违规披露和责任法律如何改善尼日利亚的网络安全状况

在过去的几年中,尼日利亚经济的各个部门都在经历着数字化转型。 随着国家逐渐从边缘经济过渡到数字经济的主流,我们越来越面临威胁我们个人,公司和国家安全的新风险。 社会日益数字化带来的一些新风险包括:数据泄露,网络抢劫,身份盗用等。 卡巴斯基实验室在今年4月发布了有关一个臭名昭著的黑客组织Lazarus的活动的报告,据称该组织在2016年从孟加拉国中央银行盗窃了8100万美元。该报告指出,Lazarus Group恶意软件样本通常用于网络欺诈的工具出现在尼日利亚和其他一些国家的金融机构中。 此外,几周前,尼日利亚参议院还对尼日利亚公司遭受网络攻击的威胁范围提出了警告。 同样,CBN州长在最近结束的关于网络犯罪的尼日利亚电子欺诈论坛(NeFF)利益相关者研讨会上,呼吁建立一个适当的法律框架,以应对该国越来越多的各种形式的网络犯罪。 然而,有关法律的不幸之处在于,法律总是在追赶技术,并努力与时俱进。 鉴于上述情况,尼日利亚必须弥合法律与技术之间存在的巨大鸿沟。 迫切需要改革或颁布新的法律和政策,以根据国际最佳实践应对不断增长的网络犯罪。 现有的网络犯罪法是一个很好的起点,但是绝对不够。 值得庆幸的是,面对当前的网络安全挑战,有两个关键的政策干预领域可以为人们带来希望: 安全失败责任的分配 与其他系统一样,当保护它们的实体不是发生故障时遭受苦难的实体时,计算机系统也可能会发生故障。 剑桥大学的罗斯·安德森教授曾经说过:“如果我们能够在出现问题时适当地分配责任,那么实际上可以解决许多难题。” 例如,软件开发人员通常会着急推出产品和在线业务,以打败竞争对手,而这样做常常会忽略安全问题。 当黑客利用那些被忽视的安全隐患时,谁应对由此造成的损失负责? 责任法(以不抑制创新的方式使用)提供了必要的诱因,以迫使软件开发人员编写安全的代码。…

五个常见的网络安全误解

在这个数字时代,澳大利亚各地每天都会发生网络攻击。 从Ticketek的经验来看,从最小的初创公司到最大的跨国组织。 当网络事件从2016年到2017年上升近100%时,这不足为奇。 但是,许多中小企业认为网络攻击并非针对他们,攻击者只对大型组织感兴趣。 实际上,有43%的网络攻击针对的是小型企业,而遭受此类攻击的中小型企业的60%在6个月内没有恢复并关闭。 为什么? 难怪许多中小型企业没有做好充分的准备,存在如此多的误解,其中包括: 许多企业主认为,如果其数据受密码保护,那么它是安全的。 不幸的是,这并不成立。 2016年9月,雅虎约5亿个帐户详细信息被盗。 他们的系统在2017年2月再次遭到攻击。虽然受影响的用户数量未知,但有趣的是,黑客能够渗透帐户而无需使用个人密码。 因此,密码绝对不足以保护您的数据免受攻击。 如上所述,虽然中小型企业不拥有大型企业之类的资产或进行大量交易,但它们无疑是更容易渗透的目标。 这就是为什么43%的网络攻击都针对他们的原因。 最近的一个更令人担忧的事情是,遭受破坏的公司中有60%被认为在一年之内就倒闭了,因为它们解决漏洞和缓解风险的能力太低了。 在安全性方面,企业通常会采取“在达到安全标准时会过桥”的态度。 但是,报告表明,全球检测到攻击或安全漏洞的平均时间为146天。 Trustwave报告声称,报告的入侵中81%的通知不是通过内部安全流程或系统,而是通过外部来源(如新闻报告,外部欺诈监控等)进行通知。…

2017年验证了3亿多份身份记录

4iQ刚刚发布了《 2018年身份违规报告》:“野外身份:身份认同海啸仍在继续” 每天都有如此多的违规事件被举报,因此要了解侵犯隐私权的总体规模具有挑战性。 我们一直都在听到有关媒体违规的消息,但是违规行为的受害者很少知道将来如何以及何时将所泄露的信息用于欺诈或未经授权的目的。 对于什么信息将其带入地下论坛和黑市以及何时到达那里,人们知之甚少。 我们的主要目标之一是帮助回答这些问题。 为此,我们使用专有的情报平台搜索表面,社交,深层和深色的网络,以搜索与身份相关的信息。 我们会chat不休,寻找漏洞,违规行为和“狂野”的公开身份记录。有时,我们会发现与披露的违规行为有关的文件。 其他时候,我们发现尚未报告的违规行为。 有时记录是旧漏洞的汇总,就像我们在《 特洛夫》中看到的那样。 每当泄露的数据重新浮出水面并重新流通时,新的一组黑客就会利用它发起新的攻击浪潮。 为了更全面地了解我们每天看到的内容,我们发布了2018年4iQ身份违规报告 “野外身份:身份认同海啸仍在继续 。”而其他报告通常只考虑公开披露和媒体报告中提供的数据,此报告基于我们在2017年发现的87亿条“原始”记录。对数据进行进一步分析后,大约30亿条记录来自近 已确认有 3,000起违规行为是真实的-不是伪造的,也不是重复的 。…

