不断向前运动 ： 网络安全监管的不断发展的现象和跟上的竞赛

恒定向前运动:网络安全监管的演变现象和跟上的竞赛 关于 ACCAACCA （ 特许公认会计师协会 ） 是全球专业会计师机构。它为全球范围内寻求会计 ， 财务和管理方面有回报的有应用 ， 有能力和有抱负的人提供与业务相关的首选资格。ACCA 支持其178,000成员和455,000学生在181 countries, helping them to develop successful careers in accounting and business, with the skills required by employers. ACCA works through a network of92办公室和中心以及超过7,110全球认可雇主 ， 提供高标准的员工学习和发展。 ACCA 通过其公共利益职权范围 ， 促进适当的会计监管 ， 并开展相关研究 ， 以确保会计声誉和影响力持续增长。ACCA 成立于 1904 年，始终拥有独特的核心价值观 ： 机遇、多样性、创新、诚信和责任。它认为，会计师在各个发展阶段为经济带来价值，并寻求发展该行业的能力并鼓励采用全球标准。ACCA 的核心价值观符合所有行业雇主的需求，并确保通过其一系列资格，为会计师做好业务准备。ACCA 寻求向各种背景的人开放该行业 ， 并消除人为障碍 ， 创新其资格和交付方式 ， 以满足受训专业人员及其雇主的多样化需求。更多信息可访问 ：网络安全是与各种规模的企业相关的最大单一问题，从微型企业到跨国公司。它的影响超出了企业本身，影响了客户，业务联系，股东和供应链。随着基础设施，贸易和消费方式发展出新的模式，这些模式越来越多地反映出网络空间的新秩序，与传统的地理和政治限制的联系越来越脆弱，因此企业将不可避免地必须适应新的环境。© 特许公认会计师公会 2016 年 1 月 背景3对商业和从事商业的人的活动的监管是现代全球社会的一个组成部分。随着技术成为开展业务的一个越来越重要的部分，适用于该技术能力的监管框架的限制将决定企业的特征及其在社会中的行为。ACCA 全球商法论坛的主要主题之一是考虑法律在为企业经营带来更长期和 “对社会负责 ” 的方法方面应该发挥什么作用，这是社会现在似乎需要的方法。建立和实施适当的监管机制将是塑造商业世界未来的核心。企业总是依赖于利用他人无法获得的知识、技能或机会。对于大多数企业来说，与互联网和网络空间的互动本身并不涉及任何技能或工艺，但它确实允许知识更自由地传递，并且可以提供利用否则可能无法获得的知识的机会。例如，价格。比较网站分享有关哪些零售商正在销售给定产品的知识 ； 那些拥有在线存在的人将有机会利用消费者对知识的增强访问。在商业中使用网络空间是一种不断发展的现象。几年前 ， 计算机仅用于存储和处理每个业务中的信息。每台物理机器都是孤立的 ， 通过纸质打印输出连接到其他业务。然后是网络和互联网，以及将信息从一台计算机移动到另一台计算机的能力。订单可以直接放入系统中 - 但是随着这种进步，出现了如何保护企业计算机免受未经授权的访问的问题。现在事情又向前迈进了一步，数据越来越多地存储在云中。维护安全不再是企业实施的离散物理操作 ； 安全是从云提供商购买的商品，这是一种有效外包给第三方的集中分布式服务。对商业和从事商业的人的活动的监管是现代全球社会的一个组成部分。 不断向前运动 ： 网络安全监管的不断发展的现象和跟上的竞赛背景4本报告将探讨网络安全适用于企业 ， 并考虑企业应在多大程度上寻求保护自己。当然 ， 外包并不免除企业的责任 ， 也不意味着它对安全措施的有效性没有任何投入。相反 ， 从几乎完全的物理安全措施迅速过渡到更加分散的风险所需的安全措施 ， 凸显了试图预测未来商业模式形态的危险。从传统的面向生物识别技术和其他身份验证方法的 PIN 是技术变革的一个例子。本报告将探讨网络安全的范围 ， 因为它适用于业务 ， 以及考虑企业应在多大程度上寻求保护自己。