El gobierno del Reino Unido está significativamente atrasado en su objetivo de 2022 para endurecer los sistemas contra los ataques cibernéticos para 2025, con un nuevo informe del perro guardián que sugiere que puede no alcanzar este objetivo incluso para 2030.
Como parte del Estrategia cibernética del gobierno 2022El gobierno del Reino Unido se comprometió a tener sus funciones críticas notablemente más resistentes a los ataques por, bueno, este año. Sin embargo, la Oficina Nacional de Auditoría (NAO) dijo hoy que cumplir con esos objetivos incluso para 2030 sería «ambicioso».
De hecho, para ese momento, la misma promesa hecha en enero de 2022 tenía como objetivo mejorar la resiliencia en todo el sector público a vulnerabilidades conocidas y métodos de ataque prevalentes. Este objetivo, como el menor antes, también se retrasa.
El informe del Contralor y el Auditor General de la NAO señala que la amenaza cibernética para el gobierno del Reino Unido es «severa y avanzando rápidamente», un hecho del cual el Parlamento está al tanto.
Sin embargo, el estado de seguridad en todo el gobierno sigue siendo lamentable, según el informe, que se centró solo en la resiliencia cibernética de los sistemas de TI de los departamentos ministeriales y no ministeriales, y los de los organismos de su brazo, con «seguridad» oficial «de seguridad» oficial » clasificación. Las clasificaciones «secretas» y las arriba no están en alcance aquí.
Para los no iniciados, los ejemplos de los 24 departamentos ministeriales incluyen el Ministerio de Defensa y la oficina del gabinete, ambos dirigidos por ministros. Los departamentos no ministeriales, como el servicio de enjuiciamiento de la Corona y los ingresos y aduanas de HM, están dirigidos por funcionarios públicos.
Los departamentos gubernamentales en el alcance fueron evaluados por el esquema de gobierno del Grupo de Seguridad del Gobierno (GSG). GSG luego reunió estos datos y los envió a revisores independientes, un cambio de ritmo de años anteriores que vieron a los cuerpos evaluar su propia resiliencia cibernética.
De los 72 sistemas de TI considerados críticos para administrar los servicios más importantes del gobierno, 58 fueron revisados de forma independiente. Los datos del gobierno encontraron «brechas significativas» en la resiliencia cibernética de los departamentos, como «múltiples controles del sistema fundamental que estaban en bajos niveles de madurez».
Los ejemplos del informe incluyeron gestión de activos, monitoreo de protección y planificación de respuesta. Todos estos se consideran aspectos fundamentales de la resiliencia cibernética que necesitan una mejora sustancial para cumplir con los objetivos anteriores del gobierno. Los hallazgos llevaron a GSG a aconsejar a los ministros que el riesgo para la ciberseguridad del gobierno es «extremadamente alto».
También ayudó en la recopilación de datos la oficina central y de datos centrales del gobierno (CDDO), que para marzo de 2024 identificó al menos 228 sistemas de TI heredados en los departamentos gubernamentales en el alcance. Sin embargo, se cree que este número es probablemente mayor.
De estos, el 28 por ciento (63) estaban clasificados en rojo, lo que significa que presentaron una alta probabilidad de riesgos operativos y de seguridad. El otro 72 por ciento no tenía calificación roja, pero aún presentaba un riesgo, según el informe.
El NAO dijo que el gobierno todavía carece de una comprensión profunda de cuán vulnerables son estos 228 sistemas heredados para un ataque cibernético. Los datos de la CDDO se recopilaron utilizando un marco basado en siete criterios que diferían de los de Govassure, uno que examinó la ciberseguridad en parte pero que tenía un alcance más amplio más allá de solo cibernético. Los datos sugirieron que existen vulnerabilidades en esos sistemas, pero no fueron detalladas.
La razón para no usar el método de recopilación de datos de Govassure y garantizar que se extrajeran un conjunto de conclusiones más uniforme fue que los controles del sistema recomendados del GSG no se aplicarían a sistemas tan antiguos como los que están en cuestión, por lo que no estaban incluidos en el gobierno en el gobierno. evaluación.
Hemos visto con demasiada frecuencia el impacto devastador de los ataques cibernéticos en nuestros servicios públicos y la vida de las personas.
Esto significa que sigue habiendo una comprensión incompleta de los riesgos de ciberseguridad presentados por estos innumerables sistemas heredados y qué tan bien los departamentos en el alcance han gestionado los riesgos. El NAO no se dio cuenta de asuntos básicos, como si estos sistemas de envejecimiento se aislaron de otras áreas de la red o si se llevaron a cabo evaluaciones de vulnerabilidad.
Solo como recordatorio, el gobierno del Reino Unido dicho En 2019, estaba gastando casi la mitad de su presupuesto de TI de £ 4.7 mil millones ($ 5.8 mil millones) para mantener estos sistemas heredados en funcionamiento. Seis años después, no sabe cuánto riesgo presentan a la ciberseguridad general del gobierno.
