Компании могут оштрафовать на сумму до 100 000 фунтов стерлингов в день.
Британским телекоммуникационным компаниям грозят штрафы в размере до 10% от их оборота, если они не будут следовать передовому опыту в области защиты сетей от кибер-атак в соответствии с новыми жесткими правительственными правилами, которые должны быть введены в октябре.
Новые правила, являющиеся частью Закона о телекоммуникациях (безопасности), дают правительству полномочия устанавливать стандарты безопасности для мобильных и широкополосных сетей. Это касается как аппаратного, так и программного обеспечения на мачтах и телефонных станциях, которые обрабатывают интернет-трафик, а также телефонные звонки.
Согласно действующему законодательству, телекоммуникационные компании самостоятельно регулируют стандарты безопасности в своих сетях. Однако недавний обзор цепочки поставок телекоммуникационных компаний показал, что у провайдеров мало стимулов для внедрения передового опыта в области кибербезопасности.
Нововведения включают свод правил, разработанный Национальным центром кибербезопасности (NCSC) и Ofcom для определения конкретных действий, которые операторы должны предпринять для обеспечения соблюдения и выполнения своих юридических обязательств в соответствии с Законом.
В дополнение к требованию о защите всех данных, обрабатываемых в сети, ожидается, что операторы мобильной и фиксированной связи будут защищать критически важные сетевые функции, позволяющие эксплуатировать и управлять ими, защищать программное обеспечение и оборудование, которые отслеживают и анализируют сеть, а также иметь глубокое понимание рисков безопасности.
Что касается последнего пункта, компания также должна быть в состоянии определить, когда происходит необычная активность, и сообщить об этом, а также учитывать риски цепочки поставок и вносить изменения в работу своих сетей и услуг для повышения безопасности.
Ofcom будет нести ответственность за надзор и соблюдение нового кодекса поведения и будет иметь право проводить проверки помещений и систем, чтобы убедиться, что они соответствуют требованиям. Если компания не соответствует стандартам, может быть наложен штраф в размере до 10% от ее оборота.
В случае продолжающегося нарушения законодательства компании могут быть оштрафованы на сумму до 100 000 фунтов стерлингов в день, пока проблема не будет решена.
Операторы должны выявлять и оценивать риски любого "пограничного" оборудования, непосредственно подверженного потенциальным атакам злоумышленников, включая радиомачты и интернет-оборудование, поставляемое клиентам, в том числе модемы и Wi-Fi-роутеры.
Чтобы соответствовать требованиям, им также необходимо будет обеспечить жесткий контроль над тем, кто может вносить изменения в сеть, и защиту от вредоносных сигналов, поступающих в сеть, которые могут привести к перебоям в работе.
Существуют также обязательства в масштабах всей компании, включая обеспечение поддержки безопасности бизнес-процессов, в том числе посредством соответствующей подотчетности на уровне совета директоров.
Хотя законодательство вступает в силу в октябре, у поставщиков будет время до марта 2024 года, чтобы обеспечить выполнение всех вышеперечисленных целей. Как только это будет сделано, появятся дополнительные сроки для других будущих мер по защите сетевой инфраструктуры.
Храним важное в надежном месте