安全立法,勒索软件和供应链攻击在今年的Cyberuk中最高的议程
英国内政大臣普里蒂·帕特尔(Priti Patel)宣布了今年审查该国老化计算机犯罪法律的计划。
该审查在今天(5月11日)的NCSC组织2021会议上的部长级讲话中宣布了安全行业说服政府审查法律的运动,由网络倡议。
背景英国计算机滥用法案:克里斯·霍尔姆斯·CBE勋爵(Lord Chris Holmes CBE)在网络运动中呼吁大修“古老”立法
帕特尔在向赛伯克代表的一份预先录制的声明中说:“《计算机滥用法》已被证明是解决未经授权访问计算机系统的有效立法,并且已经对其进行了多次更新。”
“与行为一起,也有分开的立法这为执法机构提供了调查网络依赖和网络支持犯罪的权力。
“作为确保我们拥有正确的工具和机制来检测,破坏和阻止我们的对手,我相信现在是对计算机滥用行为进行正式审查的正确时机。”
帕特尔说政府将对今年的《计算机滥用法》进行咨询,但没有给出确定的日期或时间表。
姗姗来迟
网络运动在英国工业联合会(CBI)和科技行业贸易机构Techuk的支持下,将计划的咨询描述为“漫长的逾期一步”。政府的审查将询问学术界,商业,执法机构,网络安全行业以及其他有关该法案的兴趣方,包括“ CMA中最新的CMA保护措施合法网络安全活动是否提供足够的掩护”。
网络运动和Techuk进行的研究发现,绝大多数网络安全专业人员(80%)担心在捍卫反对的过程中违反现行法律网络攻击。
Ollie Whitehouse, CTO of NCC Group and spokesperson for the CyberUp Campaign, commented: “We welcome the Home Secretary’s announcement that the government has heeded our calls for a review into the Computer Misuse Act – this is a long overdue step for a piece of legislation that simply hasn’t kept pace with changes in technology."
Cyberuk主题演讲
在演讲中,帕特尔警告说,国家赞助的攻击者构成的威胁,例如Solarwinds供应链攻击背后的威胁,以及勒索软件,除其他威胁。
英国内政大臣谴责向网络犯罪分子支付赎金,认为支付赎金并没有保证成功的结果,也不保护它网络反对将来的攻击或防御数据泄漏。
帕特尔警告说:“支付赎金可能会鼓励犯罪(原文如此)继续使用这种方法。”
内政大臣敦促组织准备并与执法部门和政府组织(例如英国国家网络安全中心(NCSC))联络。
保护软件供应链
在今年在网上举行的Cyberuk 2021期间,由于新冠肺炎Solarwinds首席执行官Sudhakar Ramakrishna Pandemic与NCSC运营总监Paul Chichester进行了交谈,讨论了从最近的High-Impact中学到的教训供应链攻击。
Ramakrishna说,Solarwinds采取了一种安全的设计方法,以应对这一事件。这涉及实施诸如最小特权访问和改进技术控制的措施。
奇切斯特(Chichester)称赞这一举动,但询问更多的组织可能会采用有价值但昂贵的安全计划的激励措施。拉玛克里希纳承认这仍然是一项正在进行的工作。
NCSC技术总监伊恩·利维(Ian Levy)博士指出,自2002年Sendmail攻击以来,已经知道了供应链攻击,反映了奇切斯特和拉马克里斯纳之间更大的讨论的这一方面。
2017年的NotPetya勒索软件袭击说明了此类事件构成的危险,该袭击依靠对乌克兰税收会计套餐的妥协更新,称为“ Medoc”。
在等领域采用最佳实践安全开发Levy博士说,可以防止这种攻击,但市场没有为这种措施提供经济激励措施。
“我们不购买软件,因为有人确保了他们的CI/CD[连续集成/连续交付]管道。” Levy博士打趣道。
