将网络犯罪分子和国家支持的网络对手视为单独的威胁已不再现实，因为人员、工具和影响通常难以区分。

第 61 届慕尼黑国际安全会议前夕，谷歌威胁情报小组 (GTIG)认为，以经济为动机的网络犯罪活动应该被视为对国家安全的威胁，需要协调国际合作。

网络犯罪传统上分为以经济为目的的网络犯罪或国家支持的政治偏见入侵。虽然国家支持的网络攻击往往受到更多媒体关注，或许也受到更多情报审查，但以经济为目的的犯罪更为常见（2024 年，Mandiant 应对的经济攻击几乎是国家支持的攻击的四倍）。

这两类袭击者都是罪犯，但并没有明确的区别，因为敌对国家可以招募罪犯参与国家活动，也可以购买犯罪能力以实现其政治目标。同样，伊朗和朝鲜也利用国家支持的特工进行有经济动机的犯罪，以资助其政权。

Sandworm (APT44) 是国家行为体与犯罪工具混杂的一个很好的例子。虽然与 GRU（俄罗斯军事情报部门）有联系，但 APT44 已经利用网络犯罪社区提供的恶意软件在乌克兰进行间谍活动和破坏行动

虽然一般的受害组织在自己的防御态势中几乎不需要区分攻击者的动机，但 GTIG 现在认为，在国家层面，一般的网络犯罪威胁应该被视为国家安全威胁，就像国家支持的黑客组织一样。但由于网络犯罪的构成是国际性的，应对这一威胁需要国际合作。

人员和工具的混合

敌对国家利用了庞大的网络犯罪分子及其工具。这样做可以增加他们的人力，降低成本，而且至关重要的是，可以合理地否认国家参与其中。这种合理否认对于避免引发全面的网络战争至关重要。

2016 年，当俄罗斯被指控入侵民主党全国委员会时，普京表示这不是俄罗斯政府的错。他指责网络犯罪分子，“我们绝对不会在国家层面做这种事。” 12 名俄罗斯情报人员后来被美国大陪审团起诉。

历史上，敌对国家一直避免引发全面网络战，因为担心这可能会引发动能冲突。但在已经存在动能冲突的情况下，否认的重要性就会降低。GTIG 认为，APT44 于 2022 年 10 月向波兰和乌克兰的物流实体发送了 Prestige 勒索软件，“这是 APT44 针对北约国家部署破坏能力的罕见案例”。

随着全球地缘政治紧张局势加剧，区分国家支持的犯罪和“简单”犯罪的重要性和有效性也随之降低。

这种将网络犯罪人员和工具与国家支持的行动混杂在一起的做法并不局限于俄罗斯：伊朗也做过类似的事情。这也不是新鲜事。早在 1986 年，克格勃就雇佣了一名名叫马库斯·赫斯的东德黑客，入侵并窃取美国、欧洲和东亚的军用和工业计算机的数据——最著名的是劳伦斯伯克利国家实验室。

现在的区别在于这种做法的规模和可能造成的损害。没有解密的犯罪勒索软件与国家支持的清除程序没什么区别。

网络犯罪的影响现在就像混合战争

混合战争的一部分是破坏目标国家人民的士气和福祉。这显然是国家支持的团体的职责范围之一——GTIG 认为，犯罪集团可以通过勒索软件产生类似的效果。针对医疗保健和公用事业的攻击可能会造成影响普通民众的广泛问题。

犯罪分子意识到了这一点，正如Conti Leaks所证实的那样。参与 2020 年针对美国医疗保健的计划攻击的参与者知道他们会引起公众恐慌，其中一名参与者写道“将会引起恐慌”。服务越关键，目标就越有吸引力。正如国家支持的混合战争所要求的那样，潜在的公众“恐慌”现在与以经济为动机的犯罪勒索软件密不可分。

据报道，英国 2024 年 6 月针对 NHS 承包商的勒索软件攻击导致多起“对身体、精神或社会功能造成长期或永久影响或缩短寿命”的案例。

2022 年，康蒂再次遭遇勒索软件攻击，对哥斯达黎加政府机构造成了严重的破坏，迫使总统宣布国家进入紧急状态。

国家支持的运营商与普通罪犯之间的区别不能通过攻击效果来衡量。事实上，也不能通过攻击动机来衡量——朝鲜就是一个典型例子。朝鲜的网络攻击不仅实现了国家通常的网络间谍和技术知识产权盗窃目的，而且还广泛进行以经济为动机的加密货币盗窃，以支持国家政府。

简而言之，网络犯罪（一种犯罪威胁）不应与国家支持的网络活动（一种国家安全政治威胁）分开处理，因为人力、工具、动机和影响是无法分开的。网络犯罪现在是一个国家安全问题。

GTIG 向国际社会提出建议 “我们认为，应对这一挑战需要采取新的、更强有力的方法，将网络犯罪威胁视为需要国际合作的国家安全优先事项，”GTIG 表示。“必须做更多，而且可以做更多。”

政府打击勒索软件组织是有用的，但只能给受害者带来暂时的安慰，给攻击者带来暂时的不便。网络犯罪生态系统具有弹性，国际化，并且能从单个打击中快速恢复。尽管这些措施应该继续，但 GTIG 建议政策制定者采取额外措施。

这些措施应包括将网络犯罪提升为国家安全优先事项；即优先收集和分析网络犯罪组织的情报，并加强执法部门调查和起诉网络犯罪的能力。

通过激励最佳实践以及投资于能够提高弹性的新安全技术的研究和开发 来加强网络安全防御。

通过针对恶意软件开发者、防弹托管提供商和金融中介机构（包括加密货币交易所）等关键推动者来破坏网络犯罪生态系统。简而言之，“拆除支持网络犯罪活动的基础设施”。

加强国际合作，优先“建立信息共享、联合调查和协调打击网络犯罪网络的国际框架”。

通过网络安全意识和教育赋予个人和企业权力，并使服务提供商能够通过立法打击网络犯罪分子。这还应包括报告和从网络攻击中恢复的资源。

通过鼓励采用成熟的技术并避免过度依赖单一技术 来提升私营部门的安全实践能力。

GTIG 没有提出的一项明确建议是政府在端到端加密信息中设置后门。这无疑有助于政府通过增加情报渠道打击网络犯罪；但这是一个政治和社会棘手问题。GTIG 现有的建议中可能隐含了这一点——或者可能只是 CTIG 认为削弱加密信息既能帮助当局，也能帮助犯罪分子。