Birleşik Krallık'ta Siber Güvenlik: Tehditler, Yasalar ve Stratejiler

Evrensel Macera » Genel » Birleşik Krallık'ta Siber Güvenlik: Tehditler, Yasalar ve Stratejiler

La Birleşik Krallık'ta siber güvenlik en önemli öncelik haline geldi. Hükümet, işletmeler ve vatandaşlar için. Son yıllarda ülke, büyük çaplı fidye yazılımı saldırılarından uluslararası casusluk operasyonlarına, kritik altyapı ve kamu kurumlarına yönelik saldırılara kadar her şeyden zarar gördü. Tüm bunlar, gerçek bir ulusal dijital kalkan oluşturmak için yasaların, teknik standartların, uzmanlaşmış kurumların ve ekonomik destek programlarının güçlendirilmesini zorunlu kıldı.

Aynı zamanda, İngiliz siber güvenlik ekosistemi de bir güçlü bir ekonomik ve inovasyon kaldıraçBinlerce nitelikli iş imkanı yaratıyor, en ileri teknolojiye sahip girişimleri destekliyor ve dünyaca ünlü üniversitelere ve araştırma merkezlerine dayanıyor. Bu savunmanın nasıl yapılandırıldığını, hangi tehditlerin onu yönlendirdiğini ve şirketlerin hangi yükümlülükleri olduğunu anlamak, ister yerel bir KOBİ, ister büyük bir çokuluslu şirket, isterse bir kamu idaresi olsun, İngiltere'de faaliyet gösteren veya veri işleyen herkes için çok önemlidir.

Birleşik Krallık'taki siber güvenlik tehdit ortamı

W Birleşik Krallık'ı etkileyen siber tehditler çeşitli, sık ve giderek daha karmaşık hale geliyor.Sadece münferit siber saldırılardan değil, organize kampanyalardan, devlet destekli casusluk operasyonlarından ve güçlü ekonomik ve sosyal etkiye sahip suç faaliyetlerinden bahsediyoruz.

Ulusal Siber Güvenlik Merkezi (NCSC) tarafından analiz edilen geçen yıl, Birleşik Krallık'ın şu konularda sıkıntı yaşadığı görüldü: 429 önemli olaya müdahale etti.Bunlardan 204'ü "ulusal öneme sahip" olarak sınıflandırıldı. Yani, bir önceki yıl aynı kategoride kaydedilen sayının iki katından fazla, bu da ele alınan vakaların hacminde ve ciddiyetinde açık bir artışı gösteriyor.

Bu olaylar arasında bazıları 18 sızma vakası "son derece önemli" olarak sınıflandırıldı.Ulusal siber acil durumun bir adım altında gerçekleşen bu operasyonlar, temel hizmetleri, merkezi hükümet departmanlarını, ekonominin kilit sektörlerini ve bazı durumlarda nüfusun önemli bir bölümünü ciddi şekilde etkiledi.

Bu bağlam, siber güvenliğin artık bir sorun olarak görülmesine yol açmıştır. işletmelerin hayatta kalmasının ve ulusal direncin bir unsuruHem politika yapıcılar hem de yöneticiler aynı fikirde: dijital korumaya yatırım yapma konusunda kararsızlık stratejik bir zaaf haline geldi.

En sık görülen saldırı türleri: kimlik avından fidye yazılımına

İngiliz örgütlerine karşı kullanılan teknikler, klasik yöntemleri gelişmiş taktiklerle birleştiriyor.Bu tek bir tehdit türü değil, aynı kampanya içinde zincirleme bir şekilde kullanılan çeşitli saldırı vektörleridir.

Başlıca kahramanlardan biri olmaya devam ediyor. Kimlik avıBankaları, tedarikçileri, devlet kurumlarını veya hatta iş arkadaşlarını taklit eden, kimlik bilgilerini, kişisel verileri çalmayı veya kötü amaçlı yazılım bulaştırmayı amaçlayan e-postalar, SMS mesajları veya uygulama mesajları. Kurumsal giriş portallarının veya sahte ödeme sayfalarının taklit edilmesi yaygın bir durumdur.

