brengt.

Het CAP-rapport wijst op meerdere tekortkomingen:

  • Geïnstitutionaliseerde fragmentatie
  • Aanhoudend risico op het gebied van legacy-systemen, cyberbeveiliging en veerkracht.
  • Gegevens in silo's
  • Onderdigitalisering
  • Inconsistent leiderschap
  • Een tekort aan digitale vaardigheden
  • Diffuse koopkracht
  • Verouderde financieringsmodellen

Wat zit er in de CAP?

Het CAP belooft een "sterke, gecentraliseerde aanpak met duidelijke richting en actief leiderschap", die heldere verwachtingen schept over hoe afdelingen beveiliging en weerbaarheid moeten beheren door middel van meetbare doelstellingen en resultaten. Het overkoepelende doel is om het inzicht in cyberrisico's te verbeteren en te zorgen voor krachtigere, gecentraliseerde actie bij de moeilijkste uitdagingen (die afdelingen niet zelfstandig kunnen aanpakken). Het belooft de snelheid en kwaliteit van de incidentrespons te verbeteren en gecentraliseerde ondersteuning te bieden voor het oplossen van problemen uit het verleden.

Om haar doelstellingen te bereiken, beschrijft het GLB drie implementatiefasen:

Fase 1 (uiterlijk april 2027): Het oprichten van een overheidseenheid voor cyberbeveiliging, het implementeren van verantwoordingskaders, het lanceren van een overkoepelend cyberberoep binnen de overheid om cyberprofessionals aan te trekken, bij te scholen en te behouden, en het publiceren van een overheidsplan voor de respons op cyberincidenten.

Fase 2 (april 2027-2029): Het CAP opschalen door middel van datagestuurde besluitvorming, het leveren van cyberondersteuningsdiensten en het uitbreiden van de responsmogelijkheden.

Fase 3 (april 2029+): Continue verbetering door het delen van centrale data-inzichten, het aanbieden van diensten op grote schaal, het inzetten van de cybersecurityprofessional voor transformatie en het ervoor zorgen dat afdelingen proactief cyberrisico's in hun toeleveringsketens beheersen.

De regering beweert dat het Gemeenschappelijk Landbouwbeleid (GLB), door de veilige digitalisering van openbare diensten mogelijk te maken, tot wel 45 miljard pond aan productiviteitsbesparingen zou kunnen opleveren. Er is echter slechts 210 miljoen pond aan het initiatief toegewezen.

Daarnaast lanceerde het bedrijf een nieuwe Softwarebeveiligingsambassadeursprogramma Het doel is om de acceptatie van de Software Security Code of Practice te bevorderen – een vrijwillig initiatief gericht op het minimaliseren van risico's en verstoringen in de softwareleveringsketen. Cisco, Palo Alto Networks, Sage, Santander, NCC Group en anderen hebben ermee ingestemd ambassadeur te worden. Zij zullen de code in verschillende sectoren promoten, "praktische implementaties laten zien en feedback geven om toekomstige beleidsverbeteringen te onderbouwen".

Leveranciers in de schijnwerpers

Tristan Watkins, directeur service-innovatie bij IT-dienstverlener Advania UK, verwelkomt het CAP over het algemeen als een initiatief dat "gebaseerd is op een heldere analyse van onze huidige kernproblemen". Hij stelt echter dat het voor verschillende leveranciers verschillende betekenissen zal hebben.

"De 'strategische leveranciers' van de overheid zullen cybersecurity- en veerkrachtvereisten in hun overeenkomsten opgenomen krijgen, die naar verwachting in maart 2027 van kracht zullen worden", vertelt hij aan IO. "De details hiervan moeten nog worden vastgelegd. Voor andere leveranciers verwachten we na april 2027 meer duidelijkheid, aangezien dat de eerste mijlpaal is voor de oprichting van de Government Cyber ​​Unit."

Nick Dyer, regionaal vicepresident solutions engineering bij Arctic Wolf, stelt dat van leveranciers op zijn minst verwacht zal worden dat ze jaarlijkse Cyber ​​Essentials-controles uitvoeren om aan de regelgeving te blijven voldoen. Keiron Shepherd, senior solution architect bij F5, is het daarmee eens. "Leveranciers moeten zich voorbereiden op diepgaandere beoordelingen en strengere rapportageverplichtingen", vertelt hij aan IO. "Deze verschuiving naar continue kwaliteitsborging is een sterkere aanpak dan de huidige momentopnames van de naleving."

Een werk in uitvoering

Geen van beide experts is echter van mening dat de aangekondigde financiering voldoende zal zijn. Dyer van Arctic Wolf zegt dat het "zeker niet genoeg" zal zijn om de beoogde resultaten te behalen.

"Aanhoudende investeringen en het volgen van de door de overheid opgestelde routekaart zijn cruciaal voor het succes ervan", vertelt hij aan IO. "De voorgestelde driestappenbenadering, die moet leiden tot volledige implementatie begin 2027, is een praktische aanpak. Het succes ervan zal echter afhangen van de inzet. Prioriteiten kunnen verschuiven en omstandigheden kunnen binnen een jaar veranderen, wat betekent dat voortdurend toezicht essentieel is om ervoor te zorgen dat het plan de beoogde resultaten oplevert."

Er bestaan ​​ook vraagtekens bij het Software Security Ambassador Scheme. Watkins van Advania UK verwelkomt het initiatief, maar stelt dat organisaties dit niet moeten interpreteren als een reden om het risicomanagement in de toeleveringsketen te versoepelen.

"Uiteindelijk moeten de gedragscode en het schema worden gezien als goede aanvullingen op het nieuwe CAP en de Cyber ​​Security and Resilience Bill, en pakken ze een verwant probleem tijdig aan", zegt hij. "Maar ik zou organisaties aanraden hun interne beveiligingsinspanningen te richten op de problemen in de softwareleveringsketen, omdat we niet op een gedragscode kunnen vertrouwen om aan die behoeften te voldoen."

Dyer van Arctic Wolf gaat nog verder en waarschuwt dat de vrijwillige gedragscode kan leiden tot "inconsistente toepassing" door verschillende organisaties.

"Het verplichten van de code zou daarentegen de consistentie van de implementatie vergroten en de verantwoording meetbaar maken", voegt hij eraan toe. "Juridische handhaving zou ervoor zorgen dat softwareontwikkelaars zich houden aan essentiële beveiligingspraktijken, wat wellicht een effectievere manier zou zijn geweest om kritieke overheidssystemen te beschermen."

Shepherd van F5 is het daarmee eens. "Het plan is constructief, maar als het de bedoeling is om de risico's in de hele softwareleveringsketen te verminderen, zullen vrijwillige maatregelen alleen dat niet bereiken", concludeert hij. "We zullen binnenkort een punt bereiken waarop het verplichten van 'secure-by-design'-stijlstandaarden de meest effectieve manier is om consistentie te bereiken en de hiaten te dichten."