Cybercrime is on the increase worldwide with some estimates putting the cost to the global economy at more than 500 billion euros a year. While there are international efforts to help stop cybercriminals in their tracks, very little is being done in Africa to strengthen cybersecurity. The African Union has created a new convention aimed at tackling cybercrime, but it has not been ratified by a single African country and only five countries on the entire African continent have any laws governing cybercrime. RFI spoke to Eric Tamarkin, a consultant with the Institute for Security Studies and former Senior Counsel to the US Senate on cybersecurity policy.
So the rest of the continent doesn’t have any laws governing cybercrime?
Unfortunately, it’s not really on the radar screen for many of the countries and for good reason: there are certainly pressing problems across the continent. But cybercrime is a problem that is going to creep up on folks here. Unless African nations start to address this it’s really going to damage the economic potential of the continent and the national security of the continent.
It seems that the different legal conventions are rather confusing – let’s start at the international level. Mauritius is the only country to have ratified the Council of Europe’s Convention on Cybercrime, a widely supported initiative.
Even though it is called the Budapest Convention and a lot of the EU countries are supporting that instrument, it’s actually a global instrument. South Africa, where I’m based, was actually part of the drafting process. Several different nations, not just EU nations, were part of the consideration of this instrument. Unfortunately it hasn’t really had a lot of support here in Africa. Only Mauritius has taken the step of ratifying, South Africa has not ratified, surprisingly.
In Africa itself we have four different regional models or frameworks from different regional bodies.
Even though the Africa Union has been debating this AU convention there have been different regional approaches that have tried to tackle the issue. They’ve had little success and it’s been a challenge to get countries onboard, uniting behind one approach.
The African Union approach, the AU Convention on Cyber Security and Personal Data Protection, no African countries have ratified this?
To my knowledge that’s correct. It’s going to be a bit of a challenge to get countries to understand everything that’s included in this convention. It’s not just dealing with cybercrime and the policy brief focuses only on the cyber crime provisions of the convention. But it deals with a wide swathe of e-commerce, data privacy and other provisions. For many countries it may be difficult to understand everything that’s in the convention, let alone be able to ratify it.
One of the concerns about the African Union model is about restrictions to free speech. Will it limit free speech?
It’s certainly a point of contention and as I compared the AU’s approach to the Budapest Convention, during the Budapest Convention some of these same provisions were controversial. As in infringements on free speech and as a result during the Budapest process those provisions were actually taken out and made into an addendum so that more countries could support the broad concepts of the underlying Budapest Convention. The controversial free speech elements were put aside into an addendum. In the African Union approach, those same sort of controversial provisions which limit speech on xenophobia, on other issues like that, those are actually in the body of the convention. So there may be some free speech issues raised by some member countries.
Cybersecurity firm Trend Micro have called Africa ‘the new safe harbour for cybercriminals’. It seems few African governments are doing anything to address this.
Yes, that’s absolutely right. Africa is growing immensely in terms of connectivity, mobile technologies are growing exponentially. Recent studies have said that almost 20 per cent of the population will have internet access by the end of 2014. Subscriptions on mobile phones are growing 20-fold between the end of 2013 and 2019, that’s double the rate of growth of the rest of the world. We’re looking at a lot more people having access to the internet and therefore a lot more potential victims to cybercrime. The question is whether or not, as more and more people become connected to the internet, whether or not there’s appropriate safeguards and I talk about, in a prior policy brief, a multi-layered approach to fighting cybercrime. Its not just international instruments to unite the world in an effort to fight cybercrime, it’s also about cybersecurity awareness and education, individuals understanding the need to have strong passwords and not to click on certain links that they don’t trust. So if African countries don’t address the cybercrime element there will certainly be a safe harbour here on the continent.
FRENCH VERSION
Quels pays africains ont des lois criminalisant la cybercriminalité ?Dans votre document de politique générale, vous mentionnezCameroun, Kenya, Maurice, Afrique du Sud et en Zambie.
Seule une poignée de pays africains ont pris l’initiative decriminaliser la cybercriminalité. C’est vraiment ce que les regardsbref politique au – l’écart entre un problème pressant sur lecontinent et le fait que si peu de pays ont effectivement ajustéspar le biais de la législation et des lois.