El fidye Bu durum, suç örgütleri için en kazançlı tehditlerden biri ve mağdurlar için de en yıkıcı olanlardan biri haline geldi. Saldırganlar kritik verileri şifreliyor, sistemleri felç ediyor ve bilgileri serbest bırakmak için fidye talep ediyor. Bazen, önceden veri çalıyorlar ve ödeme yapılmazsa sızdırmakla tehdit ederek itibar gaspı unsurunu da ekliyorlar.

W veri ihlalleri Bu ihlaller dış saldırılardan kaynaklanabileceği gibi, iç hatalardan da kaynaklanabilir: yanlış alıcıya gönderilen e-postalar, yanlış güvenlik yapılandırmaları, açığa çıkan veritabanları veya çalışanların sosyal mühendislik kampanyalarının kurbanı olması gibi. İster kasıtlı ister kaz accidental olsun, bu tür ihlaller çok yüksek düzenleyici, yasal ve itibar maliyetlerine yol açar.

Ayrıca endişe verici olanlar şunlardır: dağıtılmış hizmet reddi (DDoS) saldırılarıBu saldırılar, web sitelerini ve çevrimiçi hizmetleri aşırı trafikle boğarak kullanılamaz hale getiriyor. Genellikle devlet portalları, finansal hizmetler, e-ticaret siteleri ve güçlü dijital varlığa sahip şirketler hedef alınıyor.

Son olarak, kuruluşlar içindeki insan faktörü göz ardı edilemez. iç tehditler Bunlar, veri sızdıran memnuniyetsiz çalışanlardan, dikkatsizce güvenlik açıkları bırakan kullanıcılara kadar uzanmaktadır. Gevşek erişim kontrolleri, eğitim eksikliği ve yetersiz denetim, bu tür olayların riskini artırmaktadır.

Ulusal Siber Güvenlik Merkezi'nin (NCSC) rolü

El Ulusal Siber Güvenlik Merkezi (NCSC), Birleşik Krallık'ın siber güvenlik alanındaki teknik otoritesidir.GCHQ'ya bağlıdır ve siber tehditlere karşı savunmayı koordine etmek için hükümet, özel sektör, akademi ve vatandaşlar arasında bir buluşma noktası görevi görür.

Belirtilen misyonu Birleşik Krallık'ı oluşturmaktır. dijital ortamda yaşamak ve çalışmak için en güvenli yerBunu başarmak için NCSC, tehdit istihbaratı, olay müdahalesi, teknik danışmanlık, farkındalık programları ve uluslararası işbirliğini bir araya getiriyor. Sadece saldırılara tepki vermekle kalmıyor, aynı zamanda ülkenin saldırı yüzeyini azaltmak için proaktif olarak çalışıyor.

Başlıca işlevleri arasında şunlar yer almaktadır: Tehdit ortamının sürekli izlenmesiBu sistem, suç örgütlerinin ve devlet aktörlerinin taktiklerini, tekniklerini ve prosedürlerini (TTP) analiz eder ve istihbarat raporları, teknik uyarılar ve paylaşım platformları da dahil olmak üzere çeşitli kanallar aracılığıyla şirketler ve kamu kurumlarıyla bilgi paylaşır.

Ciddi bir olay meydana geldiğinde, NCSC koordinasyonu sağlar. ulusal yanıtEtkilenen kuruluşları destekler, saldırının kontrol altına alınmasına yardımcı olur, kurtarma önlemleri konusunda tavsiyelerde bulunur ve mümkün olduğunda sorumluluğun belirlenmesine katılır. Yıllık incelemesinde, özellikle temel hizmetler ve kamu idarelerine odaklanarak, tek bir yılda yönetilen yüzlerce olayı kaydetmiştir.

Ayrıca kuruluş, aşağıdaki gibi programları da desteklemektedir: Aktif Siber SavunmaBu hizmetler arasında, İngiliz vatandaşlarını ve kuruluşlarını hedef alan kötü amaçlı alan adlarını, sahte sayfaları ve kimlik avı içeriklerini otomatik olarak engellemek için DNS Protector veya web sitesi kontrol araçları gibi hizmetler yer almaktadır.

