(Продолжение; первую часть этого материала можно прочитать здесь.)

Источник неизвестен

Теперь, когда уже имеется общее представление о «надежности» оценок для масштабов киберкриминала, пора вернуться к расследованию ProPublica. Журналисты этого проекта, Питер Маас и Мегха Раджагопалан, решили всерьез докопаться, как же именно были вычислены эти удивительные цифры статистики о «величайшей перекачке богатств» – 1 триллион долларов в год для мира и 250 миллиардов для США.

И выяснили они весьма примечательную вещь – что в реальности ситуация с надежностью публично озвучиваемой статистики в данной области обстоит даже хуже, чем это обрисовано в прошлогоднем исследовании «про секс, ложь и киберпреступность».

Секс, ложь и политика. Часть вторая

Результаты журналистского расследования удобнее начать с цифры Symantec (оценка потерь для США). Хотя корпорация Symantec действительно приводит эту 250-миллиардную оценку в своем отчете 2011 года «Индикаторы поведенческого риска от хищений интеллектуальной собственности», быстро выясняется, что цифра эта на самом деле идет не от Symantec.

Данный отчет приводит эту оценку как бы мимоходом, давая в примечании ссылку на некую юридическую статью. Однако в статье этой, как установлено обращением к первоисточнику, цифра в 250 миллиардов долларов не упоминается вообще никак. Эрик Шоу (Eric Shaw) один из двух специалистов по криминалистической психологии, привлекавшихся фирмой Symantec для аналитических исследований в их отчете, сообщил журналистам, искавшим источник, что «ссылка в примечании была ошибкой».

Вместо этого она должна была отсылать к совсем другой аналитической статье 2010 года, которая в свою очередь в качестве источника указывает речь директора ФБР Роберта Мюллера (Robert S. Mueller), сделанную еще в 2003 году.

В ответ на запрос журналистов об источниках этой цифры, пресс-представительница ФБР сообщила, что хотя, как она полагает, руководство Бюро использовало надежный источник для оглашения этой цифры, однако само ФБР (а) не разрабатывало эту оценку и (б) не заявляло когда-либо, что эта оценка сделана ими. Попутно она перевела стрелку дальше, указав на еще один официальный документ, теперь уже из недр Министерства юстиции США, где все то же красивое число 250 миллиардов фигурирует как исходящее от представителя Торговой палаты США.

Увы, пресс-секретарь Торговой палаты в ответ на запрос об источнике сообщил, что данная цифра исходит не от них: «Ваш запрос, похоже, относится к оценочной цифре, идущей из индустрии». Как бы в подтверждение этому журналистам дали ссылку на аналитическую статью Министерства торговли США, посвященную хищениям интеллектуальной собственности. Конечно же, в этом документе опять приводится цифра 250 миллиардов – вот только в качестве ее источника снова фигурирует ФБР...

Короче, круг ссылок замкнулся, а официальные структуры правительства не в силах объяснить, откуда взялась эта примечательная, всеми ими цитируемая статистика.

Как могут, добавляют сюда путаницы и законодательные структуры государства. Так, сенаторы Коллинз и Либерман, энергично выступая в Конгрессе в поддержку нового билля о кибербезопасности, также сочли необходимым упомянуть директора АНБ Кита Александера, который «полагает, что американские компании теряют около 250 миллиардов долларов в год из-за хищений их интеллектуальной собственности».

Когда журналисты обратились к законодателям за разъясняющими комментариями относительно надежности приводимых ими цифр, пресс-служба ответила на запрос так: «Сенатор Либерман и его аппарат полагают, что McAfee, Symantec и генерал Александер – это авторитетные источники информации относительно кибербезопасности»...

Если же источник известен

С идущей от McAfee цифрой глобальных потерь, оцениваемых в 1 триллион долларов, разобраться оказалось несколько легче.

В 2008 году компания McAfee решила заказать аналитический отчет, в котором было бы рассмотрено, как спад глобальной экономики соотносится с кражами данных у компаний. Отвечать за этот проект руководство McAfee назначило одного из своих пиар-менеджеров, Сэла Вивероса (Sal Viveros).

По свидетельству Вивероса, для проведения статистического опроса среди 1000 примерно руководителей фирм по всему миру, была нанята некая компания маркетинговых технологий. После чего авторитетный научный институт, Центр образования и исследований в области информационной безопасности при Университете Пэрдью, проанализировал результаты опроса, провел последующие интервью и помог написать итоговый отчет «Unsecured Economies: Protecting Vital Information».

