二、全球损失
互联网上的犯罪活动涉及各个方面,因为人类犯罪活动的所有元素都已经迁移到网络空间中。根据一位英国高级官员的报告,英国境内所报告的所有犯罪活动有一半与网络有关。我们并没有去衡量互联网上所有恶意活动所造成的全部损失,而是将范围缩小到非法访问受害者主机或网络所造成的损失根据这个定义,网络犯罪所造成的损失包括如下几个元素:
1,知识产权以及商业机密信息的损失;
2,在线欺诈攻击以及金融犯罪活动,通常这些犯罪行为都是源自于个人身份信息(PII)的泄露;
3,操控金融行业,攻击者窃取了关于公司可能合并的敏感商业信息或者提前知道上市公司的业绩报告;
4,机会成本,包括生产或服务流程的中断以及人们对在线活动信任度的下降。勒索软件在这一方面功不可没,受害者需要向勒索软件支付赎金才能恢复加密数据,更重要的是,勒索软件会严重影响正常服务及产出。
5,网络安全成本,比如购买网络安全险,网络攻击灾后恢复的支出等等。
如图6所示,被攻击的公司及其品牌所受到的声誉上的损失以及责任上的风险,比如临时性的股价崩溃等。
如何评价网络犯罪所造成的损失依然没有固定标准,从数百亿美元到万亿美元甚至更多。这表明这方面仍缺乏准确的数据以及统一的方法。我们借鉴了经济研究领域历史上的建模技术,这个领域中数据通常是不完整且不连续的,可以对网络犯罪的损害进行建模分析,建模分析后,CSIS估计网络犯罪给全球造成约6000亿美元的损失。
这一数字与三年前相比有了显着的增长.CSIS认为有五种趋势可以解释这一现象。一是受国家支持的银行抢劫案件,二是勒索软件,三是网络犯罪即服务,四是对匿名服务(如托尔以及数字货币)的逐步依赖,五是个人信息被盗用以及知识产权(IP)被窃取的普遍性。
将各种因素考虑在内后,2014年CSIS估计网络犯罪给全世界带来的损失约在3450亿美元和4450亿美元之间,这一数值占当时全球经济GDP的0.62%。采用同样方法进行衡量后,CSIS现在认为这一数值应该位于4450亿美元至6000亿美元之间。采用另一种方法进行估算后,我们认为2016年网络犯罪给全球经济带来的损失约占整体国内生产总值的0.8% 。我们收集了公司以及政府的损失报告中的可靠数据并进行评估,这些国家的GDP值在全球中的份额约为三分之二。
表2。2017年年网络犯罪的区域分布情况
CSIS将损失程度与网络安全的成熟度进行了关联比较。全球网络安全指数(Global Cybersecurity Index,GCI)是国际电联(ITU)倡议的一项指标,可以用来衡量各国对各行业和各部门网络安全的投入程度每个国家的网络安全发展水平可以分为五类:法律措施,技术措施,组织措施,能力建设以及协同合作我们将调研结果分为3个类别:经济已经实现数字化且网络安全能力较为成熟的国家;经济逐渐数字化但仍在发展其网路安全能力的国家;以及经济刚刚开始数字化且网络安全刚开始起步的国家。
表3。网络犯罪与成熟指数(全球网络安全指数)的关联性
网络犯罪所造成的损失在世界各国中并不均衡.CSIS发现该数值与具体地区,收入水平以及网络安全成熟度有关系。某个国家越富有,网络犯罪所造成的损失可能就越大,这一点并不奇怪。发展中国家与网络犯罪的关系非常复杂,因为这些国家中数以百万的互联网移动连接存在各种可利用漏洞,但想从这些连接中提取有价值信息仍然较为有限。如果较为富裕的国家在安全防御方面较为薄弱,则很容易吸引犯罪分子的火力损失最大的国家(占国民收入百分比最大)属于中等国家:已经实现经济数字化但网络安全方面尚未完全胜任。
表4。各类国家所占百分比(根据世界银行收入进行划分)
三、估算误差
