打击网络犯罪需要全球规则
安全专家稀缺、不良的报告习惯以及缺少网络威胁监管的全球协议——这一切都让网络犯罪的影响更加严重。 Image: Pixabay for Pexels
- 到2025年,网络犯罪所带来的经济损失每年可能达到10.5万亿美元。
- 网络犯罪的目标包括个人、政府以及关键基础设施。
- 网络犯罪者的活动跨越国界,因此我们也需要通过制定国际规则来打击网络犯罪。
网络犯罪是各国家、企业和国际组织的重要议程之一。正如即将发布的《2023年全球风险报告》所指出的那样,不断加深的地缘政治紧张局势增加了所谓的高级别持续性威胁(APTs),而这些威胁正变得既复杂又普遍。
新技术正在扩大网络犯罪的范围和影响:2020年,恶意软件和勒索软件攻击事件(后者即威胁如果不支付赎金就要公开数据或永久封锁数据)分别飙升超过350%和430%。新一代网络犯罪工具能够直接绕过杀毒软件的防护墙。我们看到在2021年,攻击者利用合法软件和功能实施恶意行为的寄生攻击(LOtL,又称离地攻击)占所有攻击事件报告的近三分之二。
这些问题因安全专家的稀缺、不良的报告习惯以及缺乏全球协议去监管网络威胁而变得更加复杂。
制定国际规则的必要性
网络犯罪是一门大生意。据行业组织估计,所有形式的网络犯罪所造成的损失,包括恢复和补救的费用,在2015年总计为3万亿美元,2021年则为6万亿美元,而到2025年可能达到每年10.5万亿美元。但网络犯罪的影响远远不止于经济成本,它还降低了互联网用户的信任度,并损害了公共和私人服务提供商的声誉。网络攻击还加剧了国家之间的紧张关系,因为政府和关键基础设施正日益成为攻击目标。尽管如此,我们依旧没有达成明确的全球规范、标准和规则,来减轻和预防网络犯罪。
网络安全问题的一个重要部分是,许多成为目标的公共机构、公司和民间社会团体,并没有向外界报告自己所经历的数据泄露和网络盗窃事件。许多企业和组织都不愿意这样做,担心自己的声誉受损。好在这种情况正在开始改变:美国的《2022年关键基础设施网络事件报告法案》为自愿披露网络安全事件提供了具体的行业指导。欧盟的2018年《安全网络和信息系统指令》和其他一系列法规,强制要求电信支付服务、医疗设备制造商和关键基础设施供应商也要报告网络违规事件。除非我们加强国际法规,并要求大多数部门都报告违规事件,否则我们不可能了解全球网络安全挑战的真正规模,更不用说去制定有针对性的解决方案了。
如果没有全球合作,或是没有互联网的重大结构性变化,受害者为保护自己能够做的事情并不多。对大多数人来说,网络保险越来越遥不可及,并且有可能让网络风险这一问题变得更加糟糕。我们迫切需要制定并执行国际规则,我们还需要找到能够提升网络韧性的通行办法。
联合国正在着手讨论这一问题,并且已经投票决定在 2019 年设立一个网络犯罪条约。该条约的第一次会议于2022 年举行,但人们对这一条例仍有诸多担忧——担心它可能会扩大政府对在线内容的审查权,将自由表达定为犯罪并破坏用户隐私。目前,各国正在就一条名为《打击为犯罪目的使用信息和通信技术的全面国际公约》的条约进行细则谈判。大多数西方国家政府都已经下定决心要保护个人数据安全,并维护个人隐私权利。
本文作者:
Robert Muggah,SecDev集团联合创始人和、Igarapé研究所联合创始人
Mac Margolis,华盛顿邮报专栏作家、Igarapé研究所协理
本文原载于世界经济论坛 Agenda 博客,转载请注明来源并附上本文链接。
翻译:陈达铿
编辑:江颂贤
不要错过关于此主题的更新
创建一个免费账户,在您的个性化内容合集中查看我们的最新出版物和分析。
许可和重新发布
世界经济论坛的文章可依照知识共享 署名-非商业性-非衍生品 4.0 国际公共许可协议 , 并根据我们的使用条款重新发布。
世界经济论坛是一个独立且中立的平台,以上内容仅代表作者个人观点。