5月5日,美国总统拜登签署《优化网络犯罪度量法》(Better Cybercrime Metrics Act),旨在提升网络犯罪数据可见性、提高网络犯罪打击效率。总体来看,该法从网络犯罪分类、网络犯罪报告、全国犯罪被害调查、网络犯罪指标研究四大维度出发,综合改善了联邦政府“追踪、衡量、分析、起诉网络犯罪的方式”,帮助执法机构更好地识别网络安全威胁、防范黑客勒索攻击、起诉网络犯罪案件。
要点包括:1)司法部与国家科学院签订协议,共同制定可供执法部门使用的网络犯罪分类方法;2)建立网络犯罪专门类别,确保国家突发事件报告系统(或任何后续系统)包含来自联邦、州和地方官员的网络犯罪报告;3)调查网络犯罪被害情况,将网络犯罪相关问题纳入全国犯罪被害调查范畴;4)评估当前网络犯罪报告机制有效性,剖析所报告的网络犯罪数据与其他类型犯罪数据之间的差异。
公安部第三研究所网络安全法律研究中心组织对《优化网络犯罪度量法》进行翻译与研究,现从该法发布背景、四大亮点与各界反响三个方面进行解读。
《优化网络犯罪度量法》发布背景
2021年以来,Kaseya、Colonial Pipeline、SolarWinds与Microsoft Exchange等大规模勒索攻击事件频发,2022年2月以来,俄乌冲突下网络对抗加剧,针对国防、能源、交通、金融、公共服务等关键信息基础设施的网络攻击已成为危害国家安全重要手段, 网络安全态势日趋严峻,美国网络安全与基础设施安全局(CISA)多次发布警告敦促关键部门加强网络防御,应对俄网络攻击。在此背景下,完善网络事件报告机制、改进网络犯罪分类系统、构建关键基础设施网络攻击应对标准化方案成为美国政府多方共识。
2022年3月,美国总统拜登签署《2022年关键基础设施网络事件报告法》(以下简称“网络事件报告法”),要求关键基础设施实体和联邦机构必须在72 小时内向CISA报告重大网络事件,并在 24 小时内向 CISA 报告勒索软件攻击,填补网络事件关键信息空白,使各方能迅速部署资源援助受害者、总结攻击趋势加强防范预警。美国政府官员对该法出台普遍反应积极,但FBI局长克里斯托弗雷表示,该法存在“严重缺陷”,其将FBI从网络事件报告链中剔除,使FBI失去打击网络犯罪团伙的能力。《优化网络犯罪度量法》的发布,弥补了网络事件报告法中“CISA主导、 FBI 排除在外” 的缺陷,从网络犯罪分类与报告角度出发,优化FBI通过国家突发事件报告系统收集分析网络犯罪数据、预测网络犯罪未来发展趋势的能力。
此外,盖洛普无党派调查发现,当前近四分之一美国家庭成为网络犯罪受害者,网络犯罪构成美国最常见犯罪形式,但绝大多数未得到适当报告、追踪——而且在许多情况下,执法机构根本未对这些事件进行衡量。据估计,FBI互联网犯罪投诉中心(IC3)数据库仅收录全国九十分之一的网络犯罪事件(Cybercrime Incidents)。1988 年《统一犯罪报告法》要求所有联邦执法机构通过 FBI 报告犯罪数据,但FBI 未能始终如一地将这些数据通报给联邦系统,此外,州和地方执法部门向联邦机构报告网络犯罪事件也存在不一致、局限大等问题。伴随网络犯罪多发态势,美国需要一个综合、明晰、详细的网络犯罪数据收集、分类指标体系,《优化网络犯罪度量法》在此背景下应运而生。
《优化网络犯罪度量法》四大亮点
