Undersökningar om it-brottslighet säger oss inte vad vi behöver veta

I flera år har regeringstjänstemän, nyhetsartiklar och säkerhetsföretag varnat för farorna och konsekvenserna av cyberbrottslighet. Patrick Peterson, chefssäkerhetsforskare på Cisco, har uppskattat att förlusterna uppgick till 560 miljoner dollar 2009. Killian Strauss från Organisationen för säkerhet och samarbete i Europa har uppskattat dem till 100 miljarder dollar årligen. Och i mars 2009 lämnade Edward Amoroso, AT&T:s säkerhetschef, in ett skriftligt vittnesmål till den amerikanska senatens kommitté för handel, vetenskap och transporter som uppskattade att cyberbrottslighet gav olagliga intäkter på cirka 1 biljon dollar per år.





För vissa forskare tyder dessa väldigt olika siffror på att nuvarande metoder för att beräkna förluster av cyberbrott är så dåliga att vi faktiskt inte har någon aning om hur illa problemet är. Och utan bra data, säger de, finns det inget sätt att bekämpa det intelligent.

Hur kan det vara såhär? säger Cormac Herley , en huvudforskare vid Microsoft Research, hans röst stiger i misstro. Hur kan du ha uppskattningar av samma problem som sträcker sig över tre storleksordningar?

Faktum är att, säger Herley, när han såg dessa siffror kände han att de helt enkelt inte var vettiga. Inte bara finns de över hela kartan, utan några av dem verkar också omöjligt höga. Till exempel, säger han, innebär intäkter från cyberbrott på 1 biljon dollar 5 000 dollar för varje vuxen i USA som tillbringar tid online.



Dålig data får konsekvenser. Utan siffror kan vi inte fatta bra policy eller sunda investeringsbeslut, säger Herley. Inte bara det, men vi kan inte ta reda på var de viktigaste hoten kommer ifrån. Tjänar brottslingarna det mesta av sina pengar på nyckelloggning? Mycket riktade nätfiskeattacker (spear phishing)? Brute-force attacker på människors lösenord? Det är jobbigt, säger han.

Herley inledde en studie av metoderna som användes för att beräkna dessa siffror och fann dem allvarligt bristfälliga. Det mesta av statistiken kommer från undersökningar där de tillfrågade ombeds att rapportera om de har blivit utsatta för ett brott och hur mycket de förlorat. Undersökningar är svåra, säger Herley. Hans forskning avslöjade ett antal anledningar till varför undersökningar om cyberbrottslighet är särskilt svåra.

Forskare har ganska bra metoder för att kartlägga, säg, väljarnas avsikter. I så fall fokuserar du på att få ett bra representativt urval. Felaktigheter spelar roll, men några få på ett eller annat sätt kommer inte att göra någon större skillnad.



Cyberbrottslighet är en helt annan historia. För det första försöker enkäter om cyberbrott att mäta ett antal: hur mycket pengar som gick förlorade. I så fall kan individuella svar göra stor skillnad. En röstundersökning förkastas inte mycket om någon som faktiskt planerar att rösta på demokraten uppger en avsikt att rösta republikan. Men om en respondent som har förlorat $50 000 på cyberbrottslighet påstår sig ha förlorat $500 000, kommer alla beräkningar baserade på den informationen att vara helt galna.

Det finns andra problem. Alla registrerade väljare har användbar information att rapportera. Men alla har inte en användbar historia att berätta om cyberbrottslighet, vilket gör att ett litet antal svar kan göra stor skillnad. Till exempel, i en undersökning från 2006 gjord av Gartner Research, hävdade 128 av 4 000 personer att de hade varit offer. Herley beräknar att 59 procent av förlusterna kom från den översta procenten av de tillfrågade som hade blivit utsatta – i det här fallet en enda person. Han menar att sådana farhågor gör det omöjligt att lita på data som kommer från de flesta undersökningar om it-brottslighet.

Att förstå konsekvenserna av alla brott är problematiskt, säger Julie Ryan , ledande professor i informationssäkerhetshantering vid George Washington University. Men, säger Ryan, cyberbrottslighet utgör särskilda problem eftersom de flesta människor inte är väl rustade för att svara på tekniska frågor om det. Till exempel kanske enskilda undersökningsrespondenter inte är säkra på om de har blivit offer för en nätfiskeattack eller faktiskt om något togs från dem som ett resultat. Så här har vi ett problem, säger Ryan. Potentiell brottslighet som är potentiellt oupptäckbar, förvärrad av ett målområde som mestadels är okunnigt.



För att förstärka problemet är det svårt att få opartisk information, säger Ryan. Stora företag kan vara ovilliga att erkänna att de är offer för cyberbrott, eftersom ett sådant erkännande kan förlora kunderna för dem. Å andra sidan gynnas säkerhetsföretag – som ofta gör undersökningar om cyberbrottslighet – när människor tar cyberbrottslighet på allvar.

Herley vill att företag och organisationer som gör undersökningar publicerar mycket mer information, vilket gör det lättare för forskare att utvärdera sina metoder. De kan till exempel publicera mediansiffror för cyberbrottslighet, som inte är lika sannolika som genomsnittliga eller genomsnittliga siffror att förvrängas om ett fåtal personer överdriver eller har fel.

Herley föreslår också att påståenden om stora förluster får en noggrann granskning. Du riskerar katastrofala misstag, säger han.



Dölj