Перевод
Язык оригинала
17.06.2025
International Cooperation in Cyber Security: Challenges, and Strategies of Incident Response
1. Introduction
In today’s world where everything is interconnected via the internet, cyber security has become a key issue for global stability. The effects of cyberattacks are no longer confined to a single country; such attacks affect people, companies, and governments throughout the world. However, different legislations, lack of trust between countries, and different rules often make combating those threats difficult.
Key statement: international cooperation in cybersecurity is required to com-bat global digital threats, but this cooperation faces problems such as different legislation and lack of trust between countries. These problems need to be handled via joint strategies.
2. The importance of CSIRT and international cooperation
Computer Security Incident Response Teams (CSIRT) play an important role in protecting key infrastructure and reducing the risks of cyberattacks. Their task is detecting, preventing, and responding to cyberattacks on telecommunications, banks, and the energy sector. However, such attacks are often launched fr om other countries, and CSIRT’s effectiveness and efficiency depend on cooperation between countries.
There are international treaties, such as the 2001 Budapest Convention on Cybercrime. It helps countries harmonize their legislation and facilitates cooper-ation. However, some large countries are not members of this convention, which reduces its effectiveness. Additionally, different countries have different classifica¬tions of cybercrimes, which complicates joint investigations.
3. Key infrastructure in incident response: SOC and NOC
Security Operations Centers (SOC) and Network Operations Centers (NOC) help CSIRT via real-time monitoring and rapid incident response.
• SOC (Security Operations Center): Detect threats and coordinate defense.
• NOC (Network Operations Center): monitors network infrastructure and works together with SOC to protect against attacks, for instance, DDoS attacks.
International cooperation between these centers is very important, but often hindered by restrictions in exchanging information and by different communications protocols.
4. A successful cooperation case: EMOTET disrupted
The disruption of EMOTET, one of the world’s most dangerous botnets, constituted a case of successful international cooperation. EMOTET was detected in 2014 as a banking Trojan. It spread via emails with infected attachments that tricked users into enabling macros and launching the malware. Once installed, EMOTET allowed criminals to spread other malware.
In January 2021, the authorities in several countries, including the Nether-lands, Germany, and the UK together with Europol and Eurojust, conducted an operation to eliminate EMOTET’s infrastructure. This operation demonstrated that international cooperation could be effective in combating cybercrime.
5. Cases of absence of cooperation and their consequences
Despite cases of successful cooperation, there are also instances of grave con-sequences resulting from the absence of international coordination. For instance, the 2017 WannaCry ransomwere attack affected hundreds of thousands of computers in over 150 countries. In the absence of a rapid global response, the malware spread like wildfire. This case demonstrates the importance of bolstering mecha-nisms for rapid response and real-time information exchange.
6. Artificial Intelligence and its role in cyber security
Artificial Intelligence (AI) assists in enhancing cybersecurity by making it pos¬sible to rapidly detect threats via big data analysis. However, cybercriminals also use AI to make their attacks more dangerous, for instance, they automate attacks and create more complex malware.
Internationally, AI can facilitate exchanging information on threats, but it requires common standards of its secure, safe, and ethical use.
7. Public Private Partnership initiatives
In addition to intergovernmental cooperation, interaction with the private sector is also important. Tech companies, cloud services providers, and digital plat-forms have both data and instruments that can help detect and prevent attacks. For instance, the Cyber Threat Alliance (CTA) initiative allows companies to exchange information on threats in real-time, which demonstrates that effective and efficient cooperation should not be limited to public organizations only.
8. The role of cyber diplomacy
Cyber diplomacy is becoming an important instrument in international cyber security cooperation. International organizations such as the UN promote discus-sions of international rules of conduct in cyber security with a view to reducing conflicts prompted by state attacks or by government-supported groups. Using bilateral and multilateral treaties, diplomacy could facilitate information exchange, technical support, and creation of joint mechanisms for responding to major inci-dents.
