Цифровая трансформация без кибербезопасности – риск, который государственный сектор не может себе позволить

Британское правительство ускоряет цифровую трансформацию государственных услуг, что обусловлено стремлением к большей эффективности, инновациям и решениям на основе искусственного интеллекта (ИИ). «Blueprint AI» Великобритании, объявленный в начале этого года, определил план расширения цифровых государственных услуг. Недавние разработки, такие как презентация планов по созданию нового кошелька gov.uk для хранения водительских удостоверений и паспортов граждан, демонстрируют явную приверженность цифровой трансформации. Эта трансформация приветствуется, но было бы неправильно не учитывать кибербезопасные вызовы, связанные с интеграцией инструментов на основе ИИ, облачных сервисов и растущего числа поставщиков стороннего IT.

Простым фактом является то, что цифровая трансформация государственного сектора расширяет поверхность атак организаций – потенциально подвергая риску конфиденциальные данные граждан, важные услуги и национальную безопасность. Скомпрометированный цепочки поставок может привести к полному отказу от работы важных услуг, таких как системы здравоохранения, сети экстренной помощи или инфраструктура общественного транспорта.

Это может привести к обнародованию конфиденциальных данных граждан, включая финансовые записи, медицинские истории и даже домашние адреса, что поставит людей под угрозу мошенничества, кражи личности или физического вреда. В худших сценариях нарушения цепочек поставок могут быть использованы государственными актёрами, что приведет к геополитическим кризисам, которые подорвут национальную безопасность.

Недавние правительственные проекты показали как потенциал, так и подводные камни ИИ в государственном секторе. Решение Великобритании приостановить прототипы ИИ в системе социального обеспечения из-за опасений по поводу безопасности и надежности подчеркивает тот факт, что цифровая трансформация должна сопровождаться надежными мерами кибербезопасности.

Растущая зависимость от поставщиков технологий третьих лиц делает экосистемы государственных IT более взаимосвязанными – но также более уязвимыми. Недостаточная гигиена безопасности среди поставщиков может привести к тому, что одна слабая ссылка подвергнет всю сеть государственных компьютеров киберугрозам.

Кибератака на Capita в 2023 году является ярким напоминанием о том, что безопасность стала вопросом национальной безопасности. Если злоумышленник не может получить доступ к защищенной правительственной цели напрямую, проникновение через менее защищенных партнеров третьих лиц предоставит лазейку, через которую он сможет получить foothold.

Недавнее разоблачение того, что российские хакеры выдавались за сотрудников IT в Microsoft Teams, является ярким напоминанием о том, что кибератаки выходят за рамки традиционного вредоносного ПО и включают социальную инженерию и обман на основе ИИ. Эти атаки не только нацелены на критическую инфраструктуру, но также используют самые слабые звенья в цепочках поставок правительства – поставщиков IT-услуг третьих лиц, облачные платформы и даже подрядчиков со стандартами безопасности ниже.