今天给大家推送美国国土安全部的反恐研究《反恐未来》。

目录

执行摘要

范围

未来景观：世界状况

社会趋势

威胁行为者

恐怖资金来源

未来的脆弱性

未来威胁：个案研究

案例研究1：综合身份欺诈和恐怖融资

虚拟案例研究：综合身份欺诈行为

挑战和建议

案例研究2：贩运人口和恐怖主义融资

打击贩运活动

建议

案例研究3：对医疗保健的网络攻击

当前医疗网络安全工作

建议

公私伙伴关系缓解与合作

公私伙伴关系：当前的成功模式

公私伙伴关系挑战

未来机遇

结论

【摘要】

伊斯兰国在伊拉克和叙利亚的哈里发国(下称ISIS)的削弱，加上近年来袭击的频率和致命性下降，使人们认为伊斯兰恐怖主义的威胁正在减轻。的确，有可观察的迹象表明，包括在美国政府(USG)内，正在接受常规恐怖主义较低优先级的现状。与反恐有关的项目资源正在缩减，并且几年来首次将恐怖主义从国防部（DoD）的国防战略顶部替换。然而，尽管与俄罗斯和中国的所谓“州际战略竞争”肯定应该成为该国国家安全战略的组成部分，但恐怖威胁形势依然充满活力，不断变化。因此，审查"反恐未来"的公私分析交流方案(AEP)小组的论点是，技术的扩散和进步，以及持久的圣战分子和其他暴力意识形态，都会确保恐怖主义威胁在可预见的未来持续存在。

这份报告试图查明美国面临的潜在恐怖主义威胁，因为政治和社会两极分化正在加剧，有可能引发更大程度的内乱，助长极端主义。本文件尤其侧重于恐怖分子利用非传统机制、技术和目标为其行动提供资金的手段。通过广泛的研究和与政府机构和行业专家在前线举行的一系列面对面会议，我们的团队评估认为，合成身份欺诈、人口贩运和对医疗行业的网络威胁可能在未来五年内日益成为恐怖分子的资金来源或攻击媒介。本文介绍了利用近期趋势查明这方面潜在脆弱性的三项个案研究，并概述了公营和私营部门目前如何有能力减轻这些威胁。我们的小组还提出了美国政府和私营部门伙伴应考虑的几项潜在解决办法，以便更好地解决这些脆弱性。

最后，由于提高认识和积极合作是任何有效反恐战略的组成部分，本文件讨论了已在上述专题领域开展联合活动的若干公私伙伴关系。这包括确定这些举措目前面临的挑战，以及可在所有国土安全任务区复制的成功模型。在我们的研究过程中，一直提到并称赞的一个这样的实体是国家网络法证和培训联盟。这个非营利组织的重点是，通过公共、私营和学术部门的专题专家之间的合作，消除网络犯罪，并确保各利益攸关方之间强有力的信息共享能够产生切实成果。我们团队以国家网络法证和培训联盟（NCFTA）和具有更广泛信息共享参数的类似融合中心式实体为例，提供了促进公共和私营部门成员之间更协作伙伴关系的机会。只有通过积极参与信息共享和其他合作努力，该国才能够维持今后的反恐举措，特别是在公共资源不断减少的环境中。本文件的一个主要目标是强调这一点对决策者的重要性，并提供一些战略和激励措施，以促进政府与私营部门之间成功而持久的接触。

范围

本文反映了由卫生部赞助的分析交流方案反恐未来小组的成果，该小组对今后五年预计出现的恐怖主义风险进行了为期六个月的广泛研究。这项研究的资料来自各种来源，包括对私营部门和公共部门主题专家的访谈、各种开源文章和在纽约市进行的实地研究。该小组会晤了花旗银行、纽约州联邦调查局、纽约州联合反恐工作队、麦克里斯特尔集团、国家网络法证培训联盟、纽约市警察局和渣打银行的代表，以获得各自行业的第一手知识和见解。我们感谢他们与我们就我们的研究专题分享的独特和不同的观点。

我们的小组决定为本文件重点关注非国家逊尼派恐怖团体，如ISIS和“基地”组织及其同情者，并选择排除国内或国家赞助的团体。根据我们的研究和会议，我们还决定将讨论的未来威胁的范围缩小到三个可能形成威胁格局的具体类型：综合身份欺诈、人口贩运和对医疗保健行业的网络威胁。这三个专题被选定为日益令人关切的领域，因为我们认为有必要提高对助长恐怖主义的这些方法的认识和研究。此外，虽然合成身份欺诈和人口贩运是恐怖分子目前使用的方法，但我们没有看到恐怖分子对医疗行业进行网络攻击，我们认为，出于本文所述的原因，这可能是一个严重的脆弱性。