报告将考虑最有效的应对机制 ， 以及法律应在多大程度上授权采用这些机制。是否有一个单一的明确定义的网络安全 （ 和网络犯罪 ） ？美国国家安全系统委员会将网络安全定义为 ： “保护或防御网络空间免受网络攻击的能力 ” （ CNSS 2010 ） 。与任何安全一样，网络安全是对潜在威胁的响应。美国国土安全部的 NICCS 词汇表中更完整的定义是 “保护和 / 或保护信息和通信系统及其中包含的信息免受损害，未经授权的使用和 / 或修改或利用的活动或过程，能力或能力或状态 ” （ NICCS 。D.).就与网络犯罪有关的程度而言，这些威胁是故意的，并且明确打算在行为者之间转移财富平衡 （ 从最广泛的意义上说 ） 。无论肇事者的意图是在有或没有直接成本的情况下充实自己，还是只是以某种方式 （ 例如通过分布式拒绝服务 （ DDOS ） 攻击或网站污损 ） 给企业造成损失。明确定义的犯罪者和目标之间的关系。 在一个先进的安全社会5随着在线环境的发展，安全性具有更广泛的含义。正如现代家庭的安全涉及财务和健康方面的考虑，就像简单的物理防盗一样，网络安全也不仅仅是简单的犯罪防御。它还涵盖了针对 “自然灾害 ” 的保护，在发生不幸时保持业务信息和数据的安全。伦敦劳埃德银行 （ Lloyds of Lodo ） 发表的 2013 年论文《北美电网的太阳风暴风险》 （ 2013 年 ） 提供了一个有趣的介绍。维护正确更新的关键数据和系统的备份可能看起来只是良好的业务实践，但可能不仅仅是防止无法开展自己的业务。如果员工或客户依赖企业持有的数据或该数据的后果，则未能正确保护数据可能会导致随之而来的损失和损害承担大量责任。数据对第三方的价值或在第三方手中的价值可能使持有者面临比数据对其当前持有者的价值明显更大的损失风险。互联网的价值在于其作为信息来源的特征。一些信息直接影响现实世界 (在银行账户之间转移资金的指令，或者越来越多地在住户到家前半小时打开暖气)，而其中大部分信息只是通知其他决策 (从预测购买模式的大数据分析到身份检查，其结果可能会授权特定的资金转移) 。大部分信息被保存这些信息对企业 ， 对客户本身 ， 当然对犯罪分子也有价值。由于信息对企业有价值，因此它具有保护自身利益，以保持其赋予的商业优势。由于这些信息对客户和其他第三方 “所有者 ” 很有价值，因此企业有公共责任保护其保管的他人的财产。最后，因为它对小偷有价值，所以有动机保护它免受盗窃。随着在线环境的发展 ， 安全性具有更广泛的含义。 不断向前运动 ： 网络安全监管的不断发展的现象和跟上的竞赛先进社会的安全6在某种程度上 ， 一家企业作为原创者的数据 ， 有社会责任保护它。预防比治愈更好网络安全大致分为两个部分- 防止攻击并防御仍然发生的攻击。最全面的防盗涉及原因而不是影响。逮捕袭击者是执法部门的角色 ， 犯罪的新颖性允许在这方面采取一系列新的策略 ： 要么通过对个人采取直接行动肇事者，或更广泛的行动来破坏他们的商业模式。在保护信息对客户和业务本身的价值方面，机制和动机不太明确。在企业内部，信息对所有各方的价值可能并不清楚 — — 它可能对所有者或犯罪分子有用途，而这些用途超出了其对企业的使用价值。因此，犯罪分子窃取信息的动机以及丢失信息的所有可能结果可能并不清楚。与实物股票和资产不同，数字信息几乎可以无限复制和复制。信息的 “盗窃 ” 可能不会剥夺该信息的原始所有者，但仍可能损害其价值。良好的卫生艾滋病预防网络安全的第二个方面是防御 — — 潜在目标应该如何保护自己 ， 当局应该在确保这些防御有效方面发挥什么作用 ？乍一看 ， 似乎很少或根本没有理由立法要求企业为自己的利益而经营 ； 这种行为应该是任何理性决策者的明显默认行为。实际上 ， 企业持有的信息通常具有两个价值 ： 对企业的价值和对该信息的创建者的价值。在某种程度上，企业作为原始数据的保管人，它有社会责任保护它。