您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

国际网络安全框架能够给CISO带来哪些帮助

发表于:2023-08-31 作者:Rosalyn Page 来源:企业网D1Net

围绕网络安全的法律和标准很多,糟糕的是,这些法律和标准在不同国家之间往往存在差异。当CISO需要专注于一国边境的网络安全时,国际协议和框架可以为满足合规性提供一些指导,当网络犯罪发生时,哪些国家更有可能合作,如何合作,以及何时公共和私人合作可能是最佳选择。

《布达佩斯公约》是第一个旨在统一网络安全合规国际标准的国际条约,目前有68个缔约方和21个观察员国签署。RoseTech网络犯罪解决方案执行网络安全顾问Chinatu Uzuegbu告诉记者,它涵盖了如何最好地综合解决与网络犯罪相关的问题,在达成必要的协议和透明的情况下主体和实体的人权得到保护的程度,以及不同立法和法律制度的代表程度。

国际合作还通过司法互助条约以及国际刑警组织和非洲刑警组织、东盟、欧洲刑警组织、联合国、世界银行以及国际标准化组织等组织进行。

关于全球数据传输的数据安全法

国际隐私专业人士协会研究和洞察力主管乔·琼斯表示,缺乏数据安全法律的全球框架,以及对跨境数据传输的过时方法,正在阻碍加强保护的能力。

琼斯说:“20世纪90年代中期设计的监管机制——建立在数据传输更加离散、更限于将数据从A点转移到B点的模式——已经在世界各地激增。“这导致了隐私专业人士和企业需要驾驭的复杂且往往支离破碎的监管格局。”他说。

目前,有70多个国家有监管能力,通过数据隐私监管机构或政府当局,将其他国家认定为安全,可以接收数据。充分性意味着第三国被评估为提供的数据隐私标准与评估司法管辖区的标准相当。

驾驭一系列复杂的法规已迅速成为隐私界的首要问题。琼斯说:“从合规角度看,花在解决这些问题上的时间往往没有花在数据和网络安全等其他问题上。”

但这种情况正在发生,琼斯表示,经合组织就一系列开创性原则达成的里程碑式的协议,涉及政府当局如何为国家安全和执法目的获取和使用个人数据,只是最近加强全球合作和统一框架的努力的一个例子。他表示:“政策制定者一直在加倍努力,需要扩大到一个更多司法管辖区的框架,利用与隐私志同道合的人之间的共同原则,并加强对与更多商业化做法相关的风险的集体关注。”

国际网络安全框架的好处和局限性

乌祖格布告诉记者,理想情况下,让企业加入国际网络犯罪条约和公约,将使与网络犯罪相关的问题、争端、法律理论和其他国际约束与制裁、惩罚和惩罚无缝、及时地协调起来,这些制裁、惩罚和惩罚与相关的网络犯罪有关,对全球立法机构具有影响力。

实施这类框架时的一种良好做法是使用差距分析将安全设置与相关行业和全球框架进行比较,以帮助确定和解决需要提升的领域。她说:“在该组织的安全政策中处理国际网络安全框架是获得保护的最好方式,以最大限度地减少瓶颈和跨多个框架的不必要重复。”

然而,它们并不是一个完整的解决方案,需要在《布达佩斯公约》等文书之外加强国际合作和协作,以应对某些司法管辖区成为网络犯罪分子避风港的崛起。重要的是,各国应审查其网络犯罪法律。

即便如此,现实情况是,某些国家和司法管辖区很可能是网络犯罪分子的避风港,作为选择加入的国家和司法管辖区,像《布达佩斯公约》这样的文书只能到此为止。法律的价值取决于其适用的程度。

Cybereason副总裁兼现场CISO格雷格·戴表示:“在许多国家,专注于应对网络犯罪并接受过相关培训的执法人员数量与问题的严重程度不相称。”“同样,它要求几乎每个执法人员接受一些基本培训,否则当他们与某人交谈时,如果有人告诉他们,他们遭到了勒索软件攻击,会发生什么?他们不知道这意味着什么,不知道应该向谁上报,以及在此期间需要采取哪些步骤来保护证据。”他说。

现在有了足够多的成员,那些不选择加入的人可能会受到惩罚。“各国政府出于如此多的关键地缘政治原因提供制裁,随着数字世界成为大多数人生活中的关键部分,这将在什么时候成为针对那些不选择加入的人的执法工具?”戴说。

他认为像《布达佩斯公约》这样的国际框架存在三个主要缺陷。首先是缺乏证据。“许多公司都有很好的网络防御工具,但不擅长收集或保存证据,无论是简单的日志还是更高级的取证。”他说。“犯罪行为通常需要证据来证明其影响力,而许多企业仍然不愿分享对其品牌造成的影响。缺乏影响力通常意味着较轻的刑期。”

在案件进入审判阶段时,网络犯罪通常是技术性的,如果陪审团不能理解案件,他们就很难做出公平的裁决。他补充说:“我见过一些案件失败,原因很简单,因为陪审团无法掌握所发生事件的范围。”

