Parlamentin avajaiset ovat tilaisuus, joka on täynnä sellaista loistoa ja seremonioita, jossa Britannia on edelleen parempi kuin mikään muu maa. Mutta konkreettisten yksityiskohtien kertomisessa tulevasta lainsäädännöstä se ei ole yhtä hyvä. Kuninkaan puhe pidetään tarkoituksella epämääräisenä varmistaakseen suunnitelmiinsa jonkin verran joustavuutta. Tästä huolimatta on olemassa joitakin selkeitä merkkejä siitä, mitä voimme odottaa tulevina kuukausina. Ja epätavallisesti tässä parlamentin istuntokaudessa kyber on etualalla useissa lakiehdotuksissa.

Digitaalisista henkilöllisyyskorteista ja uusista kyberturvallisuusvaatimuksista tiiviimpään yhteistyöhön eurooppalaisen sääntelyn kanssa, turvallisuus- ja vaatimustenmukaisuustiimeillä on tänä vuonna paljon tekemistä. Tässä on yhteenveto merkittävimmistä ehdotuksista:

Kyberturvallisuutta ja kestävyyttä koskeva lakiesitys

Kauan odotettu vuoden 2018 verkko- ja tietoturva-asetusten päivitys etenee edelleen parlamentin käsittelyssä, ja sen odotetaan tulevan voimaan ennen vuoden loppua. Kyberturvallisuutta ja kestävyyttä koskeva lakiesitys (CSRB) lisää soveltamisalaan kuuluvien organisaatioiden määrää – kattamaan myös hallinnoitujen palvelujen tarjoajat (MSP) ja datakeskusten ylläpitäjät. Se edellyttää uusia ”asianmukaisia ​​ja oikeasuhtaisia” turvatoimenpiteitä, mukaan lukien tehostettu vaaratilanteiden raportointi ja toimitusketjun riskienhallinta. Ja se tiukentaa noudattamatta jättämisestä määrättäviä enimmäisrangaistuksia.

Uuden sääntelyjärjestelmän piiriin kuuluvien sektoreiden määrä on kuitenkin edelleen pieni verrattuna Euroopan NIS2-alueeseen. SonicWallin EMEA-alueen johtaja Spencer Starkey kertoo IO:lle (entinen ISMS.online), että suurin osa Yhdistyneen kuningaskunnan taloudesta pysyy koskemattomana.

”EU:n NIS2-direktiivi kattaa jo laajemman verkon kattaen teollisuuden, elintarviketuotannon ja kemikaalit, joita CSRB ei kata. Tämä tarkoittaa, että monikansalliset yritykset saattavat jo tehdä raskaan työn, johon CSRB:n ei ole tarkoituskaan”, hän ehdottaa. ”Hallituksen todellinen panos on toimitusketjun paine – säännellyt organisaatiot tarkastavat ja hallinnoivat toimittajiensa kyberturvallisuusstandardeja ja laskevat vähimmäisvaatimuksia säätämättä kuitenkaan suoraan kaikkia koskevia lakeja.”

Hallitus on myös ilmoittanut, että Kyberturvallisuuslupausaloite, jossa suuria yrityksiä pyydetään sitoutumaan vaatimaan Cyber ​​Essentials -tuotteita kaikilta toimittajakunnaltaan – muun muassa. Tämä voisi myös auttaa parantamaan perustason tietoturvaa Yhdistyneen kuningaskunnan yritysten keskuudessa, vaikka Starkeyn mukaan "vapaaehtoiset lupaukset toimivat vain, jos niitä valvotaan kaupallisesti".

Digitaalisten palvelujen lakiesitys

Tämä tuo Isoon-Britanniaan ensimmäistä kertaa kiistanalaisen vapaaehtoisen digitaalisen henkilöllisyystodistuksen. Hallitus yrittää voittaa skeptisen yleisön puolelleen positioiden sitä aikaa säästävänä teknologiana, joka vähentää byrokratiaa ja parantaa julkisia palveluita. Myös yrityksille siitä voisi olla hyötyä, jos se vähentäisi asiakkaiden henkilöllisyyden varmentamiseksi tallennettavien ja käsiteltävien tietojen määrää. Se voisi teoriassa vähentää identiteettipetoksia ja jopa virtaviivaistaa kolmannen osapuolen identiteetintarjoajien tarkastusprosessia.

