ZCyberNews
English
行业动态5 分钟阅读

英国网络承诺在启动时吸引不到15家富时350指数公司

英国网络弹性承诺仅有70个签署方,尽管有部长级信件,但350家最大上市公司中加入的不到15家。

City of London skyline with skyscrapers and the Gherkin building under a cloudy sky

执行摘要

根据Recorded Future News的报道,在周二英国政府推出的旗舰项目“网络弹性承诺”上,英国350家最大的上市公司中只有不到15家签署了该承诺。这一低出席率发生在部长们亲自写信给每家FTSE 350公司的主席和首席执行官,敦促他们加入的八个月后。在由科技大臣Liz Kendall主持的唐宁街10号招待会上,共有70个创始签署方被命名,但其中20个是战略性政府供应商,他们是通过单独的政府网络宪章被邀请的,这意味着只有50个签署方来自更广泛的经济体自愿加入。

技术分析

“网络弹性承诺”要求签署方承诺三项行动:将网络安全作为董事会级别的责任;注册国家网络安全中心(NCSC)的免费预警服务;并在其供应链中采用基于风险的方法要求网络基础认证。所有三项活动仍然是自愿的,没有执行机制,科学、创新和技术部(DSIT)确认。

签署的主要公司包括Aviva、伦敦证券交易所集团和Marks & Spencer——后者在去年的一次网络攻击中损失了数亿英镑,根据报告。像C3IA Solutions、Grey Zone Services和Nexor这样的小型网络安全咨询公司也加入了,尽管它们的商业产品与承诺的要求非常接近。

皇家联合服务研究所(RUSI)的高级研究员Jamie MacColl告诉Recorded Future News,他对低数字感到惊讶。“如果大多数FTSE 350公司没有达到同等标准,我会感到相对惊讶。为什么他们要经历网络基础认证,而在许多情况下,他们将拥有一个包含更多控制措施的认证?”他说。

在推迟的国家网络行动计划的背景下发生了启动,该计划原定于周一进行,但由于总理Keir Starmer辞职而推迟。政府表示,“鉴于威胁格局正在演变,可能会出现新的复杂网络威胁,政府将继续审查承诺的适用性,有可能在12个月周期结束时完善行动。”

DSIT没有回应关于签署是否对战略供应商有采购后果的问题,也没有回应它是否认为FTSE 350的出席率是对部长信件的强烈回应。政府引用的研究估计,英国企业遭受重大网络攻击的平均成本接近195,000英镑(260,000美元),组织每年的成本为147亿英镑(197亿美元)——尽管这个数字是为了支持单独的网络安全和弹性法案而产生的,该法案仍在议会辩论中,预计直到2028年才被强制执行。

缓解措施与建议

防御者应监控自愿承诺是否演变为强制性法规,MacColl将这一模式描述为英国网络政策的典型:“咨询、研究、实践守则或行为准则、某种形式的自愿承诺,然后是法规。”他补充说:“你几乎给了私营部门足够的绳子来吊死自己。如果不够多的组织或供应商签署这些东西,那给了政府一个理由说法规是必要的。”尚未签署的组织应评估NCSC预警服务和网络基础认证作为基线控制,无论承诺状态如何。

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。

标签:#uk-cyber-policy#cyber-resilience-pledge#ftse-350#ncsc#voluntary-regulation

相关文章