圍繞網(wǎng)絡(luò)安全的法律和標(biāo)準(zhǔn)很多���,糟糕的是,這些法律和標(biāo)準(zhǔn)在不同國家之間往往存在差異。當(dāng)CISO需要專注于一國邊境的網(wǎng)絡(luò)安全時(shí),國際協(xié)議和框架可以為滿足合規(guī)性提供一些指導(dǎo)���,當(dāng)網(wǎng)絡(luò)犯罪發(fā)生時(shí),哪些國家更有可能合作,如何合作����,以及何時(shí)公共和私人合作可能是最佳選擇���。
《布達(dá)佩斯公約》是第一個(gè)旨在統(tǒng)一網(wǎng)絡(luò)安全合規(guī)國際標(biāo)準(zhǔn)的國際條約�����,目前有68個(gè)締約方和21個(gè)觀察員國簽署���。RoseTech網(wǎng)絡(luò)犯罪解決方案執(zhí)行網(wǎng)絡(luò)安全顧問Chinatu Uzuegbu告訴記者��,它涵蓋了如何最好地綜合解決與網(wǎng)絡(luò)犯罪相關(guān)的問題,在達(dá)成必要的協(xié)議和透明的情況下主體和實(shí)體的人權(quán)得到保護(hù)的程度��,以及不同立法和法律制度的代表程度��。
國際合作還通過司法互助條約以及國際刑警組織和非洲刑警組織�����、東盟�、歐洲刑警組織�、聯(lián)合國、世界銀行以及國際標(biāo)準(zhǔn)化組織等組織進(jìn)行。
(資料圖)
關(guān)于全球數(shù)據(jù)傳輸?shù)臄?shù)據(jù)安全法
國際隱私專業(yè)人士協(xié)會研究和洞察力主管喬·瓊斯表示����,缺乏數(shù)據(jù)安全法律的全球框架���,以及對跨境數(shù)據(jù)傳輸?shù)倪^時(shí)方法�,正在阻礙加強(qiáng)保護(hù)的能力���。
瓊斯說:“20世紀(jì)90年代中期設(shè)計(jì)的監(jiān)管機(jī)制——建立在數(shù)據(jù)傳輸更加離散�、更限于將數(shù)據(jù)從A點(diǎn)轉(zhuǎn)移到B點(diǎn)的模式——已經(jīng)在世界各地激增���?�!斑@導(dǎo)致了隱私專業(yè)人士和企業(yè)需要駕馭的復(fù)雜且往往支離破碎的監(jiān)管格局?���!彼f��。
目前���,有70多個(gè)國家有監(jiān)管能力��,通過數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)或政府當(dāng)局�����,將其他國家認(rèn)定為安全�,可以接收數(shù)據(jù)。充分性意味著第三國被評估為提供的數(shù)據(jù)隱私標(biāo)準(zhǔn)與評估司法管轄區(qū)的標(biāo)準(zhǔn)相當(dāng)���。
駕馭一系列復(fù)雜的法規(guī)已迅速成為隱私界的首要問題�。瓊斯說:“從合規(guī)角度看,花在解決這些問題上的時(shí)間往往沒有花在數(shù)據(jù)和網(wǎng)絡(luò)安全等其他問題上���。”
但這種情況正在發(fā)生�����,瓊斯表示����,經(jīng)合組織就一系列開創(chuàng)性原則達(dá)成的里程碑式的協(xié)議���,涉及政府當(dāng)局如何為國家安全和執(zhí)法目的獲取和使用個(gè)人數(shù)據(jù),只是最近加強(qiáng)全球合作和統(tǒng)一框架的努力的一個(gè)例子�。他表示:“政策制定者一直在加倍努力�,需要擴(kuò)大到一個(gè)更多司法管轄區(qū)的框架,利用與隱私志同道合的人之間的共同原則��,并加強(qiáng)對與更多商業(yè)化做法相關(guān)的風(fēng)險(xiǎn)的集體關(guān)注?��!?/p>國際網(wǎng)絡(luò)安全框架的好處和局限性
