根据美国参议院委员会的一份新报告,美国政府缺乏关于勒索软件攻击的全面数据,而且现有的报告比较分散。美国国土安全部和公共事务委员会近日发布了一份 51 页的报告,呼吁政府迅速实施新的授权,要求联邦机构和关键基础设施组织在遭遇勒索软件之后必须上报,以及需要支付的赎金。
为了撰写这份报告,委员会进行了为期 10 个月的调查,并重点关注加密货币在勒索软件支付中的作用。结果发现有关攻击的报告是“零散且不完整”的,部分原因是 FBI 和 CISA 都声称拥有“一站式服务” 报告攻击的网站——分别是 IC3.gov 和 StopRansomware.gov。
新法律要求关键基础设施组织在 72 小时内向 CISA 报告网络攻击,并在 24 小时内向 CISA 报告勒索软件的赎金。CISA 在 3 月份表示将立即与 FBI 分享事件报告,但调查发现这种安排存在缺陷。
报告指出:“虽然这些机构声明他们彼此共享数据,但在与委员会工作人员的讨论中,勒索软件事件响应公司质疑此类通信渠道对协助攻击受害者的影响的有效性”。
除了 FBI 和 CISA 的双重报告职能之外,财政部的 FinCEN、运输安全管理局和证券交易委员会还有针对特定部门的报告制度,以及通过 FBI 外地办事处和一些州政府的报告。报告指出:“这些机构没有统一捕获、分类或公开共享信息。”
它指出,专家认为 FBI 关于勒索软件的 IC3 数据是数据的“子集”。 FBI 在其年度 IC3 报告中承认其勒索软件数据“人为地低”,因为受害者只是自愿向 FBI 报告事件。与此同时,收集勒索软件受害者报告的 FBI 外地办事处在后续调查期间与约 25% 的受害者失去了联系。