图片源于:https://www.theregister.com/2025/01/29/nao_blasts_uk_gov_cyber/
英国政府在其2022年设定的到2025年加强网络安全系统的目标上严重滞后,审计办公室的新报告指出,甚至到2030年,该目标也可能无法实现。
作为2022年政府网络战略的一部分,英国政府承诺在今年使其关键职能显著更具抵御攻击的能力。然而,国家审计办公室(NAO)今天表示,即便到2030年实现这些目标也是“雄心勃勃”的。
事实上,2022年1月作出的同样承诺,旨在改善公共部门对已知漏洞和常见攻击手法的抵御能力。这一目标,现在也面临延误。
国家审计办公室的审计长在报告中指出,针对英国政府的网络威胁“严重且迅速发展”,这点国会也是清楚的。
然而,根据该报告,政府的安全状态依然悲惨,报告只针对拥有“官方”安全等级的政府部长和非部长部门的IT系统及其法定机构,未涵盖“机密”等更高级别的分类。
对不熟悉情况的人而言,24个部长部门的例子包括国防部和内阁办公室,这些部门均由部长领导。非部长部门,如检察总署和英国税务海关总署,则由公务员领导。
被列入评估的政府部门由政府安全小组(GSG)的GovAssure计划进行评估。GSG收集了这些数据并将其送交独立审查员,这是与往年不同的一种做法,此前的做法是由各部门自行评估其网络韧性。
在72个被认为是运行政府最重要服务的关键IT系统中,有58个接受了独立审查。GovAssure的数据发现部门的网络韧性存在“重大缺口”,如“多个基本系统控制的成熟度处于低水平。”
报告中的例子包括资产管理、保护性监控和响应计划。这些都被认为是网络韧性的基本环节,需要大幅改善才能达到政府之前的目标。
这些发现促使GSG建议部长们,政府网络安全风险“极高”。
在数据收集方面,政府的中央数字与数据办公室(CDDO)也给予了协助,截至2024年3月,在参与评估的政府部门中,至少识别出了228个遗留IT系统。然而,据信这个数字可能更高。
其中,28%(63个)被标记为红色,意味着它们存在高可能性的运营和安全风险。另72%的系统虽未被标记为红色,但仍然存在风险,报告指出。
国家审计办公室表示,政府仍然对这228个遗留系统在网络攻击下的脆弱性缺乏深入了解。CDDO的数据是基于七个标准收集的,该标准部分出现在网络安全评估中,但其范围超出了单纯的网络安全。数据表明这些系统存在漏洞,但未具体说明。
未采用GovAssure的方法进行数据收集并确保得出更统一的结论的原因在于,GSG建议的系统控制并不适用于如此陈旧的系统,因此未被纳入GovAssure的评估。
我们已多次目睹网络攻击对公共服务和人民生活的破坏性影响。
这意味着我们仍缺乏对这些众多遗留系统及纳入评估的各部门如何管理网络安全风险的完整理解。国家审计办公室未获悉基本事项,例如这些老旧系统是否与网络其他区域隔离,或者是否对其进行了漏洞评估。
提醒一下,英国政府在2019年表示,它几乎将其47亿英镑(约58亿美元)的IT预算的一半用于维持这些遗留系统的运行。六年后,政府尚不知道这些系统对整体网络安全性构成了多大的风险。
“我们已多次目睹网络攻击对公共服务和人民生活的破坏性影响,”公共账目委员会主席Geoffrey Clifton-Brown说道。
“尽管网络威胁快速演变,政府的响应却未能跟上。政府各部门之间的协调不力,网络技术人才的持续短缺,以及对过时遗留IT系统的依赖,继续使我们的公共服务面临风险。
“今天的国家审计办公室报告必须成为政府重视这一最棘手威胁的严肃警钟。”
技能差距
尽管政府最关键系统存在显而易见的技术问题,但国家审计办公室认为,政府在吸引顶尖技术人才或招募任何人才方面的能力是构建网络韧性面临的主要风险。
主要发现之一是,政府网络岗位中的三分之一要么未被填补,要么由临时工作人员担任,这至少花费是正式公务员的两倍。
在经验丰富或专门角色方面,依赖临时工作人员的现象尤为普遍,高达70%的安全架构师岗位由临时人员填补。
一些参与评估的部门还报告称,超过一半的网络安全职位未能填补,导致整体功能无法有效执行。
国家审计办公室指出,网络安全技能短缺是许多组织都面临的挑战,而不仅仅是英国政府,其各部门承认自身的支出能力限制了填补空缺职位的能力。
公共部门和私人部门之间的工资差距在许多案例中令人瞩目,并受到了更广泛行业的批评。
快速查看当前公开的公务员职位招聘广告,可以看到多个管理和团队领导的职位,其招聘广告中所列出的薪资大多远低于私人部门的同类职位。即便是网络安全运营主管的薪水也仅为68,568英镑(约合85,330美元)。虽然养老金贡献相当可观,但实际行业职位的薪水可轻松达到六位数。
现状
正如国家审计办公室所指出的,网络风险对英国是非常严重的。过去两年的事件清楚表明,网络攻击对公共服务造成的强烈和持久的干扰。
英国图书馆的事件常常被引用为此类攻击,最近对Synnovis的攻击则导致伦敦两家NHS医院的数千个程序和约会受到影响,毫无疑问,这也是现代最严重的攻击之一。
此外,其他NHS机构、儿童医院、交通网络、地方议会、学校及其他关键基础设施提供商的袭击事件也屡见不鲜。
国家审计办公室的报告跟随了网络安全中心(NCSC)在12月发布的一份类似悲观的报告。该报告警告说,面对的网络威胁的严重程度被严重低估。
其中,NCSC表示,2024年发生的最高严重度事件数量是前一年的三倍,而国家级事件的数量从62个增加到89个,包括若干对政府的攻击。
为了避免严重事件的发生、建立韧性并保护其运营的性价比,政府必须赶上其面临的急迫网络威胁。
国家审计办公室提出了对英国政府的三项建议。在接下来的六个月内,它应制定、分享并开始使用一项跨政府计划,以实施网络安全战略,并明确需进行的转型以实现其长期目标。
到明年这个时候,国家审计办公室还表示,制定和执行计划以解决网络技能差距也是个好主意。
“网络攻击的风险是严峻的,关键公共服务的攻击可能会定期发生,然而政府为应对此事所做的工作仍显缓慢,”国家审计办公室负责人Gareth Davies表示。
“为了避免严重事件的发生、建立韧性并保护其运营的性价比,政府必须赶上它面临的急迫网络威胁。
“政府在解决长期存在的网络技能短缺问题、加强网络风险的问责制和更好地管理遗留IT所带来的风险之前,仍将很难追赶上这一进程。”