«Hemos visto con demasiada frecuencia el impacto devastador de los ataques cibernéticos en nuestros servicios públicos y la vida de las personas», dijo Geoffrey Clifton-Brown, diputado y presidente del Comité de Cuentas Públicas.
«A pesar de la amenaza cibernética en rápida evolución, la respuesta del gobierno no ha mantenido el ritmo. La mala coordinación en todo el gobierno, una escasez persistente de habilidades cibernéticas y una dependencia de los sistemas de TI legados obsoletos continúan dejando expuestos a nuestros servicios públicos.
«El informe NAO de hoy debe servir como una llamada llamada de atención al gobierno para llegar a esta amenaza más perniciosa».
Cuida la brecha (habilidades)
A pesar de los evidentes problemas técnicos que residen en los sistemas más críticos del gobierno, el NAO determinó que la incapacidad del gobierno para atraer el máximo talento para los roles tecnológicos, o cualquier talento en muchos casos, era el riesgo principal de construir resiliencia cibernética.
Entre los hallazgos clave aquí estaban que uno de cada tres roles cibernéticos del gobierno quedó sin cubrir o fue llevado a cabo por personal temporal que costó al menos el doble que los funcionarios asalariados.
La dependencia del personal temporal es un tema común, especialmente en los roles más experimentados o especializados, con hasta el 70 por ciento de los puestos de arquitecto de seguridad llenos de temperaturas.
Varios departamentos en el alcance también informaron que más de la mitad de sus posiciones de ciberseguridad permanecieron vacantes, evitando que la función general funcione de manera efectiva.
El NAO señaló que la brecha de habilidades de ciberseguridad es una experiencia por muchas organizaciones, no solo por el gobierno del Reino Unido, cuyos departamentos reconocen que sus respectivos poderes de gasto limitan su capacidad para llenar puestos vacantes.
La diferencia entre los salarios que se ofrecen en el sector privado en comparación con los equivalentes del sector público es en muchos casos como el Gulfoy el tema de mucha crítica de la industria en general.
Una rápida mirada a los anuncios de trabajo del servicio civil que se abren actualmente muestra una serie de gerentes y líderes de equipo con salarios anunciados en las fracciones de las disponibles en el sector privado. Incluso los jefes de operaciones de ciberseguridad están siendo compensadas tan poco como £ 68,568 ($ 85,330). Claro, las contribuciones de pensión son considerables, pero los roles similares en la industria pueden generar fácilmente las sumas de seis cifras de las personas adecuadas.
Estado de juego
Como dijo el NAO, el riesgo cibernético para el Reino Unido es severo. Los eventos de los últimos dos años han ilustrado marcadamente la intensa y duradera interrupción que los ataques contra los servicios públicos pueden causar.
El Incidente de la Biblioteca Británica a menudo se cita como uno de esos ataques, y más recientemente el Ataque a Synnovisque interrumpió miles de procedimientos y citas en dos hospitales del NHS London, es posiblemente el más grave de los tiempos modernos.
Eso sin mencionar los éxitos en Otras organizaciones del NHS, hospitales para niños, redes de transportelocal consejo, escuelasy otros Proveedores de infraestructura crítica.
El informe del NAO sigue a uno similar del Centro Nacional de Seguridad Cibernética (NCSC) en diciembre que advirtió la gravedad de la amenaza cibernética que enfrenta el Reino Unido. ampliamente subestimado.
En él, el NCSC dijo que el número de incidentes de gravedad máximos triplicó en 2024 en comparación con el año anterior y el número de incidentes significativos a nivel nacional aumentó de 62 a 89, incluido un número no revelado de ataques contra el gobierno.
Para evitar incidentes graves, generar resiliencia y proteger el valor de dinero de sus operaciones, el gobierno debe ponerse al día con la aguda amenaza cibernética que enfrenta
El NAO presentó un trío de recomendaciones al gobierno del Reino Unido. En los próximos seis meses, debe desarrollarse, compartir y comenzar a usar un plan de intergobierno para implementar la estrategia de seguridad cibernética y también definir claramente qué transformaciones deben tener lugar para que pueda lograr sus objetivos a largo plazo.
En este momento del próximo año, el NAO también dijo que sería una buena idea desarrollar y ejecutar planes para abordar la brecha de habilidades cibernéticas.
«El riesgo de ciberataque es severo, y es probable que los ataques con servicios públicos clave ocurran regularmente, sin embargo, el trabajo del gobierno para abordar esto ha sido lento», dijo Gareth Davies, jefe de la NAO.
«Para evitar incidentes graves, generar resiliencia y proteger el valor de dinero de sus operaciones, el gobierno debe ponerse al día con la aguda amenaza cibernética que enfrenta.
«El gobierno continuará encontrando difícil ponerse al día hasta que aborde con éxito la larga escasez de habilidades cibernéticas, fortalezca la responsabilidad del riesgo cibernético y administre mejor los riesgos planteados por Legacy IT». ®
