《布達(dá)佩斯公約》是第一個(gè)旨在統(tǒng)一網(wǎng)絡(luò)安全合規(guī)國際標(biāo)準(zhǔn)的國際條約,目前有68個(gè)締約方和21個(gè)觀察員國簽署。RoseTech網(wǎng)絡(luò)犯罪解決方案執(zhí)行網(wǎng)絡(luò)安全顧問ChinatuUzuegbu告訴記者,它涵蓋了如何最好地綜合解決與網(wǎng)絡(luò)犯罪相關(guān)的問題,在達(dá)成必要的協(xié)議和透明的情況下主體和實(shí)體的人權(quán)得到保護(hù)的程度,以及不同立法和法律制度的代表程度。
國際合作還通過司法互助條約以及國際刑警組織和非洲刑警組織、東盟、歐洲刑警組織、聯(lián)合國、世界銀行以及國際標(biāo)準(zhǔn)化組織等組織進(jìn)行。
關(guān)于全球數(shù)據(jù)傳輸?shù)臄?shù)據(jù)安全法
國際隱私專業(yè)人士協(xié)會(huì)研究和洞察力主管喬·瓊斯表示,缺乏數(shù)據(jù)安全法律的全球框架,以及對跨境數(shù)據(jù)傳輸?shù)倪^時(shí)方法,正在阻礙加強(qiáng)保護(hù)的能力。
瓊斯說:“20世紀(jì)90年代中期設(shè)計(jì)的監(jiān)管機(jī)制——建立在數(shù)據(jù)傳輸更加離散、更限于將數(shù)據(jù)從A點(diǎn)轉(zhuǎn)移到B點(diǎn)的模式——已經(jīng)在世界各地激增。“這導(dǎo)致了隱私專業(yè)人士和企業(yè)需要駕馭的復(fù)雜且往往支離破碎的監(jiān)管格局。”他說。
目前,有70多個(gè)國家有監(jiān)管能力,通過數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)或政府當(dāng)局,將其他國家認(rèn)定為安全,可以接收數(shù)據(jù)。充分性意味著第三國被評估為提供的數(shù)據(jù)隱私標(biāo)準(zhǔn)與評估司法管轄區(qū)的標(biāo)準(zhǔn)相當(dāng)。
駕馭一系列復(fù)雜的法規(guī)已迅速成為隱私界的首要問題。瓊斯說:“從合規(guī)角度看,花在解決這些問題上的時(shí)間往往沒有花在數(shù)據(jù)和網(wǎng)絡(luò)安全等其他問題上。”
但這種情況正在發(fā)生,瓊斯表示,經(jīng)合組織就一系列開創(chuàng)性原則達(dá)成的里程碑式的協(xié)議,涉及政府當(dāng)局如何為國家安全和執(zhí)法目的獲取和使用個(gè)人數(shù)據(jù),只是最近加強(qiáng)全球合作和統(tǒng)一框架的努力的一個(gè)例子。他表示:“政策制定者一直在加倍努力,需要擴(kuò)大到一個(gè)更多司法管轄區(qū)的框架,利用與隱私志同道合的人之間的共同原則,并加強(qiáng)對與更多商業(yè)化做法相關(guān)的風(fēng)險(xiǎn)的集體關(guān)注。”
國際網(wǎng)絡(luò)安全框架的好處和局限性
烏祖格布告訴記者,理想情況下,讓企業(yè)加入國際網(wǎng)絡(luò)犯罪條約和公約,將使與網(wǎng)絡(luò)犯罪相關(guān)的問題、爭端、法律理論和其他國際約束與制裁、懲罰和懲罰無縫、及時(shí)地協(xié)調(diào)起來,這些制裁、懲罰和懲罰與相關(guān)的網(wǎng)絡(luò)犯罪有關(guān),對全球立法機(jī)構(gòu)具有影響力。