在调查中，首席执行官和首席财务官经常将网络安全作为一种日益重要的风险，但人们也普遍认为，除非企业直接遭受网络攻击，否则无论是在国家还是在超国家发布的建议和指导，都可能会充耳不闻，因为企业大大低估了网络攻击的可能性和可能的影响。1此外 ， 犯罪分子的直接目标通常不是最大的企业。有许多记录的成功攻击大型企业的实例 ， 这些实例是通过访问由较小的供应商运营的计算机网络来进行的 ， 这些供应商有权访问大型组织的采购系统。如果系统没有得到适当的保护和隔离，那么攻击者可以使用该初始接入点漫游整个受害者的网络，帮助自己获得他们想要的任何信息。这通常是客户信用卡详细信息，这些详细信息以可访问的形式存储，尽管越来越多地收集登录详细信息，因为许多消费者继续在多个站点上使用相同的凭据。1 http: / / www. itsecurityguru. org / 2015 / 07 / 07 / uk - small - businesses - in - the - dark - about - network - security - with - over - half - not - prepared - for - data - expects / http: / / www. security magazine. com / articles / 86653 - stud 网络安全的特点法规7网络安全主要不是解决争端的问题，它控制着各方之间的合法关系 （ 除非它影响到网络犯罪的后果，尽管当然在 “争端 ” 之前有刑事 / 恶意行为的必要初步 ） 。如果社会能够或应该进行监管以防止最初的网络犯罪，那么随之而来的争端的治理不可避免地会变得毫无意义。因此，立法者完全处理与限制不良行为有关的法律分支。可以通过对人们的行为方式施加明确的限制来肯定地做到这一点，或者通过仅规定在允许特定事件发生时将遵循的惩罚来 “消极 ”，让行为者防止他们认为合适的结果。区别在于行为框架和相应影响。施加超速限制的法律与危险或鲁 re 驾驶的违法行为之间的区别是平行的 - 前者寻求直接指导结果，而后者仅在注意到某些结果时才发挥作用。商业和商业世界充斥着前一种规则 ， 这些规则管理着商业形式、透明度和利益相关者问责制等问题。管理商业注册和行为的法规很普遍。这些规则已经发展了几个世纪 ， 其功能是维护商业交易各方的利益。技术发展极大地扩大了需要管理的交易范围，而互联网是这种增长的关键。尽管如此，网络安全不仅仅涵盖互联网交易。诸如撇渣器之类的设备使犯罪分子能够从自动取款机，电子提款机和读卡器中收集和存储卡信息，以备将来使用，而无需直接参与互联网 ； 只需要物理访问卡即可。同样，尽管大多数网络攻击以某种方式使用互联网，通常是将信息反馈给犯罪者，但使用击键记录器等的物理攻击仍然很常见，并且可以为犯罪分子提供明显的优势。例如 ， 通过 USB 将撇渣器连接到电子桶; 如果设备可以伪装或隐藏 ， 那么它可以保留一段时间 ，等待犯罪者的后续物理收集。如果在此之前找到 ， 它不一定会为调查人员提供关于罪犯身份或如何找到他们的线索。相反 ， 任何直接使用互联网的攻击都会在任何数量的设备上留下痕迹 ， 包括第三方服务器。硬法或软法法律?社会的需求与不同类型的监管的限制之间存在紧张关系。鉴于正式立法的严格性，它能否对技术变革做出足够迅速的反应 ？ “软法 ” 真的适合消费者保护方面吗 ？ 正如 USB （ i ） 安全性的最新发展所表明的那样，即使是最不复杂的犯罪分子，以前可能被认为过于复杂而无法广泛使用的攻击媒介也可以迅速变得实用。如果企业要从技术的使用中获得全部利益, 则必须在一定程度上损害安全性, 以便与其他系统进行通信。资源的不平衡犯罪分子的首选攻击媒介将始终是链中最薄弱的环节，通常可能是比大型企业更不可能拥有实施全面安全措施的资源的中小企业。可能需要考虑相应损失的责任问题。在当事方之间，这些通常将由现有的合同法和过失法原则涵盖，但是出现了一个问题，即公共利益是否如此之大，以至于有理由进一步制裁。美国已经有公司股东针对董