ビデオ: サイバー犯罪から身を守るには 2024
コンピュータ犯罪 は、コンピュータシステムやネットワークをツールとして使用する犯罪行為から成ります。コンピュータ犯罪には、コンピュータシステムが標的とされる犯罪、またはコンピュータが犯罪の現場である犯罪も含まれる。それはかなり広いスペクトルです。
しかし現実世界はコンピュータ犯罪に対処するのが難しいです。コンピュータ犯罪に対処するのが難しいいくつかの理由には、
<!理解不足:一般的に、議員、裁判官、弁護士、法執行官、陪審員は、コンピュータ犯罪に関わるさまざまな技術や問題を理解していません。- 不十分な法律: 法律の変更が遅く、急速に進化する新技術に追いつかない。
- 犯罪のコンピュータの複数の役割: これらの役割には、コンピュータに対する犯罪(システムのハッキングや情報の盗用など)と、
- aを使って犯された犯罪 (システムを使用して分散サービス拒否攻撃を開始するなど)。また、犯罪者がコンピュータを犯罪関連の記録保管や通信に使用している犯罪企業をコンピュータがサポートする場合もあります。 <! 有形資産の欠如: 伝統的な財産の規則は、しばしば、コンピューター犯罪の場合にはっきりと適用されます。しかし、多くの国では、電子情報を含むように財産規則が拡張されている。資源、帯域幅、およびデータ(磁性粒子の形で)を計算することは、多くの場合、問題の唯一の資産です。これらを数値化して値を割り当てることは非常に困難です。この章の後半で説明する資産評価プロセスは、電子情報の価値を評価するための重要な情報を提供します。 証拠の規則: しばしば、コンピューター犯罪の場合、元の文書は入手できません。このような場合のほとんどの証拠は、証拠とみなされます(これについては、後の「ヒアズリー規則」の項で後で説明します)、裁判所で認められるための一定の要件を満たさなければなりません。多くの場合、エビデンスはコンピュータ自体、またはハードドライブ上のデータです。証拠の欠如:
損失の定義:
- データの機密性または完全性の喪失は、犯罪または民事事件における損失の通常の定義をはるかに超えています。加害者の所在地: 特定の組織に対してコンピュータ犯罪を行う人々は、しばしば被害者の国外の場所からそうする。コンピュータ犯罪者は、間違いを犯してもそれを特定する発見可能な証拠を作成しても、被害者の国の法執行機関は犯罪者を逮捕するのが難しいことを知っている。
- 犯罪プロファイル: コンピュータ犯罪者は必ずしも強硬犯であるとは限らず、以下を含む場合があります。
- 少年: 多くの国の少年法は真剣に受け止められず、犯罪を抑止するには不十分です。忙しい検察官は、犯行者に対して3年間の保護観察刑を言い渡す、少年が犯した低プロファイルの犯罪を追求する可能性は低い。 信頼できる人物: 多くのコンピュータ犯罪者は、企業内で信頼の地位を持ち、かつ犯罪歴がない個人です。そのような個人は法的防衛のための夢のチームを抱える可能性が高く、裁判官は最初の犯罪者に対してより寛大な判決を課す傾向があります。しかし、最近の米国の企業スキャンダルは、最高レベルでの刑罰の強力な先例となった。
- <! - 9 - > コンピュータ犯罪は、多くの場合、以下の6つの主要カテゴリの1つに分類されます。
- 企業はますますコンピュータ攻撃やインターネット攻撃の標的になっています。これらの攻撃には、競合する情報収集、サービス拒否、およびその他のコンピュータ関連の攻撃が含まれます。 専門知識の欠如:
- セキュリティ意識の高まりにもかかわらず、資格のあるセキュリティ専門家の不足が存在し、ますます悪化しています。 リソースの不足:
- 企業はしばしば、システムに対する攻撃を防止または検出するためのリソースが不足しています。 報告または告訴の不足:
- 証拠の欠如または適切に処理された証拠の不足のために広報の懸念とコンピュータ犯罪者の訴追ができないため、ビジネス攻撃の大部分は未報告になります。 営業秘密や専有情報の喪失、収益の損失、評判の低下など、企業のコストが大幅に増加する可能性があります。
銀行、大企業、電子商取引サイトは金融攻撃の標的であり、そのすべてが貪欲に動機付けられています。金融攻撃は、資金を盗んだり、盗んだり、オンラインの財務情報にアクセスしたり、個人や企業を搾取したり、個人のクレジットカード番号を取得したりする可能性があります。
- "楽しい"攻撃。 「楽しい」攻撃は、好奇心や興奮によって動機付けられたスリルを求める人や脚本家の児童によって行われます。これらの攻撃者は、アクセスした情報にいかなる害や意図的な使用も意図していないかもしれませんが、依然として危険であり、その活動は依然として違法です。
