Průzkumy kybernetické kriminality nám neříkají, co bychom měli vědět

Po celá léta vládní úředníci, zpravodajské články a bezpečnostní společnosti varují před nebezpečím a dopadem kybernetické kriminality. Patrick Peterson, hlavní bezpečnostní výzkumník společnosti Cisco, odhadl, že ztráty dosáhly v roce 2009 celkem 560 milionů dolarů. Killian Strauss z Organizace pro bezpečnost a spolupráci v Evropě je odhaduje na 100 miliard dolarů ročně. A v březnu 2009 Edward Amoroso, hlavní bezpečnostní důstojník AT&T, předložil Výboru Senátu USA pro obchod, vědu a dopravu písemné svědectví, v němž odhaduje, že kybernetická kriminalita přináší nezákonné příjmy ve výši přibližně 1 bilionu dolarů ročně.

Některým výzkumníkům tato výrazně odlišná čísla naznačují, že současné metody pro výpočet ztrát kybernetické kriminality jsou tak špatné, že vlastně ani netušíme, jak závažný problém je. A bez dobrých dat, říkají, neexistuje způsob, jak s tím inteligentně bojovat.

jak to může být? říká Cormac Herley , hlavní výzkumný pracovník společnosti Microsoft Research, jeho hlas stoupá nevěřícně. Jak můžete mít odhady stejného problému v rozsahu tří řádů?

Ve skutečnosti, říká Herley, když viděl tato čísla, cítil, že prostě nedávají smysl. Nejen, že jsou po celé mapě, ale některé se zdají i nemožně vysoké. Například říká, že příjmy z kybernetické kriminality ve výši 1 bilionu dolarů znamenají 5 000 dolarů na každého dospělého v USA, který tráví čas online.

Špatná data mají důsledky. Bez čísel nemůžeme dělat dobrou politiku ani rozumná investiční rozhodnutí, říká Herley. Nejen to, ale nemůžeme zjistit, odkud pocházejí klíčové hrozby. Vydělávají zločinci většinu svých peněz protokolováním klíčů? Vysoce cílené phishingové útoky (spear phishing)? Útoky hrubou silou na hesla lidí? Je to nepříjemné, říká.

Herley se pustil do studia metod používaných k výpočtu těchto čísel a zjistil, že jsou vážně nedostatečné. Většina statistik pochází z průzkumů, ve kterých jsou respondenti požádáni, aby uvedli, zda se stali obětí trestného činu a kolik ztratili. Průzkumy jsou těžké, říká Herley. Jeho výzkum odhalil řadu důvodů, proč jsou průzkumy o kyberzločinu obzvlášť náročné.

Vědci mají docela dobré metody pro průzkum, řekněme, záměrů voličů. V takovém případě se zaměřte na získání dobrého reprezentativního vzorku. Na nepřesnostech záleží, ale některé z nich tak či onak příliš nezmění.

Kyberzločin je úplně jiný příběh. Za prvé, průzkumy kybernetické kriminality se snaží změřit číslo: kolik peněz bylo ztraceno. V takovém případě mohou individuální reakce znamenat obrovský rozdíl. Průzkum hlasování není příliš odhozen, pokud někdo, kdo skutečně plánuje volit demokrata, prohlásí, že má v úmyslu volit republikána. Pokud ale respondent průzkumu, který kvůli kyberzločinu přišel o 50 000 dolarů, tvrdí, že přišel o 500 000 dolarů, budou jakékoli výpočty založené na těchto informacích naprosto mimo mísu.

Existují další problémy. Každý registrovaný volič má užitečné informace, které může nahlásit. Ale ne každý má užitečný příběh o kyberzločinu, což znamená, že malý počet odpovědí může znamenat obrovský rozdíl. Například v průzkumu z roku 2006, který provedla společnost Gartner Research, 128 ze 4 000 lidí tvrdilo, že se stali oběťmi. Herley vypočítal, že 59 procent ztrát pochází od horního 1 procenta respondentů, kteří byli obětí – v tomto případě od jediné osoby. Domnívá se, že takové obavy znemožňují důvěřovat údajům pocházejícím z většiny průzkumů kybernetické kriminality.

Pochopení dopadu jakéhokoli trestného činu je problematické, říká Julie Ryanová , vedoucí profesor managementu informační bezpečnosti na Univerzitě George Washingtona. Nicméně, Ryan říká, počítačová kriminalita představuje zvláštní problémy, protože většina lidí není dobře vybavena k tomu, aby odpovídala na technické otázky o ní. Jednotliví respondenti průzkumu si například nemusí být jisti, zda se stali obětí phishingového útoku, nebo zda jim v důsledku toho nebylo něco odebráno. Takže tady máme problém, říká Ryan. Potenciální zločin, který je potenciálně neodhalitelný, doplněný o cílový prostor, který je většinou neznalý.

Abychom tento problém prohloubili, je těžké získat nezaujaté informace, říká Ryan. Velké korporace se mohou zdráhat přiznat, že jsou oběťmi kybernetické kriminality, protože takové přiznání by jim mohlo přijít o zákazníky. Na druhou stranu bezpečnostní firmy – které často provádějí průzkumy o počítačové kriminalitě – mají prospěch, když lidé berou počítačovou kriminalitu vážně.

Herley chce, aby společnosti a organizace, které provádějí průzkumy, zveřejňovaly mnohem více informací, což výzkumníkům usnadnilo hodnocení jejich metod. Mohli by například zveřejňovat střední hodnoty pro počítačovou kriminalitu, u kterých není tak pravděpodobné, že by průměrné nebo průměrné hodnoty byly zkresleny, pokud by pár lidí přehánělo nebo se pletlo.

Herley také naznačuje, že nároky na velké ztráty jsou pečlivě zkoumány. Riskujete katastrofální chybu, říká.

skrýt