圍繞網(wǎng)絡(luò)安全的法律和標準很多，糟糕的是，這些法律和標準在不同國家之間往往存在差異。當CISO需要專注于一國邊境的網(wǎng)絡(luò)安全時，國際協(xié)議和框架可以為滿足合規(guī)性提供一些指導(dǎo)，當網(wǎng)絡(luò)犯罪發(fā)生時，哪些國家更有可能合作，如何合作，以及何時公共和私人合作可能是最佳選擇。

《布達佩斯公約》是第一個旨在統(tǒng)一網(wǎng)絡(luò)安全合規(guī)國際標準的國際條約，目前有68個締約方和21個觀察員國簽署。RoseTech網(wǎng)絡(luò)犯罪解決方案執(zhí)行網(wǎng)絡(luò)安全顧問Chinatu Uzuegbu告訴記者，它涵蓋了如何最好地綜合解決與網(wǎng)絡(luò)犯罪相關(guān)的問題，在達成必要的協(xié)議和透明的情況下主體和實體的人權(quán)得到保護的程度，以及不同立法和法律制度的代表程度。

國際合作還通過司法互助條約以及國際刑警組織和非洲刑警組織、東盟、歐洲刑警組織、聯(lián)合國、世界銀行以及國際標準化組織等組織進行。

關(guān)于全球數(shù)據(jù)傳輸?shù)臄?shù)據(jù)安全法

國際隱私專業(yè)人士協(xié)會研究和洞察力主管喬·瓊斯表示，缺乏數(shù)據(jù)安全法律的全球框架，以及對跨境數(shù)據(jù)傳輸?shù)倪^時方法，正在阻礙加強保護的能力。

瓊斯說：“20世紀90年代中期設(shè)計的監(jiān)管機制——建立在數(shù)據(jù)傳輸更加離散、更限于將數(shù)據(jù)從A點轉(zhuǎn)移到B點的模式——已經(jīng)在世界各地激增?！斑@導(dǎo)致了隱私專業(yè)人士和企業(yè)需要駕馭的復(fù)雜且往往支離破碎的監(jiān)管格局。”他說。

目前，有70多個國家有監(jiān)管能力，通過數(shù)據(jù)隱私監(jiān)管機構(gòu)或政府當局，將其他國家認定為安全，可以接收數(shù)據(jù)。充分性意味著第三國被評估為提供的數(shù)據(jù)隱私標準與評估司法管轄區(qū)的標準相當。

駕馭一系列復(fù)雜的法規(guī)已迅速成為隱私界的首要問題。瓊斯說：“從合規(guī)角度看，花在解決這些問題上的時間往往沒有花在數(shù)據(jù)和網(wǎng)絡(luò)安全等其他問題上?！?/p>

但這種情況正在發(fā)生，瓊斯表示，經(jīng)合組織就一系列開創(chuàng)性原則達成的里程碑式的協(xié)議，涉及政府當局如何為國家安全和執(zhí)法目的獲取和使用個人數(shù)據(jù)，只是最近加強全球合作和統(tǒng)一框架的努力的一個例子。他表示：“政策制定者一直在加倍努力，需要擴大到一個更多司法管轄區(qū)的框架，利用與隱私志同道合的人之間的共同原則，并加強對與更多商業(yè)化做法相關(guān)的風(fēng)險的集體關(guān)注?！?/p>

國際網(wǎng)絡(luò)安全框架的好處和局限性

烏祖格布告訴記者，理想情況下，讓企業(yè)加入國際網(wǎng)絡(luò)犯罪條約和公約，將使與網(wǎng)絡(luò)犯罪相關(guān)的問題、爭端、法律理論和其他國際約束與制裁、懲罰和懲罰無縫、及時地協(xié)調(diào)起來，這些制裁、懲罰和懲罰與相關(guān)的網(wǎng)絡(luò)犯罪有關(guān)，對全球立法機構(gòu)具有影響力。

實施這類框架時的一種良好做法是使用差距分析將安全設(shè)置與相關(guān)行業(yè)和全球框架進行比較，以幫助確定和解決需要提升的領(lǐng)域。她說：“在該組織的安全政策中處理國際網(wǎng)絡(luò)安全框架是獲得保護的最好方式，以最大限度地減少瓶頸和跨多個框架的不必要重復(fù)?！?/p>

然而，它們并不是一個完整的解決方案，需要在《布達佩斯公約》等文書之外加強國際合作和協(xié)作，以應(yīng)對某些司法管轄區(qū)成為網(wǎng)絡(luò)犯罪分子避風(fēng)港的崛起。重要的是，各國應(yīng)審查其網(wǎng)絡(luò)犯罪法律。

