Менее чем за 15 лет киберпреступность из малоизвестной проблемы стала центром внимания потребителей, беспокойство для корпоративной и национальной безопасности. Популярные расчеты предусматривают, что киберпреступность быстро набирает обороты, является прибыльной и высокоразвитой, а ежегодные убытки от нее колеблются от миллиардов долларов к приблизительно одного триллиона. В то время как другие области страдают от рецессии, киберпреступность переживает очевидный бум.
Впрочем, с экономической стороны такая картина совсем неправильная. Как правило, спрос на легкие деньги превышает предложение. В таком случае, является ли киберпреступность исключением? Если бы обогащение было таким же легким, как загрузка и запуск программ, не делали ли бы это больше людей, снижая, таким образом, прибыли?
Мы исследовали киберпреступность с экономической стороны и допустили отклонение от общепринятого мнения. Вопреки тому, что несколько преступников процветают, киберпреступность - это беспощадная, низкорентабельная борьба за преобладание. Спам, похищение паролей и ограбления банковских счетов могут казаться идеальным бизнесом. Киберпреступники могут быть за тысячи километров от места преступления, они могут загружать все, что им надо в интернете, и не нуждаются в особой специальной подготовке или капитальных вложениях. Практически каждый может это делать.
Вообще-то не совсем. Структурно экономика такой киберпреступности, как спам и похищения паролей, является такой же, как экономика рыбалки. Экономика уже давно установила, что наличие ресурсов широкого доступа дает плохие возможности для бизнеса. Независимо от того, насколько велика начальная возможность, новые участники продолжают приходить, уменьшая средний доход. Так же, как и нерегулированные запасы рыбы стремятся к истощению, легких денег всегда не хватает.
Но как это согласовать с мыслью о том, что киберпреступность по объемам конкурирует с мировой торговлей? Согласно одного из последних исследований прямые ежегодные потери потребителей во всем мире представляют $114 млрд. Однако оказывается, что оценки распространения киберпреступности осуществляются на основе негодных статистических методов, которые лишают их надежности, на опросах потребителей и компаний. Достоверность таких оценок основывается на данных экзит-полов, которым мы научились доверять. Впрочем, если ответ опрошенной группы считать мыслью всего населения, возникает огромное различие между вопросами относительно преференций (которые используются в экзит-полах) и численными вопросами (которые попадаются в опросниках о киберпреступности).
Прежде всего, в численных опросах ошибки почти всегда являются восходящими: учитывая то, что объемы оцененных потерь должны быть положительными, нет верхней границы, тогда как ноль является жестким ограничением для нижней границы. То есть нельзя отбрасывать возможности ошибок респондентов или откровенного вранья. А если принять во внимание, что по обыкновению исследователи считают результаты, полученные от опрошенной группы, достоверными для всего населения, то достоверность ошибок возрастает.
Предположим, что мы обратились к 5 тыс. лиц с просьбой рассказать о своих потерях от киберпреступности, которые потом экстраполируем на население в 200 млн людей. Каждый доллар, о котором заявляют, умножается на $40 тыс. А один человек, который по ошибке утверждает, что потерял $25 тыс., прибавляет к оценке еще $1 млрд. неправдивых денег. А поскольку никто не может наверняка утверждать о потерях, то достоверность ошибки нельзя исключать.
Исследование киберпреступности, которые мы рассмотрели, свидетельствуют об именно такой модели огромных и непроверенных излишков, которые появляются в данных. Почти 90% общей оценки, как оказалось, были результатом ответов одного или двух человек. В опросах с 2006 года о краже личных данных Федеральной торговой комиссией два респонденты дали ответа, которые, вероятно, добавили $37 млрд. к общей оценке, таким образом, искажая окончательные результаты, полученные в результате ответов всех респондентов вместе взятых.
И проблема здесь состоит не в достижении совершенства, учитывая то, что речь идет даже не о нескольких процентах погрешности, это скорее правило, чем исключение. Из десятков опросов, проведенных в антивирусных компаниях, среди промышленных аналитиков и государственных учреждений, не было никого, у кого не было бы завышенных предубеждений. Вследствие этого имеем очень слабое представление об объемах убытков от киберпреступности.
Киберпреступность, где прибыли являются незначительными, а конкуренция беспощадной, также предоставляет простые объяснения фактов, которые в других случаях являются запутанными. Пароли и украденные номера кредитных карточек продают за копейки по той простой причине, что их тяжело перевести в денежную наличность. Киберпреступников-миллиардеров тяжело найти, потому что их нет. Мало кто знает людей, которые потеряли большую сумму денег, поскольку жертв на самом деле намного меньше, чем указано в результатах исследований.
Определенно, это – не игра с нулевой суммой. Сложность обогащения плохих ребят не означает, что следствия являются незначительными для хороших. Оценки прибыли могут быть весьма завышенными, но неправильно не обращать внимания на киберпреступность, не считая ее серьезной проблемой.
Люди, чьи компьютеры были инфицированы вирусными программами, или те, у кого украли пароли от электронной почты, знают, что «уборка мусора» уменьшает любую выгоду, полученную хакерами. В принятии предупредительных мер – от политики паролей до всплывающих предупреждений «доказать, что ты человек» – не возникало бы потребности, если бы киберпреступники не атаковали системы.
Впрочем, это не означает, что завышенные оценки потерь должны быть приемлемыми. Лучше должно быть сделано ударение на том, как потребители и политики оценивают проблему.
Вред, который наносят пользователям в сопоставлении с (намного меньшей) пользой, которую получают хакеры, является истинным мерилом киберпреступности. Опросы, которые увековечивают миф, что киберпреступность легко зарабатывает деньги, являются опасными, поскольку они поощряют новых, часто дезинформированных, участников наносить ущерб пользователям, чем и обеспечивать прибыли себе.