烏祖格布告訴記者,理想情況下�,讓企業(yè)加入國際網(wǎng)絡(luò)犯罪條約和公約�,將使與網(wǎng)絡(luò)犯罪相關(guān)的問題、爭端���、法律理論和其他國際約束與制裁���、懲罰和懲罰無縫、及時(shí)地協(xié)調(diào)起來���,這些制裁�����、懲罰和懲罰與相關(guān)的網(wǎng)絡(luò)犯罪有關(guān)���,對全球立法機(jī)構(gòu)具有影響力�����。
實(shí)施這類框架時(shí)的一種良好做法是使用差距分析將安全設(shè)置與相關(guān)行業(yè)和全球框架進(jìn)行比較�,以幫助確定和解決需要提升的領(lǐng)域。她說:“在該組織的安全政策中處理國際網(wǎng)絡(luò)安全框架是獲得保護(hù)的最好方式��,以最大限度地減少瓶頸和跨多個(gè)框架的不必要重復(fù)�。”
然而��,它們并不是一個(gè)完整的解決方案����,需要在《布達(dá)佩斯公約》等文書之外加強(qiáng)國際合作和協(xié)作,以應(yīng)對某些司法管轄區(qū)成為網(wǎng)絡(luò)犯罪分子避風(fēng)港的崛起��。重要的是����,各國應(yīng)審查其網(wǎng)絡(luò)犯罪法律�。
即便如此�,現(xiàn)實(shí)情況是,某些國家和司法管轄區(qū)很可能是網(wǎng)絡(luò)犯罪分子的避風(fēng)港�,作為選擇加入的國家和司法管轄區(qū)��,像《布達(dá)佩斯公約》這樣的文書只能到此為止��。法律的價(jià)值取決于其適用的程度���。
Cybereason副總裁兼現(xiàn)場CISO格雷格·戴表示:“在許多國家��,專注于應(yīng)對網(wǎng)絡(luò)犯罪并接受過相關(guān)培訓(xùn)的執(zhí)法人員數(shù)量與問題的嚴(yán)重程度不相稱�����。”“同樣����,它要求幾乎每個(gè)執(zhí)法人員接受一些基本培訓(xùn)���,否則當(dāng)他們與某人交談時(shí)�,如果有人告訴他們,他們遭到了勒索軟件攻擊,會發(fā)生什么?他們不知道這意味著什么��,不知道應(yīng)該向誰上報(bào)����,以及在此期間需要采取哪些步驟來保護(hù)證據(jù)?����!彼f。
現(xiàn)在有了足夠多的成員��,那些不選擇加入的人可能會受到懲罰����?��!案鲊鲇谌绱硕嗟年P(guān)鍵地緣政治原因提供制裁,隨著數(shù)字世界成為大多數(shù)人生活中的關(guān)鍵部分�,這將在什么時(shí)候成為針對那些不選擇加入的人的執(zhí)法工具?”戴說��。
他認(rèn)為像《布達(dá)佩斯公約》這樣的國際框架存在三個(gè)主要缺陷�����。首先是缺乏證據(jù)����。“許多公司都有很好的網(wǎng)絡(luò)防御工具,但不擅長收集或保存證據(jù)��,無論是簡單的日志還是更高級的取證����?!彼f��。“犯罪行為通常需要證據(jù)來證明其影響力�,而許多企業(yè)仍然不愿分享對其品牌造成的影響。缺乏影響力通常意味著較輕的刑期��?�!?/p>
在案件進(jìn)入審判階段時(shí),網(wǎng)絡(luò)犯罪通常是技術(shù)性的��,如果陪審團(tuán)不能理解案件,他們就很難做出公平的裁決。他補(bǔ)充說:“我見過一些案件失敗���,原因很簡單�,因?yàn)榕銓張F(tuán)無法掌握所發(fā)生事件的范圍��?���!?/p>犯罪偵查中數(shù)據(jù)恢復(fù)和信息共享的局限性
當(dāng)涉及到起訴罪犯時(shí)����,國際法不一定會有幫助�,因?yàn)檫@需要證據(jù)、逮捕令和其他制度才能進(jìn)行��。西悉尼大學(xué)網(wǎng)絡(luò)安全和行為教授Alana Maurushat解釋說,這些規(guī)定不包括各國在起訴中充分合作的法律義務(wù)�����,包括像布達(dá)佩斯公約這樣的東西。
