正文

美国联邦机构应对不同的网络犯罪指标

admin
admin V管理员 /0 评论 /172 阅读
0706
此篇文章发布距今已超过441天,您需要注意文章的内容或图片是否可用!

随着美国政府要求建立更加一致的网络事件数据跟踪流程,一份新的监管机构报告显示了联邦机构在报告、分析甚至从根本上定义网络犯罪的方式之间存在根深蒂固的差异。

尽管网络事件报告长期以来因网络攻击受害者的耻辱而受到阻碍,但越来越多的政府官员和网络安全专业人士吹捧其好处。副总检察长丽莎·摩纳哥 去年表示,勒索软件受害者(堪萨斯州的一家医疗保健提供者)的合作使当局能够追回其他先前未知的受害者的赎金。勒索软件特别工作组 5 月份发布的一份报告称,增加报告水平可以帮助政府官员和私营部门解释某些措施在阻止网络犯罪方面是否有效(或无效)。

然而,美国政府问责办公室 (GAO) 的一份新报告显示,联邦机构在后端正在努力简化调查和起诉过程中收集、传播和跟踪数据的各种流程。

美国政府问责局 (GAO) 表示,“美国的网络犯罪正在增加,造成数十亿美元的损失,并威胁公共安全。”该政府根据《更好的网络犯罪指标法案》的一项规定,在 2022 年 5 月至 2023 年 6 月期间对 12 个联邦机构进行了审计。“然而,美国缺乏全面的网络犯罪数据和监控,导致该国打击网络犯罪的准备不足。”

美国政府问责局的报告显示,联邦机构——包括司法部 (DoJ)、特勤局、国土安全部等——利用各种机制来追踪网络犯罪。例如,五个不同的联邦计划以不同的方式识别所报告的网络犯罪,包括联邦调查局的互联网犯罪投诉中心及其刑事司法信息服务的统一犯罪报告计划、司法部的司法统计局、CISA 和金融犯罪执法网络 (FinCEN) 。

由于这些机构的目的不同,收集这些数据的计划也有所不同;例如,FinCEN 必须按照《银行保密法》的指示收集非法金融活动的可疑案件,有时这包括网络部分。然而,接受政府问责局采访的联邦机构官员表示,缺乏网络犯罪数据的中央存储库以及各机构收集数据方式的差异是简化网络犯罪指标的主要挑战。

网络犯罪指标的挑战

接受审计的 12 家机构中的大多数表示,一大障碍源于难以衡量网络犯罪的程度和影响。尽管机构内部存在一些用于跟踪网络犯罪相关数据的标准,但很难捕获确定范围的指标。例如,针对医院的勒索软件攻击与涉及信用卡欺诈的攻击对于受害者来说具有完全不同的含义,无论是影响还是解决方式。

根据政府问责局的报告,在另一项挑战中,“国税局官员报告说,网络犯罪往往会产生下游影响,而这些影响在调查时尚未广为人知或不清楚”。“例如,黑客可能会窃取个人信息,然后在暗网上出售。被盗信息可能会被用于一系列欺诈行为,包括浪漫、身份、税务、信用卡或福利欺诈。然而,这些犯罪行为并不总是由同一团伙实施,而且发生的时间也并不总是相近。因此,其影响可能会持续数年,需要个人和机构付出大量努力才能解决。”

此外,接受政府问责局采访的国税局官员表示,他们制定了跟踪数据的标准,但他们没有考虑对策的影响,例如阻止的攻击数量或检索的敏感数据量来自暗网。

12 个机构中有 7 个一致认为网络犯罪没有共同的定义,这构成了另一个障碍。网络犯罪的分类非常广泛——考虑到从网络钓鱼到擦除恶意软件等攻击之间的关键区别——很难提出全面的术语。

这个问题的一个原因是,各机构也有不同的方式来区分网络犯罪和网络犯罪。虽然缉毒局 (DEA) 官员将网络犯罪定义为个人攻击网络基础设施的事件(相对于网络犯罪,即个人使用网络工具进行传统犯罪活动),但司法部的计算机犯罪和知识产权部门负责调查计算机和知识产权问题。相反,知识产权犯罪将该术语描述为影响计算机系统的机密性、可用性或完整性的犯罪行为。

报告称,“联邦调查局官员表示,缺乏区分是一个挑战,并补充说,无法区分网络犯罪和网络犯罪阻碍了研究、衡量或分类这些类型的特定犯罪的努力。”

更好的网络犯罪衡量法案

尽管存在这些挑战,但好消息是,联邦政府正在采取措施改进跟踪和分析网络犯罪的方式。

《更好的网络犯罪指标法案》于 2022 年 5 月签署成为法律,旨在帮助简化网络犯罪事件的一致报告。根据该法律,执法机构用于收集和报告犯罪数据的官方基于事件的报告系统(国家基于事件的报告系统)需要为联邦、州和地方官员的网络犯罪报告建立一个类别。据报告称,该类别将于 2024 年 5 月完成。

《更好的网络犯罪衡量法案》成功的一个关键部分是司法部和国家科学院制定了网络犯罪分类法。尽管该分类标准的制定将于 2022 年该法案颁布后 90 年内完成(一年后向国会提交有关分类标准细节的报告),但司法部和国家科学院尚未就制定该分类标准达成一致。根据 GAO 的说法,该分类截至 2023 年 4 月。

美国政府问责局表示:《更好的网络犯罪指标法案》的规定旨在解决网络犯罪数据收集和报告方式方面的一些现有限制。特别是,FBI NIBRS 系统中网络犯罪分类法和类别的开发针对的是缺乏收集网络犯罪数据的共同定义和统一方法。

该分类将于司法部与美国国家科学院达成协议一年后完成,网络犯罪类别的建立将于 2024 年 5 月完成。因此,虽然现在判断这些措施的效果还为时过早我们将努力解决现有的限制,我们计划监控这些活动。


美国联邦机构应对不同的网络犯罪指标


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com