Великобритания вводит новые жесткие правила кибербезопасности для поставщиков телекоммуникационных услуг

Британским телекоммуникационным компаниям грозят штрафы в размере до 10% от их оборота, если они не будут следовать передовому опыту в области защиты сетей от кибер-атак в соответствии с новыми жесткими правительственными правилами, которые должны быть введены в октябре.

Новые правила, являющиеся частью Закона о телекоммуникациях (безопасности), дают правительству полномочия устанавливать стандарты безопасности для мобильных и широкополосных сетей. Это касается как аппаратного, так и программного обеспечения на мачтах и телефонных станциях, которые обрабатывают интернет-трафик, а также телефонные звонки.

Согласно действующему законодательству, телекоммуникационные компании самостоятельно регулируют стандарты безопасности в своих сетях. Однако недавний обзор цепочки поставок телекоммуникационных компаний показал, что у провайдеров мало стимулов для внедрения передового опыта в области кибербезопасности.

Нововведения включают свод правил, разработанный Национальным центром кибербезопасности (NCSC) и Ofcom для определения конкретных действий, которые операторы должны предпринять для обеспечения соблюдения и выполнения своих юридических обязательств в соответствии с Законом.

В дополнение к требованию о защите всех данных, обрабатываемых в сети, ожидается, что операторы мобильной и фиксированной связи будут защищать критически важные сетевые функции, позволяющие эксплуатировать и управлять ими, защищать программное обеспечение и оборудование, которые отслеживают и анализируют сеть, а также иметь глубокое понимание рисков безопасности.

Что касается последнего пункта, компания также должна быть в состоянии определить, когда происходит необычная активность, и сообщить об этом, а также учитывать риски цепочки поставок и вносить изменения в работу своих сетей и услуг для повышения безопасности.

Ofcom будет нести ответственность за надзор и соблюдение нового кодекса поведения и будет иметь право проводить проверки помещений и систем, чтобы убедиться, что они соответствуют требованиям. Если компания не соответствует стандартам, может быть наложен штраф в размере до 10% от ее оборота.

В случае продолжающегося нарушения законодательства компании могут быть оштрафованы на сумму до 100 000 фунтов стерлингов в день, пока проблема не будет решена.

Операторы должны выявлять и оценивать риски любого "пограничного" оборудования, непосредственно подверженного потенциальным атакам злоумышленников, включая радиомачты и интернет-оборудование, поставляемое клиентам, в том числе модемы и Wi-Fi-роутеры.

Чтобы соответствовать требованиям, им также необходимо будет обеспечить жесткий контроль над тем, кто может вносить изменения в сеть, и защиту от вредоносных сигналов, поступающих в сеть, которые могут привести к перебоям в работе.

Существуют также обязательства в масштабах всей компании, включая обеспечение поддержки безопасности бизнес-процессов, в том числе посредством соответствующей подотчетности на уровне совета директоров.

Хотя законодательство вступает в силу в октябре, у поставщиков будет время до марта 2024 года, чтобы обеспечить выполнение всех вышеперечисленных целей. Как только это будет сделано, появятся дополнительные сроки для других будущих мер по защите сетевой инфраструктуры.