通过网络安全政策和人类赋权促进东盟的数字未来

政策简报 编号2023-02，2023年5月 ISSN：2086-8154 东盟和东亚经济研究所 关键消息: •由于网络攻击，东盟损失了287万美元，这些网络攻击主要针对金融服务，其中恶意软件攻击是首要问题。 •东盟对网络安全的投资一直在增加，并且由于涉及连通性的数字化和可持续性努力的增加，因此需要持续下去。 •金钱可以购买技术和系统，但除非制定明确的指导方针和标准 ，否则它不会有效。网络安全也与人有关-解决诸如东盟几个成员国的数字人才缺口，对潜在事件的认识不足和对威胁的无知等问题需要很长时间。 MichelleChandraKasih研究助理，东盟和东亚经济研究所（ERIA） 通过促进东盟的数字未来网络安全政策和人类赋权 MichelleChandraKasih 先进技术的采用伴随着网络攻击的风险。尽管数字经济前景广阔，但网络攻击的成本已达到数百万美元，并且预计还会增加。需要投资来提供网络安全 ，以帮助确保数字和可持续经济的增长，并预测更先进的攻击。随着东南亚国家联盟（ASEAN）对网络安全的投资开始增长，挑战以无形的形式存在 ，包括不存在或严格的政策，技能短缺和公众意识不足，这可能会阻碍这种投资的有效性。本政策简介提出了四项政策建议，以确保在网络安全方面的成功投资： 1.确保网络安全政策和法律框架不发达或限制过度。 2.支持小企业通过成本赢得客户信任- 有效的指导方针。 3.激励和维持教育，研究和能力建设的伙伴关系，为未来的专家提供道德教育。 4.提高网络卫生，建立综合报告平台，帮助人们识别和检测网络风险。 由于网络安全投资增长增加数字化和网络攻击 防止对数据、程序和网络的网络攻击从未像现在这样重要，因为此类攻击的频率越来越高。网络安全风险投资公司预测，全球网络犯罪成本将以每年15%的速度增长，到2025年将达到每年10.5万亿美元（摩根，2020年）。到2022年7月 ，东盟因网络攻击损失了287万美元（IBM，2022年）。东盟的网络攻击主要针对金融服务，恶意软件攻击是首要问题（PaloAltoNetwors，2023）。 为了应对这些威胁，投资网络安全1东盟正在增加，网络安全市场有望扩大。东盟市场的网络安全收入预计在2023年将 达到43.9亿美元，比2022年增长13%（Statista，。D.).在印度尼西亚，由于数字领域不断变化的威胁，包括中央政府在内的许多金融科技和电子商务公司都增加了网络安全预算 。2020年，在意识到数据。 9100万用户在黑暗网络上出售（CNN印度尼西亚，2020年 ），Toopedia外包了一家国际网络安全公司，以调查这些损失并预测未来的攻击（国际刑警组织，2022年）。2023年，印度尼西亚政府批准将国家网络和加密机构（BSSN）的预算增加700亿卢比，原因是2022年黑客和安全漏洞猖獗（Bhwaa，2022）。同样，在马来西亚，政府提议在2023年将网络安全预算增加到7300万令吉（Othma， 2022年）。 尽管公共和私营部门的投资有所增加，但仍需要更多的资金来打击网络攻击。对于东盟这个主要由中低收入国家（或发展中国家）组成的地区来说，经济的数字化被视为经济增长的催化剂。它支持支付转账、贷款、交易、购物等方面的效率。谷歌，淡马锡和贝恩公司的一项调查预测，东盟的数字经济有望在2030年增长到1万亿美元的商品总值，因为数百万新的互联网用户开始使用电子商务和数字金融（谷歌，淡马锡和贝恩，2021年）。可持续区域政策，如东盟循环经济框架和后COVID-19时代东盟可持续旅游发展框架，将数字化作为其推动因素之一。使用在线平台和机器学习可以提高价值和供应链效率，包括产品的可追溯性，以及支持可持续旅游业和小企业。因此，在互联互通不断增加的背景下，网络安全投资可能是实现东盟可持续增长的决定性因素。 