打击网络犯罪需要全球规则

网络犯罪是各国家、企业和国际组织的重要议程之一。正如即将发布的《2023年全球风险报告》所指出的那样，不断加深的地缘政治紧张局势增加了所谓的高级别持续性威胁（APTs），而这些威胁正变得既复杂又普遍。

新技术正在扩大网络犯罪的范围和影响：2020年，恶意软件和勒索软件攻击事件（后者即威胁如果不支付赎金就要公开数据或永久封锁数据）分别飙升超过350%和430%。新一代网络犯罪工具能够直接绕过杀毒软件的防护墙。我们看到在2021年，攻击者利用合法软件和功能实施恶意行为的寄生攻击（LOtL，又称离地攻击）占所有攻击事件报告的近三分之二。

这些问题因安全专家的稀缺、不良的报告习惯以及缺乏全球协议去监管网络威胁而变得更加复杂。

网络犯罪是一门大生意。据行业组织估计，所有形式的网络犯罪所造成的损失，包括恢复和补救的费用，在2015年总计为3万亿美元，2021年则为6万亿美元，而到2025年可能达到每年10.5万亿美元。但网络犯罪的影响远远不止于经济成本，它还降低了互联网用户的信任度，并损害了公共和私人服务提供商的声誉。网络攻击还加剧了国家之间的紧张关系，因为政府和关键基础设施正日益成为攻击目标。尽管如此，我们依旧没有达成明确的全球规范、标准和规则，来减轻和预防网络犯罪。

网络安全问题的一个重要部分是，许多成为目标的公共机构、公司和民间社会团体，并没有向外界报告自己所经历的数据泄露和网络盗窃事件。许多企业和组织都不愿意这样做，担心自己的声誉受损。好在这种情况正在开始改变：美国的《2022年关键基础设施网络事件报告法案》为自愿披露网络安全事件提供了具体的行业指导。欧盟的2018年《安全网络和信息系统指令》和其他一系列法规，强制要求电信支付服务、医疗设备制造商和关键基础设施供应商也要报告网络违规事件。除非我们加强国际法规，并要求大多数部门都报告违规事件，否则我们不可能了解全球网络安全挑战的真正规模，更不用说去制定有针对性的解决方案了。

如果没有全球合作，或是没有互联网的重大结构性变化，受害者为保护自己能够做的事情并不多。对大多数人来说，网络保险越来越遥不可及，并且有可能让网络风险这一问题变得更加糟糕。我们迫切需要制定并执行国际规则，我们还需要找到能够提升网络韧性的通行办法。

联合国正在着手讨论这一问题，并且已经投票决定在 2019 年设立一个网络犯罪条约。该条约的第一次会议于2022 年举行，但人们对这一条例仍有诸多担忧——担心它可能会扩大政府对在线内容的审查权，将自由表达定为犯罪并破坏用户隐私。目前，各国正在就一条名为《打击为犯罪目的使用信息和通信技术的全面国际公约》的条约进行细则谈判。大多数西方国家政府都已经下定决心要保护个人数据安全，并维护个人隐私权利。

本文作者：

Robert Muggah，SecDev集团联合创始人和、Igarapé研究所联合创始人

Mac Margolis，华盛顿邮报专栏作家、Igarapé研究所协理

本文原载于世界经济论坛 Agenda 博客，转载请注明来源并附上本文链接。

翻译：陈达铿

编辑：江颂贤