本文件认为，鉴于其前瞻性重点，今后五年，政府反恐资源将继续减少，以顺应不断变化的优先事项，对公共和私营部门合作维持反恐努力施加压力。我们首先强调我们对未来形势的假设，其中许多假设来自我们在纽约市开展的"红色团队合作"演习，这次演习由McChrystal集团主持，除我们的团队外，还有私营部门的代表参加。最后一节----加强未来公私伙伴关系以便更有效地减轻恐怖威胁的建议----也部分源于这项工作以及我们的会议和研究。

未来景观：世界状况

社会趋势

在未来五年，政治和社会两极分化的日益加剧可能会影响国内格局，造成国内动乱加剧，极端主义组织更加普遍，以及致力于反恐的公共和私营部门伙伴关系面临新的挑战。两极分化——专家认为，自1970年代以来，这种分化已在美国稳步上升——可能会由于党派关系而削弱公私合作，或有可能激励年轻领导人实现扭转这一趋势的目标的效果。

此外，技术公司与美国政府（USG）之间的隐私条例及其执行方式可能会继续对信息共享造成挑战。在私营部门，技术进步及其快速步伐也可能使政府越来越难以调整。例如，某些应用程序的匿名性增加，可能会使美国政府机构更难进行调查。

威胁行为者

社会和政治因素也可能影响恐怖行为者的形象。我们预计未来的恐怖分子将更年轻，依赖技术和社交媒体，并面临许多同龄人所面临的同样的社会挑战。美国国家司法研究所(National Institute of Justice)去年发布了一份报告，审查了与美国单一行为者或小群体激进化恐怖主义有关的潜在风险因素和指标，其中包括：零星的工作历史或失业；在柏拉图式恋爱关系中遇到麻烦；社会经济地位较低；以及无法实现自己的愿望。

此外，未来的恐怖行为者在族裔背景、性别和原籍国方面更可能多种多样，包括更可能在美国出生。受到ISIS或志同道合的圣战主义意识形态启发的所谓"独狼"或那些小型、不那么集中的团体发动的袭击，很可能是美国最常见的恐怖主义形式。这些阴谋的大部分很可能是自筹资金的，涉及使用原始武器，如刀、枪、车辆和纵火。这类事件的目的是"低成本、低技术、高影响力"，以便造成伤亡和破坏，同时不为那些缺乏训练、资源和后勤支持的有抱负的袭击者设置障碍。此外，它们大大减少了恐怖分子的"闪电袭击"时间，并大大缩短了袭击时间。

未来的行为者也更有可能具有"混合"身份，这意味着他们可以认同跨国恐怖意识形态以及右翼出于种族动机的极端主义。他们还越来越多地断断断续续地扮演犯罪行为者和(或)恐怖主义行为者的角色，视具体日期和需要将犯罪技能与恐怖活动便利结合起来。在黑暗中非法活动的泛滥使得他们成为匿名者，这使追查可能资助恐怖主义或直接用于策划袭击的犯罪活动的挑战变得更加困难。这也意味着犯罪分子可能在无意中协助恐怖分子。

人口贩运、诈骗、电子货币欺诈、刑事服务和传统的哈瓦拉系统很可能在今后五年内继续成为恐怖行为者的收入来源。非法活动的有形和数字市场可能继续蓬勃发展，并由加密消息平台（如Telegram）提供便利。我们还可以看到，某些筹集资金的犯罪方法----例如通过勒索软件----被恐怖行为者视为筹款方法。

这些类型的资金来源的趋势和轨迹----只有有限到无的纸面线索，涵盖足够小的交易，以免引起金融机构的不警觉----将在今后五年内对试图应对这些挑战的机构和当局继续构成重大挑战。

未来的脆弱性

我们讨论了未来的恐怖行为者越来越多地使用低级手段进行人身攻击。今后，我们还评估有可能增加网络攻击和破坏的能力。由于黑客工具的可用性和可访问性日益增强，网络能力相对较低的恐怖行为者将能够提高其复杂性（迄今为止，这主要表现在安全性较差的网站以及通过开源研究汇编的个人可识别信息清单）

今天，预包装的黑客工具包，如KaliLinux和Metaspoloit，是最受欢迎的，因为它们有许多内置功能，可以免费下载。针对更具体的应用程序的自定义黑客工具也可以通过诸如GitHub之类的网站提供，从而允许访问更精简、更方便用户的工具，这些工具可用于邪恶目的。

因此，由于未来的个人或小集团行为者可能自我激进化，复杂程度相对较低，因此这类易于获得的资助和开展行动的犯罪工具可能越来越有吸引力。这些工具的相对匿名性以及它们预期的低级别性质，意味着恐怖分子的活动可能更难被发现和打击。