即便如此，現(xiàn)實情況是，某些國家和司法管轄區(qū)很可能是網(wǎng)絡(luò)犯罪分子的避風(fēng)港，作為選擇加入的國家和司法管轄區(qū)，像《布達佩斯公約》這樣的文書只能到此為止。法律的價值取決于其適用的程度。

Cybereason副總裁兼現(xiàn)場CISO格雷格·戴表示：“在許多國家，專注于應(yīng)對網(wǎng)絡(luò)犯罪并接受過相關(guān)培訓(xùn)的執(zhí)法人員數(shù)量與問題的嚴重程度不相稱?！薄巴瑯?，它要求幾乎每個執(zhí)法人員接受一些基本培訓(xùn)，否則當他們與某人交談時，如果有人告訴他們，他們遭到了勒索軟件攻擊，會發(fā)生什么?他們不知道這意味著什么，不知道應(yīng)該向誰上報，以及在此期間需要采取哪些步驟來保護證據(jù)?！彼f。

現(xiàn)在有了足夠多的成員，那些不選擇加入的人可能會受到懲罰?！案鲊鲇谌绱硕嗟年P(guān)鍵地緣政治原因提供制裁，隨著數(shù)字世界成為大多數(shù)人生活中的關(guān)鍵部分，這將在什么時候成為針對那些不選擇加入的人的執(zhí)法工具?”戴說。

他認為像《布達佩斯公約》這樣的國際框架存在三個主要缺陷。首先是缺乏證據(jù)?！霸S多公司都有很好的網(wǎng)絡(luò)防御工具，但不擅長收集或保存證據(jù)，無論是簡單的日志還是更高級的取證?！彼f?！胺缸镄袨橥ǔＰ枰C據(jù)來證明其影響力，而許多企業(yè)仍然不愿分享對其品牌造成的影響。缺乏影響力通常意味著較輕的刑期?！?/p>

在案件進入審判階段時，網(wǎng)絡(luò)犯罪通常是技術(shù)性的，如果陪審團不能理解案件，他們就很難做出公平的裁決。他補充說：“我見過一些案件失敗，原因很簡單，因為陪審團無法掌握所發(fā)生事件的范圍。”

犯罪偵查中數(shù)據(jù)恢復(fù)和信息共享的局限性

當涉及到起訴罪犯時，國際法不一定會有幫助，因為這需要證據(jù)、逮捕令和其他制度才能進行。西悉尼大學(xué)網(wǎng)絡(luò)安全和行為教授Alana Maurushat解釋說，這些規(guī)定不包括各國在起訴中充分合作的法律義務(wù)，包括像布達佩斯公約這樣的東西。

盡管如此，毛魯沙說，網(wǎng)絡(luò)犯罪調(diào)查既由執(zhí)法機構(gòu)完成，也由私人組織完成。私人實體不能使用《布達佩斯公約》來保存數(shù)據(jù);它只能由指定的實體，如警察來完成?！暗珗?zhí)法機構(gòu)正在認識到這一點，并在合作方面做得更好?！蹦斏痴f。

起訴網(wǎng)絡(luò)罪犯在不同的框架下運作，需要簽訂互助條約?！暗@些談判可能需要10年時間，而且是從一個國家到另一個國家進行的?！蹦斏痴f。即便如此，起訴也不是組織的最終目標。這是典型的數(shù)據(jù)恢復(fù)和資金檢索。

在一些調(diào)查中，如果案件指向某個司法管轄區(qū)，這是不可能的?！澳阌肋h不會有任何進展，因為這些國家的腐敗非常嚴重，你不會得到合作。無論是政府對政府的調(diào)查還是私人調(diào)查，情況都是如此?！彼f。

即使有了網(wǎng)絡(luò)犯罪法，某些司法管轄區(qū)也可以充當網(wǎng)絡(luò)犯罪分子的避風(fēng)港和網(wǎng)絡(luò)犯罪的發(fā)射臺。例如，來自一些具備適當條件的國家的犯罪集團專門從事某些類型的網(wǎng)絡(luò)安全攻擊。

發(fā)動復(fù)雜的勒索軟件攻擊或其他網(wǎng)絡(luò)犯罪活動以凈化重要目標，需要一定水平的基礎(chǔ)設(shè)施、先進的技術(shù)和可觀的資金。毛魯沙估計，建造這樣的建筑可能需要高達1億美元的成本。

在這個層面上，是該國技術(shù)基礎(chǔ)設(shè)施的復(fù)雜程度決定了它們是否成為發(fā)動網(wǎng)絡(luò)攻擊的安全港，而不是網(wǎng)絡(luò)犯罪法律。

國際網(wǎng)絡(luò)安全框架不能解決歸屬問題

一般來說，犯罪分子利用適當?shù)臈l件瞄準受害者，在官員可能不太愿意配合網(wǎng)絡(luò)犯罪調(diào)查的民族國家開展活動。而像《布達佩斯公約》等國際協(xié)議也無法解決從網(wǎng)絡(luò)攻擊中恢復(fù)的最困難的部分之一——識別罪魁禍首。