Uluslararası işbirliği ve siber casusluk vakaları

Siber güvenliğin jeopolitik boyutu giderek daha belirgin hale geliyor ve Birleşik Krallık da bu konuda önemli bir rol oynuyor. Bazı devlet görevlilerini casusluk faaliyetleri ve dijital sabotaj nedeniyle kamuoyu önünde hedef gösterdi.Çin ve İran, NCSC ve İngiliz hükümeti raporlarında ve uyarılarında sıklıkla yer almaktadır.

Londra yakın zamanda bazı önlemler aldı. Çin merkezli teknoloji şirketlerine yönelik yaptırımlar Çeşitli ülkelerdeki hükümetlere ve büyük şirketlere ait 80'den fazla bilişim sistemine karşı ayrım gözetmeyen siber saldırılar düzenlemekle suçlanan Sichuan Anxun Information Technology (i-Soon) ve Integrity Technology Group gibi firmaların, Çin istihbarat servisleriyle bağlantılı gizli ağları yönettiği ve kötü amaçlı operasyonları desteklediği tespit edildi.

NCSC, bunun var olduğuna inanıyor. Çin'de devlet siber operasyonlarını destekleyen özel bir "ekosistem"Siber güvenlik firmaları, kişisel veri aracıları ve kiralık hacker gruplarından oluşan bu ağ, genellikle yarı resmi bir şekilde faaliyet göstermektedir. Hükümetleri, telekomünikasyon şirketlerini, askeri altyapıyı ve kamu hizmetlerini küresel ölçekte hedef alan SALT TYPHOON olarak bilinen siber casusluk kampanyası gibi operasyonları kolaylaştırmaktadır.

Bu arada, İngiliz merkezi de bir açıklama yayınladı. İran kaynaklı veya İran tarafından desteklenen siber saldırı riskinin artmasına ilişkin özel uyarılar.Özellikle Orta Doğu'daki gerilimler ve bölgedeki askeri operasyonlar bağlamında, Birleşik Krallık her zaman birincil hedef olmasa da, orada varlığı olan veya tedarikçisi bulunan şirketler dolaylı olarak zarar görebilir.

Bahsedilen riskler arasında kampanyalar da yer almaktadır. DDoS saldırıları, kurumsal web sitesi sabotajı, hassas bilgilerin çalınması ve endüstriyel sistemlere yönelik saldırılar.İranlı muhaliflerin kişisel verilerine ve dijital saldırıların veri merkezleri ve diğer altyapıların fiziksel sabotajıyla birleştirilmesi olasılığına da ilgi duyulmaktadır.

Siber saldırıların ekonomik ve ticari etkileri

Siber güvenlik olayları, teknik hasarın ötesinde de önemli etkiler yaratıyor. İngiliz ekonomisi üzerindeki doğrudan etkisiNCSC raporları ve son haberler, bir siber saldırının tedarik zincirlerini nasıl felç edebileceğini, ihracatı nasıl yavaşlatabileceğini veya büyük sanayi şirketlerini nasıl tehlikeye atabileceğini gösteriyor.

Verilen örneklerden biri şudur: Jaguar Land Rover'ı (JLR)Siber bir olay sonrasında hizmetleri haftalarca ciddi şekilde aksayan bir şirket. Ekonomik güvenlik uzmanlarına göre, bu tür aksamalar tüm değer zincirini etkiliyor ve G7 ülkeleri arasında en yüksek sürdürülebilir büyümeyi elde etmek gibi iddialı makroekonomik hedefleri sorgulatıyor.

Perakende sektörü de bu durumdan muaf değil. Başlıca markalar arasında şunlar yer alıyor: Marks & Spencer, The Co-op veya Harrods Muhtemelen Scattered Spider gibi fidye yazılımı gruplarıyla bağlantılı saldırılara maruz kaldılar. M&S örneğinde, çevrimiçi siparişlerin askıya alınması ve kurtarma maliyetinin, gelir kaybı, onarım çalışmaları ve olası tazminat talepleri de dahil olmak üzere yüz milyonlarca sterlin olduğu tahmin ediliyor.

