担心声誉?怕被报复?企业向执法机构隐瞒网络犯罪行为的原因分析
执法机构估计,企业未上报的网络犯罪数量可能高达数百万起。以下是企业不向执法机构上报网络犯罪行为的原因分析,以及企业应该何时报告违规和其他网络攻击行为。
公司经常被迫向监管机构报告数据泄露等安全事件。例如,英国的企业必须遵循欧盟《通用数据保护法案》(GDPR)规定,在其遭受涉及客户或员工个人信息的违规行为时,及时向信息专员办公室(ICO)汇报情况。类似的义务还存在于美国的《1996年健康保险流通与责任法案》(HIPAA)或加拿大的《个人信息保护和电子文件法案》(PIPEDA)中。
然而,在向执法机构报告网络犯罪行为方面,却并没有这种强制性措施,由此导致英国和美国的执法机构警告称,在实际发生事件数量和报告的网络犯罪数量之间存在巨大差距。
如此庞大的未报告事件数量,使得为网络犯罪部门分配资源的理由变得更为薄弱,这反过来又限制了执法机构取缔网络犯罪分子的能力。
那么为什么企业不上报网络犯罪行为呢,导致他们不情愿的背后原因是否合理呢?
企业少报了网络犯罪数量
世界各地的执法机构一般很少能够明确具体的网络犯罪数据。就英国而言,其国家统计局发布的《年度犯罪调查》与英国国家欺诈和网络犯罪统计中心Action Fraud报告的犯罪数量之间的差距近年来已达数百万。巴克莱(Barclays)和董事学会于2016年发布的一份报告指出,只有28%的针对英国企业的网络攻击行为被上报给了执法机构。
在美国,联邦调查局的内部犯罪投诉中心(IC3)指出,2018年报告的网络犯罪数量有超过35万起,但是估计仍然只有15%的受害者向执法部门报告了其经历的网络犯罪行为,所以,未报告的网络犯罪数量可想而知!
伦敦市警察局局长Ian Dyson表示,
“如果发生暴力犯罪,受害者首先想到的就是报警。那么这种情况同样适用于网络世界吗?当遭遇网络犯罪,警察会是他们考虑的第一顺位,还是最后迫不得已的选择?”
为什么企业不情愿报告网络犯罪行为?
这种差异背后的一个主要原因是,许多组织都面临着“有什么意义?”的简单问题。众所周知,识别威胁行为者——尤其是攻击源自境外时——是非常困难的。执法部门不太可能帮助受害企业恢复业务运营或防止被盗数据转手等。尽管联邦调查局的恢复资产团队(RAT)声称资金回笼率很高,但除非迅速采取行动,否则很难追回资金。
McGuireWoods律师事务所数据安全合伙人C. Andrew Konia表示,
“当发生数据泄露事件时,企业注重的是及时纠正自身错误,遏制攻击所带来的任何内部损失,确保不再发生类似的情况,并履行其在通知受影响方和监管机构方面的法律义务。而同样的情况下,联邦调查局的关注重点则是确定并追查和起诉犯罪者,然后将其绳之以法。我想企业可能经常会觉得,能够将犯罪者绳之以法固然是好事,但是犯罪活动已然发生,其对企业造成的损失也已无可挽回。他们清楚的知道,这些黑客通常很难被找到,而他们自身也具备足够的资金和能力可以在不让执法机构参与的情况下处理好此次数据泄露事件,那么如果没有法律强制要求报告此次犯罪行为的话,我想企业也只会因为怕浪费时间而选择秘而不宣。”
归因困难和普遍存在的起诉不足情况也可能加剧企业对报告犯罪行为的冷漠态度。根据国家统计局(NCA)的统计数据显示,英国每天平均有一次与网络犯罪有关的逮捕活动,但大多数逮捕活动涉及的都是实施低级别网络攻击的年轻人,而不是实施严重或大规模攻击活动背后的复杂团队。此外,警方可能在调查后发现一些事件只涉及少量资金,或根本不值得花时间进行调查逮捕,这也就导致一些企业可能会觉得报告此类事件根本不具备任何意义。
O’Melveny&Myers的特别顾问Scott Pink表示,
“公司可能不愿意报告此类网络犯罪行为,因为这不仅需要时间和费用,而且并不会为企业业务复苏带来好处。最主要的原因是,最后的结果往往证明,让执法机构介入所花费的时间和金钱并不如企业内部处理来的有效。”
事实上,除了毫无成效之外,一些企业可能也担心执法机构的介入会进一步扰乱公司业务。之所以会产生这种想法,是因为企业觉得,联邦调查局或特勤局可能会入驻企业,并试图接管调查。但是事实证明,这种想法并非现实。因为这些执法机构根本没有任何兴趣接管您的调查,他们只在乎如何找到肇事者。
在上个月网络安全和云博览会上的演讲中,英国NCA网络威胁响应负责人Ben Russell也承认,一些企业确实担心执法机构的证据收集过程可能会对其业务造成影响,对此他建议警方“不要贴警戒线或是将警车停放在受害企业外面”,最后他强调称,调查其实很少会影响到企业业务运营的。
英国律师事务所Foot Anstey争议解决小组合伙人Steven Richards表示,
“如果事件涉及内部人员,公司可能会觉得不上报该事件会更好一点。如果企业的目标是追回资金或数据,那么选择向执法部门报告此类事件并不会获得太大的好处。”
