Nul
Als handhaving van de wet in het verenigd koninkrijk en daarbuiten zijn nu verwacht tegen de plaag van cybersecurity in verband met fraude, oplichting en misdaden zijn begaan, voor de doeleinden van identiteitsdiefstal en financiële gewin, maar moet ook nu vertrouwd te maken met de bedreigingen, concepten, en — tegen de minste — de basis in hoe dergelijke aanvallen worden uitgevoerd.
De politie kan niet altijd op de voorste rij in het bijzonder als het gaat om gerichte aanvallen en oplichting online uitgevoerd. Echter, in hun plicht aan het publiek, zij moeten in staat zijn om te adviseren slachtoffers, stuur ze in de goede richting, en hen bewust maken van hun rechten.
In Maart 2018, het equivalent van 122,404 full-time ambtenaren van politie werkzaam waren in de 43 politiekorpsen in Engeland en Wales; en het equivalent van iets meer dan 17.000 leden van de politie in Schotland op basis van cijfers van begin 2018. Samen het verenigd koninkrijk heeft een geschatte bevolking van meer dan 66 miljoen euro.
Wij hebben enkele politieagenten op de beat en de nummers lijken te zijn slinkende jaar na jaar. Dus, de paar die we nog hebben moeten begrijpen dat de huidige digitale bedreigingen.
Als een vriend van mij-een recent gezalfde lid van het verenigd koninkrijk van kracht — is om geloofd te worden, ze hebben zoveel kennis vergrendeld en weten zo veel, of misschien wel meer, dan de gemiddelde cybersecurity journalist.
Deze verklaring gevraagd vrolijkheid en hoon voor één of beide betrokken partijen, maar de vraag blijft: wat doen politie in het Verenigd Koninkrijk kennen als het gaat om cyberdreigingen, en hoe zijn ze met deze informatie?
ZDNet besloten om uit te vinden.
In November 2018, Cisco kondigde een samenwerking met de BRITSE politie bij de lancering van een landelijk initiatief om de toegang tot cybersecurity opleiding voor officieren.
Via het Cisco Networking Academy, politieagenten zullen worden aangeboden cursussen ter verbetering van hun cybersecurity kennis.
Andy Biet, van de Nationale Politie Chiefs’ Raad, Data Communications Group, zei de cursussen en het initiatief bij de grote zou, “het bewustzijn en het vergroten van hun inzicht in cybercrime en cyberdreigingen,” en dat “het is belangrijk voor de politie om te begrijpen cybersecurity zo volledig mogelijk; zo kunnen zij de ontwikkeling van hun kennis in dit steeds belangrijker wordende gebied, het verbeteren van de veiligheid in zowel hun professionele en persoonlijke leven.”
TechRepublic: Phishing en spearphishing: Een cheat sheet voor zakelijke professionals
Om inzicht te krijgen in welke opleiding ze zal ontvangen, heb ik toegezegd sommige van de cursussen die vandaag de BRITSE officieren in staat zal zijn om toegang te krijgen en zal geleerd worden, zowel online als in persoon, volgens een Cisco-woordvoerder.
Welke cursussen?
De vakken zijn Inleiding tot Cybersecurity en Cybersecurity Essentials, die beide kunnen nu uitgevoerd worden gratis door iedereen als een onderdeel van de Europese Cyber Security Awareness Month initiatief.
Iedereen kan zich inschrijven door zich te registreren. Ik heb dus, zij het opvoeden van een wenkbrauw in het proces toen ik me realiseerde dat een platform gehost cybersecurity opleiding niet aandringen op een sterk, complex wachtwoord-waarschijnlijk niet de beste start, maar we zijn hier om te leren over dergelijke praktijken, toch?
Inleiding tot Cybersecurity
De eerste koers begon met een van de belangrijkste elementen om te begrijpen als je de optelsom maakt als het gaat om digitale criminaliteit: de gegevens.
Amusement over het wachtwoord element opzij, die de cursus vanuit het perspectief van een voormalige leraar, de materialen zijn vastgelegd in hapklare brokken, duidelijk, met een gemakkelijk-aan-volg de lay-out.
De cursus is ONS-centric; bijvoorbeeld, wanneer het gaat over het wat, hoe en structuur van de gegevens, veel van de voorbeelden die gegeven werden ONS gericht, zoals wordt toegelicht hoe de diefstal van de jaarlijkse belastingaangifte informatie kan worden gebruikt om te frauderen op de IRS-maar de boodschap was duidelijk: de data zijn waardevol, en in de verkeerde handen, kan misbruikt worden voor de toepassing van identiteitsdiefstal en meer.
CNET: Twitter-berichten aan de russische cybersecurity bedrijf geholpen NSA lek sonde
Het materiaal verplaatst van welke soorten van persoonsgegevens kan iemand met een virtuele identiteit aan welke informatie wordt aangehouden door vennootschappen en financiële systemen.