未来威胁：个案研究

为了保证这些未来威胁可能如何发生，以及美国政府和私营部门在应对这些威胁方面面临的挑战，我们选择了三个案例研究。第一项讨论综合识别欺诈的威胁，展示威胁如何显现，描述目前为共享信息而建立的公私伙伴关系，并提出应对威胁的建议。第二项个案研究查明了当前对人口贩运威胁的认识存在差距：即主要将其视为一个刑事问题，而不是用于资助恐怖活动的问题。我们提供了机会，以打破如何应对这一威胁、执法和私营部门如何减少恐怖团体继续利用威胁的风险。然后我们就扩大伙伴关系以打击威胁提出建议。我们的第三项案例研究采用了相对未经研究的威胁——对当前保健系统的恐怖利用——并确定了公私伙伴关系现在可以更好地缓解的相关脆弱性。然后我们为所有三个案例选择的建议被用作我们最后一节的基础，该节更广泛地探讨与反恐有关的公私伙伴关系中目前的差距和机会，以及今后如何加强这些差距。

案例研究1：综合身份欺诈和恐怖融资

网络犯罪仍然是全球面临的一大威胁，预计到2021年将产生6万亿美元的影响。涉及勒索软件和数据泄露的犯罪几乎总是得到更多公众的关注，但金融犯罪，如身份盗窃，已成为美国的一大问题，2018年有1440多万受害者。一种不太为人所知的网络金融犯罪，与身份盗窃是合成身份欺诈一样具有破坏性。综合身份欺诈是一种犯罪行为，犯罪者将真实和虚构的信息或完全虚构的信息结合在一起，创造新的身份信息，以欺骗金融机构、放款人、政府机构和个人

例如，犯罪分子可以使用虚构的名字、出生日期和被盗的社会保险号码来创建合成标识，以便打开欺诈性银行、汽车贷款和抵押贷款账户。在这种情况下，被盗的社会保障号码往往属于儿童、老年人或无家可归者，涉及儿童的案件可以多年来不被发现。相反，在犯罪分子利用完全虚拟的信息进行综合识别的情况下，放款人和金融机构本身被视为受害者。虽然多年前出现了综合身份欺诈，但整个美国的活动继续增加，难以发现，因为几乎总是不存在受害人，因此没有人向金融机构通报欺诈活动。

恐怖组织像大型犯罪网络一样，经常利用各种欺诈办法使用合成身份，因为它们不仅提供洗钱的途径，而且还提供获取和生产有价值的商品和服务，如手机、机票和获取护照所需的假身份证件。2017年，政府问责局(Government AccountabilityOffice)采访的专家小组对国家安全项目表示关切，这些项目依赖对涉嫌不良行为者或恐怖分子名单进行身份核实。他们指出，恐怖分子和任何其他类型的罪犯，可以利用于合成身份进入美国或在美国周围移动，而不被发现。

例如，根据IDAnalytics撰写的白皮书，2014年5月，加拿大CBC新闻报道称，加拿大官员发现，禁飞清单上的恐怖分子利用合成身份在纽约、多伦多和巴基斯坦之间购买机票。该计划包括利用假名为臭名昭著的谋杀嫌疑人和主要贩毒集团获取护照。纽约检察官、金融犯罪专家Kalyani Munshani说，"利用合成身份，可以建立安全住所，可以租车，可以购买重型车辆，可以便利国际旅行，可以在不升限的情况下购买限制商品。这不是一项常规罪行。她强调，合成身份欺诈作为一种资助恐怖主义的手段，是一个"改变游戏规则的人"，"需要立即注意"，"极其严重，而且被忽视的时间太长了"。

多伦多警方侦探康斯特布尔（MikeKelly）说：“想想拥有公寓、汽车和电话的可能性，这些东西都是用不同的名字注册的。你可以随心所欲地来去。你有能力在拥有适当许可证和执照的卡车里开办企业，运送大量物资。” 他进一步说，“对事物的种类、事物的数量、可能给每个部门造成的损害数量没有任何限制——银行、政府官僚机构、警察机构、保险、汽车贷款机构。”

虚拟案例研究：综合身份欺诈行为

考虑以下场景，其中一些场景基于实际案例。

2009-2014年，一名外国人与其配偶和两名子女居住在纽约市地区，此前，他在伪造移民证件信息后被驱逐出美国。他的（现在）前配偶也是外国人，但他的七岁和九岁的子女获得了出生公民身份。他的前配偶和子女仍住在美国。他们还有家庭成员住在纽约以及该国其他地区。

此人开始申请信贷，而在美国，由于他不是美国公民，他在2010年使用信用隐私号码代替社会保障号码。最初申请信贷时，他使用真实姓名、出生日期和公寓地址，随机使用9位数的CPN。虽然他最初因缺乏信贷而遭到拒绝，但信贷档案是用信贷创建的。

信用隐私号码（CPN）是九位数的非政府发放的识别号码，可以用来开立信用额度而不是使用社会保障号码。根据ID分析，信用隐私号（CPN）由信用修复机构销售，作为消费者“刷新”其信用历史的一种方式。然而，联邦贸易委员会警告说，这些数字并不真实存在，社会保障局警告说，使用信用隐私号码是非法的。