1网络安全的定义各不相同，但从本质上讲，它们指的是技术，流程和控制的应用，以保护系统，网络，程序，设备和数据免受恶意软件和拒绝服务等的网络攻击。 发展中国家如何确保网络安全投资的可持续性和有效性 ？ 网络安全投资涵盖一系列措施，如软件和硬件采用、员工培训和事件响应，具体取决于必要性。对网络安全的更多投资可以转化为与初创企业的伙伴关系，以填补企业需求的空白 （Dagliogl，2022）。网络安全领域的创新，例如人工智能 （AI）和网络保险的集成，正在增加。然而，如果没有明确的问责制指导方针，增加网络安全技术和基础设施方面的支出可能不会有效。网络安全也与人有关。解决几个AMS中的数字人才缺口，以及对潜在事件的认识不足和对威胁的无知 ，可能需要相当多的时间和精力。 (1)确保网络安全政策和法律框架不发达或限制过度 制定网络安全或数据保护法律可能意味着国家的承诺，并增加市场对网络安全投资和企业受到保护的信心。法律的存在还确保企业和组织采取必要措施保护其数据和系统，投资于技术和人力资源。这方面的一个例子是欧盟（EU）于2018年实施的通用数据保护条例（GDPR）的影响。为了遵守欧盟个人数据保护和隐私的GDPR标准，英国一家公司的一项调查显示，68%的欧洲企业和75%的英国公司已经投资于网络安全（RSM，2020年）。Capgemii的一项研究还报告说，遵守数据保护法规已导致更好的声誉和更多的信任，这可能导致收入增加（CapgemiiResearchIstitte，2019）。 东盟没有网络安全框架。尽管如此，东盟认为网络安全是《东盟数字总体规划2025》的重要因素；《东盟网络安全合作战略，2021-2025》；《东盟个人数据保护框架》； 《东盟数字数据治理框架》；《东盟数据管理框架》，包括《实施指南》 东盟数据管理框架和东盟跨境数据流动机制。东盟的其他文件还将网络安全作为发展5G生态系统和保护关键信息基础设施（CII）的考虑因素。除其他外，已经采取了举措，以加强东盟数据保护和隐私论坛下的法律，监管和政策方面，以及通过东盟网络安全协调委员会加强协调。关于国际协定，菲律宾是唯一批准《网络犯罪布达佩斯公约》（2001年）的机构。 网络安全政策和法律框架通常涉及保护CII，确定关键部门并指定机构来应对和减轻CII攻击。然而，并非所有的AMS都有关于网络安全的立法和行动计划。印度尼西亚，新加坡，泰国和越南都有专门的法律来保护CII。文莱达鲁萨兰国，马来西亚，菲律宾，新加坡和越南都有网络安全国家战略或计划。这些AMS共享CII的相同部门分类-政府管理，能源，运输，金融，卫生以及信息和通信技术。 在相关的网络安全政策和立法方面，例如数据保护，每个 AMS都采取不同的方法。印度尼西亚，老挝人民民主共和国 （老挝人民民主共和国），马来西亚，菲律宾和新加坡的法律侧重于数据保护。文莱达鲁萨兰国有国家数据保护政策，而在缅甸和越南，数据保护措施仍然分散在各种法律法规中 。另一方面，柬埔寨没有任何数据保护法律或法规。从GDPR的影响中学习，全面的网络安全政策，特别是具有约束力的法律文书的存在，通过有效的报告系统和制裁来促进合规性 ，这可以帮助网络安全投资增加并朝着明确的方向发展。 除了政策，网络安全还需要采取必要的措施。各国可以建立确保数据保护的标准，并为消费者提供有关其智能设备的更好信息。例如，新加坡在2019年建立了网络安全标签计划，该计划允许消费者通过官方评级识别智能设备的网络安全水平。这个标签系统已经获得了。 芬兰和德国的相互承认(新加坡网络安全局，。D.).另一方面 ，网络安全越来越多地被称为“国家安全”的一个方面，这被认为是影响国际贸易和投资政策的重要因素(Hag，Madic和Johso，2019)。以网络安全为名对企业的限制和禁令恰逢地缘政治紧张局势加剧。例如，由于涉嫌间谍活动，美国禁止卡巴斯基实验室、华为和中兴的产品（BBC，2022年；路透社，2017年），以及由于拒绝遵守数据本地化措施，LiedI在俄罗斯的限制（Breee，2016年）。