Секс, ложь и политика

Очень скоро, впрочем, об этих впечатляющих инициативах все как-то подзабыли, поскольку к власти пришла новая администрация Дж. Буша, избравшая в качестве главной внешней угрозы совсем другого опаснейшего врага – международный терроризм. (Тут же уместно напомнить, что по данным статистического учета, как в те времена, так и сегодня, лично для вас вероятность погибнуть от террористической атаки примерно равна вероятности утонуть в собственной ванне.)

Поскольку выбор ужасно грозящих нации опасностей, с которыми непременно надо энергично бороться с мощными затратами бюджетных средств, у политиков в общем-то не очень велик, вряд ли следует удивляться, что после тотальной войны с терроризмом (закончившейся, как известно, ничем) ныне вновь разворачивается столь же решительная борьба с киберпреступлениями. Что характерно, обострение этой активности в США – в виде попыток принять новое жесткое законодательство об укреплении кибербезопасности (Cybersecurity Act of 2012) – опять пришлось на самый конец правления очередного президента-демократа.

Барак Обама и Билл Клинтон

Странный выбор аргументов

Справедливости ради надо отметить, что Барак Обама начал демонстрировать озабоченность проблемами киберзащиты буквально с первых дней своего правления. Едва заняв Белый дом, уже в феврале 2009, новый президент дал указание в 60-дневный срок подготовить для него аналитический обзор по компьютерно-сетевой безопасности – дабы выяснить пути к наилучшей защите страны от кибератак.

Подготовленный для Обамы обзор был представлен публике в последних числах мая 2009 и тогда же президент произнес свою первую речь, целиком посвященную укреплению кибербезопасности. Особо эти факты следует отметить по той причине, что и в аналитическом «президентском» обзоре (на второй странице 38-страничного документа) и затем непосредственно в речи Обамы была озвучена на удивление гигантская сумма ущерба от киберпреступности. Цитируя слова президента США буквально: «Было подсчитано, что за один лишь последний год у бизнес-структур по всему миру киберпреступники похитили интеллектуальной собственности на сумму около 1 триллиона долларов».

Если в соответствующем документе президентской администрации, Cyberspace Policy Review, обратиться за ссылкой на первоисточник столь любопытной оценки, то выяснится, что цифра 1 триллион долларов была взята из пресс-релиза антивирусной корпорации McAfee. Уже один этот факт сам по себе никак не назовешь заурядным: когда президент мощнейшей державы на планете для того, чтобы предупредить соотечественников о великой напасти, угрожающей их экономике и национальной безопасности, опирается не на оценки серьезных институтов и аналитиков спецслужб, а на содержание пресс-релиза некой коммерческой компании (торгующей, к слову, средствами защиты от этих самых страшных угроз)…

Хуже того, за прошедшие с той поры годы стало чуть ли не традицией – как только хотят попугать публику ужасами киберпреступности, непременно извлекают и цифру в 1 триллион ежегодных убытков для бизнеса. Причем теперь ее повторяют даже высшие руководители разведывательных спецслужб.

Не далее как летом нынешнего года генерал Кит Александер – директор Агентства национальной безопасности США и по совместительству глава национального Киберкомандования – выступал перед элитой национальной индустрии в Американском институте предпринимательства в Вашингтоне. В своей речи Александер предупредил, что кибератаки ныне вызывают «величайшую перекачку богатств в истории человечества», для подтверждения чего процитировал статистические данные из разных источников, среди которых особо впечатляюще выглядели цифры от компаний McAfee и Symantec (другая головная фигура в бизнесе инфобезопасности).

Кит Александер

Цитируя Symantec, в частности, Александер напомнил слушателям, что хищения интеллектуальной собственности обходятся лишь одним американским компаниям потерями в 250 миллиардов долларов в год. Ну а для убытков в целом по миру Александер привел уже известную оценку McAfee – о глобальной стоимости киберпреступности 1 триллион долларов. «Это то, как наше будущее исчезает у нас перед глазами», – драматично подытожил генерал свою речь, призвав Конгресс поторопиться с принятием закона, укрепляющего киберзащиту Америки…

Тут же пора заметить, что уже с момента первой публикации этих весьма сомнительных цифр стало появляться немало статей в СМИ, блог-постов в интернете и академических исследований в научной прессе, где выражался сильнейший скептицизм относительно достоверности этих привлекающих всеобщее внимание оценок. Но увы, критические отклики скептиков практически никак не сказываются на том, что множеством госчиновников и политиков вновь и вновь продолжают публично цитироваться эти астрономические оценки – как заслуживающие безусловного доверия.