9. Metrics and Key Performance Indicators (KPI)
Assessing the effectiveness and efficiency of international cooperation in cyber security requires deciding on metrics and indicators. Some key KPI include:
• Mean Time To Detect and Mean Time To Respond (MTTD and MTTR) to cross-border incidents.
• Number of incidents CSIRT dealt with jointly, and the time it took to handle these incidents.
• The degree of automating the exchange of information on threats via such platforms as MISP.
• Assessing CSIRT maturity according to such standards as the FIRST CSIRT Services Framework.
10. Fragmentation in cyber space management
One of the key problems in international cyber security cooperation is fragmented cyber space management. Unlike other international security areas, cyber security does not have a single management system with clear rules for all countries. Some countries support an open and decentralized internet, while others want a greater degree of control over the digital infrastructure. It makes it more difficult to develop solid international treaties and creates gray areas wh ere criminals can act with impunity.
Another problem lies in non-harmonized cyber security legislation. Every country has its own laws, which could create conflicts in investigating cross-border incidents. Additionally, lack of common standards in communications proto¬cols and lack of trust between states could hinder effective response. Cultural and linguistic differences could also hamper coordination at critical moments. These problems demonstrate the need for a more integrated and cooperative approach.
11. Cybercrime and the absence of a transnational jurisdiction
Cyber criminals frequently take advantage of legislative differences between countries to avoid punishment. An attack could be launched fr om a country with more lenient legislation and affect institutions in another country that has no mechanisms for requesting legal assistance. Without extradition treaties or prompt exchange of judicial information, many crimes go unpunished. The absence of an effective transnational jurisdiction allows cyber criminals to continue their opera-tions, which further stresses the need to harmonize legislation and bolster cooper-ation between law enforcement agencies.
12. Proposals on improving international cooperation
To improve cooperation in cyber security, we need to devise joint response protocols that would allow countries to respond to incidents in a coordinated man-ner. Introducing secure platforms to exchange information between CSIRT, SOC, and NOC will facilitate detecting and preventing threats. Additionally, harmonizing international laws will help remove barriers that hamper cooperation and will accelerate interactions between different organizations.
Another important strategy consists in holding international cyber security drills intended to improve preparedness and coordination between response teams. Training cyber security experts and deciding on metrics for assessing coop¬eration effectiveness and efficiency will help optimize joint efforts. Such initiatives as UNAM-CERT in Mexico and RU-CERT in Russia demonstrated that coopera¬tion between academic, public, and private organizations is a key element in creating a more stable global cyber security ecosystem.
13. Conclusion
International cooperation in cyber security is a must in the digital world wh ere threats keep developing. Together with SOC and NOC, CSIRT should bolster their cooperation strategies, use new technologies, and share best practices to improve incident response. Only trust and joint work allow to counteract complex cyberattacks effectively.
UNAM-CERT and RU-CERT demonstrated the value of international coop-eration in information security. UNAM-CERT played an important role in protecting Mexico’s digital infrastructure, while RU-CERT helped protect networks in Russia via cooperation with international organizations. These initiatives demonstrate the importance of bolstering global cooperation with a view to creating a more secure and safe digital environment.
1. Введение
В современном мире, где всё связано через интернет, кибербезопасность стала очень важной для глобальной стабильности. Кибератаки больше не происходят только в одной стране; они влияют на людей, компании и правительства по всему миру. Однако борьба с этими угрозами часто затруднена из- за разных законов, отсутствия доверия между странами и различий в правилах.
Тезис: Международное сотрудничество в области кибербезопасности необходимо для борьбы с глобальными цифровыми угрозами, но оно сталкивается с проблемами, такими как разные законы и отсутствие доверия между странами. Эти проблемы нужно решать с помощью совместных стратегий.
2. Важность CSIRT и международного сотрудничества
Команды реагирования на инциденты компьютерной безопасности (CSIRT) играют важную роль в защите важной инфраструктуры и снижении рисков кибератак. Их задача — находить, предотвращать и реагировать на кибератаки в таких областях, как телекоммуникации, банки и энергетика. Однако, так как атаки часто происходят из других стран, эффективность CSIRT зависит от сотрудничества между странами.