Finansal açıdan bakıldığında, siber saldırılar gelir kaybına yol açar. Teknik müdahale, müşteri bilgilendirmesi, hukuki danışmanlık ve düzenleyici cezalar için doğrudan maliyetlerBunlara ek olarak, verimlilik düşüşü, sigorta primlerindeki artış, itibar kaybı ve yatırımcılar ile ortakların güveninin azalması gibi dolaylı maliyetler de söz konusudur.

Bu nedenlerle yetkililer şu konuda ısrar ediyor: Siber güvenliğe yatırım yapmak isteğe bağlı bir şey değil, zorunluluktur.Bu, dijital ortamda iş yapmanın maliyetinin bir parçasıdır. Hükümetin büyük şirketlerin CEO'larına ve başkanlarına mesajı açık: Savunmalarını güçlendirmek için somut ve acil adımlar atmaları gerekiyor, çünkü hareketsizlik operasyonel ve finansal risk anlamına geliyor.

Birleşik Krallık'ta siber güvenliğe ilişkin yasal ve düzenleyici çerçeve

Diğer ülkelerin aksine, Birleşik Krallık'ın bir tek ve küresel siber güvenlik yasasıBu çerçeve, sistemlerin kullanımını, kişisel verilerin korunmasını, temel hizmetlerin sürekliliğini ve siber suçların cezai kovuşturmasını birlikte düzenleyen bir dizi sektörel ve sektörler arası kuraldan oluşmaktadır.

Siber suçun temel taşı şudur: 1990 Bilgisayar Kötüye Kullanımı Yasası (CMA)Bu yasa, daha sonra 2015 tarihli Ciddi Suçlar Yasası ile değiştirilmiştir. Bu yasa, bilgisayarlara ve verilere yetkisiz erişimi, programların değiştirilmesini, siber saldırı araçlarının geliştirilmesini ve dağıtımını ve ekonomiye, çevreye, ulusal güvenliğe veya insan refahına ciddi zarar vermeyi amaçlayan eylemleri suç saymaktadır.

La iletişimin yasadışı olarak ele geçirilmesiBilgisayar yoluyla iletilenler de dahil olmak üzere soruşturma amaçlı iletişimler, Soruşturma Yetkileri Düzenleme Yasası (RIPA) ve soruşturma yetkilerine ilişkin halef mevzuat tarafından yönetilir. Bu yasalar, telefon dinleme ve bilgi toplama üzerindeki yasal sınırları ve ilgili cezaları belirler.

Veri koruma alanında Birleşik Krallık şu düzenlemeleri uygulamaktadır: Genel Veri Koruma Yönetmeliği (RGPD)2018 Veri Koruma Yasası (VKY) ile uyarlanan bu çerçeve, kuruluşları kişisel verileri korumak için uygun güvenlik önlemleri uygulamaya zorunlu kılmakta ve yasallık, şeffaflık, en aza indirme, doğruluk, depolama sınırlaması, bütünlük, gizlilik ve hesap verebilirlik gibi ilkeler belirlemektedir.

Veri Koruma Yasası ayrıca şunları da içermektedir: Kanun uygulama yönergesiUlusal Suç Ajansı (NCA), Mali Denetleme Kurumu (FCA) ve Ağır Dolandırıcılık Ofisi gibi yetkililer tarafından verilerin işlenmesi düzenlemeye tabidir. Bilgi Komiserliği Ofisi (ICO), bu yükümlülüklere uyulmaması durumunda izleme ve cezalandırma görevini üstlenir.

Buna paralel olarak, Ağlar ve Bilgi Sistemleri Yönetmeliği 2018 (NISR) AB NIS Direktifi'ni ulusal mevzuata uyarlayan bu düzenleme, temel hizmet operatörleri (enerji, su, ulaşım, sağlık hizmetleri vb.) ve belirli dijital hizmet sağlayıcıları için geçerlidir. Riskleri yönetmek için orantılı teknik ve organizasyonel önlemler gerektirir ve hizmet sürekliliğini önemli ölçüde etkileyen olayların raporlanmasını zorunlu kılar.

