破坏网络犯罪网络：一个合作框架（英）

破坏网络犯罪的合作框架网络: 白皮书 2024年11月 GettyImages图片： Contents 执行摘要3 1合作破坏网络犯罪4 2合作路线图6 2.1激励措施6 2.2组织结构和治理 8 2.3 结论18 Resources13 附录：方法论19贡献者20 尾注22 免责声明 这份文件由世界经济论坛发布，作为对某个项目、洞察领域或互动活动的贡献 。文中所表达的研究发现、解释和结论是世界经济论坛协作过程的结果，并得到其支持和促进，但这些结果未必反映世界经济论坛的观点，也不一定代表其全体成员、合作伙伴或其他利益相关方的意见。版权所有，世界经济论坛2024 。所有权利保留。 ©保留所有权利。本出版物的任何部分不得以任何形式或通过任何手段复制或传输，包括复印和录音，或通过任何信息存储和检索系统。 破坏网络犯罪网络的合作框架：2 执行摘要 行业专家与公共部门的合作正在颠覆网络犯罪分子。这如何可以扩大和加速？ 互联网使犯罪分子能够无缝跨越国界进行运营，随时随地、成规模地接触到全球的受害市场。网络犯罪因同样的原因而扩张，这些原因同样推动了合法在线业务的迅猛增长。 同时，犯罪分子也会模仿合法市场中的做法。想想订阅模式下的“软件即服务”（SaaS）产品如何为企业提供从视频通话到项目管理和客户服务工具等一系列用户友好的产品。同样地，犯罪分子也有他们自己的“网络犯罪即服务”（Cybercrime-as-a-Service）。1业务模式，其中经验丰富的网络罪犯销售易于获取的工具和知识，帮助他人实施网络犯罪。这通过降低成为有效在线欺诈者和执行勒索软件攻击所需的成本和技能水平，增加了进入网络犯罪市场的犯罪分子数量。2破坏生计。 在打击网络犯罪分子的斗争中开辟了新天地 往往，对网络犯罪的应对措施是碎片化的。虽然现有的关于网络犯罪活动的知识通常非常深入，但这些知识却被分散在不同的公司和政府部门之间。然而，越来越多的例子表明这些限制正在被克服。2024年，泰国和菲律宾的执法机构成功解救了数百名被迫从事网络诈骗活动的人，并与私营部门合作追回了犯罪所得。在西非和拉丁美洲 ，由国际刑警组织支持的行动导致了协调一致的逮捕行动。7在欧洲和北美，行业和执法部门之间的合作8在破坏网络犯罪分子的技术基础设施方面取得了前所未有的成功，9为网络犯罪服务提供商和使用它们的罪犯创造新的风险水平。 全球反诈骗联盟估计，2023年全球25.5%的 人口受到网络诈骗的影响。3产生的利润对犯罪分子的影响远超直接受害者的范围。2023年，联合国报告称，至少有22万人在东南亚被贩卖，并被迫从非洲和拉丁美洲等地进行网络诈骗。4 不断扩大成功的颠覆性案例令人鼓舞，这是数年行业与公共部门共同努力和真诚合作的结果。目标是系统地对网络犯罪产生颠覆性影响，前进的道路已经清晰可见。同样明确的是，行业合作以及行业与公共部门之间的协作将是使互联网成为网络犯罪分子不利环境的主要驱动力。 网络犯罪与暴力有组织犯罪的融合也导致了文化转变，新进入网络犯罪市场的参与者对大规模造成物理伤害的担忧较少。例如，2024年6月，一家血液检测服务提供商遭受勒索软件攻击，促使英国国民健康服务紧急呼吁献血。5并在失去 服务匹配患者血液的能力后重新安排800多个计 划中的手术。6 业务协作框架 这份由世界经济论坛反网络犯罪社区编制的白皮书探讨了如何在现有的反网络犯罪合作伙伴关系的基础上取得进展。它指出了若干领先的运营合作方式，以对抗网络犯罪组织及其基础设施，并借助反网络犯罪社区的专业知识来识别成功合作伙伴关系的共同特征以及它们所面临的挑战。随后，该白皮书提供了关于建立、维护并加速反网络犯罪合作伙伴关系成功的建议。这为反网络犯罪运营合作的框架奠定了基础。 1 合作破坏网络犯罪 了解运营协作的“为什么”和“如何”。 成功的运营合作以应对网络犯罪能够激励参与者围绕共同使命进行对齐，并且随着时间的推移，这些合作伙伴关系具有适应其要求的组织流程和治理结构。 