實(shí)施這類框架時(shí)的一種良好做法是使用差距分析將安全設(shè)置與相關(guān)行業(yè)和全球框架進(jìn)行比較,以幫助確定和解決需要提升的領(lǐng)域。她說:“在該組織的安全政策中處理國際網(wǎng)絡(luò)安全框架是獲得保護(hù)的最好方式,以最大限度地減少瓶頸和跨多個(gè)框架的不必要重復(fù)。”
然而,它們并不是一個(gè)完整的解決方案,需要在《布達(dá)佩斯公約》等文書之外加強(qiáng)國際合作和協(xié)作,以應(yīng)對某些司法管轄區(qū)成為網(wǎng)絡(luò)犯罪分子避風(fēng)港的崛起。重要的是,各國應(yīng)審查其網(wǎng)絡(luò)犯罪法律。
即便如此,現(xiàn)實(shí)情況是,某些國家和司法管轄區(qū)很可能是網(wǎng)絡(luò)犯罪分子的避風(fēng)港,作為選擇加入的國家和司法管轄區(qū),像《布達(dá)佩斯公約》這樣的文書只能到此為止。法律的價(jià)值取決于其適用的程度。
Cybereason副總裁兼現(xiàn)場CISO格雷格·戴表示:“在許多國家,專注于應(yīng)對網(wǎng)絡(luò)犯罪并接受過相關(guān)培訓(xùn)的執(zhí)法人員數(shù)量與問題的嚴(yán)重程度不相稱。”“同樣,它要求幾乎每個(gè)執(zhí)法人員接受一些基本培訓(xùn),否則當(dāng)他們與某人交談時(shí),如果有人告訴他們,他們遭到了勒索軟件攻擊,會(huì)發(fā)生什么?他們不知道這意味著什么,不知道應(yīng)該向誰上報(bào),以及在此期間需要采取哪些步驟來保護(hù)證據(jù)。”他說。
現(xiàn)在有了足夠多的成員,那些不選擇加入的人可能會(huì)受到懲罰。“各國政府出于如此多的關(guān)鍵地緣政治原因提供制裁,隨著數(shù)字世界成為大多數(shù)人生活中的關(guān)鍵部分,這將在什么時(shí)候成為針對那些不選擇加入的人的執(zhí)法工具?”戴說。
他認(rèn)為像《布達(dá)佩斯公約》這樣的國際框架存在三個(gè)主要缺陷。首先是缺乏證據(jù)。“許多公司都有很好的網(wǎng)絡(luò)防御工具,但不擅長收集或保存證據(jù),無論是簡單的日志還是更高級(jí)的取證。”他說。“犯罪行為通常需要證據(jù)來證明其影響力,而許多企業(yè)仍然不愿分享對其品牌造成的影響。缺乏影響力通常意味著較輕的刑期。”
在案件進(jìn)入審判階段時(shí),網(wǎng)絡(luò)犯罪通常是技術(shù)性的,如果陪審團(tuán)不能理解案件,他們就很難做出公平的裁決。他補(bǔ)充說:“我見過一些案件失敗,原因很簡單,因?yàn)榕銓張F(tuán)無法掌握所發(fā)生事件的范圍。”
犯罪偵查中數(shù)據(jù)恢復(fù)和信息共享的局限性
當(dāng)涉及到起訴罪犯時(shí),國際法不一定會(huì)有幫助,因?yàn)檫@需要證據(jù)、逮捕令和其他制度才能進(jìn)行。西悉尼大學(xué)網(wǎng)絡(luò)安全和行為教授AlanaMaurushat解釋說,這些規(guī)定不包括各國在起訴中充分合作的法律義務(wù),包括像布達(dá)佩斯公約這樣的東西。
盡管如此,毛魯沙說,網(wǎng)絡(luò)犯罪調(diào)查既由執(zhí)法機(jī)構(gòu)完成,也由私人組織完成。私人實(shí)體不能使用《布達(dá)佩斯公約》來保存數(shù)據(jù);它只能由指定的實(shí)體,如警察來完成。“但執(zhí)法機(jī)構(gòu)正在認(rèn)識(shí)到這一點(diǎn),并在合作方面做得更好。”莫魯沙說。