一是签订协议,共同制定网络犯罪分类方法。司法部长应当寻求与美国国家科学院达成协议,共同制定分类方法,对个人和企业面临的不同类型的网络犯罪及网络驱动型犯罪(Cyber-Enabled Crime)进行分类。在制定分类方法时,美国国家科学院应当确保分类方法有助于FBI在国家突发事件报告系统或任何后续系统中对网络犯罪进行分类,并与CISA、执法机构、犯罪学家等利益相关者进行协商,将非政府组织、国际组织、高校或其他实体制定的相关分类方法纳入考量。政府将授权拨款100万美元用于落实网络犯罪分类工作。
二是建立类别,系统收集网络犯罪报告数据。在网络犯罪报告方面,司法部长应当在国家突发事件报告系统或任何后续系统中建立一个类别,用于收集来自联邦、州和地方官员的网络犯罪与网络驱动型犯罪报告。
三是提出问题,引入全国犯罪被害调查项目。司法统计局局长应当与人口普查局局长协作,将与网络犯罪被害相关的问题纳入全国犯罪被害调查的范畴。政府将授权拨款200万美元用于执行全国网络犯罪被害调查相关工作。
四是研究指标,检验网络犯罪报告机制效能。美国总审计长应当向国会提交一份报告,评估美国网络犯罪和网络驱动型犯罪报告机制的有效性,考察通过当前报告机制所上报的网络犯罪和网络驱动型犯罪相关数据与其他类型犯罪数据的差异。
《优化网络犯罪度量法》各界反响
美国总统拜登正式签署《优化网络犯罪度量法》后,警界、立法界、业界普遍对其持积极态度,表示欢迎、支持。
聚焦于网络犯罪打击防范,全国警察组织协会(NAPO)执行主任比尔·约翰逊表示,可靠的网络犯罪数据对支持、提升州和地方执法部门的网络犯罪防范、侦办、应对能力意义重大,在本法颁布之前,用于追踪网络犯罪的标准化指标匮乏,执法部门难以充分了解全国范围内的网络犯罪情况,伴随这些标准化指标的建立,州和地方执法部门将更加便捷地收集、报告网络犯罪事件相关数据,提升网络犯罪精准打击能力。凤凰城警察局局长兼主要城市酋长协会(MCCA)主席杰里·威廉姆斯认为,随着社会趋向技术化发展,执法部门发现网络犯罪激增,《优化网络犯罪度量法》进一步改善了网络犯罪相关可用数据,将帮助各地执法部门识别网络犯罪发展趋势、制定网络犯罪解决方案。
网络安全是出发点,也是落脚点。国家网络安全联盟执行董事丽莎·普雷格指出,拜登政府毫不掩饰地将网络安全作为首要任务之一,在纯粹的网络层面上,美国在网络安全方面一直以不透明和不协调的方式运作,使得网络攻击美国实体变得更加容易,虽然该法不会自行解决所有网络安全问题,但对网络犯罪数据报告问题的直视与解决,确实有助于促进各方协作、提升透明度。通用动力信息技术公司副总裁兼首席信息安全官迈克尔·贝克指出,新法将促进各个行业与政府更快、更无缝地共享网络威胁情报,对防范治理日益增多的网络攻击带来积极作用。
然而,也有业界人士对《优化网络犯罪度量法》前景表示担忧。FBI 信息技术部前执行助理主任、Optiv Security网络风险战略与董事关系副总裁詹姆斯·特加尔指出,网络犯罪受害者和执法部门共享信息是一件好事,但目前网络攻击统计数据并不可靠,大量受害公司拒绝报告攻击,认为这属于一个弱点,会对股价、公司价值、品牌带来不利影响;《优化网络犯罪度量法》与之前通过的《2022年关键基础设施网络事件报告法》理论上将允许在特定时间范围内强制关键基础设施行业受害者报告网络攻击事件,网络攻击数据指标收集是一项有益活动,但除非公司处于关键基础设施行业,否则自愿性报告可能不会发生。
附件:
《优化网络犯罪度量法》英中翻译对照
(翻译、整理:王彩玉)
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。