Новые правила безопасности в сфере телекоммуникаций будут одними из самых строгих в мире и обеспечат гораздо более жесткую защиту Великобритании от киберугроз, которые могут привести к сбою сети или краже конфиденциальных данных.

Закон о телекоммуникациях (безопасности) , который стал законом в ноябре, дает правительству полномочия повышать стандарты безопасности мобильных и широкополосных сетей Великобритании, включая электронное оборудование и программное обеспечение на телефонных мачтах и телефонных коммутаторах, которые обрабатывают интернет-трафик и телефонную связь. звонки.

В настоящее время операторы связи несут ответственность за установление собственных стандартов безопасности в своих сетях. Тем не менее, правительственный обзор цепочки поставок телекоммуникационных услуг показал, что у провайдеров часто мало стимулов для внедрения передовых методов обеспечения безопасности.

Новые правила и свод правил, разработанные совместно с Национальным центром кибербезопасности и Ofcom, определяют конкретные действия для британских провайдеров общедоступных телекоммуникационных услуг, чтобы они могли выполнять свои юридические обязанности в соответствии с Законом. Они повысят киберустойчивость Великобритании, внедрив передовые методы обеспечения безопасности в долгосрочные инвестиционные решения поставщиков и повседневную работу их сетей и услуг.

Содержание окончательных правил было подтверждено правительством после опубликованных сегодня ответов на общественные консультации . Правила должны гарантировать, что поставщики:

• защищать данные, обрабатываемые их сетями и службами, и защищать критически важные функции, которые позволяют им работать и управлять ими.
• защищать программное обеспечение и оборудование, которые отслеживают и анализируют свои сети и услуги
• иметь глубокое понимание своих рисков безопасности и способность определять, когда происходит аномальная деятельность, с регулярными отчетами для внутренних советов
• учитывать риски цепочки поставок, а также понимать и контролировать, кто имеет возможность доступа и внесения изменений в работу своих сетей и услуг для повышения безопасности.

Министр цифровой инфраструктуры Мэтт Уорман сказал:

Мы знаем, насколько разрушительными могут быть кибератаки на критическую инфраструктуру, и наши широкополосные и мобильные сети занимают центральное место в нашем образе жизни.

Мы усиливаем защиту этих жизненно важных сетей, внедряя один из самых жестких в мире режимов безопасности телекоммуникаций, который защищает наши коммуникации от текущих и будущих угроз.

Технический директор NCSC доктор Ян Леви сказал:

Мы все больше полагаемся на наши телекоммуникационные сети в нашей повседневной жизни, нашей экономике и основных услугах, которыми мы все пользуемся.

Эти новые правила гарантируют, что безопасность и отказоустойчивость этих сетей и оборудования, которое их поддерживает, будут соответствовать требованиям будущего.

Вскоре эти правила будут представлены в качестве подзаконных актов в парламенте вместе с проектом свода правил, в котором содержится руководство о том, как поставщики услуг могут их соблюдать.

Ofcom будет осуществлять надзор, мониторинг и обеспечение соблюдения новых юридических обязанностей, а также будет иметь право проводить проверки помещений и систем телекоммуникационных фирм, чтобы убедиться, что они выполняют свои обязательства. Если компании не будут выполнять свои обязанности, регулирующий орган сможет налагать штрафы в размере до 10 процентов от оборота или, в случае продолжающегося нарушения, до 100 000 фунтов стерлингов в день.

С октября на провайдеров будут распространяться новые правила, и Ofcom сможет использовать свои новые полномочия для обеспечения того, чтобы провайдеры принимали надлежащие и пропорциональные меры для выполнения своих обязанностей по обеспечению безопасности и следовали указаниям в своде правил. Это включает:

• выявление и оценка риска для любого «пограничного» оборудования, которое напрямую подвергается воздействию потенциальных злоумышленников. Сюда входят радиомачты и интернет-оборудование, поставляемое клиентам, такое как маршрутизаторы Wi-Fi и модемы, которые служат точками входа в сеть.
• жесткий контроль над тем, кто может вносить общесетевые изменения
• защита от определенных вредоносных сигналов, поступающих в сеть, которые могут вызвать перебои в работе;
• хорошее понимание рисков, с которыми сталкиваются их сети
• обеспечение безопасности бизнес-процессов (например, надлежащая подотчетность совета директоров)

Ожидается, что поставщики услуг достигнут этих результатов к марту 2024 года. В своде правил будут установлены дополнительные сроки для выполнения других мер. Код будет периодически обновляться, чтобы не отставать от любых развивающихся киберугроз.

КОНЕЦ

Примечания для редакторов

Правительство получило ответы на консультации от государственных операторов связи, поставщиков и торговых организаций. В ответе правительства изложено, каким образом эти ответы были рассмотрены и отражены в окончательных Правилах и проекте Кодекса практики.

Технические изменения после консультации включают:

• уточнение, чтобы гарантировать, что меры безопасности нацелены на те части сетей, которые больше всего нуждаются в защите, например, новые программные инструменты, обеспечивающие работу сетей 5G.
• включение дополнительных руководств по национальной устойчивости, исправлениям безопасности и защите устаревших сетей, чтобы помочь поставщикам понять действия, которые необходимо предпринять.

Положения об электронных коммуникациях (мерах безопасности) будут утверждены в парламенте посредством нормативного акта по отрицательной процедуре.

Проект свода правил будет представлен в парламенте в соответствии с требованием раздела 105F Закона о связи 2003 г. (с поправками, внесенными Законом о телекоммуникациях (безопасности) 2021 г.). Он останется в проекте для рассмотрения парламентом в течение сорока дней, после чего кодекс практики будет издан и опубликован.