İlgili diğer metinler şunlardır: Dolandırıcılık Yasası 2006Dijital yollarla işlenen dolandırıcılığı cezalandıran yasa, fikri mülkiyetle ilgili 1988 tarihli Telif Hakkı, Tasarım ve Patent Yasası ve kamu iletişim hizmeti sağlayıcılarına özel yükümlülükler getiren Gizlilik ve Elektronik İletişim Yönetmeliği.

Veri koruma, yaptırımlar ve kurumsal sorumluluk

Kişisel verilere ilişkin yaptırım rejimi özellikle ağırdır, bu da bir sorun daha yaratır. Siber güvenliği ciddiye almak için güçlü bir teşvikVeri Koruma Yasası, ihlalin ciddiyetine bağlı olarak iki ana düzeyde idari para cezası öngörmektedir.

Bir yandan, ...'e varan yaptırımlar Küresel yıllık cironun %2'si veya 10 milyon euro (hangisi daha büyükse) yeterli güvenlik önlemlerinin alınmaması, gerekli kayıtların tutulmaması, gerektiğinde veri koruma görevlisi atanmaması veya ICO ile işbirliği yapılmaması gibi ihlaller için.

Bir üst seviyede ise para cezaları şu seviyelere ulaşabilir: Küresel cironun %4'ü veya 20 milyon euro Temel tedavi ilkelerini ihlal etmek, veri sahiplerinin haklarını göz ardı etmek veya düzenleyici kurumun çalışmalarını engellemek nedeniyle. Tekrarlanan suçlar ve kasıt, durumu daha da ağırlaştırabilir.

İdari yaptırımlara ek olarak, Güvenlik ihlalinden etkilenen kişilerin tazminat talep etme hakkı vardır. Uğranılan zararlar nedeniyle şirketler hukuk davalarıyla karşı karşıya kalabilir. Ayrıca, bazı durumlarda, ihlal edici davranışta ağır ihmal veya rıza olduğu kanıtlanırsa, yöneticiler ve müdürler kişisel sorumluluk üstlenebilirler.

Bu yaklaşım, kuruluşları şu şekilde zorlar: proaktif sorumluluğa dayalı bir risk yönetimi modeli benimseyin.Tehditleri değerlendirmek, kararları belgelemek, eylemleri gerekçelendirmek ve uyumluluğa dair kanıtları muhafaza etmek çok önemlidir. Kabul görmüş en iyi uygulamalar izlenmediği takdirde, bir saldırının kaçınılmaz olduğunu iddia etmek artık genel olarak kabul görmemektedir.

Ulusal Siber Güvenlik Stratejisi ve Kamu-Özel Sektör İşbirliği

Tüm bu çabaları koordine etmek için Birleşik Krallık bir girişim başlattı. Beş Yıllık Ulusal Siber Güvenlik StratejisiYaklaşık 1.900 milyar sterlinlik bir yatırımla desteklenen ve önceki stratejinin iki katından fazla olan bu yol haritası üç temel üzerine kuruludur: savunma, caydırma ve siber yeteneklerin geliştirilmesi.

Uygulamanın ilk birkaç yılında, NCSC yüzlerce olayın ele alındığını bildirdi. Yüz binlerce kimlik avı sitesi etkisiz hale getirildi. Ayrıca işletmeler ve vatandaşlar için yayınlanmış düzinelerce rehber ve tavsiye bulunmaktadır. Amaç, hem saldırı olasılığını hem de saldırı gerçekleştiğinde etkisini azaltmaktır.

Hükümet ve özel sektör arasındaki işbirliği bir bu stratejinin merkezi ekseniCiSP (Siber Güvenlik Bilgi Paylaşım Ortaklığı) platformu gibi girişimler, farklı sektörlerdeki kuruluşlar arasında tehditler ve güvenlik açıkları hakkında neredeyse gerçek zamanlı bilgi paylaşımına olanak tanır.