Есть международные соглашения, например, Будапештская конвенция о киберпреступности, принятая в 2001 году. Она помогает странам согласовывать законы и облегчает сотрудничество. Но некоторые крупные страны не участвуют в этой конвенции, что снижает её эффективность. Кроме того, разные страны по-разному классифицируют киберпреступления, что затрудняет совместные расследования.
3. Ключевая инфраструктура в реагировании на инциденты: SOC и NOC
Центры операций безопасности (SOC) и центры операций сети (NOC) помогают CSIRT, предоставляя мониторинг в реальном времени и быстрое реагирование на атаки.
• SOC (Security Operations Center): Обнаруживают угрозы и координируют защиту.
• NOC (Network Operations Center): Следят за сетевой инфраструктурой и работают вместе с SOC для защиты от атак, таких как DDoS.
Международное сотрудничество между этими центрами очень важно, но часто затруднено из-за ограничений в обмене информацией и различий в протоколах связи.
4. Пример успешного сотрудничества: деактивация EMOTET
Хорошим примером успешного международного сотрудничества стала деактивация EMOTET, одного из самых опасных ботнетов в мире. EMOTET был обнаружен в 2014 году как банковский троян. Он распространялся через электронные письма с вредоносными вложениями, которые обманывали пользователей, заставляя их включать макросы и запускать вредоносное ПО. После установки EMOTET позволял злоумышленникам распространять другие вредоносные программы.
В январе 2021 года власти нескольких стран, включая Нидерланды, Германию и Великобританию, совместно с Europol и Eurojust, провели операцию по уничтожению инфраструктуры EMOTET. Эта операция показала, как международное сотрудничество может быть эффективным в борьбе с киберпреступностью.
5. Случаи отсутствия сотрудничества и их последствия
Хотя есть примеры успешного сотрудничества, бывают и случаи, когда отсутствие координации между странами приводит к серьёзным последствиям. Например, атака ransomware WannaCry в 2017 году затронула сотни тысяч компьютеров в более чем 150 странах. Отсутствие быстрого глобального ответа позволило вредоносному ПО распространиться очень быстро. Этот случай показывает, как важно укреплять механизмы быстрого реагирования и обмена информацией в реальном времени.
6. Искусственный интеллект и его роль в кибербезопасности
Искусственный интеллект (ИИ) помогает в кибербезопасности, позволяя быстро обнаруживать угрозы, анализируя большие объёмы данных. Однако ИИ также используется киберпреступниками для улучшения своих атак, например, для автоматизации атак и создания более сложного вредоносного ПО. На международном уровне ИИ может облегчить обмен информацией об угрозах, но для этого нужны общие стандарты для его безопасного и этичного использования.
7. Инициативы государственно-частного партнерства
Кроме сотрудничества между правительствами, важно взаимодействие с частным сектором. Технологические компании, поставщики облачных услуг и цифровые платформы имеют данные и инструменты, которые могут помочь в обнаружении и предотвращении атак. Например, инициатива Cyber Threat Alliance (CTA) позволяет компаниям обмениваться информацией об угрозах в реальном времени. Это показывает, что эффективное сотрудничество не должно ограничиваться только государственными организациями.
8. Роль кибердипломатии
Кибердипломатия становится важным инструментом для сотрудничества между странами в области кибербезопасности. Международные организации, такие как ООН, продвигают обсуждения о нормах поведения в киберпространстве, чтобы уменьшить конфликты, вызванные государственными атаками или группами, поддерживаемыми правительствами. Через двусторонние и многосторонние соглашения дипломатия может облегчить обмен информацией, техническую помощь и создание совместных механизмов для реагирования на крупные инциденты.