活动，并展现出重新评估和重构合作方式以适应需求变化的能力。重要的是，这些合作能够将技术与熟练的网络犯罪专业人士与法律和政策专家有效链接起来。 图1业务合作：三大支柱 激励措施 Operational协作 组织机构和治理 Resources 世界经济论坛。来源： 合作激励措施 打击网络犯罪的成功行动合作表明： 提供技能、信息和评估，帮助参与组织提升其内部网络安全能力。正式的培训项目还支持建立信任社区，有助于长期维持合作。 –这为参与者提供了 明确的使命：加入和剩余部分合作的持续理由。 –经常反馈给个人， 影响：参与组织和外部利益相关方展示了他们对合作的输入所创造的影响。 –成功运营 Peer-to-peerlearning:collaborationsaresiteofcontinuinglearningfortheexpertsengagedinoperations.Theyalso –支持可以使用 公众认可：展示组织利用其能力支持社会、减少犯罪危害。这种声誉支持提供了额外的商业动力以促进参与。 –作为价值创造者的信息安全韧性：通过合作获得的信息可用于提高网络安全防御和灾后恢复。 通过统一对网络犯罪活动的定义，分类法能够更快地识别和分类威胁，从而支持有效的运营响应。 组织和治理 –灵活的治理框架：合作的治理结构设计旨在通过法律合同等方式，在必要时对敏感领域如数据管理与使用实施严格的控制。同时，不同类型的组织专家在互动和执行操作时具有一定的灵活性 。操作层面的互动通常受到由专家社区自身制定的标准操作程序和行为准则的规范。 –成员能力评估：根据合作伙伴带来的能力选拔参与者。理解他们所承担的义务。 参与者合作以保持 提供给会员。协作具有衡量参与度和每个成员提供的价值的方法。 资源和专业知识 技术与人力相互关联：技术及IT平台的成功依赖于具备使用它们所需的technical、法律和运营专业知识。 –There taxonomy和数据规范化：跨行业或公私合营伙伴关系所创造的技能多样性确实是一种优势，但也可能造成混淆。taxonomy创建了一种共同的语言，有助于参与者之间的清晰沟通。通过统一对网络犯罪活动的定义，taxonomy能够加快威胁的识别和分类速度，进而支持有效的运营响应 。 -数据管理与信息安全：确保信息的安全存储、恰当分类和易于检索对于将协作从启动阶段推向成熟并确保其能够持续增长至关重要。 2 合作路线图 加强防御，增加网络犯罪分子的成本 。 2.1Incentives 网络犯罪集团已经演变成高度盈利的跨国企业，通过复杂的商业关系和供应链网络相互连接。这使得网络犯罪分子能够大规模运作，但也为通过干扰和逮捕来降低网络犯罪吸引力提供了机会，显著改变了犯罪分子的风险收益计算。运营合作增加了执行网络犯罪活动的难度、成本和风险。 动机在于保护其组织资产及其更广泛的利害相关者，无论是公司、客户还是市民。 研讨会和专家访谈表明，这些动机可以分解为连接性的激励措施，这些措施能够将组织聚集在一起，并有助于长期维持合作： 跨行业合作伙伴关系允许资源的共享，从而增强individual组织单独运作时可能无法实现的能力。 参与这项研究的所有组织都有动机破坏网络犯罪。共享的 -反馈影响。 -公共认可。 -业务和监管支持。 -作为参与组织的价值创造者，提升网络安全韧性。 尽管构建网络安全韧性非常重要，但单纯的防御措施本身永远不够。我们还必须对网络犯罪分子施加成本，以降低他们的行为盈利能力。然而，施加这些成本需要社会各个部分（包括公共、私营和非营利部门）具备广泛的综合能力。因此，运营层面的合作不仅是“锦上添花”或“值得做的”，而是减少网络犯罪对我们社会影响的核心过程。——迈克尔·丹尼尔，网络威胁联盟总裁兼首席执行官 反馈循环和公众认可 向贡献者展示其参与的价值，例如分享显示合作整体影响的报告，比如减少网络犯罪事件等，可以激励持续且更深入的参与。 