И вот, наконец, в августе 2012 появились результаты специального исследования, проведенного репортерами ProPublica, уникального онлайнового проекта, специализирующегося на профессиональных «журналистских расследованиях в интересах общества». Новое их расследование так и называется: «Действительно ли киберпреступность стоит 1 триллион долларов?» (Peter Maass and Megha Rajagopalan, Does Cybercrime Really Cost $1 Trillion?, ProPublica, Aug. 1, 2012).

Забегая чуть вперед, можно сразу сказать, что американским журналистам удалось нарыть очень убедительные свидетельства тому, что за всеми этими гигантскими цифрами потерь, которыми стращают обывателя, реально не стоит практически ничего. Но ради большей наглядности предъявленных фактов полезно для начала обратиться к результатам другого исследования, сделанного несколько ранее.

«Сексуальные отклонения» метода

Летом прошлого года два сотрудника центра научно-технических исследований «Microsoft Research», Динеи Флоренсио и Кормак Херли, опубликовали собственную аналитическую работу – примерно на ту же тему, но под куда более хлестким названием «Секс, ложь и обзоры по киберпреступности» («Sex, Lies and Cyber-crime Surveys», by Dinei Florencio and Cormac Herley, June 2011).

Привлечение в работу сексуальной проблематики было сделано авторами отнюдь не искусственно, а по причине непосредственного методологического родства между исследованиями столь разных, казалось бы, вещей, как интимные отношения полов и масштаб компьютерных преступлений. Или, выражаясь точнее, из-за очень похожей природы возникновения гигантских ошибок при изучении статистики в той и другой области.

Поскольку сексуальное поведение человека стало предметом научных исследований намного раньше, здесь ученым уже давно и хорошо известно, что практически все обзоры на основе опросов респондентов в своих результатах чрезвычайно стабильно демонстрируют значительное расхождение ответов по половому признаку.

Мужчины неизменно сообщают, что имели секс-партнерш среди женщин намного больше, нежели это можно ожидать из ответов женщин, сообщающих о количестве своих секс-партнеров среди мужчин. Такого рода расхождение в разных обзорах может отличаться, однако везде эти несоответствия очень значительны – отличаясь в 3, 5, а то и в 9 раз. Причем разница эта устойчиво повторяется во множестве обзоров самых разных стран (США, Британия, Франция, Новая Зеландия, Норвегия).

Несложно, наверное, сообразить, что в условиях замкнутого населения с равным числом мужчин и женщин подобных расхождений на самом деле быть не должно. Среднее количество гетеросексуальных партнеров для мужчин и женщин в течение их жизни является одним и тем же. А это значит, что все подобные опросы мужчин и женщин в действительности дают независимые оценки одного и того же количественного параметра, однако получаемые при этом оценки оказываются взаимно несовместимыми.

Понятно, что здесь с необходимостью должны присутствовать источники существенной ошибки в одной, другой или даже в обеих выводимых оценках. Более того, поскольку мужчины стабильно сообщают о большем количестве партнерш, нежели сообщают о количестве партнеров женщины – при опросах в самых разных странах, в разные периоды времени и с использованием различных методологий – эти ошибки выглядят устойчиво смещенными в одну и ту же сторону.

Имеются очень сильные доводы за то, что каждый из обзоров имеет, в сущности, один и тот же источник ошибки. На множестве разных наборов данных показано, что наибольшая часть расхождений порождается очень малой долей респондентов-мужчин, которые сообщают о весьма значительном количестве своих партнерш. В остальной же части опрошенных, то есть среди более 90% респондентов, сообщавших о менее чем 20 партнерах, расхождения в сведениях от мужчин и женщин исчезают практически полностью.

Этот факт дает основания выдвинуть очень простое (и естественное) объяснение, которое отвечает за основную часть отмечаемого в опросах сдвига. Большинство женщин говорит правду, но, быть может, слегка преуменьшает реальную картину. Большинство мужчин также говорит правду, но, возможно слегка преувеличивает. Однако совсем небольшая доля мужчин рассказывает небылицы: они явно завышают количество своих секс-партнерш, причем завышают не слегка, а очень существенно.

