Die staatsopening van die parlement is 'n geleentheid gevul met die soort prag en praal wat Brittanje steeds beter doen as enige ander land. Waarmee hulle nie so goed is nie, is om konkrete besonderhede oor komende wetgewing te verskaf. Die Koning se Spraak word doelbewus vaag gehou deur die regering van die dag om 'n mate van buigsaamheid in hul planne te verseker. Dit gesê, daar is 'n paar duidelike seine oor wat ons in die komende maande kan verwag. En, ongewoonlik hierdie parlementêre sitting, is kuber voorop en sentraal in verskeie voorgestelde wette.

Van digitale ID-kaarte en nuwe kuberveerkragtigheidsmandate tot nouer bande met Europese regulasies, daar is genoeg om sekuriteits- en voldoeningspanne vanjaar besig te hou. Hier is ons oorsig van die mees noemenswaardige voorstelle:

Wetsontwerp op kuberveiligheid en veerkragtigheid

Die langverwagte opdatering van die NIS-regulasies 2018 gaan steeds deur die parlement, met die verwagting dat dit voor die einde van die jaar wet sal word. Wetsontwerp op kuberveiligheid en veerkragtigheid (CSRB) sal die aantal organisasies binne die bestek verhoog – om bestuurde diensverskaffers (MSP's) en datasentrumoperateurs in te sluit. Dit sal nuwe "toepaslike en proporsionele" sekuriteitsmaatreëls vereis, insluitend verbeterde voorvalrapportering en voorsieningskettingrisikobestuur. En dit sal die maksimum strawwe vir nie-nakoming verhoog.

Tog bly die aantal sektore wat onder die nuwe regulatoriese regime val klein, in vergelyking met Europa se NIS2. Spencer Starkey, uitvoerende vise-president van SonicWall, EMEA, sê vir IO (voorheen ISMS.online) dat die grootste deel van die Britse ekonomie onaangeraak bly.

“Die EU se NIS2-richtlijn werp reeds 'n wyer net, wat vervaardiging, voedselproduksie en chemikalieë dek wat die CSRB nie doen nie, wat beteken dat multinasionale maatskappye dalk reeds die swaar werk doen waarvoor die CSRB nie ontwerp is nie,” stel hy voor. “Die regering se eintlike weddenskap is druk op die voorsieningsketting – gereguleerde organisasies wat hul verskaffers se kuberstandaarde oudit en bestuur, en minimum vereistes afwaarts druk sonder om almal direk wetgewing te maak.”

Die regering het ook aangekondig dat 'n Kuberveerkragtigheidsbelofte-inisiatief, waarin groot firmas gevra word om hulle te verbind tot die vereiste van Cyber ​​Essentials vir hul verskaffersbasis – onder andere. Dit kan ook help om basiese sekuriteit onder Britse firmas te verbeter, hoewel "vrywillige beloftes slegs werk wanneer dit kommersieel afgedwing word", voer Starkey aan.

Wetsontwerp op Digitale Toegang tot Dienste

Dit sal vir die eerste keer 'n omstrede vrywillige digitale ID-skema in die VK bekendstel. Die regering probeer om 'n skeptiese publiek te wen deur dit te posisioneer as 'n tydbesparende tegnologie wat burokrasie sal verminder en openbare dienste sal verbeter. Vir besighede kan dit ook voordelig wees as dit die hoeveelheid rekords wat hulle moet stoor en verwerk om kliënte-identiteite te verifieer, verminder. Dit kan teoreties identiteitsbedrog verminder en selfs die proses van die keuring van derdeparty-identiteitsverskaffers stroomlyn.

Die duiwel lê egter in die detail, volgens Phil Cotter, uitvoerende hoof van SmartSearch. “As dit sterk biometrie en lewendigheidsopsporing by kritieke betaalpunte integreer, kan dit identiteitsgebaseerde bedrog wesenlik verminder,” sê hy. “As dit swak ontwerp is, loop dit die risiko om net nog 'n geloofsbrief te word wat gesteel of sosiaal gemanipuleer kan word, wat die illusie van sekuriteit skep sonder om dit te lewer.”

Vrae moet ook beantwoord word oor hoe die skema in die praktyk uitgevoer sal word.

“As 'n enkele stelsel die standaard vir nasionale identiteite in beide openbare dienste en finansiële dienste word, sal dit 'n teiken van hoë waarde word,” waarsku Cotter. “’n Mislukking of kompromie sal nie geïsoleerd wees nie – dit kan 'n domino-effek vir die hele ekonomie hê.”

Wetsontwerp op Nasionale Veiligheid

Afgesien van die regulering van gewelddadige inhoud aanlyn, is die mees belangrike deel van die wetsontwerp vanuit 'n kuberperspektief voorgestelde hervormings aan die Wet op Rekenaarmisbruik van 1990. Die wet, wat geskep is voordat die web selfs in sy huidige vorm bestaan ​​het, is wyd gekritiseer omdat dit nie kuberveiligheidsnavorsers beskerm teen beskuldigings van onwettigheid nie. Die nuwe voorstelle sal hierdie tekortkominge aanspreek en wetlike dekking bied vir kwesbaarheidsnavorsing, pentoetsing en meer.

“Die hoop is dat ons in ’n oop navorsingsmodel verval waar enigiets regverdig is solank dit behoorlik gerapporteer word,” sê William Wright, uitvoerende hoof van Closed Door Security, aan IO. “Dit sal almal die kans gee om self risiko's te meet en navorsers/bedreigingsjagters ’n meer oop wêreld gee om in te werk, wat lei tot ’n beter omgewing vir almal.”

