9月12日,国际电信联盟(ITU)发布了第5版《全球网络安全指数(GCI)》,着重披露了各国的网络安全工作在法律、技术、组织、能力建设和合作这五大领域取得的进展。
法律框架
2023年,全球报告的2800多起数据泄露事件中,80亿条记录被泄露。这些泄露事件可能代价高昂:据估算,仅对于北美的小企业来说,平均泄露成本高达330万美元。各国还可能因这些泄露事件而使用户失去对ICT(信息与通信技术)的信任。
为向用户提供追索权和其他权利、并向处理数据的组织提出具体的期望,越来越多的国家和地区出台了法律,明确了从数据保护、隐私保护到数据泄露等与网络安全有关的问题。
有证据表明,这些陆续出台的法律法规之间更加协调。至少在术语方面,与GDPR(《通用数据保护条例》)或国际网络犯罪条约保持一致。
各国也在增加或更新以技术中立语言为框架的措施,从而提高解释的灵活性,并协调线上和线下的违法行为或义务。但在确保法律法规的具体性和适用性方面仍需努力。例如,一些国家和地区在违规通知要求及其应用方面存在歧义。
同时,许多国家和地区还需进一步阐明其隐私、数据保护和违规通知的法律法规。例如,并非所有国家和地区都明确规定了数据泄露的预期通知期限,或者主管当局监控和应对数据泄露的授权。
技术措施
技术与法律措施一起,作为抵御恶意在线行为者的防线,发挥着关键作用。强大的网络安全机制需要有能力的个人、有据可查的流程和程序以及技术的组合。这些要素为各国预防、保护和有效应对网络安全事件做好准备并赋予其权力。
1.国家CIRTs和行业CIRTs在网络安全生态系统中发挥着关键作用。
计算机事件响应团队(CIRT)不仅是国内事件响应的焦点,也是连接跨国网络安全事件响应工作的重要国际节点。据估算,2023年,有68%的组织遭受网络攻击,CIRT的重要性正日益凸显。
在区域和国际网络演习等活动中,国家CIRTs可以与同行互动并建立非正式和正式的联系。
同时,行业CIRTs也扮演着重要角色。因为特定行业的部门面临着不同的威胁,并且根据它们是否是关键基础设施的一部分以及它们的供应链等因素,有不同的事件响应需求。
例如,在2023年的所有网络攻击中,有25.7%针对制造业。其中,45%的攻击使用了恶意软件,17%使用了勒索软件。相比之下,有18.2%的网络攻击针对金融和保险行业,其中38%的攻击使用了恶意软件,25%使用了勒索软件。
与国家CIRTs相比,行业CIRTs能更好地定位于响应特定行业的技术配置、特定漏洞和攻击事件中的补救需求。
2. 标准也是技术支柱下实施的最佳实践之一。
由于标准经过专家的严格评估,可以就如何构建网络安全计划、团队和技术提供清晰的路线图。随着相关标准和资格的激增,全球已有110个国家和地区建立了某种实施网络安全标准的框架。
标准还可以帮助弥合仍然存在的某些基本安全漏洞。在全球范围内,14%-35%的地区邮件服务没有使用SSL/TLS(安全套接字层/传输层安全)协议或密码,或在使用不安全或较弱的协议或密码。仅有1%-4.6%的邮件服务使用了推荐的SSL/TLS实施方案,其余使用某种安全协议。
组织措施
一个国家的网络安全态势需要强大的组织措施加以有效指导。各国在明确战略目标、行动计划、执行和衡量方面取得了显著进展。
国家网络安全战略(NCS)已成为政府围绕网络安全组织起来的日益常见的工具。截至2024年,有132个国家拥有NCS,比2020年的107个有明显增加。
全球54%的国家和地区设有负责CII(关键信息基础设施)网络安全的机构、部委或其他实体,而全球只有49%的国家/地区拥有或正在实施与CII相关的网络安全标准。为确保从事CII工作的专业人员(例如电信或能源行业的专业人员)为管理网络安全风险和响应事件做好充分准备,大约90%的国家和地区为网络安全专业人员进行了针对特定行业的培训。
在线儿童保护战略和举措仍然有限。2023年儿童上网安全指数(COSI)发现,全球近70%的8-18岁儿童和青少年在过去一年中至少经历过一次网络风险事件。考虑到这一点,儿童上网保护长期以来一直是执法部门之间合作的基石。
尽管许多法律已经包括了针对网络犯罪和性剥削的措施,但只有少数国家拥有全面的儿童保护战略,包括针对教育工作者、执法人员和报告渠道的意识提升活动,支持儿童和年轻人在他们的数字旅程中,并帮助他们理解在线风险。
能力建设
能力建设是构建强大网络安全生态系统的关键。许多国家都在采取激励机制的形式来促进网络安全产业的发展,比如提供补助金和奖学金以及组织行动。这类举措可以在没有政府支持的情况下,提升一个国家的网络安全水平。
为了缩小网络安全劳动力供需之间的差距,全球60多个国家和地区开始寻求通过将网络安全纳入小学到大学的课程来培养其人口中的网络安全技能。除了正规学校教育,各国还提供针对青年和网络安全专业人员的培训计划。
有超过95%的国家在能力建设领域开展了活动,其中报告最多的是提高意识的活动。
提高意识的活动旨在告知用户并改变其行为。有152个国家报告其开展了针对普通公众的网络安全意识提升活动。此外,有130个国家进行了或计划进行一些形式的针对性网络意识活动,其中52%的活动针对四个或更多不同的人群。
合作措施
鉴于网络安全是跨国界的,有效的应对需要公共、私人和政府部门之间的合作和协作。前几十年的国际合作与协调以及围绕网络安全制定的各种国际、区域和行业协议,使网络安全工作得到了加强。但由于冲突、缺乏人力资源或不明确的收益,许多国家并未参与相关协议。
近63%的国家报告称,其政府内部有机构间的网络安全流程。然而,只有不到50%的国家与国内或外国公司建立了公私合作伙伴关系(PPP)。这些协议、伙伴关系和流程的成功与否将取决于它们能否超越纸面的承诺,并转化为实际行动。
通过促进信息共享、能力建设和联合威胁评估,国际社会可以更有效地应对不断变化的网络形势,包括网络安全和人工智能之间日益交集的问题。
网络安全不仅仅是硬件或软件的问题。国家行为者之间的协调对于实现一致的承诺至关重要,因为负责的机构可以帮助推动协作的网络安全方法。
结论
自上一版全球网络安全指数(GCI)发布以来,情况有了很大改善。然而,要应对不断变化的数字威胁格局,还需要做更多的工作。
2024年,网络攻击被视为全球第五大最有可能造成重大危机的风险。最近的全球技术中断也显示出世界对数字基础设施的依赖和对弹性的需求。如果各国希望从ICT的前景中受益,就必须考虑网络安全。
对于致力于实现网络安全的国家,GCI提供了清晰的行动进展路线图。然而,各国必须愿意参与加强网络安全的持续进程,并努力提高其活动的质量和影响。