30天后，他重新申请，并立即被三个金融机构批准低美元限额。一旦他收到他的信用卡，他的帐户可以“老练”了几年，创造一个正常的使用和偿还模式，从而增加他的信用限额和增加贸易额度-这种类型的方案经常观察到与破产欺诈有关的案件。

随着时间的推移，他开始以各种方式创建综合身份：他使用家庭成员姓名的拼写变体，并将他们与不同的出生日期、信用隐私号（CPN）、他孩子的SSN甚至是J-l签证持有人信息配对。在这些身份获得完备的信用额度后，他开始向账户添加同样是合成身份的授权用户，以便在大约三个月后自动继承主要持卡人的"好"信用。将众多授权用户添加到主持卡者账户。一旦合成授权用户从合成主帐户建立信用，他就删除它们，然后将新的合成授权用户添加到相同的主帐户。然后，拥有新信用的授权用户能够申请他们的“自己的”信用额度，并向他们的账户添加新的授权综合账户。与合成身份相关联的大多数地址是邮件投递位置。

除了申请信用卡和汽车贷款外，这些综合身份还被用来创建空壳商家——特别是珠宝店——并制作虚假文件，如社会保障卡、驾照、付款存根和纳税申报单。空壳商被用来处理欺诈性终端交易，并通过自动交换所（ACH）、电线和电子支票在不同账户之间转移资金。美元相对较低的交易，全部低于2000美元，在许多金融机构被视而不见，因为它低于其欺诈门槛。

该名个人还利用合成账户为自己和在美国和海外的家属购买机票，其中一人列入"禁飞清单"，但由于机票是用合成身份购买的(她制作了更多的合成文件)，该家庭成员得以在没有被发现的情况下进出美国。

除了购买机票和其他杂项物品，他还利用合成账户购买数十万美元的高端电子产品，如笔记本电脑、iPad和iPhone。然后，他将这些产品运往海外，在黑市上出售。

该人在2014年被逐出美国后继续制造合成身份。他使用了相同合成名称和相同删除地址的变体，但是与新的信用应用程序和帐户活动相关的IP地址曾经解析到外国。

"交易额度是信用报告上列明的账户的信用行业术语。"bust-out欺诈是一种第一方信用卡欺诈，其中犯罪人申请信用卡，而"季节"账户通常使用并偿还，以建立他们的信用额度。一旦建立期望的信贷额度，罪犯就使用所有可用的信贷，不打算偿还，然后消失。

根据美国公民和移民服务部(U.S.Citizenship and Immigration Services)的说法，J-l签证是国务院签发的非移民签证，目的是“为了教学、指导或授课、学习、观察、研究、咨询、展示特殊技能、接受培训或接受研究生医学教育或培训而参加经批准的项目”。资助恐怖主义的组织可以将人们以雇用为幌子，自愿或付费，带到美国的一家空壳公司。对于在美国寻求临时工作或教育的人来说，J-l税证是无止境地提供SSA签发的签证。金融机构无法知道使用J-l的人是否仍然没有执法协助。

传粉者是主要持卡人，不断向账户添加与欺诈活动有关的授权用户。授权用户通常是合成身份；当授权用户被添加到主持卡人账户以继承持卡人（大概不错）的信用历史时，发生信用背包。主持卡人的全部信用记录（在该卡上）出现在授权用户的信用报告中，并被包括在他们的信用评分中。信贷托管使授权用户，无论是真实用户还是合成用户，都能够被批准用于账户和贷款，否则他们就不会被批准。

身份证被批准用于信用卡，这些卡被发送到投递地点（他在信用卡申请上的地址），在那里另一个人——通常是家庭成员——会将其运往海外。信用卡同可疑的交易和海外活动模式有关。

一家金融机构开始注意到可疑IP/账户活动，并开始进行调查。他们的分析显示，他创造了近600个合成身份，这些身份与大约250万美元的破产欺诈有关，这些欺诈已被注销为信用损失。银行调查员向一个伙伴组织的国际调查分析员发出警报，分析员向金融欺诈工作组发送了嫌疑犯的信息和他的空壳业务，该工作组由执法和行业组织的成员组成。两天内，其他六个金融机构报告了类似的活动和损失共计800万美元，所有这些活动均在海外洗钱，并涉嫌资助其他非法活动，包括恐怖主义。

相关情报被收集、分析，并创建成目标包，用于启动执法案件。

新泽西州联邦当局起诉的一个具有上述若干特征的此类案件涉及使用7000个假身份、1800个虚假邮寄地址、2.5万张伪造信用卡以及超过2亿美元的损失。一些被盗资金据称被用于资助前往也门的旅行和参加准军事训练营。