尽早查看Facebook访问令牌安全漏洞

2018年9月25日,Facebook从其工程团队获悉,一个安全漏洞入侵了约5000万个帐户。 尽管调查仍在进行中,但Facebook已经定义了导致攻击的攻击面和漏洞以及遭到破坏的身份数据。 允许Facebook用户确定其个人资料对其他人的外观的功能(称为“查看为”)具有被攻击者利用的漏洞。 通过此漏洞,攻击者能够窃取Facebook访问令牌。 访问令牌是一种凭证,应用程序可以使用该凭证来访问API。 其主要目的是通知API该令牌的载体已被授权访问API并执行特定操作。 在这种情况下,攻击者可能已经使用Facebook访问令牌来接管帐户。 Facebook使用访问令牌的方法之一是持久登录。 正如Facebook在其“安全更新”中提到的那样,这些令牌是“等同于使人们登录Facebook的数字密钥,因此他们无需在每次使用该应用程序时都重新输入密码。”因此,对于这种类型的数据泄露,更改用户密码不会降低风险。 相反,需要更改数字键。 Facebook了解了攻击的起源和性质后,工程团队便采取了以下措施来减轻对平台和用户的损害: Facebook修复了“查看为”功能中的漏洞。 Facebook已将袭击事件告知执法部门。 为了减少对用户数据的任何风险并确保其个人和数字安全,Facebook已经重置了将近5000万个已确定处于风险中的帐户的访问令牌。 作为预防措施,Facebook还重置了另外4000万个帐户的访问令牌。 这些帐户在过去的一年中使用了“查看为”功能。 由于采取了这些安全措施,大约9000万用户将不得不重新登录Facebook平台。 其他使用Facebook登录名的应用程序也会受到影响,并且将要求用户重新进行身份验证。…

代码战争的黎明,又称“模糊的世界大战”

约翰·卡林(John P. Carlin)拥有一本引人入胜的新书,内容涉及“我们如何设法消除网络威胁,并利用刑事司法系统为网络攻击提供启发。”该书由记者和历史学家加勒特·格拉夫(Garrett M. Graff)合着。在奥巴马任职期间,您曾担任前国家安全局助理检察长和计算机黑客与知识产权(CHIP)计划的国家协调员,在“代码战争的曙光”中进行了幕后斗争。 像冷战一样,代码战也不是我们认为的战争。 它是“复杂的,多层面的国际紧张时期,需要政府和私营部门之间的资源。”与仅仅涉及一个对手的冷战不同,“法典战争”更为复杂。 它是在匿名环境下在线对抗的,这些对手可能是个人-骇客主义者,罪犯,恐怖分子-组织和民族国家。 与互联网之前的冷战不同,这场模糊的世界大战在6个基本方面有所不同: 战争与和平之间的界线模糊。 如果中国人入侵了俄勒冈州“太阳能世界”工厂的总部,我们早就知道我们处于战争状态。 如果朝鲜人摧毁了索尼在洛杉矶的办事处,那我们早就知道自己处于战争状态。 如果俄罗斯人闯入华盛顿特区的DNC办事处,那我们早就知道自己处于战争状态。 私人和公共之间的界线模糊。 过去,国家安全和国防是政府的主要工作。 福特汽车公司或坎贝尔汤没有建立自己的防御系统来防御俄罗斯导弹。 但是,互联网大部分由私人公司拥有和运营,而共享对于有效的国防至关重要。 民族国家与个人之间的界线模糊。…

互联网窃取了您的隐私。 现在我们可以收回它。

当政府和公司的网络安全防御措施屡屡失败时,是否有可能对个人信息和个人隐私进行保护? 答案是肯定的。 到目前为止,2017年是网络安全灾难性披露的一年。 俄罗斯干预美国总统选举的程度仍在调查中,但不可否认的是,发生了违反事件,外国政府对美国民主进程发动了这样的袭击。 目前尚不清楚WannaCry恶意软件对全球网络攻击造成的最大破坏范围,WannaCry恶意软件于今年初引发了世界各国政府和顶级公司的紧急会议。 但是,这只是全球范围内每周两次,每天一次,每小时一次的黑客攻击和入侵事件最近的两个热门案例。 如今,对在线数据和系统安全,个人隐私的完整性以及个人可识别信息的管理所面临的威胁已广泛存在,并且在很大程度上已无法控制。 这些威胁来自多个方面:外国国家资助的网络人员,老练的犯罪黑客,政府监视程序以及不受管制的消费者跟踪公司的“狂野西部”。 受到什么威胁? 您的选择,偏好,朋友,对话以及银行,医疗,旅行,电话,电子邮件,财产和信用卡信息的私密性。 同时,企业安全的阵营正在崩溃。 去年,一些世界上最先进的技术巨头(如Twitter,Spotify,Netflix,亚马逊,Paypal等)在一次协同攻击中被拖延了很长时间。 这些部署相对较低技术的黑客部署了网络钓鱼电子邮件,恶意软件和分布式拒绝服务(DDoS),引起了巨大的个人和企业干扰。 仅在纽约州,2016年数据泄露的记录速度就破纪录,暴露了160万人的个人记录,是前一年总数的三倍。 据纽约总检察长办公室称,公开数据“绝大多数由社会安全号码和金融账户信息组成。”值得注意的是,纽约的数据泄露主要是由两种截然不同的安全威胁造成的:黑客和“疏忽大意的披露”。死亡雅虎去年的公告可能是对提高公司网络安全弹性的钟声,它揭示了与外国政府资助的团体有关的黑客“窃取了姓名,电子邮件地址,电话号码,生日,加密和未加密的安全性问题和解答”。超过十亿个帐户。”作为对透明度和公众信任的进一步打击,只有在数十亿美元的合并受到威胁时,这种启示才出现。 对于个人而言,如今身份盗窃,信用卡欺诈和隐私受到侵犯的风险一直很高,压倒性的权力不对称性似乎非常惨淡。 公司没有保护公众的动力,政府似乎也无能为力。 因此,不信任感加剧,91%的美国成年人“强烈地”感到他们对公司如何追踪和使用其个人信息失去了控制。…