1996年国会听证会情报和安全
1996年国会听证会调查的永久小组委员会,
美国参议院委员会
政府事务
1996年6月5日星期三
主席先生和小组委员会成员,
“1996年CSI/FBI计算机犯罪和安全调查”是由CSI进行的,由联邦调查局(FBI)国际计算机犯罪小组旧金山办公室提交的问题组成。CSI和FBI都希望这项调查的结果能被用来更好地理解计算机犯罪的威胁,并为执法部门提供一些基本信息,以便更有效地解决这一问题。
CSI,成立于1974年,是一家基于旧金山的信息安全专业人员协会。它拥有全球数以千计的成员,并提供各种信息和教育方案,以协助从业者保护公司和政府组织的信息资产。
FBI是为了响应犯罪分子有针对信息和经济基础设施系统的主要组成部分的扩大次数,在整个美国所选办事处建立了国际计算机犯罪队。这些小队的使命是调查违反1986年的计算机欺诈和滥用行为,包括公共交换网络的入侵,主要的计算机网络入侵,隐私违规,工业间谍,盗版计算机软件等计算机是一个主要因素的主要因素犯下刑事犯罪。
有一个严重的问题。
“1996年CSI/FBI计算机犯罪和安全调查”提供了一些证据。
例如,42%的受访者承认,他们在过去12个月内经历了未经授权使用计算机系统。而且我们并不谈论在公司的纸牌上玩纸牌的用户,报告了蛮力密码猜测(攻击的13.9%)和扫描(攻击的15%)(攻击的16.2%)和数据滴下(攻击15.5%)。
关于金融机构的数据(攻击的21%)和医疗机构(攻击36.8%)的数据高于其他特定行业细分市场的平均值和整体平均水平。此数据令人不安。私人医疗记录,金融交易和信贷历史有风险。
受访者报告说,他们的网络被几个接入点的频率探测。超过50%的内部网络报告事件,近40%通过远程拨入和互联网连接报告频繁事件。这些结果撕裂了“常规智慧”,其中80%的信息安全问题是由于内部人士(即,不满或不诚实的员工,承包商等)
超过50%的受访者表示,调查中获取的信息将对美国企业的竞争对手有用。超过50%的受访者还表示,他们认为美资企业竞争对手可能是窃听、系统渗透和其他形式攻击的源头。外国竞争对手和外国政府情报机构的可能攻击来源也达到了两位数。这些结果表明,另一个“传统智慧”——即。来自电子地下的“黑客”和不满或不诚实的员工是最大的问题——这可能是没有根据的。
其他研究以不同的方式证实了CSI的调查结果。
根据“知识产权损失趋势”,美国工业安全(ASIS)的研究,从事基于公司的知识产权盗窃的潜在损失估计每年为240亿美元。ASIS研究还将第二次攻击仅为文本前的电话(即社会工程)作为收购手段。
根据1996年的Ernst&Young / Information Theer调查,80%的受访者认为员工对信息安全的威胁,70%被认为竞争对手对信息安全的威胁,近50%由于信息安全事件而经历了经历的财务损失。
根据1995年,从东密歇根州立大学的一项研究,超过40%的受访者至少是计算机犯罪的目标,至少25次。该研究还表明,许多类型的计算机犯罪(例如,盗窃盗窃增加77%,未经授权访问计算机文件的增加95%)。
据美国会计总署(General Accounting Office)统计,美国国防部的计算机系统去年可能遭受了多达25万次的攻击,而且这类攻击的数量每年可能会翻一番。
但即使您对此类研究中产生的数据持怀疑态度,即使是最近的报纸头条新闻的一目了然也应该为您提供一个问题的感受。1994年,IBM,General Electric和NBC被砍成了感恩节周末。所谓的肇事者,一个神秘的群体配音本身“互联网解放前线”引起了严重的中断。1995年,花旗银行被俄罗斯黑客击中,他们使用笔记本电脑将超过1000万美元的账户分开。
最近,英特尔公司的前软件工程师承担有罪,以指控他偷了奔腾芯片生产秘密,价值数百万美元,并给了他们对竞争对手的计算机公司。此外,在最近几周,据透露,社会安全局的几名员工涉嫌通过对11000人(包括他们的社会安全号码和母亲的婚前姓)到信用卡诈骗环信息。
在另一个广泛报道的事件,FBI调查员手持法院下令窃听,并呼吁入侵者手表(I-Watch)的一个复杂的程序,追查谁在许多敏感部位,包括哈佛大学,美国宇航局和洛杉矶已经感染的计算机网络被指控的黑客Alamos海军实验室。
这些事件没有报告,因为他们是特殊的,他们是特殊的,因为他们报道了。不到17%的受访者对CSI / FBI调查报告了对执法事件的事件;超过70%的人引用了负面宣传。
也许最令人不安的数据涉及组织内的准备水平。
超过50%的受访者没有关于如何处理网络侵入的书面政策。
超过60%的受访者没有保留刑事或民事诉讼证据的政策。
超过70%的受访者没有“警告”横幅,说明可能会监控计算活动。(没有“警告”横幅妨碍调查并使组织暴露于责任。)
超过20%的受访者甚至不知道他们是否被攻击。并如上所述,不到17%的受访者经历了入侵,表明他们向执法人员报告,超过70%被引用对负面宣传的恐惧是未报告的主要原因。
我们认为,证据的优势表明计算机犯罪问题只是变得更糟。虽然对美国对美国的出口限制的加热辩论似乎似乎是否则,加密不是灵丹妙药。所有组织(公共部门或私营部门)必须制定全面的信息安全计划。加密是一个重要组件,但它不是一个完整的解决方案。
对信息安全的承诺级别不足。
对信息安全的认真承诺转化为建立信息安全人员的预算项目,并为他们提供培训,以便及时了解新兴趋势,并以先进的技术赋予它们。
信息安全的一个严肃的承诺也意味着在进行深入,定期的风险分析,以了解威胁的性质,因为它涉及到一个特定组织的具体情况以及发展一个广泛的信息安全性强,可执行的政策金博宝正规网址问题。
对用户的安全意识也是必不可少的。尚未拥有这样一个计划的组织必须立即实施一个。那些已经有程序的程序必须增强,更新和加强其范围。
甚至物理安全也经常被忽视。
还有很大的需要重点是计算机科学课程中的信息安全,以及计算机伦理作为良好公民身份的关键方面。
操作系统,应用程序和硬件的高科技供应商必须开始支付超过LIP服务的信息安全性。自台式电脑黎明以来,重点是易于使用,速度和连接。这种态度必须改变。安全不能再忽略安全性。尽管防火墙与Fortezza卡有许多优秀的第三方安全产品,但在基础信息系统架构方面是为了对安全问题的尊重而开发,将继续利用严重的漏洞。金博宝正规网址
最后,私营部门,学术界和政府之间需要更多的合作。有很多事情要做,太少了。There are many excellent champions who have been working tirelessly--e.g., Scott Charney of the U.S. Justice Department, Professor Eugene Spafford of Computers, Operation, Audit, Security and Technology (COAST) at Purdue University, and CSI's own members in Fortune 500 corporations, government agencies and universities. But is imperative that common ground be found in order to meet the "current and future danger."
意向说明
本调查由计算机安全研究所(CSI)代表联邦调查局(FBI)的计算机犯罪队进行。
这种共同努力的目的是三倍:
方法