Iso-Britannia suunnittelee uusia lakeja, joilla parannettaisiin julkisten palveluiden suojaa kyberhyökkäyksiltä. Hallitus aikoo velvoittaa julkishallinnolle palveluita tuottavia yrityksia noudattamaan entistä tiukempia tietoturvavaatimuksia.
Tavoitteena on estää kansalaisiin vaikuttavia tietoturvapoikkeamia. Esimerkiksi vuonna puolustusministeriön palkanmaksujärjestelmään kohdistui tietomurto vuonna 2024 ja Britannian terveydenhuoltopalveluihin (National Health Service) kohdistui hyökkäys, joka perui yli 11 000 ajanvarausta
Ehdotetut lait koskisivat erityisesti keskisuuria ja suuria yrityksiä, jotka tarjoavat muun muassa IT-palveluita, tukipalveluita ja kyberturvaa sekä julkiselle että yksityiselle sektorille. Näitä yrityksiä pidetään kriittisinä, koska niillä on usein pääsy laajoihin ja luottamuksellisiin verkkoihin.
"Koska nämä yritykset toimivat luotettavina kumppaneina hallinnossa, kriittisessä infrastruktuurissa ja elinkeinoelämässä, niiden on noudatettava selkeitä tietoturvavelvoitteita", totesi Britannian tiede-, innovaatio- ja teknologiavirasto (DSIT) tiedotteessaan.
Lakiesityksen mukaan yritysten olisi raportoitava viipymättä merkittävistä tai mahdollisesti merkittävistä kyberhäiriöistä sekä viranomaisille että asiakkailleen. Niiden olisi myös ylläpidettävä valmiussuunnitelmia hyökkäysten seurausten hallintaan.
Lisäksi viranomaiset saisivat uusia valtuuksia nimetä kriittisiä palveluntoimittajia, joihin sovelletaan erityisen tiukkoja sääntöjä. Vakavat rikkomukset voisivat johtaa tuntuviin sanktioihin.
Britannian hallitus aikoo samalla kieltää julkisia organisaatioita ja kriittisen infrastruktuurin toimijoita maksamasta lunnaita kyberrikollisille.
Uudistus on osa laajempaa pyrkimystä vahvistaa maan kyberpuolustusta ja palauttaa luottamus julkisiin digipalveluihin useiden näkyvien hyökkäysten jälkeen.
Kuva Serena Repice Lentini Unsplash