国家网络安全计划缺失目标的风险
内阁办公室在2016年秋季建立国家网络安全计划时掉了球,现在政府不知道它是否能够满足该计划的目标,或充分保护英国公民,企业和基础设施从网络攻击2021年后,根据国家审计署(NAO)的一份报告。
尽管有一些显着的成功 - 如2017年的国家网络安全中心(NCSC)的成立 - 但Nao表示尚不清楚该计划是否旨在为政府建立一个“联络点”的网络安全活动,将通过2021年实现其更广泛的战略结果。
部分原因是难以处理不断变化和复杂的网络安全景观,也是因为内阁办公室没有适当地评估£1.3亿英镑的资金 - 超过1.9亿英镑的资金分配给国家网络安全策略 - 留出程序足够。
Nao表示,尽管与2015年迄今为止,但仍然同意加入的安全方法,但内阁办公室没有为该计划制定适当的商业案例,这意味着惠普库里没有办法提前评估其资金水平。
此外,该计划的工作被延迟,在其计划的三分之一被重定向到英国的一些更广泛的国家安全需求,例如反恐工作之后。这一点备受明确的工作来了解网络安全问题。
“改善网络安全对确保网络攻击不会破坏英国建立真正数字经济和改变公共服务的能力。政府已证明其对改善网络安全的承诺,“Nao Head Amyas Morse说。
“然而,目前尚不清楚其方法是否将在短期内代表金钱的价值,以及在2021年后如何优先考虑并基于这项活动。政府需要从其错误和经验中吸取教训,以满足这种不断增长的威胁。“
MP Meg Hillier公共账户委员会主席(PAC)表示,该计划是在没有获得基础知识的情况下发动的重要政府倡议的另一个例子。
她说:“初步设立中有严重的弱点,破坏了对政府整体网络安全战略的贡献,”她说。
“英国面临的越来越多的网络威胁以及2017年卫扫袭击事件,使内阁办公室采取立即采取行动以改善其目前的计划和计划在2021年超出2021年之前进行行动更为重要。”
NAO承认内阁办公室介绍了一个更强大的框架来评估计划的表现,并要求部门花更多的是在衡量其对裁定异议的进展。但是,这只是在2018年完成,需要时间才能得到任何益处。
此外,该报告增加了,内阁办公室将难以确定它需要做些什么,以实现战略的目标是,因为它只对用于评估其12个战略之一的证据的质量“高”信心结果。
该报告还表示,虽然内阁办公室已经开始努力将未来的网络安全方法界定在2021年之外,但它仍然冒着重复其之前的错误,因为它在2019年在2019年支出审查之前将完成必要的工作,这将是必要的工作在未来几年内设定政府资金。
鉴于此,NAO已经向内阁办公室提出了一系列建议。它建议内阁办公室建立了该计划的哪个领域具有最积极的影响,并且对地址最重要,并在该计划的剩余两年内集中资源,仍需花费64.8亿英镑的资金。
它还建议在2021年后,内阁办公室开始为英国网络安全战略进行广泛的咨询和战略开发过程,建立应该集中资助的内容,应该涉及私营部门,以及核心部门应该是什么活动;并且,它考虑了更灵活的未来方法,涉及更短,更灵活的程序,使其能够更好地响应更改的安全景观。