Een gedeelte van de cursus dan bedekt IoT en de Big Data die in het grote schema van de dingen, is niet echt relevant voor een bobby op de straat omgaan met een oudere persoon die heeft gewoon opgelicht waren van hun spaargeld door een crimineel die het gestuurd heeft hen een e-mail beweert ze won de spaanse loterij.
De Vertrouwelijkheid, Integriteit, en Beschikbaarheid (CAD ) triade werd vervolgens besproken, die Cisco noemt de “richtlijn voor de beveiliging van informatie voor een organisatie.”
“Voor de bescherming van een organisatie vanuit elke mogelijke cyberaanval is niet haalbaar, om een paar redenen. De deskundigheid die nodig is voor het instellen en handhaven van het beveiligde netwerk kan duur zijn. Aanvallers zullen altijd blijven zoeken naar nieuwe manieren om het doel van netwerken. Uiteindelijk, een geavanceerde en gerichte cyberaanval zal slagen. De prioriteit zal dan zijn hoe snel uw security team kan reageren op de aanval te minimaliseren van het verlies van gegevens, onderbreking, en de omzet.” – Inleiding tot Cybersecurity
Checksums — een middel om te controleren of de integriteit van de bestanden — en hashes vervolgens werden onderzocht, wat leidt tot een online lab test gegevens te vergelijken met hashes.
Op dit punt werd ik enigszins wanhopig met de cursus. Terwijl een goede, gedegen gids over de basisprincipes van cybersecurity, er was weinig verder dan een verkenning van het concept van gegevens die kunnen worden beschouwd als relevant.
Uiteindelijk, echter, het onderwerp van phishing kwam.
Phishing is het gebruik van frauduleuze berichten te verleiden een ontvanger klikt op een link naar een kwaadaardige domein, met de hand over gevoelige informatie of het downloaden van schadelijke documenten ingesloten met malware lading.
Dit is een zeer veel voorkomende aanval en één ervaren door het publiek op een dagelijkse basis. De oplichters zullen imiteren iedereen van banken en financiële diensten in het verenigd koninkrijk — zoals Lloyds, Barclays, Mastercard, en Visa — de BRITSE Student Loans Company (SLC) en her Majesty ‘ s Revenue and Customs (HMRC).
Het probleem is wijdverspreid genoeg dat organisaties, waaronder de HMRC zijn gedwongen om te waarschuwen tegen deze spam en hebben gepubliceerd voorbeelden van wat te zoeken.
HMRC
Het is niet alleen per e-mail phishing campagnes die consumenten — en de kracht — bewust van moet zijn. Sms-berichten, social media links, en zelfs koude gesprekken die gebruik maken van telefoon-nummer spoofing en zich voordoen als legitieme services zijn alle voorkomende zwendel technieken.
In dit gedeelte van de cursus, wordt het materiaal nauwkeurig beschreven hoe phishing-aanvallen optreden, wat zij kan betekenen-maar er was geen sprake van ‘ social engineering — en gebruikt de 2015 LastPass schending van de beveiliging in die gegevens van de gebruiker in gevaar is gebracht zwakke wachtwoorden als voorbeeld.
Social engineering mag niet worden over het hoofd gezien. Hoewel het kort vermeld later in de cursus, meer nadruk op ‘social engineering’ moet worden benadrukt voor dit specifieke onderzoek groep.
Social engineering is een term voor methoden die aanvallers, criminelen en fraudeurs gebruiken om het mentaal manipuleren van een slachtoffer.
Deze aanval methode vereist dat de menselijke interactie. Een fraudeur kan doen alsof ze een medewerker van een bedrijf of overheidsinstelling, een vriend, of een andere betrouwbare bron.
De Facebook post die smeekt hulp voor een stervend kind; de-e-mail zogenaamd van payroll die dringend uw bankgegevens, zodat u kunt worden betaald; de oproep van de belastingdienst waarin iemand eisen dat u onmiddellijk een vergoeding betalen of het risico de gevangenis — al deze oplichting doel te ontlokken een emotie zoals verdriet of paniek te duwen van een slachtoffer in het overhandigen van geld of gevoelige informatie.
In het verenigd koninkrijk, een aantal van de meest voorkomende vormen van social engineering-assisted oplichting zijn verzekering en de loterij oplichting; frauduleuze pensioenregelingen en vragen; en copycat frauduleuze websites, zoals in het recente geval van een paar die werden gevangen gezet voor 35 jaar na het maken van £37 miljoen uit de verkoop van valse paspoorten en rijbewijzen door middel van valse BRITSE regering portals.
