《布達佩斯公約》是第一個旨在統一網絡安全合規國際標準的國際條約,目前有68個締約方和21個觀察員國簽署。RoseTech網絡犯罪解決方案執行網絡安全顧問ChinatuUzuegbu告訴記者,它涵蓋了如何最好地綜合解決與網絡犯罪相關的問題,在達成必要的協議和透明的情況下主體和實體的人權得到保護的程度,以及不同立法和法律制度的代表程度。
國際合作還通過司法互助條約以及國際刑警組織和非洲刑警組織、東盟、歐洲刑警組織、聯合國、世界銀行以及國際標準化組織等組織進行。
關于全球數據傳輸的數據安全法
國際隱私專業人士協會研究和洞察力主管喬·瓊斯表示,缺乏數據安全法律的全球框架,以及對跨境數據傳輸的過時方法,正在阻礙加強保護的能力。
瓊斯說:“20世紀90年代中期設計的監管機制——建立在數據傳輸更加離散、更限于將數據從A點轉移到B點的模式——已經在世界各地激增。“這導致了隱私專業人士和企業需要駕馭的復雜且往往支離破碎的監管格局。”他說。
目前,有70多個國家有監管能力,通過數據隱私監管機構或政府當局,將其他國家認定為安全,可以接收數據。充分性意味著第三國被評估為提供的數據隱私標準與評估司法管轄區的標準相當。
駕馭一系列復雜的法規已迅速成為隱私界的首要問題。瓊斯說:“從合規角度看,花在解決這些問題上的時間往往沒有花在數據和網絡安全等其他問題上。”
但這種情況正在發生,瓊斯表示,經合組織就一系列開創性原則達成的里程碑式的協議,涉及政府當局如何為國家安全和執法目的獲取和使用個人數據,只是最近加強全球合作和統一框架的努力的一個例子。他表示:“政策制定者一直在加倍努力,需要擴大到一個更多司法管轄區的框架,利用與隱私志同道合的人之間的共同原則,并加強對與更多商業化做法相關的風險的集體關注。”
國際網絡安全框架的好處和局限性
烏祖格布告訴記者,理想情況下,讓企業加入國際網絡犯罪條約和公約,將使與網絡犯罪相關的問題、爭端、法律理論和其他國際約束與制裁、懲罰和懲罰無縫、及時地協調起來,這些制裁、懲罰和懲罰與相關的網絡犯罪有關,對全球立法機構具有影響力。
實施這類框架時的一種良好做法是使用差距分析將安全設置與相關行業和全球框架進行比較,以幫助確定和解決需要提升的領域。她說:“在該組織的安全政策中處理國際網絡安全框架是獲得保護的最好方式,以最大限度地減少瓶頸和跨多個框架的不必要重復。”
然而,它們并不是一個完整的解決方案,需要在《布達佩斯公約》等文書之外加強國際合作和協作,以應對某些司法管轄區成為網絡犯罪分子避風港的崛起。重要的是,各國應審查其網絡犯罪法律。
即便如此,現實情況是,某些國家和司法管轄區很可能是網絡犯罪分子的避風港,作為選擇加入的國家和司法管轄區,像《布達佩斯公約》這樣的文書只能到此為止。法律的價值取決于其適用的程度。
Cybereason副總裁兼現場CISO格雷格·戴表示:“在許多國家,專注于應對網絡犯罪并接受過相關培訓的執法人員數量與問題的嚴重程度不相稱。”“同樣,它要求幾乎每個執法人員接受一些基本培訓,否則當他們與某人交談時,如果有人告訴他們,他們遭到了勒索軟件攻擊,會發生什么?他們不知道這意味著什么,不知道應該向誰上報,以及在此期間需要采取哪些步驟來保護證據。”他說。
現在有了足夠多的成員,那些不選擇加入的人可能會受到懲罰。“各國政府出于如此多的關鍵地緣政治原因提供制裁,隨著數字世界成為大多數人生活中的關鍵部分,這將在什么時候成為針對那些不選擇加入的人的執法工具?”戴說。
他認為像《布達佩斯公約》這樣的國際框架存在三個主要缺陷。首先是缺乏證據。“許多公司都有很好的網絡防御工具,但不擅長收集或保存證據,無論是簡單的日志還是更高級的取證。”他說。“犯罪行為通常需要證據來證明其影響力,而許多企業仍然不愿分享對其品牌造成的影響。缺乏影響力通常意味著較輕的刑期。”
在案件進入審判階段時,網絡犯罪通常是技術性的,如果陪審團不能理解案件,他們就很難做出公平的裁決。他補充說:“我見過一些案件失敗,原因很簡單,因為陪審團無法掌握所發生事件的范圍。”
犯罪偵查中數據恢復和信息共享的局限性
當涉及到起訴罪犯時,國際法不一定會有幫助,因為這需要證據、逮捕令和其他制度才能進行。西悉尼大學網絡安全和行為教授AlanaMaurushat解釋說,這些規定不包括各國在起訴中充分合作的法律義務,包括像布達佩斯公約這樣的東西。