- これらの攻撃は、比較的簡単に検出して起訴することもできます。加害者はしばしば スクリプト児童
- (プログラミングスキルを持っていないために他のハッカーが作成したスクリプトやプログラムを使用するハッカー)または経験の浅いハッカーであるため、トラックを効果的にカバーする方法がわからないことがあります。 また、実際の害は通常行われておらず、システムに対しても意図されていないので、企業が個人を起訴し、事件に積極的な広報を振り向けることは有害であるかもしれない(忠告はしているが)。あなたは11時に映画を見ました: "私たちはすぐに攻撃を検出し、ネットワークへの害を防ぎ、責任ある個人を起訴しました。私たちのセキュリティは
- 壊れません!しかし、このような行動は、他の人たちがビジネスに対するより深刻で団結した恨みの攻撃を仕掛けるようになる可能性が高い。 このカテゴリの多くのコンピュータ犯罪者だけが悪評を求める。公開されているウェブサイトを改ざんすることについて小さな友だちに自慢することの1つですが、CNNに登場する狡猾なハッカーは、次のレベルのハッカーの有名人ドームに到達します。これらのねじれた人たちは、15分間の名声の中で歓迎されたい。
恨みの攻撃。
- 恨み攻撃は、個人や企業を対象としており、攻撃者は、人や組織に対して復讐したいという意欲によって動機づけられます。たとえば、不満を持った従業員は、重要なシステムやアプリケーションで営業秘密を盗み出したり、貴重なデータを削除したり、ロジック爆弾を積んだりする可能性があります(999)。 幸いにも、これらの攻撃(少なくとも不満を抱いた従業員の場合)は、他の多くの種類の攻撃よりも予防または遂行が容易です。
- 攻撃者はしばしば被害者に知られています。 攻撃は目に見える影響を与え、実行可能な証拠を得る。
ほとんどの企業(すでに不当終結訴訟の可能性に敏感)は、確立された終了手続きを持っています。 特定の法律(1996年の「米国経済訴訟法」、この章の後半の「米国経済訴訟法」のセクションで議論する)は、かかる犯罪に対して非常に厳しい罰則を課している。 イデオロギーの攻撃。近年、イデオロギー的攻撃(一般に「ハックティビズム」として知られている)がますます一般的になってきている。ハクティビストは、通常、企業や団体をターゲットにして、自らのイデオロギーに合致しない論争の的となる立場に抗議する。これらの攻撃は、通常、DDoS(Distributed Denial-of-Service)攻撃の形をとりますが、データ盗難も含まれます。たとえば、米国上院とソニープレイステーションネットワークを含む多くのビジネスは、Stop Online Piracy Act(SOPA)をサポートしているため、2011年と2012年初めにターゲット設定されました。
軍事および情報攻撃。軍事情報攻撃は、犯罪者、裏切り者、または機密情報を要求する外国の情報機関によって犯されます。このような攻撃は、戦争や紛争の時にも政府によって行われる可能性があります。 テロ攻撃。 インターネット上の多くのレベルでテロが存在します。 2001年9月11日の米国に対するテロ攻撃の後、一般の人々はインターネット上のテロの程度を痛感した。テロ組織や細胞は、攻撃を調整し、資金を移管し、国際貿易に害を及ぼし、重要なシステムを破壊し、宣伝を広め、新しいメンバーを募集し、核兵器、生物兵器、化学兵器を含むテロ技術と器具の開発に関する有益な情報を得るために、
CISSP候補者がよく知っておくべき重要な国際コンピュータ犯罪および情報セキュリティ法には、
- Uが含まれます。 S.コンピュータ詐欺および虐待行為(1986年) U。 S.電子通信プライバシー法1986年 U。 S.コンピュータセキュリティ法(1987年) U。 1991年の連邦議会裁判所の指針(必ずしもコンピュータ犯罪に特有ではないが、確かに関連している)
U。 S. 1996年の経済訴訟法
- U。 S. 1996年の児童ポルノ防止法
- 2001年米国パトリオット法
- U。 S.サーベンス・オクスリー法2002年
- U。 S. FISMA Act of 2002
- U。 S. CAN-SPAM Act of 2003 U。 2003年の個人情報盗難とアサンプション抑止法
- 2001年のサイバー犯罪条約評議会 1990年のコンピュータ悪用行為(英国)
- 2003年(イギリス)のプライバシーと電子通信規制 2001年のサイバー犯罪法(オーストラリア)