起訴網(wǎng)絡(luò)罪犯在不同的框架下運(yùn)作,需要簽訂互助條約。“但這些談判可能需要10年時(shí)間,而且是從一個(gè)國家到另一個(gè)國家進(jìn)行的。”莫魯沙說。即便如此,起訴也不是組織的最終目標(biāo)。這是典型的數(shù)據(jù)恢復(fù)和資金檢索。
在一些調(diào)查中,如果案件指向某個(gè)司法管轄區(qū),這是不可能的。“你永遠(yuǎn)不會(huì)有任何進(jìn)展,因?yàn)檫@些國家的腐敗非常嚴(yán)重,你不會(huì)得到合作。無論是政府對政府的調(diào)查還是私人調(diào)查,情況都是如此。”她說。
即使有了網(wǎng)絡(luò)犯罪法,某些司法管轄區(qū)也可以充當(dāng)網(wǎng)絡(luò)犯罪分子的避風(fēng)港和網(wǎng)絡(luò)犯罪的發(fā)射臺(tái)。例如,來自一些具備適當(dāng)條件的國家的犯罪集團(tuán)專門從事某些類型的網(wǎng)絡(luò)安全攻擊。
發(fā)動(dòng)復(fù)雜的勒索軟件攻擊或其他網(wǎng)絡(luò)犯罪活動(dòng)以凈化重要目標(biāo),需要一定水平的基礎(chǔ)設(shè)施、先進(jìn)的技術(shù)和可觀的資金。毛魯沙估計(jì),建造這樣的建筑可能需要高達(dá)1億美元的成本。
在這個(gè)層面上,是該國技術(shù)基礎(chǔ)設(shè)施的復(fù)雜程度決定了它們是否成為發(fā)動(dòng)網(wǎng)絡(luò)攻擊的安全港,而不是網(wǎng)絡(luò)犯罪法律。
國際網(wǎng)絡(luò)安全框架不能解決歸屬問題
一般來說,犯罪分子利用適當(dāng)?shù)臈l件瞄準(zhǔn)受害者,在官員可能不太愿意配合網(wǎng)絡(luò)犯罪調(diào)查的民族國家開展活動(dòng)。而像《布達(dá)佩斯公約》等國際協(xié)議也無法解決從網(wǎng)絡(luò)攻擊中恢復(fù)的最困難的部分之一——識(shí)別罪魁禍?zhǔn)住?br />
莫魯沙說,找出誰對網(wǎng)絡(luò)安全攻擊負(fù)責(zé)可能是非常困難的。“歸因”她說。但這句古老的格言仍然適用:跟著錢走,找出責(zé)任人。她表示:“在某些司法管轄區(qū),每次都有資金流出。這一點(diǎn)從未改變,也永遠(yuǎn)不會(huì)改變。看看避稅天堂,很有可能非法資金正流經(jīng)這些地區(qū)。”
“犯罪分子總是瞄準(zhǔn)最成熟的目標(biāo),或者最容易的目標(biāo)。只要你不是最容易或最成熟的目標(biāo),你可能就不會(huì)有問題。這意味著考慮如何花你的預(yù)算和你的計(jì)劃是重要的。問題是,你經(jīng)常把錢花在培訓(xùn)和行為方面重要的事情上。所以,你可以得到世界上所有的工具,如果你沒有能夠?qū)W習(xí)工具的人,這是無用的。”
戴對此表示同意,他指出,由于幾個(gè)原因,很難確定歸屬。他說:“通常情況下,受害者既沒有收集到所需的證據(jù),也沒有保存所需的證據(jù)。”
此外,對手已經(jīng)開發(fā)了幾種技術(shù)來掩蓋自己的身份,使用公開泄露的系統(tǒng)作為中間點(diǎn),擁有定期重新配置自己的通信點(diǎn)(命令和控制)。