盡管如此,毛魯沙說,網絡犯罪調查既由執法機構完成,也由私人組織完成。私人實體不能使用《布達佩斯公約》來保存數據;它只能由指定的實體,如警察來完成。“但執法機構正在認識到這一點,并在合作方面做得更好。”莫魯沙說。
起訴網絡罪犯在不同的框架下運作,需要簽訂互助條約。“但這些談判可能需要10年時間,而且是從一個國家到另一個國家進行的。”莫魯沙說。即便如此,起訴也不是組織的最終目標。這是典型的數據恢復和資金檢索。
在一些調查中,如果案件指向某個司法管轄區,這是不可能的。“你永遠不會有任何進展,因為這些國家的腐敗非常嚴重,你不會得到合作。無論是政府對政府的調查還是私人調查,情況都是如此。”她說。
即使有了網絡犯罪法,某些司法管轄區也可以充當網絡犯罪分子的避風港和網絡犯罪的發射臺。例如,來自一些具備適當條件的國家的犯罪集團專門從事某些類型的網絡安全攻擊。
發動復雜的勒索軟件攻擊或其他網絡犯罪活動以凈化重要目標,需要一定水平的基礎設施、先進的技術和可觀的資金。毛魯沙估計,建造這樣的建筑可能需要高達1億美元的成本。
在這個層面上,是該國技術基礎設施的復雜程度決定了它們是否成為發動網絡攻擊的安全港,而不是網絡犯罪法律。
國際網絡安全框架不能解決歸屬問題
一般來說,犯罪分子利用適當的條件瞄準受害者,在官員可能不太愿意配合網絡犯罪調查的民族國家開展活動。而像《布達佩斯公約》等國際協議也無法解決從網絡攻擊中恢復的最困難的部分之一——識別罪魁禍首。
莫魯沙說,找出誰對網絡安全攻擊負責可能是非常困難的。“歸因”她說。但這句古老的格言仍然適用:跟著錢走,找出責任人。她表示:“在某些司法管轄區,每次都有資金流出。這一點從未改變,也永遠不會改變。看看避稅天堂,很有可能非法資金正流經這些地區。”
“犯罪分子總是瞄準最成熟的目標,或者最容易的目標。只要你不是最容易或最成熟的目標,你可能就不會有問題。這意味著考慮如何花你的預算和你的計劃是重要的。問題是,你經常把錢花在培訓和行為方面重要的事情上。所以,你可以得到世界上所有的工具,如果你沒有能夠學習工具的人,這是無用的。”
戴對此表示同意,他指出,由于幾個原因,很難確定歸屬。他說:“通常情況下,受害者既沒有收集到所需的證據,也沒有保存所需的證據。”
此外,對手已經開發了幾種技術來掩蓋自己的身份,使用公開泄露的系統作為中間點,擁有定期重新配置自己的通信點(命令和控制)。
他們還經常在自己之間使用安全通信,使其非常難以真正找到來源。他說:“很多時候,犯罪分子會像所有人類一樣犯錯誤。他們要么留下不想留下的標記,吹噓自己,要么犯一些簡單的錯誤,比如在一個完全不同、更公開、更開放的論壇上使用相同的化名。”
網絡法不僅僅是實際的法規本身。這是一個強大的網絡政策框架所促進的所有因素的總和。這包括網絡安全和網絡犯罪立法、勞動力發展戰略、網絡信息共享(威脅情報)、數字取證、計算機應急小組、網絡外交和雙邊協議等。尼爾·哈珀是英國網絡安全委員會專業標準工作組的成員,也是ISACA和世界經濟論壇網絡風險工作組的董事會成員,他說,這些網絡能力加上技術的進步使我們在網絡事件歸因方面做得更好。
CISO的攻略:使用網絡安全框架制定網絡政策
企業需要采用并“實施”正確的網絡安全框架。哈珀說:“單靠保單和網絡保險是不夠的。管理層和董事會需要變得更聰明,這樣他們才能就網絡風險和相關的經濟驅動因素提出正確的問題。企業領導層必須加強系統的彈性和協作,并確保組織設計和資源配置支持網絡安全。”
對于CISO來說,一切都需要圍繞網絡風險管理和業務戰略調整來進行,同時,外部合作至關重要。公私伙伴關系,特別是與關鍵的國家基礎設施保護有關的伙伴關系,在打擊網絡犯罪的斗爭中至關重要,部門和跨部門信息共享機制也是如此。“協作使企業能夠在新出現的威脅面前保持領先,并在網絡彈性方面更加積極主動。”他說。
對于每個CISO來說,都應該有三個關鍵目標。他說:“確保你的防范能力與時俱進。網絡安全的發展速度與其旨在緩解的威脅一樣快。”“當你受到攻擊時,有一個彈性計劃。你如何控制攻擊的危害半徑?你如何確保業務持續運轉?定期測試這些計劃!”
并且能夠更好地捕獲和分析數據。他說:“大多數人擅長于能夠看到攻擊做了什么,但許多人在能夠看到人類對手一旦成功入侵業務后做了什么方面就沒有那么強了。”