挑战和建议

综合身份欺诈是增长最快的金融欺诈，对执法和金融服务行业都提出了许多挑战，主要是由于金融机构无法肯定地核实某个特定个人是否有效获得了SSN或纳税人身份号码。尽管如此，过去几年来，通过公共部门和私营部门之间的培训和协作，努力提高认识，以查明和打击合成身份欺诈，取得了重大进展。除了目前的合作努力外，其他加强工作可包括：

(i)    扩大关于综合身份欺诈作为洗钱和恐怖融资的一种类型的执法和行业培训。

(ii)    为执法、工业和检察官制定普遍的"综合身份"定义。

(iii)  加强金融机构、放款人和执法部门之间的协作和信息共享，特别是共享具有战略意义的个人可识别信息（符合隐私法），从而有助于在开户阶段更有效地核实身份。

(iv)  在金融行业之间共享检测和缓解战略。

(v)  颁布法律，指示社会保障局开发数据库或其他自动化机制，以便根据经认证的金融机构的请求核查消费者信息。

案例研究2：贩运人口和恐怖主义融资

据国际劳工组织估计，以强迫劳动和性剥削为目的的人口贩运是国际犯罪增长最快的形式之一，每年可产生1502亿美元，其中包括恐怖组织的潜在参与。在美国和其他地方，人口贩运是洗钱罪的前提罪行，金融机构必须向政府报告可能用来掩盖或隐瞒(即洗钱)所得收益的金融交易。

尽管从执法和反洗钱的角度对贩运人口的全球范围有了越来越多的认识，但对贩运人口与其作为恐怖组织资金来源的价值之间的联系关注较少。事实上，有文件记载的报告称，ISIS、博科哈拉姆和青年党等恐怖团体利用贩运人口活动为其组织和活动提供资金和物质支持。这些努力包括"奴隶拍卖"(包括通过互联网)被绑架妇女，要求为被奴役的妇女和少女支付赎金，以及冲突地区被俘儿童强迫乞讨。

联合国安全理事会发表了一份引人注目的出版物，探讨和描述了贩运人口、恐怖主义和恐怖融资之间的联系。报告指出：恐怖分子有系统地使用与贩运人口有关的暴力行为，清楚地表明，这种做法是实现战略目标的高效手段。军事挫折和失去对很大一部分领土的控制没有阻止某些恐怖主义团体利用绑架、强奸、性奴役、奴役和其他这类行为来征服人民并推进他们的意识形态。

特别是就伊斯兰国而言，我们怀疑，在哈里发国实际衰落之后，石油收入减少，加上国际社会加大努力，打击资助恐怖主义的传统方法，是否会日益导致恐怖分子在未来寻求替代策略，特别是在经济不景气的失败或失败国家。

打击贩运人口的努力

美国政府(USG)与国内和外国伙伴开展了一系列打击贩运活动，包括设立各种办公室和工作队，负责推进所谓的“3Ps”办法：起诉、保护和预防，以推动其在联合国打击跨国有组织犯罪公约(和《巴勒莫议定书》)下的条约义务，并根据《美国政府人口贩运受害者保护法》规定的办法，维护人口贩运受害者，

例如，尽管近年来联邦对人口贩运的起诉有所上升，但联邦对人口贩运的起诉总数仍然相对较低，尽管司法部的数据显示，根据《TVPA》定罪率接近80%。州检察官在获得对人口贩运者的定罪方面落后于联邦检察官这一事实也令人不安。总之，这些因素表明，尽管近年来发生了几起涉及知名公众人物的高调案件，但公共部门的做法未能在解决这一问题方面取得重大进展。

就供应链和商业运作受到干扰而言，除了品牌声誉以及民事和刑事处罚的威胁之外，许多私营部门实体还进一步承诺打击人口贩运。特别是，在劳动力和性贩运风险较大的行业中，企业有能力提供专门技能、开拓性工具和可能解决这一问题的资源。在某些情况下，当银行和其他受监管的金融机构知道或有理由相信金融交易可能与贩运罪有关或源自贩运罪时，必须与执法部门分享客户和交易信息。金融机构大量投资于自动工具，以查明可疑金融交易的模式和可能表明任何数量的犯罪的模式。

私营部门也比公营部门更快地发展了这些类型的能力，这突显了更密切合作和加强合作的好处。因此，联邦政府与私营部门之间的伙伴关系——除上述法定三者外，还有第四个"P"关系——可以促进对人口贩运采取更加知情和全面的办法，更有效地发现、警告和减轻潜在威胁。

建议

公共部门——联邦、州和地方执法部门等——最有能力领导打击贩运人口的斗争。联邦政府应继续致力于打击人口贩运，并应继续制定和实施新的创新办法，预防、侦查和起诉这些罪行。与此同时，私营部门，特别是金融部门，在处理贩运问题方面，是一个日益重要和积极的伙伴。

