英国网络承诺在启动时吸引不到15家富时350指数公司
英国网络弹性承诺仅有70个签署方,尽管有部长级信件,但350家最大上市公司中加入的不到15家。

执行摘要
根据Recorded Future News的报道,在周二英国政府推出的旗舰项目“网络弹性承诺”上,英国350家最大的上市公司中只有不到15家签署了该承诺。这一低出席率发生在部长们亲自写信给每家FTSE 350公司的主席和首席执行官,敦促他们加入的八个月后。在由科技大臣Liz Kendall主持的唐宁街10号招待会上,共有70个创始签署方被命名,但其中20个是战略性政府供应商,他们是通过单独的政府网络宪章被邀请的,这意味着只有50个签署方来自更广泛的经济体自愿加入。
技术分析
“网络弹性承诺”要求签署方承诺三项行动:将网络安全作为董事会级别的责任;注册国家网络安全中心(NCSC)的免费预警服务;并在其供应链中采用基于风险的方法要求网络基础认证。所有三项活动仍然是自愿的,没有执行机制,科学、创新和技术部(DSIT)确认。
签署的主要公司包括Aviva、伦敦证券交易所集团和Marks & Spencer——后者在去年的一次网络攻击中损失了数亿英镑,根据报告。像C3IA Solutions、Grey Zone Services和Nexor这样的小型网络安全咨询公司也加入了,尽管它们的商业产品与承诺的要求非常接近。
皇家联合服务研究所(RUSI)的高级研究员Jamie MacColl告诉Recorded Future News,他对低数字感到惊讶。“如果大多数FTSE 350公司没有达到同等标准,我会感到相对惊讶。为什么他们要经历网络基础认证,而在许多情况下,他们将拥有一个包含更多控制措施的认证?”他说。
在推迟的国家网络行动计划的背景下发生了启动,该计划原定于周一进行,但由于总理Keir Starmer辞职而推迟。政府表示,“鉴于威胁格局正在演变,可能会出现新的复杂网络威胁,政府将继续审查承诺的适用性,有可能在12个月周期结束时完善行动。”
DSIT没有回应关于签署是否对战略供应商有采购后果的问题,也没有回应它是否认为FTSE 350的出席率是对部长信件的强烈回应。政府引用的研究估计,英国企业遭受重大网络攻击的平均成本接近195,000英镑(260,000美元),组织每年的成本为147亿英镑(197亿美元)——尽管这个数字是为了支持单独的网络安全和弹性法案而产生的,该法案仍在议会辩论中,预计直到2028年才被强制执行。
缓解措施与建议
防御者应监控自愿承诺是否演变为强制性法规,MacColl将这一模式描述为英国网络政策的典型:“咨询、研究、实践守则或行为准则、某种形式的自愿承诺,然后是法规。”他补充说:“你几乎给了私营部门足够的绳子来吊死自己。如果不够多的组织或供应商签署这些东西,那给了政府一个理由说法规是必要的。”尚未签署的组织应评估NCSC预警服务和网络基础认证作为基线控制,无论承诺状态如何。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