NCSC ayrıca aşağıdaki gibi programları da desteklemektedir: Sanayi 100Bu sayede özel sektörden uzmanların ortak projelerde çalışmak üzere merkezin ekiplerine geçici olarak dahil edilmesi, ayrıca yeni nesil siber güvenlik uzmanlarını yetiştirmek için eğitim bursları ve eğitim etkinlikleri düzenlenmesi kolaylaşıyor.

Dijital, Kültür, Medya ve Spor Bakanlığı (DCMS) ise kendi adına aşağıdakiler gibi girişimler başlattı: Dijital Beceriler OrtaklığıBu girişim, şirketleri, hayır kurumlarını ve kamu kuruluşlarını bir araya getirerek, özellikle KOBİ'lere ve daha az şanslı gruplara özel önem vererek siber güvenlik de dahil olmak üzere dijital beceriler konusunda ücretsiz eğitim sunmaktadır.

Ekonomik destek programları ve siber sektörün büyümesi

Siber güvenlik sadece bir maliyet değil, aynı zamanda bir... Birleşik Krallık'ta ekonomik büyümenin motoruSektör, binlerce nitelikli iş imkanı yaratıyor ve yıllık milyarlarca sterlinlik gelir sağlıyor; girişimciler, teknoloji KOBİ'leri ve büyük, köklü tedarikçilerden oluşan dinamik bir ekosisteme sahip.

Bu iş sektörünü güçlendirmek için hükümet bir duyuru yaptı. Siber Büyüme için Eylem PlanıBristol Üniversitesi ve Imperial College'dan uzmanların öncülüğünde yürütülen proje, izleme platformlarından gelişmiş şifreleme çözümlerine kadar siber mal ve hizmetlerin arz ve talebindeki fırsatları belirlemeyi amaçlıyor.

Plan özellikle şu konulara önem veriyor: Yapay zeka ve kuantum hesaplama gibi gelişmekte olan teknolojilerHem savunma hem de saldırı kabiliyetlerini dönüştürebilen ve analiz edilen unsurlar şunlardır: Teknoloji ve dijital kültür haberleriAmaç, Birleşik Krallık'ın akademik ve iş dünyası altyapısını kullanarak bu alanlarda uluslararası alanda lider konumunu korumasıdır.

Buna paralel olarak, milyonlarca sterlinlik kaynak şu gibi programlara tahsis edildi: CyberASAPBu platform, araştırmacıların akademik projelerini ticari ürün ve hizmetlere dönüştürmelerine yardımcı olarak, onlarca yan kuruluşun ortaya çıkmasını ve bu kuruluşların on milyonlarca dolarlık özel yatırım çekmesini sağlıyor.

Bir diğer önemli program ise şudur: Siber PistBu program, yeni kurulan şirketlerin ve KOBİ'lerin ölçek büyütmelerine, yeni pazarlara girmelerine ve uluslararası varlıklarını pekiştirmelerine destek olmak amacıyla tasarlanmıştır. Amaç, bu şirketlerin küresel siber güvenlik değer zincirinin kritik bileşenleri haline gelmelerini sağlamaktır.

Endüstriyel siber güvenlik ve kritik sektörler

Özellikle hassas alanlardan biri şudur: endüstriyel ve kritik altyapı siber güvenliğiBirleşik Krallık'ta, çeşitli kamu kurumları enerji, su, ulaşım, telekomünikasyon ve nükleer enerji gibi sektörlerin otomasyon ve kontrol sistemlerine sağlam önlemler entegre etmelerini denetlemektedir.

Öne çıkan kuruluşlar arasında şunlar yer almaktadır: CPNI (Ulusal Altyapıyı Koruma Merkezi)NCSC'nin kendisi, Ofgem, Ofcom, Ofwat veya Nükleer Düzenleme Ofisi gibi sektör düzenleyicileri ve NIS Yönetmeliğinden sorumlu yerel makamlar ve bakanlıklar.

Bu bağlamda, sanayi kuruluşları aşağıdaki gibi önlemler almıştır: Uzmanlaşmış danışmanlık, iç ve dış denetimler, segmentlere ayrılmış ağ tasarımlarıİş sürekliliği ve acil durum planları, yapılandırılmış yedeklemeler, SIEM çözümlerinin devreye alınması ve siber güvenlik göz önünde bulundurulmadan tasarlanmış eski sistemler için güçlendirme stratejileri.