Na het verkennen van phishing, een paar voorbeelden werden gegeven van recente inbreuken op de beveiliging, met inbegrip van Equifax en Vtech, wat leidde tot een lab klasse op hoe om achter de feiten en het vinden van andere recente incidenten.
Echter, de voorbeelden die gegeven werden in een onhandig formaat, die in mijn opinie is niet gemakkelijk verteerd door een student en nam de technische kennis van termen, die nog niet zijn verkend. (Een woordenlijst op dit punt zou hebben geholpen.)
De cursus, onder meer de volgende:
Verschillende soorten van bedreigingen en hackers soorten, zoals wit, grijs en zwart uitgelegd
De geschiedenis van cyberwarfare, inclusief bespreking van Stuxnet
Kwetsbaarheden in de beveiliging, typen, zoals de niet-gevalideerde invoer gebreken, buffer overflow bugs, en race condities
Soorten malware, zoals spyware, adware, ransomware en Trojaanse paarden. Man-in-the-Middle (MITM) aanvallen werden ook opgenomen onder de malware paraplu, die verwarrend kunnen zijn.
Wi-Fi-aanvallen, packet sniffing
Denial of service (DoS) aanvallen
SEO vergiftiging
OAuth 2.0
Cybersecurity tools & practices: firewalls, proxy servers, port scanning, incident response. honeypots, en het doden van ketens.
Interessant, maar niet relevant in veel gevallen tot handhaving van de wet-tenzij ze worden opgeleid om zich te specialiseren als onderzoekers in strafzaken in de cybersecurity rijk.
Er werd vervolgens een hoofdstuk detaillering basic security advies, twee-factor authenticatie (2FA), de risico ‘ s van openbare Wi-Fi-poses en het maken van sterke complexe wachtwoorden.
Ik vond de volgende fase in de koers enigszins amusant: een how-to over encryptie, back-ups, de browser van de incognitomodus, en schrapping van gegevens. Sinds mijn vaderland is de schepper van de Snooper ‘ s Charter en heeft oorlog gevoerd op het gebruik van encryptie, is uw gemiddelde officer wordt geleerd hoe deze technologieën deed prompt een glimlach.
Echter, het volgende hoofdstuk is belangrijk: een gids voor online gedrag: wat wordt beschouwd als risicovol, zoals slechte wachtwoorden, oversharing op social media, en het gebruik van openbare Wi-Fi-en hoe individuen kunnen het verbeteren van hun algemene cybersecurity houding.
Het is dit soort materiaal dat is de sleutel voor de huidige handhaving van de wet. De digitale diensten zijn nu stevig verweven in ons leven en er kan een generatiekloof verbroken en onderwijs tekortkomingen, in alle leeftijden, die open kunnen ons maximaal te benutten door slimme cybercriminelen.
Mijn interesse was ook gewekt toen de term “juridische aspecten” kwam. Ik hoopte om een korte overzicht of twee op de huidige BRITSE wetten met betrekking tot cyberintrusions, fraude, en in het geval van de financiële diefstal, wat kunnen slachtoffers terug te vorderen, en die ze nodig hebben om mee te praten.
Helaas was dit niet te zijn.
In het kort, de meest relevante wetten rondom cybersecurity zijn:
General Data Protection Regulation (GDPR): Een upgrade op de BRITSE Wet Bescherming persoonsgegevens van 1998, GDPR nu hanteert een strikte set van regels voor gegevensopslag en-deling binnen de Europese Unie. VERZENDING bedrijven moeten in het nemen van adequate maatregelen ter bescherming van gegevens en slaan alleen wat is nodig of worden geconfronteerd met een zware boete. Tenminste, voor nu.
Beveiliging van Netwerk-En informatiesystemen van de Verordeningen (NIS Regelgeving): aangelegd in 2018, NIS-Regelgeving vereist dat de BRITSE operators in kritieke diensten, zoals energie, vervoer en gezondheid — bij het verbeteren van hun cybersecurity praktijken.
De Computer Misuse Act (CMA): Dit jaren 1990 de wet is momenteel in het verenigd koninkrijk is de belangrijkste manier om te vervolgen hackers. De CMA kan worden gebruikt om de vervolging van cybercriminelen voor het verkrijgen van ongeautoriseerde toegang tot Pc ‘ s en het veroorzaken van schade aan de machines. Echter, slechts 47 gevallen van illegaal hacken resulteerde in vervolgingen in 2017.
De cursus, in plaats daarvan, mits een kort overzicht van de juridische kwesties; persoonlijke -, bedrijfs -, en internationaal. Echter, deze waren gebaseerd op het gedrag van de hackers en de gevolgen van het illegaal inbreken in systemen, eerder dan iets beton, of wat kan worden gedaan door handhaving van de wet zich tot het opsporen van de daders.