Michael Jepson, penetrasietoetsbestuurder by CybaVerse, voeg by dat dit SOC's kan aanmoedig om op intelligensie te reageer eerder as om daarop te sit, en die keuring van verskaffers makliker en meer deeglik kan maak. “Voorsieningskettingsekuriteit kan versterk word bo en behalwe die standaardvraelyste en SOC2-verslae, wat beteken dat organisasies eintlik eise wat op papier deur verskaffers gemaak word, kan verifieer,” sê hy vir IO.

Wetsontwerp op die Modernisering van die NHS

Omvattende hervormings wat ontwerp is om pasiëntsorg te verbeter, sluit voorstelle vir 'n enkele pasiëntrekord (SPR) in. Dit is 'n potensieel groot sekuriteitsrisiko gegewe die persoonlike en mediese inligting wat dit kan bevat, voer Huntress vCISO, Muhammad Yahya Patel, aan.

“Die oomblik wat data verenig en bereikbaar is deur 'n enkele toegangsroete, word dit een van die aantreklikste teikens in die VK se hele digitale infrastruktuur,” sê hy vir IO. “Kubermisdadigers het oor die jare voortgegaan om die NHS en sleutelverskaffers te teiken. Die SPR verander fundamenteel die ontploffingsradius van enige suksesvolle kompromie.”

Risikobeoordelings sal uitgevoer moet word om sekuriteits-, prosedurele en prosesgapings te sluit, en nulvertroue-benaderings vir identiteit en toegang sal aangeneem moet word om openbare vertroue te versterk, sê Patel. Dit kan help om sekuriteit te versterk vir 'n NHS-voorsieningsketting wat reeds Cyber ​​Essentials Plus vereis, voeg hy by.

“Elke organisasie wat aan die SPR raak, of dit nou infrastruktuur, sagteware of data-integrasiedienste verskaf, word per definisie deel van die sekuriteitsperimeter,” sê Patel. “Dit dryf 'n praktiese vereiste vir die NHS om die sekuriteitsposisie van daardie hele ketting te verstaan ​​en te bestuur.”

Die hervormings sluit ook die afskaffing van NHS Engeland en die oordrag van funksies na die Departement van Gesondheid en Maatskaplike Sorg (DHSC) in. Dit kan help om "aanspreeklikheid te verskerp" vanuit 'n regulatoriese en bestuursperspektief, hoewel dit ook burokratiese wrywing kan veroorsaak, waarsku Patel. "Gekombineer met die CSRB se verpligte tydlyne vir die rapportering van voorvalle en strafraamwerk, is daar ten minste 'n duideliker afdwingingsargitektuur as wat voorheen bestaan ​​het," sê hy.

Europese Vennootskapswetsontwerp

Tien jaar na Brexit blyk dit dat die regering besef het dat die VK nie sy eie pad met regulering kan baan sonder om ten minste met sy kontinentale bure in lyn te kom nie. Die Europese Vennootskapswetsontwerp is daarop gemik om bande met die EU te versterk om handel te versterk en burokrasie te verminder.

“Die regering sal die mag hê om ontwikkelende interne markregulasies in Britse wetgewing te versnel sonder om 'n volledige, tradisionele parlementêre stemming oor elke opdatering te ontketen,” verduidelik James Clark, vennoot by Spencer West LLP. Alhoewel die prioriteitsgebiede vir belyning voedsel en drank, energie en emissiehandel, en jeugmobiliteit is, kan digitaal en kuber moontlik volg, sê hy vir IO.

“Daar kan aangevoer word dat die EU se bekendstelling van bykomende burokrasie 'n mededingende voordeel vir die minder gereguleerde VK geskep het. Maar in werklikheid is baie besighede in beide markte bedrywig, wat beteken dat die skaduwee van EU-regulering steeds 'n wesenlike impak op die VK-ekonomie het,” gaan Clark voort. “Dit is 'n eenvoudige waarheid dat die meeste besighede wat internasionaal bedrywig is, soveel gemeenskaplikheid as moontlik verkies in terme van standaarde.”

Dit is egter onduidelik hoe nouer belyning oor kuber sal werk, gegewe die verskil tussen NIS2 en die CSRB“Intussen is daar tans geen direkte ekwivalent van die EU se Wet op Kuberveerkragtigheid nie, wat vereis dat hardeware- en sagtewareprodukte ontwerp-veilige standaarde, verpligte opdaterings en kwesbaarheidsbestuur dwarsdeur hul lewensiklus moet hê,” wys Clark daarop.

Nog baie meer om te kom

Soos die regering se gewoonte is, sal sommige van hierdie voorstelle ongetwyfeld stilweg op die lange baan geskuif word, terwyl ander wat nie in die King's Speech genoem is nie, na vore kom. Dit is ook nog te vroeg om te sê of kuberveiligheidsprofessionele persone deur ander voorgestelde wetgewing in die toespraak beïnvloed sal word, insluitend die Wet op die Aanpak van Staatsbedreigings en die Energie-onafhanklikheidswetsontwerp. IO sal die verrigtinge fyn dophou soos hierdie parlementêre sitting ontvou.

Brei jou kennis uit

Blog: Waarom die VK se NIS-opdatering ekstra werk vir organisasies binne die bestek kan beteken

Blog: Voldoen aan die Wet op Datagebruik en -toegang met vertroue: Waarom die ISO 27001-, 27701- en 42001-lus lewer

Blog: Die veerkragtigheidskloof oorbrug: Waar die regering sê dat die Britse maatskappy steeds misluk