犯罪侦查中数据恢复和信息共享的局限性

当涉及到起诉罪犯时,国际法不一定会有帮助,因为这需要证据、逮捕令和其他制度才能进行。西悉尼大学网络安全和行为教授Alana Maurushat解释说,这些规定不包括各国在起诉中充分合作的法律义务,包括像布达佩斯公约这样的东西。

尽管如此,毛鲁沙说,网络犯罪调查既由执法机构完成,也由私人组织完成。私人实体不能使用《布达佩斯公约》来保存数据;它只能由指定的实体,如警察来完成。“但执法机构正在认识到这一点,并在合作方面做得更好。”莫鲁沙说。

起诉网络罪犯在不同的框架下运作,需要签订互助条约。“但这些谈判可能需要10年时间,而且是从一个国家到另一个国家进行的。”莫鲁沙说。即便如此,起诉也不是组织的最终目标。这是典型的数据恢复和资金检索。

在一些调查中,如果案件指向某个司法管辖区,这是不可能的。“你永远不会有任何进展,因为这些国家的腐败非常严重,你不会得到合作。无论是政府对政府的调查还是私人调查,情况都是如此。”她说。

即使有了网络犯罪法,某些司法管辖区也可以充当网络犯罪分子的避风港和网络犯罪的发射台。例如,来自一些具备适当条件的国家的犯罪集团专门从事某些类型的网络安全攻击。

发动复杂的勒索软件攻击或其他网络犯罪活动以净化重要目标,需要一定水平的基础设施、先进的技术和可观的资金。毛鲁沙估计,建造这样的建筑可能需要高达1亿美元的成本。

在这个层面上,是该国技术基础设施的复杂程度决定了它们是否成为发动网络攻击的安全港,而不是网络犯罪法律。

国际网络安全框架不能解决归属问题

一般来说,犯罪分子利用适当的条件瞄准受害者,在官员可能不太愿意配合网络犯罪调查的民族国家开展活动。而像《布达佩斯公约》等国际协议也无法解决从网络攻击中恢复的最困难的部分之一——识别罪魁祸首。

莫鲁沙说,找出谁对网络安全攻击负责可能是非常困难的。“归因”她说。但这句古老的格言仍然适用:跟着钱走,找出责任人。她表示:“在某些司法管辖区,每次都有资金流出。这一点从未改变,也永远不会改变。看看避税天堂,很有可能非法资金正流经这些地区。”

“犯罪分子总是瞄准最成熟的目标,或者最容易的目标。只要你不是最容易或最成熟的目标,你可能就不会有问题。这意味着考虑如何花你的预算和你的计划是重要的。问题是,你经常把钱花在培训和行为方面重要的事情上。所以,你可以得到世界上所有的工具,如果你没有能够学习工具的人,这是无用的。”

戴对此表示同意,他指出,由于几个原因,很难确定归属。他说:“通常情况下,受害者既没有收集到所需的证据,也没有保存所需的证据。”

此外,对手已经开发了几种技术来掩盖自己的身份,使用公开泄露的系统作为中间点,拥有定期重新配置自己的通信点(命令和控制)。

他们还经常在自己之间使用安全通信,使其非常难以真正找到来源。他说:“很多时候,犯罪分子会像所有人类一样犯错误。他们要么留下不想留下的标记,吹嘘自己,要么犯一些简单的错误,比如在一个完全不同、更公开、更开放的论坛上使用相同的化名。”

网络法不仅仅是实际的法规本身。这是一个强大的网络政策框架所促进的所有因素的总和。这包括网络安全和网络犯罪立法、劳动力发展战略、网络信息共享(威胁情报)、数字取证、计算机应急小组、网络外交和双边协议等。尼尔·哈珀是英国网络安全委员会专业标准工作组的成员,也是ISACA和世界经济论坛网络风险工作组的董事会成员,他说,这些网络能力加上技术的进步使我们在网络事件归因方面做得更好。

CISO的攻略:使用网络安全框架制定网络政策

企业需要采用并“实施”正确的网络安全框架。哈珀说:“单靠保单和网络保险是不够的。管理层和董事会需要变得更聪明,这样他们才能就网络风险和相关的经济驱动因素提出正确的问题。企业领导层必须加强系统的弹性和协作,并确保组织设计和资源配置支持网络安全。”

对于CISO来说,一切都需要围绕网络风险管理和业务战略调整来进行,同时,外部合作至关重要。公私伙伴关系,特别是与关键的国家基础设施保护有关的伙伴关系,在打击网络犯罪的斗争中至关重要,部门和跨部门信息共享机制也是如此。“协作使企业能够在新出现的威胁面前保持领先,并在网络弹性方面更加积极主动。”他说。

对于每个CISO来说,都应该有三个关键目标。他说:“确保你的防范能力与时俱进。网络安全的发展速度与其旨在缓解的威胁一样快。”“当你受到攻击时,有一个弹性计划。你如何控制攻击的危害半径?你如何确保业务持续运转?定期测试这些计划!”

并且能够更好地捕获和分析数据。他说:“大多数人擅长于能够看到攻击做了什么,但许多人在能够看到人类对手一旦成功入侵业务后做了什么方面就没有那么强了。”