英國(guó)政府發(fā)布了新的反勒索軟件指導(dǎo)原則��,旨在解決供應(yīng)鏈中的薄弱環(huán)節(jié)���,這些薄弱環(huán)節(jié)是過(guò)去一年國(guó)家網(wǎng)絡(luò)安全中心(NCSC)處理的204起"國(guó)家重大"事件中許多案例的根本原因。
該指導(dǎo)原則是與新加坡當(dāng)局聯(lián)合開(kāi)發(fā)的�,作為去年在反勒索軟件倡議(CRI)框架下做出的聯(lián)合承諾的一部分。指導(dǎo)原則旨在幫助組織在網(wǎng)絡(luò)犯罪分子能夠利用之前發(fā)現(xiàn)其供應(yīng)鏈中的問(wèn)題�����,并設(shè)定了幾個(gè)實(shí)用步驟來(lái)檢查供應(yīng)商安全性并防范漏洞�。CRI得到了67個(gè)以上國(guó)家的支持——但不包括美國(guó)——以及國(guó)際刑警組織和世界銀行等機(jī)構(gòu)的支持。
英國(guó)安全部長(zhǎng)丹·賈維斯表示:"勒索軟件和網(wǎng)絡(luò)攻擊對(duì)我們國(guó)家的安全和經(jīng)濟(jì)構(gòu)成直接而緊迫的威脅�����。我們正在采取果斷行動(dòng)來(lái)應(yīng)對(duì)這一威脅,但全球協(xié)調(diào)是必不可少的���。網(wǎng)絡(luò)安全必須是所有企業(yè)的首要任務(wù)��。遵循反勒索軟件指導(dǎo)原則并采取強(qiáng)有力的措施來(lái)抵御這些破壞性攻擊至關(guān)重要。"
NCSC國(guó)家韌性主任喬納森·埃利森補(bǔ)充道:"對(duì)一個(gè)組織的勒索軟件攻擊可能?chē)?yán)重破壞整個(gè)供應(yīng)鏈����,影響英國(guó)及其他地區(qū)的企業(yè)和服務(wù)。我們知道�����,通過(guò)實(shí)施基本的網(wǎng)絡(luò)安全措施��,如英國(guó)的網(wǎng)絡(luò)基礎(chǔ)認(rèn)證��,許多此類(lèi)事件是可以預(yù)防的�����。我們強(qiáng)烈敦促組織遵循NCSC的供應(yīng)鏈安全指導(dǎo)�,以幫助保護(hù)自己�����、合作伙伴和英國(guó)的國(guó)家網(wǎng)絡(luò)韌性���。"
該指導(dǎo)原則制定了增強(qiáng)供應(yīng)鏈韌性的多步驟計(jì)劃。這些步驟強(qiáng)調(diào)的因素包括:需要選擇已實(shí)施與其參與活動(dòng)風(fēng)險(xiǎn)水平相匹配的安全控制措施的供應(yīng)商;需要向供應(yīng)商合作伙伴傳達(dá)您組織自己的安全期望;需要將網(wǎng)絡(luò)安全納入合同流程;需要對(duì)供應(yīng)商進(jìn)行獨(dú)立審計(jì)和測(cè)試或要求網(wǎng)絡(luò)技術(shù)機(jī)構(gòu)的外部認(rèn)證;以及需要堅(jiān)持購(gòu)買(mǎi)網(wǎng)絡(luò)保險(xiǎn)政策�����。
該指導(dǎo)原則還建議組織與供應(yīng)商攜手合作�,審查任何事件或險(xiǎn)情,演練應(yīng)對(duì)計(jì)劃�,分享新的威脅情報(bào)或修訂的最佳實(shí)踐,并保持合同更新以反映不斷變化的網(wǎng)絡(luò)安全環(huán)境��。它還敦促組織在其供應(yīng)商網(wǎng)絡(luò)內(nèi)部以及同行之間更多地推動(dòng)對(duì)話和協(xié)調(diào)�。
合作集團(tuán)首席執(zhí)行官希琳·庫(kù)里-哈克表示:"精心規(guī)劃、投資正確的工具和進(jìn)行無(wú)數(shù)次演練至關(guān)重要�����,但即使如此�,沒(méi)有任何東西能真正為真實(shí)網(wǎng)絡(luò)事件展開(kāi)的那一刻做好準(zhǔn)備。實(shí)時(shí)攻擊的強(qiáng)度、緊迫性和不可預(yù)測(cè)性是任何演練都無(wú)法再現(xiàn)的���。"合作集團(tuán)在4月遭受了大規(guī)模勒索軟件攻擊�,造成2.06億英鎊的損失��。她補(bǔ)充道:"最重要的是學(xué)習(xí)�����、建立韌性并相互支持以防止未來(lái)的傷害�。這是朝著建設(shè)更安全數(shù)字未來(lái)方向邁出的積極一步�����。"