莫魯沙說，找出誰對網(wǎng)絡(luò)安全攻擊負責(zé)可能是非常困難的?！皻w因”她說。但這句古老的格言仍然適用：跟著錢走，找出責(zé)任人。她表示：“在某些司法管轄區(qū)，每次都有資金流出。這一點從未改變，也永遠不會改變。看看避稅天堂，很有可能非法資金正流經(jīng)這些地區(qū)。”

“犯罪分子總是瞄準最成熟的目標，或者最容易的目標。只要你不是最容易或最成熟的目標，你可能就不會有問題。這意味著考慮如何花你的預(yù)算和你的計劃是重要的。問題是，你經(jīng)常把錢花在培訓(xùn)和行為方面重要的事情上。所以，你可以得到世界上所有的工具，如果你沒有能夠?qū)W習(xí)工具的人，這是無用的?！?/p>

戴對此表示同意，他指出，由于幾個原因，很難確定歸屬。他說：“通常情況下，受害者既沒有收集到所需的證據(jù)，也沒有保存所需的證據(jù)。”

此外，對手已經(jīng)開發(fā)了幾種技術(shù)來掩蓋自己的身份，使用公開泄露的系統(tǒng)作為中間點，擁有定期重新配置自己的通信點(命令和控制)。

他們還經(jīng)常在自己之間使用安全通信，使其非常難以真正找到來源。他說：“很多時候，犯罪分子會像所有人類一樣犯錯誤。他們要么留下不想留下的標記，吹噓自己，要么犯一些簡單的錯誤，比如在一個完全不同、更公開、更開放的論壇上使用相同的化名。”

網(wǎng)絡(luò)法不僅僅是實際的法規(guī)本身。這是一個強大的網(wǎng)絡(luò)政策框架所促進的所有因素的總和。這包括網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪立法、勞動力發(fā)展戰(zhàn)略、網(wǎng)絡(luò)信息共享(威脅情報)、數(shù)字取證、計算機應(yīng)急小組、網(wǎng)絡(luò)外交和雙邊協(xié)議等。尼爾·哈珀是英國網(wǎng)絡(luò)安全委員會專業(yè)標準工作組的成員，也是ISACA和世界經(jīng)濟論壇網(wǎng)絡(luò)風(fēng)險工作組的董事會成員，他說，這些網(wǎng)絡(luò)能力加上技術(shù)的進步使我們在網(wǎng)絡(luò)事件歸因方面做得更好。

CISO的攻略：使用網(wǎng)絡(luò)安全框架制定網(wǎng)絡(luò)政策

企業(yè)需要采用并“實施”正確的網(wǎng)絡(luò)安全框架。哈珀說：“單靠保單和網(wǎng)絡(luò)保險是不夠的。管理層和董事會需要變得更聰明，這樣他們才能就網(wǎng)絡(luò)風(fēng)險和相關(guān)的經(jīng)濟驅(qū)動因素提出正確的問題。企業(yè)領(lǐng)導(dǎo)層必須加強系統(tǒng)的彈性和協(xié)作，并確保組織設(shè)計和資源配置支持網(wǎng)絡(luò)安全。”

對于CISO來說，一切都需要圍繞網(wǎng)絡(luò)風(fēng)險管理和業(yè)務(wù)戰(zhàn)略調(diào)整來進行，同時，外部合作至關(guān)重要。公私伙伴關(guān)系，特別是與關(guān)鍵的國家基礎(chǔ)設(shè)施保護有關(guān)的伙伴關(guān)系，在打擊網(wǎng)絡(luò)犯罪的斗爭中至關(guān)重要，部門和跨部門信息共享機制也是如此。“協(xié)作使企業(yè)能夠在新出現(xiàn)的威脅面前保持領(lǐng)先，并在網(wǎng)絡(luò)彈性方面更加積極主動?！彼f。

對于每個CISO來說，都應(yīng)該有三個關(guān)鍵目標。他說：“確保你的防范能力與時俱進。網(wǎng)絡(luò)安全的發(fā)展速度與其旨在緩解的威脅一樣快?！薄爱斈闶艿焦魰r，有一個彈性計劃。你如何控制攻擊的危害半徑?你如何確保業(yè)務(wù)持續(xù)運轉(zhuǎn)?定期測試這些計劃!”

并且能夠更好地捕獲和分析數(shù)據(jù)。他說：“大多數(shù)人擅長于能夠看到攻擊做了什么，但許多人在能夠看到人類對手一旦成功入侵業(yè)務(wù)后做了什么方面就沒有那么強了?！?/p>