因为在这种情况下,受害企业的优先事项是恢复被犯罪者盗取的资金或数据,而不是将其送入监狱,所以企业可能希望将犯罪者保留在刑事法庭之外,并在民事法庭内进行诉讼。企业可以同时提出民事和刑事诉讼,但法庭通常会优先处理刑事诉讼,而且在组织开始尝试追回丢失的东西之前,刑事诉讼必须优先执行。
所以,如果受害企业想要追回自己的资金或数据,那么通过民事法庭来解决会好得多。如果你仍然有意在追回资产后联系警察,或者你仍然需要将犯罪者绳之以法,那么你可以稍后再考虑进行刑事诉讼。
报告犯罪行为不太可能导致不良舆论和监管机构报复
企业选择不上报犯罪行为的另一个原因是,担心报告此类事件将导致企业形象受损。NCA的Russell在演讲中表示,
“企业担心名誉受损是可以理解的,但是这里显然存在一个误区。要知道,公开披露只会在法庭上发生,而且是在攻击得到彻底缓解之后。”
伦敦市警察局局长Dyson表示,虽然他理解此类事件会导致企业声誉受到威胁,但他鼓励所有企业都能自信地向警方报告犯罪行为。因为报告本身并不具备风险。鉴于违规行为经常成为新闻头条,无论企业是否承认存在此类事件,向执法部门报告都最不可能成为泄露此类新闻的途径。事实上,当执法部门公开谈论违规行为——例如在法庭上如果犯罪者被抓获或被起诉——通常是在事件发生几个月甚至几年后。马士基(Maersk)和挪威海德鲁水电等公司的股价已经证明,只要及时恢复运营,企业对违规行为的妥善处理并不会对公司造成负面影响,甚至反而会为公众留下“勇于承担,响应得当”的好印象。
那些被要求向监管机构报告此类事件的企业可能会担心,如果他们未能(或延迟)这样做,执法部门将检举他们。但是,英国国家网络安全中心承诺,如果没有首先征得受害组织的同意,将不会与ICO分享其报告的信息,而NCA也做出了类似的承诺。同样地,在美国,FBI主任Christopher Wray去年也曾承诺,FBI会“将受害企业视为受害者”,并且不会将受害企业提供的信息分享给其他机构。
在勒索软件等事件中,一些企业可能会违反执法部门的建议,并选择支付赎金。AppRiver进行的一项调查显示,超过一半的中小型企业(SMB)在面临勒索软件攻击时,愿意选择支付赎金,而SentinalOne在2017年进行的研究却发现,在过去12个月中,遭受勒索软件攻击的企业中只有54%向执法机构报告了这一事件。
报告网络犯罪的商业利益
虽然报告网络犯罪行为可能无益于纠正单个企业正在遭受的个别事件,但从长远来看,它可能会产生很多好处。正如最近GozNym犯罪网络垮台所显示的一样,执法部门可以通过与国外同行协作,制止有组织的网络犯罪团伙,这有助于减少企业面临的攻击次数。
像FBI这样的大型联邦机构拥有大量的资源,而且在打击网络犯罪方面拥有非常丰富的经验,可以帮助企业快速地从违规事件中恢复。Konia表示,
“让FBI的专家参与,可能会让公司的调查进行地更加顺利。FBI可以成为一种资源,我认为他们也希望可以被视为一种资源。他们可以做很多企业无法实现的事情,例如,强制要求互联网服务提供商(ISP)披露数据;与国外同行展开合作;甚至有些情况下,他们还能够延长报告期限。”
向执法机构报告的企业可以为信息共享项目(例如FBI的Infraguard或NCSC的CiSP计划)提供更多情报。鉴于许多受害企业都来自不同的犯罪活动,所以他们可以收集与该攻击有关的不同类型的数据,而其中一家企业的数据泄露事件可能会为其他数据泄露事件提供重要线索。例如,如果某个企业发现了正在进行的企业电子邮件妥协(BEC)攻击的证据,那么他选择通知执法部门就可以在攻击造成大规模伤害之前将其关闭。
另外一个不太直接的好处是,它有助于保险和合规方面的事故恢复。Konia表示,
“当你向监管机构报告这些违规行为时,一个好处是明确地告诉了监管机构,我们已经做了所能做的一切:我们对其进行了适当的调查,对其进行了补救并进行了报告。我们还认为执法机构可以帮助我们,因此我们也向执法部门进行了上报。”
Foot Anstey的Richards补充道,报告犯罪行为对于保险而言既有帮助且有时是必要的,因为在接到索赔诉求时,保险公司需要知道该公司过去确实发生过网络犯罪活动,并且会要求其提供有关犯罪行为的相关证据。
公司是否应该向执法部门报告犯罪行为?
尽管Konia和Richards都不愿意说他们总是建议企业联系警方或其他机构,但他们都承认这样做确实会有所帮助。Richards表示,
“我认为‘我们是否应该报告犯罪事件’和‘我们是否真的会从向警方报告中获得真正的好处’之间是存在差别的。这是两个完全不同的问题。如果你知道欺诈者是谁,那么这一般属于私人欺诈行为,一般来说,这种案件并不是警察的主要关注对象。我认为,如果你不清楚犯罪行为背后的行为人是谁,或是经历了一场大规模且复杂的跨国欺诈,那么你就应该并且可以让警方参与其中。”
总而言之,报告与否的决定必须考虑事件的性质、受灾范围或潜在的损害,事件是否足以引起执法部门的调查兴趣,以及如何在不影响企业业务的基础上,确保执法部门的参与可以实现成本和资源上的高回报率。