有形影响 反网络安全犯罪合作若能持续成功，则能确保参与者能够看到其贡献的实际影响。反馈循环机制使参与者了解共享情报、联合行动或集体策略的结果至关重要。反馈过程验证了个体成员的努力 ，并通过强调输入与输出之间的直接关联来鼓励持续参与。 识别参与者的输入 这些反馈机制还充当学习工具，使组织能够在以往合作中最有效的措施基础上精炼其贡献。这一迭代过程有助于在整个网络中构建更加稳健和resilient的网络安全态势。 例如，当组织分享威胁情报并成功防止了重大网络攻击时，这一成功应当被传达。 公众认可也是促使组织参与打击网络犯罪的运营合作的强大激励因素。合作需要时间与资源，组织需要一种方式来验证其贡献和成效。 BOX1 他们的参与不仅限于内部高管，还扩展到外部客改进内部安全措施，创✁一个持续改进循环，既户和利益相关者。在声誉和品牌信任至关重要的增强组织自身，也强化合作网络。世界中，被认可为对抗网络犯罪做出贡献可以提升组织在市场中的地位。 培训机会 作为价值创造者的运营合作为企业提供了独特的平台，以实现持续网络弹性的学习和专业知识✁设。合作通常涉及一个多元化的参与者群体，每个参与者都带来了不同的技能和视角。这种多样性是知识交流的丰富资源，参与运营合作可以增强组织的安全性，通过提供而各参与方则珍视通过同伴学习的机会，这有助更广泛的intelligence访问权限，从而更好地检测于✁立专家参与者的信任社区和生态系统。威胁和识别趋势。来自联合努力获得的见解可以立即被利用。印度数据安全委员会(DSCI)网络犯罪调查培训与研究中心(CCITR) 成立于2005年，NASSCOM-DSCI网络实验室倡议10最中国刑事警察培训中心（CCITR）已在印度✁立了由高素初依赖私营部门的专业知识和工具对孟买及更广泛的马哈拉质警察组成的受信任网络，并通过《中国刑事警察培训中施特拉邦警队进行培训。随着时间的推移，该计划扩展到印心网络犯罪调查手册》制定了统一的标准操作程序来处理度的多个地区，包括班加罗尔、加尔各答、海得拉巴、哈里电子证据。这支持了世界上人口最多的国家在跨区域合作亚纳和钦奈，从而✁立了一个标准一致的训练警队网络。方面的努力。与私营部门保持联系有助于将CCITR的培训 扩展到新领域，如无人机取证和物联网（IoT）取证。此外，这也帮助维持了执法机构与私营部门专家之间的非正式联系，使双方更好地了解彼此的能力和限制。 中国计算机取证与响应技术研究与培训中心（CCITR）逐渐增加了对使用免费和开源取证工具的培训重点，同时继续与私营部门合作伙伴保持咨询联系，这些合作伙伴支持新技术的访问和培训。专注于开源工具确保了所有在网络安全实验室接受培训的警官具备基本能力，无论他们面临的具体预算 限制或技术访问约束如何。中国犯罪调查技术研究会（CCITR）现已成为卡纳塔克邦刑事调查部门、印度数据安全委员会和Infosys基金会之间的合作项目。其增长的基础在于在卡纳塔克邦刑事调查部 TheCyberLabs倡议在2019年通过在卡纳塔克邦班加罗尔门托管所提供的稳定性以及由其主办组织、资金合作伙伴的刑事调查部门✁立犯罪网络调查培训与研究中心（CCIT、执法伙伴、私营部门参与者和地区政府共同组成的治理R），并与DSCI合作实施及知识共享，以及与非营利组织In结构所创造的责任感。fosys基金会合作提供资金支持而得到扩展。 业务和监管支持 运营协作是预防和打击网络犯罪、推动生态系统韧性的重要工具。不幸的是，它仍然被严重低估和利用不足。MeganStifel，安全与技术研究所首席战略官研究来自2022年世界经济论坛与网络犯罪对抗伙新加坡机关。例如，美国网络安全与基础设施安伴关系的报告显示，欧洲网络安全局（ENISA）全局（CISA）在支持公共和私营部门的网络威胁和网络安全等专门政府机构对协作网络信息共享共享及分析合作方面起到了引领作用，如联合网的高度支持。络安全协作防御（JC