De algemene gegevens, phishing, online risico gedrag en wachtwoord gebruik maken van de meest relevante onderwerpen aan de wetgeving onderzocht tijdens de cursus. Maar de historische cyberwarfare, beveiligingsproblemen, OAuth, cybersecurity professionele tools, en nog veel meer onderwerpen die niet geschikt waren.
Al met al is de cursus kan worden verkort tot enkele pagina ‘ s te onderhouden relevantie voor handhaving van de wet.
Cybersecurity Essentials
Na een korte inleiding met vermelding van de geschiedenis van hacking en Sun Tzu ‘ s Art of War, is dit natuurlijk doken meer in-diepte details van onderwerpen die reeds aan bod kwamen in de inleiding.
Veel van de cursus werd gerecycled, zoals een verkenning van de soorten hackers in het bestaan, data types en risicofactoren, Big Data & IoT, en de soorten van externe en bedreigingen van binnenuit op de werkplek van vandaag.
Er was een korte bespreking van advanced persistent threats (APTs), die waarschijnlijk van belang zijn voor de cursisten, evenals informatie over de principes van beveiliging, data-staten en integriteit van de gegevens waarborgen, toegang tot de controles, en een meer gedetailleerde toelichting op malware soorten en families.
Sommige delen zijn oefeningen om praktisch toe te passen wat je hebt geleerd, en deze taken helpen cement van de inhoud van de cursus.
“Je hoeft niet eens te worden van een werknemer om te worden onderworpen aan cybersecurity wetten. In uw privé-leven, hebt u de mogelijkheid en vaardigheden om een hack een andere persoon computer of netwerk. Er is een oud gezegde, “Gewoon omdat je het kan betekent niet dat je moet.” Houd dit in gedachten. De meeste hackers achterlaten van sporen, of ze het weet of niet, en deze sporen kunnen worden gevolgd, terug naar de hacker.
Cybersecurity professionals de ontwikkeling van allerlei vaardigheden die kunnen worden gebruikt voor het goede of het kwade. Degenen die gebruik maken van hun vaardigheden binnen het juridische systeem, de bescherming van infrastructuur, netwerken, privacy en zijn altijd in grote vraag.” – Cybersecurity Essentials
Deze cursus is zeer veel gericht zou moeten zijn de onderzoekers van de veiligheid, eerder dan professionals in andere gebieden die behoefte hebben aan een cybersecurity de stichting om aan te geven van informatie aan het publiek en om te gaan met criminele zaken.
Begrijp me niet verkeerd: het is een uitstekende inleiding en geeft de leerlingen een stabiele basis voor het kickstarting een carrière op het gebied van cyberbeveiliging. De cursus verkent ook cybersecurity speciale gebieden, kaders, professionele organisaties en het bedrijfsleven certificeringen die alleen nuttig zijn voor de kandidaten.
Echter, de in-diepte dekking van Telnet, SSH, pakket traceren, cryptografie en steganografie zijn niet vereist voor algemene toepassing van de wet.
De uitspraak
De cursussen zelf zijn — vooral — licht verteerbaar, duidelijk en goed geschreven explainers op de basis en het fundament van cybersecurity risico ‘ s, onderzoek en carrière mogelijkheden vandaag de dag. Echter, als leermiddelen voor de huidige handhaving van de wet, slechts een paar delen zijn relevant of van toepassing is, en er is een hoop werk gedaan worden als handhaving van de wet gaat om het meeste te halen uit hun studie.
Volgens Cisco, het programma is nog steeds in de vroege stadia, en veel details moeten nog worden bepaald. Ik zou hopen dat er meer nadruk gelegd op gemeenschappelijke oplichting, het BRITSE recht, en welke informatie moet worden meegedeeld aan het grote publiek te informeren en hen op risicovolle online gedrag — evenals die aan de beurt om in het geval van fraude en succesvolle aanvallen.
Echter, als je geïnteresseerd bent in het nemen van een paar inleidende cursussen aan de wereld van cybersecurity, ik zou aanraden het aanmelden.
“Terwijl er een sterke focus op cyber security en netwerken, maar ook gebieden zoals het Internet van de dingen, programmering en besturingssystemen kunnen ook worden gedekt,” de woordvoerder gezegd. “Ik zou voorstellen dat er enige flexibiliteit in termen van wat aspecten van de cursussen agenten kunnen nemen.”
Vorige en aanverwante dekking
Iraanse hackers verdachte in de wereldwijde DNS-kaping campaignOXO Internationale onthult inbreuk op gegevens, de gegevens van de klant meer dan twee jaar beïnvloed Zerodium zal betalen nu $2 miljoen voor Apple iOS remote jailbreaks
Verwante Onderwerpen:
Verenigd Koninkrijk
Beveiliging TV
Data Management
CXO
Datacenters
0