美国已经存在复杂的基础设施，受监管的金融机构与执法当局分享关于各种犯罪的某些交易信息。可以通过以下方式加强这种信息共享：

(i) 为执法提供额外培训，以打击资助资金的流动(与潜在的人口贩运罪行有关)。金融部门和执法部门之间目前有许多实质性培训伙伴关系，可以很容易地扩大。

(ii)  就确定潜在受害者、贩运趋势以及供应链尽职调查提供额外的培训和共享指标，由第一反应者、公立机构(如医院和学校)以及能够确定贩运活动的金融和其他私营部门机构进行。还应扩大社交媒体和与查明贩运活动有关的公众认识运动，许多组织已经开展了这些活动。

(iii)要求公共部门研究，包括国家洗钱和恐怖融资风险评估和战略，审查人口贩运与资助恐怖活动之间的联系，并随后传播研究结果？

(iv)要求金融机构在其年度洗钱风险评估中列入对人口贩运的分析，作为恐怖集团的潜在资金来源。

"根据反洗钱金融行动工作组的报告，".在第[e]次报告[包括美国报告]审议的28个国家反洗钱/打击资助恐怖主义风险评估中，没有一个国家将贩运人口定为资助恐怖主义的风险"。见《来自人口贩运的资金流动》，U.43。同样，无论是美国国家资助恐怖主义风险评估还是《打击资助恐怖主义和其他非法资助恐怖主义国家战略》都没有将人口贩运确定为恐怖团体或恐怖活动的资金来源。

(v)国家当局根据隐私法加强信息共享。

(vi)从洗钱和恐怖融资角度改善调查贩运案件的执法当局之间的协调。

(vii)查明向其他法域的执法和金融部门提供技术援助的新机会。

(viii)考虑金融部门适当参与政府的洗钱和资助恐怖主义研究（风险评估、战略等）。金融部门的许多金融犯罪调查员都是前执法人员，其他调查员已经从各种机构获得安全许可，因此，在处理机密信息时偶尔遇到的限制可以适当管理。

案例研究3：对卫生保健的网络攻击

恐怖行为者使用勒索软件虽然迄今未观察到，但在未来可能是一种脆弱性，特别是对医院和医疗保健部门而言。迄今为止，一个与ISIS有联系的黑客组织把目标对准英国的国家保健服务网站，传播叙利亚战争中的暴力图像，但没有获得患者数据，也没有影响任何记录。尽管如此，鉴于恐怖组织广泛报道的目标、增加资金来源和大规模伤亡事件，针对可能造成生命安全威胁的医院的勒索软件也带来了一个诱人的机会。

此外，勒索软件并不需要深入的黑客知识才能成功针对本已脆弱的系统和人群，而且这种策略已经被证明已经影响了医院。2018年，V1 Healthcare是网络攻击的主导产业，自2009年以来，它每年报告的数据泄露次数比任何其他行业都要多，其中许多泄露的医疗数据导致医疗身份盗窃或勒索和重报。2017年，近半数的机构报告勒索软件行业事件。

当前医疗网络安全工作

虽然网络安全意识在过去几年有所提高，但医疗行业，尤其是医院，仍然受到资源有限、IT人员短缺以及传统软件的困扰，这些因素使得其总体网络态势难以进行重大改进。此外，由于GitHub和恶意软件收集站点上有恶意软件样本，因此很难获得勒索软件，因为热门博客站点上的用户愿意样本的用户，以及愿意出售恶意软件牟利的恶意行为者。

保护医疗行业免受网络攻击的重要性不是一个新概念，多年来，许多实体聚集在一起，制定信息共享安排和减缓战略。卫生信息共享和分析中心（H-ISAC）是一个全球成员驱动的组织，专注于协调和共享物理和网络威胁情报

根据哥伦比亚广播公司2017年8月18日发表的一篇文章：“医疗行业是黑客的头号目标。几乎所有的美国医疗机构都报告说至少有一次网络攻击……黑客平均每个售出10-15美分的信用卡号码，但医疗记录价值在30-500美元之间。”

卫生与公众服务部领导了公私伙伴关系，通过采取各种行动，例如为各种保健实体发行关于自愿网络安全做法的出版物，加强美国保健部门的安全和复原力

尽管已经开展了富有成效的信息共享举措，但我们评估认为，随着医院和其他利益攸关方面临日益复杂和意想不到的威胁，以及安全资源不足，保健部门可能会受到挑战。虽然监管机构对医疗网络安全发布自愿指导，但许多机构很难使安全行动与其业务目标保持一致。医院的许多临床医生和决策者通常不知道网络安全方面的威胁，或没有受过网络安全方面的培训，使他们容易受到不那么复杂的攻击，无法识别不同的攻击类型。在处理未来威胁(如恐怖主义)时，财务限制和缺乏意识进一步加剧，因为当前最紧迫的前瞻性、未来性的脆弱性可能会被边缘化。