При таких раскладах мужчина, заявляющий, будто имел в своей жизни 100 и более партнерш (как это действительно отмечается в реальных опросах примерно для 1% мужчин), в то время как реальное число женщин, с которыми у него был секс, в действительности составляет, скажем 50, привносит в итоговую оценку ответов гигантскую ошибку. Чтобы статистически «погасить» завышенную цифру всего одного такого гиперсексуального вруна, понадобилось бы еще 16 мужчин со средним количеством секс-партнерш, которые почему-то решили бы вдруг приуменьшить в 2 раза количество своих интимных контактов. Но коль скоро мужчины вообще не имеют тенденцию занижать свои сексуальные похождения, таким образом и порождается гигантская асимметрия в ответах респондентов разного пола…

Неясным после этого объяснения остается лишь один момент: какое, собственно, отношение столь занимательная, спору нет, история имеет к масштабам потерь от киберпреступлений?

Дело здесь в том, поясняют авторы исследования, что киберпреступность – как и сексуальное поведение человека – по самой природе своей не поддается крупномасштабным прямым наблюдениям. И, соответственно, все оценки, которые имеют ученые-аналитики на данный счет, выводятся практически целиком из обзорных опросов участников-респондентов.

Опросы относительно числа сексуальных партнеров уникальны в том смысле, что хотя ученые и не знают правильных ответов, при этом они имеют возможность для их перекрестной проверки, сопоставляя ответы мужчин с ответами женщин. Благодаря же такой проверке становится отчетливо видно, что процедура выстраивания оценки порождает заведомо неверные данные и ответы.

Для оценок киберпреступности – по естественным причинам – возможностей перекрестной проверки нет. Но если приглядеться, как именно здесь выстраиваются оценочные цифры, то для специалиста несложно заметить, что сгенерированы они с использованием абсурдно никудышных статистических методов. А это автоматически делает их полностью ненадежными.

Подавляющее большинство киберкриминальных оценок основаны на опросах потребителей и компаний. Такие методы по традиции пользуются у публики доверием из-за предвыборных опросов избирателей, которым практика научила доверять. Однако есть тут очень важный нюанс. Когда делается экстраполяция результата от опрошенной группы на общую массу населения в целом, то имеется гигантское и принципиальное различие между вопросами о «качественных» предпочтениях (что характерно для вопросов о кандидатах на выборах) и «количественных» вопросах с числовыми данными (как в опросах о масштабах киберпреступности или числе секс-партнеров).

Самое главное, в числовых опросах ошибки почти всегда дают завышения. Поскольку суммы оцениваемых от кибератак потерь должны быть положительными, то сверху для них предела нет, а снизу есть предел очень жесткий – нуль. Как следствие, невольные ошибки респондентов – или же их заведомая ложь – не могут быть погашены ошибками и ложью в другую сторону. И даже хуже того, ошибки многократно умножаются, когда исследователи начинают масштабировать эти данные от опрошенной группы до общего населения в целом.

Для иллюстрации этого механизма предположим, что опрошено 5000 человек с просьбой оценить их потери от киберпреступности. Собранные данные затем экстраполируются на население порядка 200 миллионов человек. При такой экстраполяции всякий заявленный доллар потерь принято умножать на множитель 40 000. Соответственно, всего один человек, сообщивший неправду о понесенных им потерях в размере 25 000 долларов, добавляет в итоговую оценку гигантскую ошибку в 1 миллиард долларов. А поскольку ни один из респондентов не сообщает об отрицательных потерях, эту ошибку уже нельзя ничем сократить.

Те статистические обзоры по киберпреступности, что изучались авторами исследования, демонстрируют в точности этот механизм порождения гигантских, ничем не проверяемых выбросов, которые доминируют в получаемых итоговых данных. В некоторых из таких обзоров 90 процентов от суммы оценки потерь оказываются идущими всего от одного или двух респондентов.

Причем проблему эту никак не назовешь неизвестной. В 2006 году из аналитического обзора Федеральной торговой комиссии США, посвященного убыткам от кражи личности, ответы двух респондентов были принудительно удалены – как расцененные в итоге «не кражей личности» и «несогласующиеся с имеющимися записями». Включение лишь двух этих ответов в итоговую оценку увеличивало ее величину на 37,5 миллиардов долларов, или иначе, завышало общую сумму потерь больше, чем в три раза…

Как правило, однако, такого рода «волевые исключения» заведомых аномалий делать не принято. Подобная картина, подчеркивают авторы, – это не просто неудача в достижении совершенства или проблема с ошибкой в нескольких процентах. Это правило, а не исключение. Среди десятков обзоров киберпреступности – от поставщиков средств безопасности, от аналитиков индустрии и от правительственных агентств, не удается обнаружить ни одного обзора, который был бы свободен от этих явных смещений оценок вверх. Как результат, общество имеет очень слабое представление о реальных масштабах потерь вследствие киберпреступности.

Продолжение этого материала можно прочитать здесь.