学者们还认为，数据本地化可能会给企业带来障碍，特别是在大数据和云计算方面，并降低运营效率（Che，2022）。数据本地化通常是为了保护国家安全的基本数据并促进当地经济发展（麦肯锡公司，2022年），印度尼西亚和越南将其应用于公共电子系统运营商管理的数据。2和网络空间服务提供商，3根据数据本地化措施，印度尼西亚需要实施更明确的跨境个人数据传输要求，以确定哪些国家拥有同等或更高的保护水平。4据了解，每个AMS都有自己的挑战和标准，但其网络安全政策，法律和法规的目的必须在法律上和透明地明确，以避免过度限制（Chenetal.，2019）。 (2)通过成本支持小型企业- 有效的指导方针 网络犯罪分子的目标是各种规模的公司，而中小型企业（SME）是最脆弱的。根据福布斯的数据，43％的网络攻击是针对中小企业的，但只有14％的人准备自卫（Broos，2022 ）。在东盟，中小企业是东盟经济的支柱，在2019年占总就业人数的一半以上，占所有商业机构的95％-99％（ERIA ，2019）。中小企业往往技术能力有限。 22019年关于电子系统和交易组织的第71号政府条例第20条。 32018年《越南网络安全法》第26.3条。 4印度尼西亚2022年关于个人数据保护的第27号法和2019年关于电子 商务的第80号政府条例允许在目的地国家拥有同等或更好的数据保护机制的情况下进行跨境个人数据传输。 时间、资源和网络攻击可能会产生更广泛的后果。考虑到中小企业对东盟经济的贡献，东盟可以为中小企业制定具有成本效益的指导方针，以遵守现有政策和立法并开展培训。这些努力可以与基于政府的网络安全认证相结合，为在网络安全技术方面达到良好实践标准的中小企业，特别是那些在实现国际标准方面遇到困难的中小企业（卡迪夫大学的网络安全研究中心，。D.). (3)激励和维持教育、研究和能力建设方面的伙伴关系，为未来的专家提供道德操守 拥有高技能和受过良好教育的国家往往会吸引更多的绿地外国直接投资（FDI）项目（Cao，2020年）。然而，尽管市场不断扩大，但几家AMS(e。Procedre柬埔寨，印度尼西亚，老挝和缅甸）缺乏网络安全专家（国家网络安全指数 ，。D.).印度尼西亚的一些网络安全公司报告说，人才短缺是平衡快速技术发展的挑战之一（Shartadi，2016）。然而 ，这可以通过促进现有员工的培训和未来人才的识别，为网络安全投资提供机会。 发达国家也面临着培养网络安全人才的需求（总统执行办公室，2016年）。2016年，美国启动了网络安全国家行动计划，该计划重点投资于现代信息技术，并为对网络安全教育感兴趣的学生提供奖学金和贷款减免计划。此外，建立了公私伙伴关系，以加强网络安全研究和开发，旨在开发和部署技术解决方案来应对网络安全挑战（白宫，2016年）。在东盟一级，东盟网络犯罪行动台，东盟网络能力发展项目和东盟区域计算机应急小组的建立旨在建立AMS的网络能力，威胁信息。 分享和协调发病率反应。在 一些AMS，如柬埔寨，政府为对数字技术感兴趣的学生提供奖学金（Matthew，2023）。 鼓励学生在年轻时进入该领域可以提供社会效益。这可以通过在教育系统中提供网络安全课程来实现，并在完成学业后确保就业，并获得良好的薪水和有前途的职业道路。这可能包括对道德的关注，以便专家不仅知道他们可以做什么，而且知道他们应该做什么。此外，由于政策和法律的有效性部分取决于如何执行，法律还需要确定和确保监管机构和执法机构的能力。各国可以与彼此和国际组织合作，分享网络安全方面的最佳实践、专业知识和资源。例如，《跨太平洋伙伴关系全面与进步协定》（CPTPP）等区域贸易协定。5已经认识到能力建设对识别恶意入侵的应急响应和协作的重要性。多边安排可以帮助建设能力并加强网络安全工作。 (4)提高网络卫生，建立综合报告平台，帮助人们识别和检测网络风险 提高对网络安全的认识至关重要，因为人为错误是即使是最好的技术和员工也无法解决的主要