建议

我们提出几项建议，改善医疗行业内的公私伙伴关系，以预测和先发制人的挑战：

(i)对医疗专业人员进行医疗网络威胁教育，包括未来五年的预期威胁，可能会提高他们的认识和参与，同时也有助于防止使用不那么复杂的勒索软件方法。将这一教育扩大到医学院或护理学校课程可能有助于培养更有安全意识的劳动力。

(ii)迫使今后将威胁分析纳入信息分享，以包括能够在几年内迅速提高能力的行为者，如恐怖组织。来自国家反恐中心和智囊团等组织的代表参与信息共享协议可能有助于这一进程。

公私伙伴关系缓解与合作

我们文件的最后一节探讨了今后减轻恐怖威胁的最关键部分，即强有力的、包容各方的公私伙伴关系。在我们前往纽约考察期间，我们发现，与威胁主题相比，更重要的议题是多么多样的机构如何共同应对威胁。总的来说，我们发现，缓解工作因组织而异，甚至那些关注相同威胁的人，而不是采取一致的多学科方法。缓解还受到组织文化、对隐私法缺乏了解以及围绕可能共享的内容的监管环境的影响，而且往往基于个人关系而不是制度化的报告流程。

我们在纽约市利用公营和私营部门合作的研究结果，该领域的专家Micah Zenko，以及我们从上述设想方案中提取的建议：分析强有力的公私伙伴关系，这些伙伴关系可以成为今后其他伙伴关系的典范；讨论我们现有模式的差距，以及这些伙伴关系中存在的某些挑战今天(例如隐私条例)；并提供机会/建议，使这些伙伴关系在今后更加有效。

公私伙伴关系：当前的成功模式

正如我们在关于综合身份欺诈的研究中所讨论的那样，国家网络法证和培训联盟（NCFTA）是展示多个部门之间强有力信息共享的最佳做法和效益的有用模式。"国家网络法证和培训联盟"是"私营行业、政府和学术界之间的非营利伙伴关系，其唯一目的是提供一个中立、值得信赖的环境，使双向协作和合作能够识别、减轻和打击网络犯罪。

国家网络法证和培训联盟（NCFTA）只是一个“融合中心”的模式，这个中心将多个机构——与主要利益攸关方和决策者——聚集在同一个房间——聚集在一起，实时共享信息，解决欺诈和其他共同关心的金融犯罪案件。此类共享的其他模式包括联合恐怖主义工作队（包括我们见过的纽约联合反恐工作队）和国家首都地区威胁情报联合会（NTIC），后者是国土安全部为跨越各种威胁类型和重要基础设施部门共享信息而设立的国家融合中心网络之一。

改善相关利益攸关方之间的信息共享对于支持有效的反恐战略至关重要，因为这有助于就相关数据、趋势、作用和可用资源达成共识。共同工作的公共和私营部门团体还允许为威胁——无论是贩运人口、欺诈还是其他威胁——制定一个行为和交易指标的共同清单。好处包括与执法部门进行更积极和有效的互动，大概会导致更多的调查和成功的起诉。

融合中心信息共享模型还为那些最有可能遇到威胁的人提供培训提供了先例。例如，国家首都地区威胁情报联合会(NTIC)是一个地方融合中心，向关键基础设施部门、旅馆、学校资源干事和其他人提供“人口贩运”指标研讨会，以鼓励他们认识和报告可疑行为。

另一个例子是加州的恐怖主义联络官方案，其中培训参与者报告正常职业期间可能遇到的可疑活动。它将地方执法部门、辅助医务人员、公用事业工人、铁路工人和其他人员与国家融合中心和国土安全办公室联系起来。这些融合中心还促进联邦调查局、国土安全部、司法部和州/地方/部落/领土伙伴在联邦一级分享信息，具体做法是管理政府各部门的信息和情报流动，然后分析和整合这些信息。

公私伙伴关系挑战

虽然存在公共和私人团体共享信息的良好例子(例如，为执法部门提供人口贩运案件数据库的非营利性DeliverFund，或联邦调查局的国内安全联盟理事会，这是一个公私信息共享伙伴关系)，但并非所有这些团体代表着信息从一方到另一方的平等流动。虽然可能有一个组织向私营部门推送与安全有关的信息，但它可能没有收到私营部门关于它们面临的实际事件的具体报告/报告。同样，当出现潜在安全威胁的危险时，私营部门可能会与政府当局联系，但一旦政府展开调查，私营公司可能由于法律限制而无法得到回音，这可能使报告组织无法根据这些具体事件扩大其安全协议。

我们的调查结果使我们得出结论认为，融合中心模式是努力提高公私伙伴关系价值的一个良好的"起点"，但它们并非没有所有信息共享倡议面临的挑战。这些包括但不限于：

• 关于分享个人可识别信息(PlI)的隐私条例，可能会妨碍就具体案件开展详细合作，并导致可能漏掉危险信号，因为多个组织可能没有意识到它们都在关注同一威胁。

• 阻碍信息共享的组织内部和外部烟囱——无论是组织内的网络/欺诈/实体安全小组之间的烟囱，地方、州和联邦机构之间的烟囱，不同任务机构之间的烟囱（例如打击犯罪机构和反恐机构），由于对共享不信任而存在的公营和私营部门之间的烟囱，还是削弱美国和其他国家的机构，所有这些机构都可以打击恐怖主义。