在对网络犯罪所造成的损失进行估算时,任何估算方法都会面临一些问题。第一个就是受害者并没有完全反馈,政府部门收集的数据也并不完全,如果某个国家各行业部门的报告规则没有统一,那么这个问题会更加复杂。比如,英国估计只有13%的网络犯罪活动被公之于众。大多数政府可以告诉公众被窃取的车的数量,甚至被窃取的邮票的具体数量,但很难给出网络犯罪的具体数值。数据收集仍然是一个问题,国家级别的估算仍然非常不准确。没有拿到完整的报告数据仍然是估算网络犯罪所造成的损失的最大限制因素。由于企业力求避免承担责任风险,怕声誉被损坏,因此只会报告一小部分损失。
第二个问题,由于人们担心受到网络犯罪的影响,因此选择回退到纸面办公或者避免在线交易,这种风险规避行为所造成的成本非常难以估计。一般来说,数字技术非常有魅力,个人或企业很难因此放弃使用互联网,但由于网络犯罪的风行,这种变化正在逐日产生。
第三个问题,也是最大的一个问题,那就是我们的估算方法只能给出国家所承担的整体损失,并不会精确到某个企业或者某个消费者,对于受害者而言,这种算法无法准确反应偏差分布。比如,如果某个国家有10家企业,每年因网络犯罪损失了100美元,那么每家企业的平均成本为10美元。但事实上,真正的分布情况是有两家企业损失了50美元,其他8家公司没有损失或者损失很少。对于国家级别的统计数据而言,企业之间的损失分布并不准确,甚至某些公司并不知道他们已经遭受到损失。
为了给出网络犯罪造成的损失的具体范围,也为了检查我们的估算值是否合理,我们又再次查看了能够量化的其他犯罪行为,以进一步确定恶意网络活动所造成的具体损失。犯罪行为是社会交往以及国际事务中非常“正常”的一个部分,各国政府会自主也会采用协作方式管理并降低犯罪所造成的影响。我们认为网络犯罪与其他犯罪活动存在相似性。
1,盗版:有人估计,2012年盗版所造成的损失约在5.7亿美元至61亿美元之间,而对于西非以及东非国家来说,2016年盗版所造成的损失约为42亿美元。
2,盗窃:。企业在经商的时候也将因盗窃受到的损失纳入成本中去以盗窃率为例,美国网络犯罪所造成的损失约占国民收入的0.5%至2%之间。
3,跨国犯罪:据联合国毒品及犯罪问题办公室的估计,2012年所有跨国犯罪所造成的损失约为8700亿美元,约占全球GDP的1.2%其中有6千亿美元来自于非法贩毒。
4,世界经济论坛估计全球犯罪所造成的所有损失约为1.8万亿美元(2011年时的统计数据),约占全球GDP的1.5%。据寰球金融诚信机构估计,2017年所有的跨国犯罪在全球造成的损失约为1.6万亿至2.2万亿美元,其中网络犯罪所占的份额约为七分之一左右。
网络犯罪的相关数据仍然非常稀少,因为世界各地的大多数政府在收集网络犯罪相关数据上的态度非常松懈,也没有给出完整报告。随着网络保险市场的持续增长,保险公司开始制定策略并收集准确数据以估算风险,这种情况可能会有所改变,但这一过程可能需要花费数年才能完成。美国保监会估计,2016年全美售出了10亿美元的网络安全险,该数值占了火灾保险或者海事保险的几分之一(数千亿美元)。
除了少数几种情况以外,网络犯罪对个人受害者的影响可能很低。许多消费者即便非常担心,依然能成功摆脱这类风险。受害企业可能会遭受巨大且令人尴尬的损失,但令我们意外的是,许多大型企业会将黑客攻击所带来的经济损失视为开展在线业务所无法规避的成本。据波恩曼研究所估计,这类犯罪所造成的平均损失为360万美元,这对于大型企业而言只是九牛一毛,不会伤筋动骨。真正的风险在于品牌可能会受到损失,责任风险可能会增大。大型企业(尤其是能“自我保险”的大型企业)都认为他们能够控制任何损失,也许正是因为这种自信,以及少报了许多安全事件,才会让网络犯罪依然如此猖獗。
(责任编辑:安博涛)