9. Метрики и ключевые показатели эффективности (KPI)
Чтобы оценить эффективность международного сотрудничества в области кибербезопасности, нужно определить метрики и показатели. Некоторые ключевые KPI включают:
• Среднее время обнаружения и реагирования
(MTTD и MTTR) на трансграничные инциденты.
• Количество инцидентов, которые CSIRT
рассмотрели совместно, и время их устранения.
• Степень автоматизации обмена информацией об угрозах через платформы, такие как MISP.
• Оценка зрелости CSIRT по стандартам, таким как FIRST CSIRT Services Framework.
10. Фрагментация в управлении киберпространством
Одна из главных проблем для международного сотрудничества в области кибербезопасности — это фрагментация в управлении киберпространством. В отличие от других областей международной безопасности, в кибербезопасности нет единой системы управления с чёткими правилами для всех стран. Некоторые страны поддерживают открытый и децентрализованный интернет, а другие хотят большего контроля над цифровой инфраструктурой. Это затрудняет создание прочных международных соглашений и создаёт серые зоны, где злоумышленники могут действовать безнаказанно.
Ещё одна проблема — это отсутствие гармонизации законов в области кибербезопасности. У каждой страны свои законы, что может создавать конфликты при расследовании трансграничных инцидентов. Кроме того, отсутствие общих стандартов в протоколах связи и недоверие между странами могут замедлять эффективное реагирование. Культурные и языковые различия также могут осложнять координацию в критические моменты. Эти проблемы показывают, что нужен более интегрированный и кооперативный подход.
11. Киберпреступность и отсутствие транснациональной юрисдикции
Киберпреступники часто используют различия в законах разных стран, чтобы избежать наказания. Атака может исходить из страны с мягкими законами и затрагивать учреждения в другой стране, где нет механизмов для запроса правовой помощи. Без соглашений об экстрадиции или оперативного обмена судебной информацией многие преступления остаются безнаказанными. Отсутствие эффективной транснациональной юрисдикции позволяет
киберпреступникам продолжать свою деятельность, что подчёркивает необходимость гармонизации законов и укрепления сотрудничества между правоохранительными органами.
оптимизировать совместные усилия. Инициативы, такие как UNAM-CERT в Мексике и RU-CERT в России, показали, что сотрудничество между академическими, государственными и частными организациями является ключевым элементом для создания более устойчивой глобальной экосистемы кибербезопасности.
12. Предложения по улучшению международного сотрудничества
Для улучшения сотрудничества в области кибербезопасности нужно создать протоколы совместного реагирования, которые позволят странам действовать скоординированно в случае инцидентов. Внедрение безопасных платформ для обмена информацией в реальном времени между CSIRT, SOC и NOC облегчит обнаружение и предотвращение угроз. Кроме того, гармонизация международных законов поможет устранить барьеры в сотрудничестве и ускорить взаимодействие между разными организациями.
Ещё одна важная стратегия — проведение международных учений по кибербезопасности для улучшения подготовки и координации между командами реагирования. Обучение специалистов по кибербезопасности и определение метрик для оценки эффективности сотрудничества помогут
13. Заключение
Международное сотрудничество в области кибербезопасности — это необходимость в цифровом мире, где угрозы постоянно развиваются. CSIRT, вместе с SOC и NOC, должны укреплять свои стратегии сотрудничества, использовать новые технологии и делиться лучшими практиками для улучшения реагирования на инциденты. Только через доверие и совместную работу можно эффективно противостоять сложным кибератакам.
UNAM-CERT и RU-CERT показали ценность международного сотрудничества в области информационной безопасности. UNAM-CERT сыграл важную роль в защите цифровой инфраструктуры в Мексике, а RU-CERT помог защитить сети в России, сотрудничая с международными организациями. Эти инициативы показывают, как важно укреплять глобальное сотрудничество для создания более безопасной цифровой среды.
Читать весь текст
Социальные сети Instagram и Facebook запрещены в РФ. Решением суда от 21.03.2022 компания Meta признана экстремистской организацией на территории Российской Федерации.