英國(guó)將簽署備受爭(zhēng)議的聯(lián)合國(guó)網(wǎng)絡(luò)犯罪公約
英國(guó)代表團(tuán)還計(jì)劃在本周末在越南河內(nèi)舉行的儀式上簽署一項(xiàng)備受爭(zhēng)議的聯(lián)合國(guó)新網(wǎng)絡(luò)犯罪公約��。
《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》于2024年12月24日通過(guò)第79/243號(hào)決議在聯(lián)合國(guó)大會(huì)上獲得通過(guò)�,是第一個(gè)關(guān)于網(wǎng)絡(luò)犯罪的全面全球條約。
該公約最初是由俄羅斯政府提出的����,俄羅斯反對(duì)可追溯到2004年的歐洲委員會(huì)支持的《布達(dá)佩斯網(wǎng)絡(luò)犯罪公約》這一長(zhǎng)期存在的倡議。
盡管歐盟�、英國(guó)和美國(guó)最初基于認(rèn)為這是俄羅斯加強(qiáng)對(duì)更廣泛互聯(lián)網(wǎng)控制的權(quán)力攫取而反對(duì)該公約,但拜登政府最終拒絕了人權(quán)擔(dān)憂,并基于感覺(jué)美國(guó)在談判桌上占有一席之地更重要而轉(zhuǎn)而支持該公約����。
它是否真正有效地打擊莫斯科實(shí)際上對(duì)其視而不見(jiàn)的臭名昭著的俄語(yǔ)勒索軟件團(tuán)伙,還有待觀察���。
然而�,除了據(jù)說(shuō)要嚴(yán)厲打擊勒索軟件外���,該公約還重要地將兒童性剝削����、欺詐和未經(jīng)同意分享私密圖像等網(wǎng)絡(luò)輔助犯罪的定罪標(biāo)準(zhǔn)進(jìn)行了統(tǒng)一�。
它還建立了一個(gè)全球網(wǎng)絡(luò),通過(guò)在每個(gè)國(guó)家設(shè)立常設(shè)聯(lián)絡(luò)點(diǎn)來(lái)加強(qiáng)國(guó)際執(zhí)法合作�����,以協(xié)助跨境調(diào)查��。
Q&A
Q1:英國(guó)發(fā)布的新反勒索軟件指導(dǎo)原則有什么作用?
A:該指導(dǎo)原則旨在幫助組織發(fā)現(xiàn)供應(yīng)鏈中的安全問(wèn)題����,防止網(wǎng)絡(luò)犯罪分子利用這些薄弱環(huán)節(jié)�。它設(shè)定了檢查供應(yīng)商安全性�、選擇合適供應(yīng)商、建立網(wǎng)絡(luò)安全合同流程等實(shí)用步驟�����,以增強(qiáng)供應(yīng)鏈韌性����。
Q2:什么是反勒索軟件倡議CRI?
A:反勒索軟件倡議(CRI)是一個(gè)國(guó)際合作框架,得到了67個(gè)以上國(guó)家的支持����,以及國(guó)際刑警組織和世界銀行等機(jī)構(gòu)的支持。英國(guó)與新加坡在該框架下聯(lián)合開(kāi)發(fā)了供應(yīng)鏈安全指導(dǎo)原則�����。
Q3:聯(lián)合國(guó)網(wǎng)絡(luò)犯罪公約有什么重要意義?
A:這是第一個(gè)關(guān)于網(wǎng)絡(luò)犯罪的全面全球條約��,將兒童性剝削�、欺詐等網(wǎng)絡(luò)輔助犯罪的定罪標(biāo)準(zhǔn)進(jìn)行了統(tǒng)一���。它還建立了全球網(wǎng)絡(luò)�,通過(guò)在每個(gè)國(guó)家設(shè)立常設(shè)聯(lián)絡(luò)點(diǎn)來(lái)加強(qiáng)國(guó)際執(zhí)法合作,協(xié)助跨境調(diào)查����。