盡管如此����,毛魯沙說,網(wǎng)絡(luò)犯罪調(diào)查既由執(zhí)法機(jī)構(gòu)完成���,也由私人組織完成�����。私人實(shí)體不能使用《布達(dá)佩斯公約》來保存數(shù)據(jù);它只能由指定的實(shí)體���,如警察來完成?!暗珗?zhí)法機(jī)構(gòu)正在認(rèn)識到這一點(diǎn),并在合作方面做得更好�。”莫魯沙說��。
起訴網(wǎng)絡(luò)罪犯在不同的框架下運(yùn)作����,需要簽訂互助條約���。“但這些談判可能需要10年時(shí)間����,而且是從一個(gè)國家到另一個(gè)國家進(jìn)行的��?����!蹦斏痴f�����。即便如此���,起訴也不是組織的最終目標(biāo)�����。這是典型的數(shù)據(jù)恢復(fù)和資金檢索��。
在一些調(diào)查中���,如果案件指向某個(gè)司法管轄區(qū)���,這是不可能的?����!澳阌肋h(yuǎn)不會有任何進(jìn)展��,因?yàn)檫@些國家的腐敗非常嚴(yán)重��,你不會得到合作�����。無論是政府對政府的調(diào)查還是私人調(diào)查�,情況都是如此?���!彼f。
即使有了網(wǎng)絡(luò)犯罪法����,某些司法管轄區(qū)也可以充當(dāng)網(wǎng)絡(luò)犯罪分子的避風(fēng)港和網(wǎng)絡(luò)犯罪的發(fā)射臺���。例如,來自一些具備適當(dāng)條件的國家的犯罪集團(tuán)專門從事某些類型的網(wǎng)絡(luò)安全攻擊��。
發(fā)動(dòng)復(fù)雜的勒索軟件攻擊或其他網(wǎng)絡(luò)犯罪活動(dòng)以凈化重要目標(biāo)��,需要一定水平的基礎(chǔ)設(shè)施����、先進(jìn)的技術(shù)和可觀的資金�����。毛魯沙估計(jì)��,建造這樣的建筑可能需要高達(dá)1億美元的成本����。
在這個(gè)層面上,是該國技術(shù)基礎(chǔ)設(shè)施的復(fù)雜程度決定了它們是否成為發(fā)動(dòng)網(wǎng)絡(luò)攻擊的安全港�,而不是網(wǎng)絡(luò)犯罪法律。
國際網(wǎng)絡(luò)安全框架不能解決歸屬問題
一般來說����,犯罪分子利用適當(dāng)?shù)臈l件瞄準(zhǔn)受害者���,在官員可能不太愿意配合網(wǎng)絡(luò)犯罪調(diào)查的民族國家開展活動(dòng)。而像《布達(dá)佩斯公約》等國際協(xié)議也無法解決從網(wǎng)絡(luò)攻擊中恢復(fù)的最困難的部分之一——識別罪魁禍?zhǔn)住?/p>
莫魯沙說�����,找出誰對網(wǎng)絡(luò)安全攻擊負(fù)責(zé)可能是非常困難的�����?��!皻w因”她說�����。但這句古老的格言仍然適用:跟著錢走�,找出責(zé)任人�����。她表示:“在某些司法管轄區(qū)���,每次都有資金流出��。這一點(diǎn)從未改變�����,也永遠(yuǎn)不會改變��?�?纯幢芏愄焯?,很有可能非法資金正流經(jīng)這些地區(qū)?��!?/p>
“犯罪分子總是瞄準(zhǔn)最成熟的目標(biāo),或者最容易的目標(biāo)�。只要你不是最容易或最成熟的目標(biāo),你可能就不會有問題��。這意味著考慮如何花你的預(yù)算和你的計(jì)劃是重要的��。問題是�,你經(jīng)常把錢花在培訓(xùn)和行為方面重要的事情上。所以����,你可以得到世界上所有的工具�,如果你沒有能夠?qū)W習(xí)工具的人���,這是無用的�?�!?/p>
戴對此表示同意��,他指出���,由于幾個(gè)原因����,很難確定歸屬�。他說:“通常情況下,受害者既沒有收集到所需的證據(jù)�,也沒有保存所需的證據(jù)?�!?/p>
此外�����,對手已經(jīng)開發(fā)了幾種技術(shù)來掩蓋自己的身份,使用公開泄露的系統(tǒng)作為中間點(diǎn)��,擁有定期重新配置自己的通信點(diǎn)(命令和控制)����。