Donc le reste du continent n’a pas toutes les lois qui régissent la cybercriminalité ?
Malheureusement, il n’est pas vraiment dans le collimateur denombreux pays et pour cause : il y a certainement des problèmesurgents à travers le continent. Mais la cybercriminalité est unproblème qui va se déplacer vers le haut sur des gens ici. À moins que les pays africains commencent à aborder ce que ça vavraiment endommager le potentiel économique du continent etla sécurité nationale du continent.
Il semble que les différentes conventions juridiques sont assezconfuses–commençons au niveau international. Maurice est leseul pays à avoir ratifié la Convention du Conseil de l’Europe surla cybercriminalité, une initiative largement pris en charge.
Même si elle est appelée la Convention de Budapest, etbeaucoup de pays de l’UE soutiennent cet instrument, c’est en fait un instrument mondial. Afrique du Sud, où je suis basé, étaiten fait partie du processus de rédaction. Plusieurs nationsdifférentes, pas seulement pays de l’UE, faisaient partie de lacontrepartie de cet instrument. Malheureusement, il n’a pasvraiment eu beaucoup de soutien ici en Afrique. SeulementMaurice a pris l’étape de la ratification, l’Afrique du Sud n’a pasratifié, étonnamment.
En Afrique même, nous avons quatre différents modèlesrégionaux ou des cadres de différents organismes régionaux.
Même si l’Union africaine a débattu de cette convention de l’UA il y a eu différentes approches régionales qui ont tenté des’attaquer au problème. Ils ont eu peu de succès, et il a été undéfi pour obtenir le pays à bord, s’unir derrière une approche.
L’approche de l’Union africaine, la Convention de l’UA sur laCyber–sécurité et Protection des données personnelles, aucunpays d’Afrique n’ont ratifié ceci ?
À ma connaissance c’est exact. Il va être un peu un défi pouramener les pays à comprendre tout ce qui est inclus dans laprésente convention. Il est non seulement traitant de la cybercriminalité et la politique bref se concentre uniquement surla cyber dispositions relatives aux crimes de la convention. Mais ilporte sur une large bande de commerce électronique, de la protection des données et d’autres dispositions. Pour denombreux pays il peut être difficile à comprendre tout ce qui estdans la convention, et encore moins être en mesure de le ratifier.
Une des préoccupations sur le modèle de l’Union africaine est surles restrictions à la liberté d’expression. Il limitera la libertéd’expression ?
C’est certainement un point de discorde et que j’ai comparél’approche de l’UA à la Convention de Budapest, au cours de laConvention de Budapest, certains de ces mêmes dispositionsétaient controversés. Comme dans les infractions sur la libertéd’expression et, par conséquent, au cours du processus deBudapest, ces dispositions ont été effectivement souscrites ettransformées en un additif afin que davantage de pays pourraitsoutenir les grands concepts de la Convention de Budapest sous-jacent. Les éléments de la liberté d’expression controversée ont été mis de côté dans un additif. Dans la démarche d’Unionafricaine, ces mêmes dispositions sorte de controversé quilimitent les discours sur la xénophobie, sur d’autres questionscomme ça, ceux qui sont réellement dans le corps de laconvention. Ainsi, il peut y avoir certaines questions de libertéd’expression soulevées par certains pays membres.
Cybersécurité ferme Trend Micro ont appelé l’Afrique “lenouveau refuge pour les cybercriminels”. Il semble que peu degouvernements africains font rien pour y remédier.
Oui, c’est tout à fait raison. L’Afrique se développe énormémenten termes de connectivité, les technologies mobiles sont en croissance exponentielle. Des études récentes ont déclaré queprès de 20 pour cent de la population aura accès à internet à lafin de 2014. Abonnements sur les téléphones mobiles sont deplus en plus 20 fois entre la fin de 2013 et 2019, c’est le doubledu taux de croissance du reste du monde. Nous cherchons àbeaucoup plus de gens ayant accès à internet et donc beaucoupplus de potentiel aux victimes de la cybercriminalité. La questionest si oui ou non, comme de plus en plus gens devient connectésà internet, s’il y a des garanties appropriées et je parle, dans unebrève politique préalable, un multi-l