Sektörün belirgin güçlü yönleri var, örneğin; kritik altyapı konusunda farkındalık düzeyinin artması Endüstriyel siber güvenlik alanında eğitim almış profesyonellerin sayısında da artış yaşanmıştır. Bununla birlikte, OT teknolojisine yönelik özel sertifikaların eksikliği, eski altyapılara bağımlılık ve endüstriyel ortamlar için tasarlanmış risk yönetimi araçlarının azlığı gibi zayıf noktalar devam etmektedir.

Aynı zamanda, özellikle şu nedenlerden dolayı büyük fırsatlar ortaya çıkmaktadır: Endüstri 4.0 ve Nesnelerin İnterneti'nin (IoT) YükselişiBu durum, güvenli çözümlere olan talebi artırmaktadır. Birleşik Krallık, hem teknoloji hem de uzmanlık ihraç ederek bu alanda stratejik bir oyuncu olarak konumunu sağlamlaştırmayı hedeflemektedir.

İngiliz yetkililer tarafından önerilen iyi uygulamalar

Hükümet ve NCSC çok sayıda yayın yaptı. Kuruluşların güvenlik duruşlarını güçlendirmelerine yardımcı olacak kılavuzlar ve referans çerçeveleri.Tek tip çözümler dayatmak yerine, risk temelli bir yaklaşıma ve iyi uygulanmış temel önlemlere vurgu yapılıyor.

Örnek olarak belge verilebilir. “Siber Güvenliğe Giden 10 Adım”Bu belge, herhangi bir kuruluş için önerilen kontrolleri ve süreçleri özetler: yönetişim, varlık yönetimi, uç nokta koruması, erişim kontrolü, ağ güvenliği, güvenli yapılandırma, güvenlik açığı yönetimi, personel eğitimi, olay müdahalesi ve yedekleme politikaları.

Şema Siber Temeller Bu, tüm şirketlerin sahip olması gereken beş asgari kontrolü öneriyor: düzgün yapılandırılmış güvenlik duvarları, desteklenen ve güncel yazılımların kullanımı, kullanıcı ayrıcalık yönetimi, kötü amaçlı yazılımlara karşı koruma ve cihaz ve hizmetlerin güvenli yapılandırılması. Sertifika almak ayrıca müşteriler ve düzenleyiciler için gerekli özenin gösterildiğinin kanıtı niteliğindedir.

NCSC ayrıca belirli yönergeler de yayınlamaktadır. DDoS saldırılarını hafifletmek, kimlik avı kampanyalarını tespit etmek, endüstriyel sistemleri (ICS) korumak ve tedarik zincirlerini güvence altına almak.Özellikle “dış saldırı yüzeyi”nin incelenmesine önem verilir: internete açık hizmetler, gereksiz açık portlar, sızdırılmış kimlik bilgileri ve zayıf halkalar haline gelebilecek üçüncü taraflara olan bağımlılıklar.

FCA ve ICO gibi diğer kuruluşlar da sektöre özgü rehber belgeler yayınlamıştır. Uluslararası düzeyde ise şu gibi standartlar mevcuttur: ISO / IEC 27001 PCI DSS (kart verileri için) ve BS 10012 (kişisel bilgi yönetimi) gibi standartlar, güvenlik yönetim sistemlerinin yapılandırılmasında referans olarak kullanılmaktadır.

Birleşik Krallık, bu yasa, standart, kurum ve programlar ağıyla, dijital inovasyon ve risk yönetimi arasında denge kurmakVeri akışını ve ekonomik dinamizmi sürdürmek, ancak vatandaşları, işletmeleri veya temel hizmetleri korumasız bırakmamak. Ülkede faaliyet gösteren herhangi bir kuruluş için, bu ekosistemi anlamak ve taleplerine uyum sağlamak artık isteğe bağlı değil, İngiliz dijital oyun alanında makul bir güvenlik marjıyla oynamaya devam etmek için gerekli bir koşuldur.