Діней Флоренсіо дослідник, та Кормак Герлі, провідний дослідник Microsoft Research

Хвиля кіберзлочинності, якої не було

Суспільство
27 Квітня 2012, 14:34

За менш ніж 15 років кіберзлочинність із маловідомої проблеми стала центром уваги споживачів, занепокоєння для корпоративної та національної безпеки. Популярні розрахунки передбачають, що кіберзлочинність швидко набирає обертів, є прибутковою та високорозвиненою, а щорічні збитки від неї коливаються від мільярдів доларів до приблизно одного трильйона. У той час як інші галузі страждають від рецесії, кіберзлочинність переживає очевидний бум.

Втім, з економічного боку така картина є дуже неправильною. Як правило, попит на легкі гроші перевищує пропозицію. В такому разі, чи є кіберзлочинність винятком? Якби збагачення було таким же легким, як завантаження та запуск програм, чи не робили б це більше людей, знижуючи у такий спосіб прибутки?

Ми дослідили кіберзлочинність з економічного боку і виявили відхилення від загальноприйнятої думки. Попри те, що кілька злочинців процвітають, кіберзлочинність є нещадною, низькорентабельною боротьбою за переважання. Спам, викрадення паролів та пограбування банківських рахунків можуть здаватися ідеальним бізнесом. Кіберзлочинці можуть бути за тисячі кілометрів від місця злочину, вони можуть завантажувати все, що їм треба в інтернеті, та не потребують особливої спеціальної підготовки чи капітальних вкладень. Практично кожен може це робити.

Взагалі-то не зовсім. Структурно економіка такої кіберзлочинності, як спам і викрадення паролів, є такою самою, як економіка риболовлі. Економіка вже давно встановила, що наявність ресурсів широкого доступу дає погані можливості для бізнесу. Незалежно від того, якою великою є початкова можливість, нові учасники продовжують приходити, зменшуючи середній дохід. Так само, як і нерегульовані запаси риби доводять до виснаження, легких грошей завжди бракує.

Але як це узгодити з думкою про те, що кіберзлочинність за обсягами конкурує зі світовою торгівлею? Відповідно до одного з останніх досліджень прямі щорічні втрати споживачів у всьому світі становлять $114 млрд. Однак виявляється, що оцінки поширення кіберзлочинності здійснюються на основі надзвичайно поганих статистичних методів, що позбавляє їх надійності, на опитуваннях споживачів та компаній. Достовірність таких оцінок ґрунтується на даних екзит-полів, яким ми навчились довіряти. Втім, якщо відповіді опитаної групи вважати думкою всього населення, виникає величезна різниця між питаннями щодо преференцій (які використовуються в екзит-полах) та чисельними питаннями (які трапляються в опитувальниках щодо кіберзлочинності).

Перш за все, в чисельних опитуваннях помилки майже завжди є висхідними: зважаючи на те, що обсяги оцінених втрат мають бути позитивними, немає меж щодо верхньої позначки, тоді як нуль є жорстким обмеженням для нижньої межі. Тож не можна відкидати можливості помилок респондентів або відвертої брехні. А якщо взяти до уваги, що зазвичай дослідники отримані від опитуваної групи результати вважають такими, що є достовірними для всього населення, то вірогідність помилок зростає.

Припустимо, що ми звернулися до 5 тис. осіб із проханням розповісти про свої втрати від кіберзлочинності, які потім екстраполюємо на населення у 200 млн людей. Кожен долар, про який заявляють, помножується на $40 тис. А одна людина, яка помилково стверджує, що втратила $25 тис., додає до оцінки ще $1 млрд неправдивих грошей. А оскільки ніхто не може напевно стверджувати про втрати, то вірогідність помилки не можна виключати.

Дослідження кіберзлочинності, які ми розглянули, свідчать про саме таку модель величезних і неперевірених надлишків, які з’являються в даних. Майже 90% загальної оцінки, як виявилось, були результатом відповідей однієї або двох осіб. У опитуванні від 2006 року щодо крадіжки особистих даних Федеральною торговою комісією два респонденти дали відповіді, які, ймовірно, додали $37 млрд до загальної оцінки, у такий спосіб викривляючи остаточні підсумки, отримані в результаті відповідей усіх респондентів разом узятих.

І проблема тут полягає не в досягненні досконалості, зважаючи на те, що йдеться навіть не про кілька відсотків похибки, це радше правило, ніж виняток. Із десятків опитувань, проведених у антивірусних компаніях, серед промислових аналітиків та державних установ, не було жодного, в якому не було би завищених упереджень. Внаслідок цього маємо дуже слабке уявлення про обсяги збитків від кіберзлочинності.

Кіберзлочинність, де прибутки є незначними, а конкуренція нещадною, також надає прості пояснення фактів, які в інших випадках є заплутаними. Паролі та вкрадені номери кредитних карток продають за копійки з тієї простої причини, що їх важко перевести в готівку. Кіберзлочинців-мільярдерів важко знайти, тому що їх немає. Мало хто знає людей, які втратили велику суму грошей, оскільки жертв насправді набагато менше, ніж зазначено у результатах досліджень.

Певна річ, це – не гра з нульовою сумою. Складність збагачення поганих хлопців не означає, що наслідки є незначними для хороших. Оцінки прибутку можуть бути надто завищеними, але неправильно не звертати уваги на кіберзлочинність, не вважаючи її серйозною проблемою.

Люди, чиї комп’ютери було інфіковано вірусними програмами, або ті, в кого вкрали паролі від електронної пошти, знають, що «прибирання сміття» зменшує будь-яку вигоду, отриману хакерами. У вживанні запобіжних заходів – від політки паролів до спливаючих попереджень «довести, що ти людина» – не поставало би потреби, якби кіберзлочинці не здійснювали нападів на систему.

Втім, це не означає, що завищені оцінки втрат мають бути прийнятними. Радше має бути наголошено на тому, як споживачі та політики оцінюють проблему.

Шкода, яку завдають користувачам порівняно з (набагато меншою) користю, яку отримують хакери, є справжнім мірилом кіберзлочинності. Опитування, які увічнюють міф, що кіберзлочинність легко заробляє гроші, є небезпечними, оскільки вони заохочують нових, часто дезінформованих, учасників завдавати шкоди користувачам, ніж забезпечувати прибутки собі. 

© 2012 The New York Times