Секс, ложь и политика. Часть вторая

Публикация данного отчета была устроена так, чтобы обеспечить документу наибольший резонанс. Это было сделано 29 января 2009 года в Давосе, Швейцария, во время встречи мировой элиты на Всемирном экономическом форуме. По этому поводу McAfee массово распространила новостной пресс-релиз, в текст которого и была помещена драматичная цифра – 1 триллион долларов ежегодных потерь – которая, внимание, в материалах отчета не фигурирует вообще никак...

McAfee использовали эту цифру в пресс-релизе следующим образом: «Опрошенные компании оценили, что за один лишь прошлый год они потеряли своей интеллектуальной собственности в общей сложности на 4,6 миллиарда долларов, потратив еще примерно 600 миллионов на восстановление ущерба от потерь данных... Основываясь на этих цифрах, McAfee подсчитала, что компании по всему миру потеряли за прошлый год свыше 1 триллиона долларов». Ну и дабы цепляющая цифра вбилась в головы уже наверняка, заголовок пресс-релиза сделали таким: «Из-за хищений данных и киберпреступности бизнес-структуры теряют свыше 1 триллиона долларов в своей интеллектуальной собственности».

Столь броская цифра, конечно же, привлекла внимание и была повторена множеством СМИ без какой-либо критической оценки.

На запрос журналистов из ProPublica относительно методологии их подсчетов, Сэл Виверос дал такие пояснения: «Вычисления были сделаны в McAfee группой специалистов по технологиям, маркетингу и продажам, опиравшихся на ответы респондентов в отчете. McAfee экстраполировала 1 триллион … основываясь на усредненных данных потерь для одной компании, умноженных на количество подобных компаний в тех странах, которые мы изучали. Когда же эта прикидка была опубликована в пресс-релизе, цифра была энергично подхвачена и получила свою собственную жизнь».

Итого в сухом остатке

Оценка в триллион долларов (это много больше, чем масштабы мировой нелегальной торговли наркотиками и оружием вместе взятые) вызывает сильнейшие сомнения даже у тех исследователей из университета Purdue, которых сама McAfee называет в качестве специалистов, анализировавших исходные данные опроса и помогавших делать отчет.

«Я был действительно удивлен когда эти цифры появились в сообщениях новостей – триллион долларов – потому что это было уж слишком, слишком большое число», – говорит Юджин Спаффорд (Eugene Spafford), профессор информатики в Purdue и главный участник от ученых, принимавших участие в создании обзора McAfee.

Другой соавтор того же отчета, Ник Акерман (Nick Akerman) из юридической фирмы Dorsey & Whitney, специализирующейся на компьютерных делах, всячески приветствует проведение аналитических исследований по масштабам киберпреступности: «Нельзя сказать, что проблема невелика. Она действительно очень значительная». Однако его совершенно не устраивает нынешняя методология крайне искусственного сведения потерь к неким суммам денег, которые по их ощущениям потеряли жертвы атак: «Я не вижу, каким образом вы могли бы адекватно прийти к оценкам в долларовом исчислении. Более того, я бы мог доказать, что это невозможно».

А вот что отмечает другая независимая исследовательница, Джули Райан (Julie Ryan), профессор системного инжиниринга в Университете Джорджа Вашингтона и соавтор известной среди специалистов статьи «Использование, неправильное применение и злоупотребление статистикой в исследованиях по инфобезопасности». В интервью для ProPublica она сказала так: «Среди того, что я повидала из больших коммерческих обзоров, все они страдают одной главной слабостью, суть которой в том, что представленные там данные просто бесполезны, бесполезны с научной точки зрения. Но они представляют очень, очень большую ценность в смысле маркетинговых перспектив»...

Post Scriptum

Когда данная статья была уже практически готова, корпорация Symantec выпустила очередное исследование по киберпреступности «Norton Cybercrime Report 2012», где глобальная стоимость потерь потребителей от киберпреступлений за последние 12 месяцев рассчитана в сумме 110 миллиардов долларов.

Секс, ложь и политика. Часть вторая

В прошлом 2011 эта же фирма насчитала общемировых потерь за год на сумму 388 миллиардов долларов (сопроводив оценку таким комментарием «это больше, чем оценочная стоимость глобального черного рынка марихуаны, кокаина и героина вместе взятых»).

На основе подобной динамики можно было бы наивно подумать, будто суммы убытков от киберпреступности явно снижаются. Однако антивирусные фирмы и власти США уверяют всех прямо в противоположном – на самом деле угроза неуклонно нарастает.

Ну а цифры... Почему-то в этот раз решили подсчитать вот так, на 278 миллиардов меньше. Может, хоть так кто поверит?

 

2080