SmartSearchin toimitusjohtajan Phil Cotterin mukaan piru piilee kuitenkin yksityiskohdissa. ”Jos se integroi vahvan biometrian ja maksuvälineen elävyyden tunnistuksen kriittisiin maksupisteisiin, se voisi merkittävästi vähentää identiteettiin perustuvia petoksia”, hän sanoo. ”Huonosti suunniteltuna siitä voi tulla vain yksi tunnistetieto lisää, joka voidaan varastaa tai manipuloida sosiaalisesti, mikä luo illuusion turvallisuudesta ilman, että se toteutuu.”

Myös kysymyksiin on vastattava siitä, miten järjestelmä toteutetaan käytännössä.

”Jos yhdestä järjestelmästä tulee kansallisten identiteettien oletusarvo sekä julkisissa että rahoituspalveluissa, siitä tulee arvokas kohde”, Cotter varoittaa. ”Epäonnistuminen tai kompromissi ei olisi yksittäistapaus – sillä voisi olla heijastusvaikutuksia koko talouteen.”

Kansallisen turvallisuuden laki

Väkivaltaisen verkkosisällön sääntelyn lisäksi lakiesityksen kybernäkökulmasta merkittävin osa on ehdotetut uudistukset vuoden 1990 tietokoneiden väärinkäyttöä koskevaan lakiin. Laki luotiin ennen kuin verkkoa edes oli olemassa nykymuodossaan, ja sitä on laajalti kritisoitu siitä, ettei se suojele kyberturvallisuustutkijoita laittomuussyytöksiltä. Uudet ehdotukset korjaavat nämä puutteet tarjoamalla oikeudellisen suojan haavoittuvuustutkimukselle, kynätestaukselle ja muille toimille.

”Toiveena on, että siirrymme avoimeen tutkimusmalliin, jossa kaikki on sallittua, kunhan siitä raportoidaan asianmukaisesti”, Closed Door Securityn toimitusjohtaja William Wright kertoo IO:lle. ”Se antaa kaikille mahdollisuuden mitata riskejä itse ja tutkijoille/uhkienmetsästäjille avoimemman toimintaympäristön, mikä johtaa parempaan ympäristöön kaikille.”

CybaVersen penetraatiotestauspäällikkö Michael Jepson lisää, että se voisi kannustaa SOC-keskuksia toimimaan tiedustelutietojen perusteella sen sijaan, että ne vain jäisivät odottamaan, ja helpottaa ja perusteellisempaa toimittajien taustatarkastusta. ”Toimitusketjun turvallisuutta voitaisiin vahvistaa vakiokyselylomakkeiden ja SOC2-raporttien lisäksi, mikä tarkoittaisi, että organisaatiot voisivat itse asiassa tarkistaa toimittajien paperilla esittämät väitteet”, hän kertoo IO:lle.

NHS:n modernisointilaki

Laaja-alaisiin uudistuksiin, joilla pyritään parantamaan potilashoitoa, kuuluu ehdotus yhden potilastietueen (SPR) käyttöönotosta. Huntressin vCISO:n Muhammad Yahya Patelin mukaan se on potentiaalisesti valtava turvallisuusriski, kun otetaan huomioon sen mahdollisesti sisältämät henkilökohtaiset ja lääketieteelliset tiedot.

”Heti kun data yhdistetään ja siihen päästään käsiksi yhden ainoan käyttöreitin kautta, siitä tulee yksi houkuttelevimmista kohteista koko Yhdistyneen kuningaskunnan digitaalisessa infrastruktuurissa”, hän kertoo IO:lle. ”Kyberrikolliset ovat jatkaneet NHS:n ja keskeisten toimittajien kohdistamista hyökkäyksiin vuosien varrella. SPR muuttaa perusteellisesti minkä tahansa onnistuneen tietomurron vaikutusalueen.”

Patelin mukaan on tehtävä riskinarviointeja turvallisuus-, menettely- ja prosessi-aukkojen korjaamiseksi sekä otettava käyttöön nollaluottamusperiaatteet identiteetin ja pääsyn osalta yleisön luottamuksen vahvistamiseksi. Hän lisää, että tämä voisi auttaa vahvistamaan NHS:n toimitusketjun turvallisuutta, jossa Cyber ​​Essentials Plus -palvelut ovat jo pakollisia.

