本週(080804至080810)信息安全威脅爲低。媒體方面,本週值得關注的新聞集中在網絡犯罪方面。
網絡犯罪:美國參議院批准網絡犯罪法案;美國逮捕11名TJX案件疑犯;關注指數:高
新聞1:8月4日,美國參議院當天通過了一項網絡犯罪法案,這項名爲身份識別信息竊賊強制和賠償法案,主要明確了身份信息失竊案件受害者的權利,受害者可以向當地的法院求助,從而獲得與恢復個人信息所花費的時間和金錢相符的經濟賠償。此外,該項法案還明確規定了使用鍵盤記錄工具或間諜軟件***十臺以上的計算機屬於違法行爲,而不再按照之前的慣例根據***所造成的損失進行判斷;有組織的身份識別***行爲也可以通過聯邦法律進行起訴,而目前美國現行法律只有對發起身份識別***的個人進行起訴的規定。該法案已經提交到衆議院進行審批。
分析:身份識別***,指的是***出於經濟或其他目的,使用間諜軟件或其他惡意軟件發起***,並從企業的數據庫和個人計算機上盜竊用戶的賬戶信息、交易記錄和隱私信息等。從2006年開始,身份識別***就成爲網絡犯罪和有組織犯罪最爲常用的***方式,並直接引發一系列影響重大的身份識別***案件,英國政府丟失2500萬公民的個人信息,以及TJX丟失4500多萬顧客的私人及交易信息就是近兩年影響最爲巨大的兩個身份識別***案件。
進入2008年以來,北美和歐洲地區再次發生了多起身份識別***案件,受到***的對象已經從零售業擴展到教育、交通等多個行業。美國衆議院在4日通過這份網絡犯罪法案,就是美國政府爲打擊愈演愈烈的身份識別***和有組織犯罪而實施的衆多舉措之一。作爲世界首個專門針對身份識別***問題的網絡犯罪法律,這份尚未實施的美國法案有幾個值得注意的地方:對身份識別***犯罪的認定、司法部門的起訴範圍和受害者權利。
犯罪認定一直是司法部門處理網絡相關犯罪時最爲棘手的問題,尤其是按照所有權原則進行犯罪認定時更是如此,該法案裏面採取了選擇新的認定方法,即使用間諜軟件或其他惡意軟件***十臺及以上系統即爲犯罪,這對較難評估損失的身份識別***可以說是一種較爲方便的犯罪認定方法;針對目前網絡犯罪有組織化的趨勢,該法案也修改了目前美國現行法律中只處罰個人犯罪的規定;該法案還強化了對身份識別***受害者的保護和補償措施,新增了受害人可以通過法律手段,索回因爲恢復自己信用度而浪費的時間和經濟上的損失的條款,這對身份識別***案件的受害者來說尤爲重要。
筆者觀點:這部新法案如果不出意外的話,將會很快就在美國實施,但實施的效果如何,以及新條款是否適應當前的環境,都只能在實踐中得出結果。不過可以預見的是,在美國實施這樣一部嚴格的法律之後,網絡犯罪組織並不會停止在美國的活動,而是會採取更爲隱蔽更爲先進的技術手段,以躲避司法部門的打擊,網絡犯罪組織也會大規模的***美國之外的用戶,因此,針對身份識別的跨國犯罪案件的發生將有可能進一步上升。另一方面,這部新法案的諸如犯罪認定、司法執行和受害者權利等新特點,在身份識別***逐漸開始在國內擴散的趨勢下,也相當值得國內的法律相關部門參考。
新聞2:8月5號,美國司法部門在當天宣佈,已經逮捕11名與TJX公司***案件有關的嫌疑人,包括三名美國人、三名烏克蘭人、兩名中國人、一名愛沙尼亞人和一名白俄羅斯人。這些嫌疑人涉嫌在2006至2007年間***美國零售商TJX公司的內部網絡和數據庫,並盜取4500多萬的顧客信用卡號和個人信息。目前美國司法部門已經對嫌疑人提出起訴,如果該案件首犯Albert Gonzalez承認所有針對他的指控的話,將面臨終身監禁的懲罰。
筆者觀點:TJX案件目前還在調查和司法程序的過程中,從目前媒體所公開的消息來看,TJX案件不單是損失最大、影響範圍最廣的,而且也將會是調查持續時間最長、對犯罪嫌疑人判罰最爲嚴重的身份識別***案件。美國司法部門同時公開的TJX案件調查中還揭露了身份識別***的流程:******TJX的內部網絡和數據庫,下載顧客的信用卡號和個人信息,然後轉手倒賣給美國國內和歐洲的洗錢集團,而洗錢集團則通過當地的ATM自動櫃員機取出現金。身份識別***的跨國性和有組織性也在TJX案件中有所表現,身份識別犯罪的這些特點,都需要金融和司法機構加強關注。另外,TJX案件的發生、調查和起訴都是在美國製定身份識別***法案之前,美國相關機構對TJX案件各個環節中的處理措施,也值得其他尚未有相關法律的國家借鑑。