他們還經(jīng)常在自己之間使用安全通信,使其非常難以真正找到來源。他說:“很多時(shí)候,犯罪分子會(huì)像所有人類一樣犯錯(cuò)誤。他們要么留下不想留下的標(biāo)記,吹噓自己,要么犯一些簡單的錯(cuò)誤,比如在一個(gè)完全不同、更公開、更開放的論壇上使用相同的化名。”
網(wǎng)絡(luò)法不僅僅是實(shí)際的法規(guī)本身。這是一個(gè)強(qiáng)大的網(wǎng)絡(luò)政策框架所促進(jìn)的所有因素的總和。這包括網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪立法、勞動(dòng)力發(fā)展戰(zhàn)略、網(wǎng)絡(luò)信息共享(威脅情報(bào))、數(shù)字取證、計(jì)算機(jī)應(yīng)急小組、網(wǎng)絡(luò)外交和雙邊協(xié)議等。尼爾·哈珀是英國網(wǎng)絡(luò)安全委員會(huì)專業(yè)標(biāo)準(zhǔn)工作組的成員,也是ISACA和世界經(jīng)濟(jì)論壇網(wǎng)絡(luò)風(fēng)險(xiǎn)工作組的董事會(huì)成員,他說,這些網(wǎng)絡(luò)能力加上技術(shù)的進(jìn)步使我們在網(wǎng)絡(luò)事件歸因方面做得更好。
CISO的攻略:使用網(wǎng)絡(luò)安全框架制定網(wǎng)絡(luò)政策
企業(yè)需要采用并“實(shí)施”正確的網(wǎng)絡(luò)安全框架。哈珀說:“單靠保單和網(wǎng)絡(luò)保險(xiǎn)是不夠的。管理層和董事會(huì)需要變得更聰明,這樣他們才能就網(wǎng)絡(luò)風(fēng)險(xiǎn)和相關(guān)的經(jīng)濟(jì)驅(qū)動(dòng)因素提出正確的問題。企業(yè)領(lǐng)導(dǎo)層必須加強(qiáng)系統(tǒng)的彈性和協(xié)作,并確保組織設(shè)計(jì)和資源配置支持網(wǎng)絡(luò)安全。”
對于CISO來說,一切都需要圍繞網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和業(yè)務(wù)戰(zhàn)略調(diào)整來進(jìn)行,同時(shí),外部合作至關(guān)重要。公私伙伴關(guān)系,特別是與關(guān)鍵的國家基礎(chǔ)設(shè)施保護(hù)有關(guān)的伙伴關(guān)系,在打擊網(wǎng)絡(luò)犯罪的斗爭中至關(guān)重要,部門和跨部門信息共享機(jī)制也是如此。“協(xié)作使企業(yè)能夠在新出現(xiàn)的威脅面前保持領(lǐng)先,并在網(wǎng)絡(luò)彈性方面更加積極主動(dòng)。”他說。
對于每個(gè)CISO來說,都應(yīng)該有三個(gè)關(guān)鍵目標(biāo)。他說:“確保你的防范能力與時(shí)俱進(jìn)。網(wǎng)絡(luò)安全的發(fā)展速度與其旨在緩解的威脅一樣快。”“當(dāng)你受到攻擊時(shí),有一個(gè)彈性計(jì)劃。你如何控制攻擊的危害半徑?你如何確保業(yè)務(wù)持續(xù)運(yùn)轉(zhuǎn)?定期測試這些計(jì)劃!”
并且能夠更好地捕獲和分析數(shù)據(jù)。他說:“大多數(shù)人擅長于能夠看到攻擊做了什么,但許多人在能夠看到人類對手一旦成功入侵業(yè)務(wù)后做了什么方面就沒有那么強(qiáng)了。”