”Jokainen SPR:ään kosketteleva organisaatio, olipa kyseessä infrastruktuurin, ohjelmistojen tai dataintegraatiopalveluiden tarjoaminen, tulee määritelmän mukaan osaksi turvallisuuskehää”, Patel sanoo. ”Tämä asettaa NHS:lle käytännön vaatimuksen ymmärtää ja hallita koko ketjun turvallisuustilannetta.”

Uudistuksiin kuuluu myös NHS Englandin lakkauttaminen ja toimintojen siirtäminen terveys- ja sosiaaliministeriölle (DHSC). Tämä voi auttaa "terävöittämään vastuullisuutta" sääntelyn ja hallinnon näkökulmasta, vaikka se voi myös aiheuttaa byrokratiaa, Patel varoittaa. "Yhdistettynä CSRB:n pakollisiin tapausten raportointiaikatauluihin ja seuraamusjärjestelmään, on ainakin olemassa aiempaa selkeämpi täytäntöönpanoarkkitehtuuri", hän sanoo.

Eurooppalainen kumppanuuslaki

Kymmenen vuotta Brexitin jälkeen hallitus näyttää ymmärtäneen, ettei Iso-Britannia voi luoda omaa tietään sääntelyn suhteen ilman, että se ainakin yhdenmukaistaa käytäntöjään mannernaapureidensa kanssa. Eurooppalainen kumppanuuslakiesitys pyrkii vahvistamaan suhteita EU:hun kaupan edistämiseksi ja byrokratian vähentämiseksi.

”Hallituksella on valta nopeuttaa kehittyvien sisämarkkinasäännösten saattamista osaksi Yhdistyneen kuningaskunnan lainsäädäntöä ilman, että jokaisesta päivityksestä käynnistetään täysimittainen, perinteinen parlamentaarinen äänestys”, selittää James Clark, Spencer West LLP:n osakas. Vaikka yhdenmukaistamisen ensisijaisia ​​alueita ovat ruoka ja juoma, energia ja päästökauppa sekä nuorten liikkuvuus, digitaalinen ja kyberturvallisuus voisivat mahdollisesti seurata perässä, hän kertoo IO:lle.

”Voitaisiin väittää, että EU:n käyttöön ottama lisäbyrokratia on luonut kilpailuedun kevyemmin säännellylle Isolle-Britannialle. Todellisuudessa monet yritykset toimivat kuitenkin molemmilla markkinoilla, mikä tarkoittaa, että EU-sääntelyn varjolla on edelleen olennainen vaikutus Ison-Britannian talouteen”, Clark jatkaa. ”On yksinkertainen totuus, että useimmat kansainvälisesti toimivat yritykset suosivat mahdollisimman paljon yhdenmukaisuutta standardien suhteen.”

On kuitenkin epäselvää, miten tiiviimpi yhteistyö kyberasioissa toimisi, ottaen huomioon NIS2:n ja CSRB:n välinen ero”Samaan aikaan ei ole olemassa suoraa vastinetta EU:n kyberturvallisuuslaille, joka edellyttää laitteisto- ja ohjelmistotuotteilta turvallisia sisäänrakennettuja standardeja, pakollisia päivityksiä ja haavoittuvuuksien hallintaa koko niiden elinkaaren ajan”, Clark huomauttaa.

Paljon lisää tulossa

Kuten hallituksen tapaan, jotkut näistä ehdotuksista epäilemättä hyllytetään hiljaa, kun taas esiin nousee muita, joita ei mainittu kuninkaan puheessa. On myös vielä liian aikaista sanoa, vaikuttavatko muut puheessa ehdotetut lainsäädännöt, kuten valtion uhkien torjuntaa koskeva lakiesitys ja energiariippumattomuutta koskeva lakiesitys, kyberturvallisuusalan ammattilaisiin. IO seuraa tarkasti tämän parlamentaarisen istuntokauden etenemistä.

Laajenna tietosi

Blogi: Miksi Ison-Britannian verkko- ja tietoturvapäivitys voi tarkoittaa lisätyötä piiriin kuuluville organisaatioille

Blogi: Tietojen käyttöä ja saatavuutta koskevan lain noudattaminen luottavaisin mielin: Miksi ISO 27001-, 27701- ja 42001-standardien mukaiset järjestelmät toimivat

Blogi: Resilienssikuilun kurominen umpeen: Missä hallitus sanoo Yhdistyneen kuningaskunnan osakeyhtiön edelleen epäonnistuvan