英国加强勒索软件反击，发布供应链安全指引

英国政府发布了新的反勒索软件指导原则，旨在解决供应链中的薄弱环节，这些薄弱环节是过去一年国家网络安全中心(NCSC)处理的204起"国家重大"事件中许多案例的根本原因。

该指导原则是与新加坡当局联合开发的，作为去年在反勒索软件倡议(CRI)框架下做出的联合承诺的一部分。指导原则旨在帮助组织在网络犯罪分子能够利用之前发现其供应链中的问题，并设定了几个实用步骤来检查供应商安全性并防范漏洞。CRI得到了67个以上国家的支持——但不包括美国——以及国际刑警组织和世界银行等机构的支持。

英国安全部长丹·贾维斯表示："勒索软件和网络攻击对我们国家的安全和经济构成直接而紧迫的威胁。我们正在采取果断行动来应对这一威胁，但全球协调是必不可少的。网络安全必须是所有企业的首要任务。遵循反勒索软件指导原则并采取强有力的措施来抵御这些破坏性攻击至关重要。"

NCSC国家韧性主任乔纳森·埃利森补充道："对一个组织的勒索软件攻击可能严重破坏整个供应链，影响英国及其他地区的企业和服务。我们知道，通过实施基本的网络安全措施，如英国的网络基础认证，许多此类事件是可以预防的。我们强烈敦促组织遵循NCSC的供应链安全指导，以帮助保护自己、合作伙伴和英国的国家网络韧性。"

该指导原则制定了增强供应链韧性的多步骤计划。这些步骤强调的因素包括：需要选择已实施与其参与活动风险水平相匹配的安全控制措施的供应商；需要向供应商合作伙伴传达您组织自己的安全期望；需要将网络安全纳入合同流程；需要对供应商进行独立审计和测试或要求网络技术机构的外部认证；以及需要坚持购买网络保险政策。

该指导原则还建议组织与供应商携手合作，审查任何事件或险情，演练应对计划，分享新的威胁情报或修订的最佳实践，并保持合同更新以反映不断变化的网络安全环境。它还敦促组织在其供应商网络内部以及同行之间更多地推动对话和协调。

合作集团首席执行官希琳·库里-哈克表示："精心规划、投资正确的工具和进行无数次演练至关重要，但即使如此，没有任何东西能真正为真实网络事件展开的那一刻做好准备。实时攻击的强度、紧迫性和不可预测性是任何演练都无法再现的。"合作集团在4月遭受了大规模勒索软件攻击，造成2.06亿英镑的损失。她补充道："最重要的是学习、建立韧性并相互支持以防止未来的伤害。这是朝着建设更安全数字未来方向迈出的积极一步。"

英国将签署备受争议的联合国网络犯罪公约

英国代表团还计划在本周末在越南河内举行的仪式上签署一项备受争议的联合国新网络犯罪公约。

《联合国打击网络犯罪公约》于2024年12月24日通过第79/243号决议在联合国大会上获得通过，是第一个关于网络犯罪的全面全球条约。

该公约最初是由俄罗斯政府提出的，俄罗斯反对可追溯到2004年的欧洲委员会支持的《布达佩斯网络犯罪公约》这一长期存在的倡议。

尽管欧盟、英国和美国最初基于认为这是俄罗斯加强对更广泛互联网控制的权力攫取而反对该公约，但拜登政府最终拒绝了人权担忧，并基于感觉美国在谈判桌上占有一席之地更重要而转而支持该公约。

它是否真正有效地打击莫斯科实际上对其视而不见的臭名昭著的俄语勒索软件团伙，还有待观察。

然而，除了据说要严厉打击勒索软件外，该公约还重要地将儿童性剥削、欺诈和未经同意分享私密图像等网络辅助犯罪的定罪标准进行了统一。

它还建立了一个全球网络，通过在每个国家设立常设联络点来加强国际执法合作，以协助跨境调查。

Q&A

Q1：英国发布的新反勒索软件指导原则有什么作用？

A：该指导原则旨在帮助组织发现供应链中的安全问题，防止网络犯罪分子利用这些薄弱环节。它设定了检查供应商安全性、选择合适供应商、建立网络安全合同流程等实用步骤，以增强供应链韧性。

Q2：什么是反勒索软件倡议CRI？

A：反勒索软件倡议(CRI)是一个国际合作框架，得到了67个以上国家的支持，以及国际刑警组织和世界银行等机构的支持。英国与新加坡在该框架下联合开发了供应链安全指导原则。

Q3：联合国网络犯罪公约有什么重要意义？

A：这是第一个关于网络犯罪的全面全球条约，将儿童性剥削、欺诈等网络辅助犯罪的定罪标准进行了统一。它还建立了全球网络，通过在每个国家设立常设联络点来加强国际执法合作，协助跨境调查。