•各式各样的组织----包括公共和私人组织----在拥有类似任务的空间里，没有一个明确的领导者，导致对与谁联系以分享潜在关切产生混淆，仍然过于依赖个人关系以分享最敏感的信息。

我们还注意到，如上所述，恐怖行为者已变得不那么受核心领导，更加自我激进化，更有可能面临多重共同存在的威胁----例如，单狼恐怖行为者可能正在经历心理健康问题，参与犯罪活动，并通过互联网或通过与已知的恐怖行为者同时交往。由于各自为政的组织受到信息共享当局的阻碍，这可能意味着一个行为体因家庭暴力、另一个机构信用卡欺诈以及另一个机构恐怖活动而被打上旗帜，这可能会从裂痕中溜走，因为这些机构无法相互分享这些不同的报告，也无法进入更全面的可疑活动报告流程。

未来机遇

虽然上文指出了公私伙伴关系目前面临的一些困难，但它们也为今后改善这些伙伴关系和更好地开展反恐缓解努力打开了大门。

以下选项来自我们在纽约的会议、红色团队活动、案例研究的研究和我们团队的专业知识。其中包括：

(i)促进国家网络法证和培训联盟与有关各方合作，不断向私营行业提供关于可以共享哪些内容、如何共享以及与谁共享的指导。国土安全部的网络安全和基础设施安全局（CISA）提供了一个有用的模式，因为它提供了令人信服的许可共享，包括与事件或威胁相关的Pll。

建立一个"安全港"倡议，在发生定义狭隘的危机时予以实施，使适当的利益攸关方能够分享/接收关键信息。现在，网络安全和基础设施安全局（CISA）在威胁需要时，这种情况正在发生，而且可以更广泛地扩大。

鼓励利用多机构工作队调查和起诉适当案件，并与私营部门分享有关类型信息。在这方面，国家网络法证和培训联盟（NCFTA）也是一个极好的榜样。

评估如何最好地将更多相关实体纳入联合反恐工作队或通常无人任职的其他融合中心模式，如网络或反情报机构。

建立一个中央机构，使公共部门分析员(联邦调查局、中央情报局、国家反恐中心等)与来自所有关键基础设施/关键资源和主要新兴技术公司的私营部门分析员一道加强反恐信息交流，并尽可能多地分享信息。其他私营部门非营利组织，如DeliverFund，通过关键威胁数据支持执法，也将是宝贵的合作伙伴。该主体最好在融合中心模型上运行，如上所述。

除上述情况外，或除上述情况外，还可能建立中央主管机构和/或现有公私营部门互补实体名录，以便与联系信息（通用电子邮件组）和所划定的具体角色共享信息，减少关于如何与谁共享信息的混淆。最好保留该名录，拨出少量资源专门回答需要援助的人的问题，并确保纳入新的实体。

继续并扩大由融合中心和其他实体提供的培训，这些实体可抵达前线第一线应急人员和潜在的可疑活动记者。

继续和扩大融合中心的培训，了解哪些信息可以共享，哪些信息可以不共享。这方面的进一步信息和培训可以大大增加共享的范围和价值。在新成员加入时，这种情况应该发生，但也应该足够经常，以便所有成员都能了解不断变化的规章制度以及这对他们意味着什么。

红茶事件管理

我们从我们的研究中听到的一个例子是关于在大城市举办大型体育赛事的计划。通过提前召集城市官员、应急响应者、活动组织者和赞助者、供应商、执法部门、公用事业工人和其他人，所有这些人都能够成功发现某些漏洞，并立即发现哪个实体最有能力采取行动。通过在组织内定期进行这些类型的演习，以及进行多机构演习，所有各方都可以看到威胁、联系和对策。

结论

通过确定优先次序和采取更有针对性的办法(而不是试图考虑更大的威胁世界)，我们得以更详尽地突出未来的某些脆弱性，并提出具体建议，以提高我们协作对付这些脆弱性的能力。我们还能够从这三项研究中吸取一些批评性的重要教训，这些教训与更广泛的未来威胁以及负责打击这些威胁的公共和私营实体有关。我们认识到我们公私伙伴关系模式目前存在的主要挑战，举出今天运作良好的某些模式的例子，并提出今后加强这些模式的可能建议，我们认为，我们——美国政府和私营部门共同努力——将能够更好地克服在不久的将来可能面临的资源、技术、社会和信息共享挑战。

原文pdf及百分点机器翻译文档已上传小编知识星球

长按识别下面的二维码可加入星球下载

里面已有近千篇资料可供下载

越早加入越便宜哦