30.11.2017

全球合作是威懾網路犯罪的最佳辦法

許佳龍 | KIM, Seung Hyun | WANG, Qiu-Hong

網路犯罪給企業和組織造成巨大損失,據估計,該損失在某些國家相當於國內生產總值的1.5%。而據另一來源的估計,受攻擊的零售商每小時的損失最高可達10萬美元。《網路犯罪公約》於2001年問世,是旨在解決這問題的第一個國際立法。但是,一項新的研究表明,雖然該公約對締約國有幫助,但它也將犯罪轉移到了非締約國,這表明有必要採取國際統一行動來打擊網路犯罪。

許佳龍、Seung Hyun Kim和Qiu-Hong Wang給出一些迄今為止最有力的證據,說明在締約國、非締約國和有保留地實施特定章節(比如保護和分享所存儲的電腦資料)的締約國中間,《網路犯罪公約》對威懾網路犯罪的有效性。他們還說明這揭示了網路罪犯的某些特性。

作者說:“據說,這類國際合作應該會提高全球網路罪犯被逮捕和定罪的確定性和速度,進而威懾犯罪。但是《網路犯罪公約》因其對網路犯罪的模糊定義和缺乏特定的具體機制而備受詬病。其他類似法律的有效性也鮮有實證依據,那麼問題來了:《網路犯罪公約》是否有助於威懾網路犯罪?”

他們研究了2004年至2008年期間177天內在106個國家發生的DDOS(分散式阻斷服務)攻擊來回答這個問題。二十三個國家簽署了《網路犯罪公約》,12個有保留締約。

DDOS攻擊由各種各樣的攻擊者進行,並在互聯網上普遍存在。對38個國家IT專業人員進行的一項調查顯示,50%的人遇到過這種攻擊,其主要目的是破壞營運,在另一次攻擊發生期間使企業無法專注經營,或利用攻擊來勒索公司。主要攻擊目標是銀行、電信公司和金融服務機構,說明這些攻擊背後有財務動機。

這項涉及106個國家的研究,將攻擊情況與國家狀況作了比較,結果顯示,《網路犯罪公約》的執行導致DDOS攻擊次數平均下降11.8%。

作者說:“這在經濟上意義重大,意味著執行該公約可以使每個國家每天減少96個受害者(受攻擊的電腦)。”

他們還發現,在執行公約和不執行公約的國家之間,DDOS攻擊受害者數量的差異隨著時間的推移而擴大,而在不執行公約的國家,受攻擊的數量實際上由於溢出效應而增大。對有保留地執行《網路犯罪公約》的國家,遭受襲擊的次數也沒有下降。

作者說:“一項特定保留條款(即為其他國家保護所存儲的電腦資料)具有顯著的正效應,這一點發人深省。這意味著攻擊者對國際合作心存芥蒂。犯罪分子可能會利用各國在犯罪或政治意識形態上的概念或態度分歧來逃避起訴。因此,如果各國能夠更緊密地合作,將大有幫助。”

否則,各自為政,而非全球執法,對網路犯罪的威懾作用至多是摸棱兩可的,作者這樣認為。

作者還發現,有證據表明,網路攻擊者是有理性的,或許可以用經濟手段加以制約,比如對可以用於網路攻擊的軟體或者有動態IP位址的互聯網服務進行徵稅,或者強制實施網吧訪客登記制度。

“網路犯罪的增長是驚人的,給全球經濟造成重大損失,但迄今為止的解決辦法似乎都是被動的。許多技術對策,比如高級檢測或安全邊界,都是在發生新的攻擊之後才產生出來。

作者說:“我們希望這項研究能加強人們對《網路犯罪公約》有效性的信心,將國際合作帶來的優點具體化,並在全球範圍內促成更密切的合作。”

許佳龍

Senior Associate Dean, School of Business and Management, Deputy Head, Elman Family Professor of Business, Chair Professor, Academic Director, MScFinTech Program Academic Director, HKUST EMBA Program
Information Systems, Business Statistics & Operations Management