他們還經(jīng)常在自己之間使用安全通信,使其非常難以真正找到來源�。他說:“很多時(shí)候,犯罪分子會像所有人類一樣犯錯(cuò)誤����。他們要么留下不想留下的標(biāo)記,吹噓自己��,要么犯一些簡單的錯(cuò)誤���,比如在一個(gè)完全不同�����、更公開、更開放的論壇上使用相同的化名���?��!?/p>
網(wǎng)絡(luò)法不僅僅是實(shí)際的法規(guī)本身��。這是一個(gè)強(qiáng)大的網(wǎng)絡(luò)政策框架所促進(jìn)的所有因素的總和�����。這包括網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪立法�、勞動(dòng)力發(fā)展戰(zhàn)略���、網(wǎng)絡(luò)信息共享(威脅情報(bào))�、數(shù)字取證��、計(jì)算機(jī)應(yīng)急小組����、網(wǎng)絡(luò)外交和雙邊協(xié)議等。尼爾·哈珀是英國網(wǎng)絡(luò)安全委員會專業(yè)標(biāo)準(zhǔn)工作組的成員�����,也是ISACA和世界經(jīng)濟(jì)論壇網(wǎng)絡(luò)風(fēng)險(xiǎn)工作組的董事會成員�,他說,這些網(wǎng)絡(luò)能力加上技術(shù)的進(jìn)步使我們在網(wǎng)絡(luò)事件歸因方面做得更好�。
CISO的攻略:使用網(wǎng)絡(luò)安全框架制定網(wǎng)絡(luò)政策
企業(yè)需要采用并“實(shí)施”正確的網(wǎng)絡(luò)安全框架����。哈珀說:“單靠保單和網(wǎng)絡(luò)保險(xiǎn)是不夠的�。管理層和董事會需要變得更聰明,這樣他們才能就網(wǎng)絡(luò)風(fēng)險(xiǎn)和相關(guān)的經(jīng)濟(jì)驅(qū)動(dòng)因素提出正確的問題��。企業(yè)領(lǐng)導(dǎo)層必須加強(qiáng)系統(tǒng)的彈性和協(xié)作�,并確保組織設(shè)計(jì)和資源配置支持網(wǎng)絡(luò)安全?��!?/p>
對于CISO來說��,一切都需要圍繞網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和業(yè)務(wù)戰(zhàn)略調(diào)整來進(jìn)行��,同時(shí)�,外部合作至關(guān)重要�。公私伙伴關(guān)系,特別是與關(guān)鍵的國家基礎(chǔ)設(shè)施保護(hù)有關(guān)的伙伴關(guān)系����,在打擊網(wǎng)絡(luò)犯罪的斗爭中至關(guān)重要,部門和跨部門信息共享機(jī)制也是如此��?�!皡f(xié)作使企業(yè)能夠在新出現(xiàn)的威脅面前保持領(lǐng)先��,并在網(wǎng)絡(luò)彈性方面更加積極主動(dòng)���?��!彼f。
對于每個(gè)CISO來說�,都應(yīng)該有三個(gè)關(guān)鍵目標(biāo)。他說:“確保你的防范能力與時(shí)俱進(jìn)�����。網(wǎng)絡(luò)安全的發(fā)展速度與其旨在緩解的威脅一樣快�����?��!薄爱?dāng)你受到攻擊時(shí)�����,有一個(gè)彈性計(jì)劃����。你如何控制攻擊的危害半徑?你如何確保業(yè)務(wù)持續(xù)運(yùn)轉(zhuǎn)?定期測試這些計(jì)劃!”
并且能夠更好地捕獲和分析數(shù)據(jù)。他說:“大多數(shù)人擅長于能夠看到攻擊做了什么�����,但許多人在能夠看到人類對手一旦成功入侵業(yè)務(wù)后做了什么方面就沒有那么強(qiáng)了�����?���!?/p>
關(guān)鍵詞:
