一、简介

    网络犯罪,网络间谍和其他恶意网络活动被一些人称作是“人类历史上最伟大的财富转移”,还有其他人称之为“14万亿美元的经济舍入误差?”。

    大致估算现有的损失-从十几亿美元到几千亿美元-这已经反映了一些问题。有公司隐瞒了它们的损失而有一些还不清楚自己的损失。因为知识产权是很难去衡量其价值的。有些估算是基于其调查结果,但是除非能够细致的构建评估体系,否则最后的估算将会很不准确。网络安全调查的一个常见问题就是,有一些回答精心准备的答案的人,他们的回执将会影响最终结果的准确性。由于数据收集的问题,损失评估都是基于一定的规模和影响力假设,而改变这种(前提)假设,你就会得到不一样的结果。这些问题让很多评估受到质疑。

恶意网络活动结构

    在这个先期报告中,我们从什么应该算作网络犯罪和网络间谍带来的损失开始。我们可以将恶意网络事件分为以下的6个部分:

    将这些加在一起,网络犯罪和网络间谍活动在全球的消耗预计为几万亿美元。从这个角度来看,世界银行在2011年计算全年全球GDP大概为70万亿美元。4万亿的损失-我们估测的损失上限-全球GDP的1%。不过,这需要假定的几个重要问题的正确性-对收购方和受害者的损害的累积效应,完全受害于网络犯罪和网络间谍活动。

运用类比的方式对恶意网路活动的成本进行估算

    我们使用几种类比算法,这几种类比项已对损失范围问题提出一个量化的方案,允许我们设置一个模糊的边界-最高限度和最低限度-通过其他几种犯罪和损失,为恶意网络活动估算成本。

车祸:对于恶意网络活动带来的损失,一种想法是就像车祸是享受汽车带来的便利的代价,恶意网络活动就是电子商务带来的种种好处的代价。疫病控制中心对于2010年美国车祸的花费统计约为990亿美元。美国汽车协会2010年估算成本为1680亿美元。

海盗:缺乏管理的地区会被犯罪分子利用,这在海上和网络世界是一样的。国际海洋局2005年用于治理海盗的花费评估在10亿和16亿美元之间(网络并不是唯一的难以估算的领域)。通过这些数字,统计出2005年海上贸易总产值为7.8万亿,这意味着海盗成本为总产值的0.02%。

偷窃:公司可以接受“偷盗”或者“库存缩减”作为商业成本的一部分。对于美国的零售企业,这介于年销售额的1.5%到2%的比率-2008年的一次统计将偷窃损失定在1.7%。用“偷窃”的方式假设相同的损失率,恶意网络活动将投入上线定在0.5%到2%的国民收入。在美国,这个数值为700亿到2800亿之间。问题是,“偷窃”在理论上是可行的,然而,许多企业并不很清楚它们的损失程度,这会导致他们做出的决策来源信息不足。

犯罪和毒品:常能听到关于恶意网络活动比毒品交易更加赚钱的消息。这不禁让我们怀疑我们是否清楚毒品交易的具体价值。2012年联合国办公室在毒品和犯罪金额估算中得出所有跨国犯罪集团达8.7万亿美元,或全球GDP的1.2%。其中6万亿美元来自非法毒品交易。如果网络损失成本也同样分担全球GPD,那么金额也会超过6万亿美元.

这会造成的怎样的后果?

    若我们对于现有恶意网络活动的造成的损失“范围”的假设和车祸、偷窃和毒品的范围是一致的话,那么这就是网络犯罪带来的损失的上限。网络犯罪带来的损失不会超过GDP的1%。以美国为例,我们评估最好的情况大约是1000亿美元/每年。而从广义上来看,还有研究经费4000亿,还有1000亿是因为知识产权偷盗取而没有产生应有价值的部分。

    在衡量对国家安全造成的损害的时候,有一个很大的问题。我们知道,对于军事技术的偷取会增强潜在对手的实力、或者损害在航天、高端材料或其他高科技产品的出口市场,导致国家安全水平的降低。在商业间谍活动和军事间谍活动之间有某种联系。偷取军事技术和商业资料经常是某一个人的计划。参与到这些网络间谍活动可以增强其网络攻击能力。我们无法准确地用美元估计我们在军事技术的损失,但是我们确定网络犯罪改变了长期依存于国外竞争者的格局。

    恶意网络活动对于就业市场的影响需要进一步的研究。商务部在2011的统计估计表明,10亿美元的出口相当于5080份职位。这意味着我们对于网络间谍活动的最高估计1000亿美元相当于508000人失去工作。也是就将降低1/3的就业率,并且这不是正常的失业-人们可以在别的地方找到工作。而这些因为网络间谍活动失业的人的国家的情况将会更糟。原来高收入的蓝领将只能失业或者有一份低收入的工作。

crime

网络犯罪损失估计的第二步

    确定一个网络犯罪和间谍活动来带的损失的具体的数值是我们的主题,但是问题的关键在于他们对贸易、技术和竞争力的影响。找到这些问题的答案有助于我们了解问题的全局。虽然每年因为网络犯罪和网络间谍活动给全球经济带来额数十亿美元的损失,这是一个很大的数字,但即使是这样大的数字也未能完全的反应其对全球经济的影响。而也许这个对世界经济巨大的影响才是我们真正应该关注的地方,而不是一些具体的数字。

二、网络犯罪的利润到底有多大

    无论是某小公司的某台电脑还是整个政府机构,准确评估其价值都是一件大的工程。损失的具体规模往往是争论的焦点。不知道这是不是某位领导人说的人类史上最伟大的财富转移,或者某位经济学专家说的14万亿经济体下的一个小小的问题。

    每年针对银行及其他金融网络机构的犯罪可能会花费数亿美元。网络知识产权和商业机密信息的盗窃可能会花费发达经济体国家十亿美元 – 有多少个十亿还是一个悬而未决的问题。这些损失可能仅仅是这样做的成本或者说这些损失对于公司和国家来说可能是一个主要的新风险,因为这些非法收购损害了全球经济的竞争力和破坏了技术优势。
    每年对于网络间谍活动给企业带来的损失的预估显示出了惊人的变化,从数十亿美元到数千亿美元。估计结果的范围跨度如此之大反映了收集数据的困难。有的公司隐瞒自己的损失,而有些公司则不知道到底损失了什么。知识产权的价值很难估计。而评估往往是基于事件或调查。这些问题结合起来使的之前的一些估计结果还可以再商榷。

    恶意网络活动带来的损失不仅仅涉及到金融资产或知识产权的损失、还有相应的机会成本,对品牌和声誉的损害,“弥补”用户受骗以及服务中断机会成本,还有随之增加的维护网络安全的成本。这其中的每一个类别都应该小心地处理,而这会帮助我们衡量社会成本。在多数情况下,我们把美国作为样本。因为美国的数据真是一应俱全。

    在理想的世界,我们搜集各种不同的事件资料是直接而纯粹的。但那是不可能的。我们对于所有恶意网络活动的资料都是不完全的。资料收集在定义资料的部分就非常困难。举个例子,我们定义网络犯罪是任何的通过网络手段的犯罪还是说剔除掉哪些可以使用传统手段完成的,也就是那些仅仅只能够通过网络进行的犯罪才叫网络犯罪嘞?。而我们唯一判别的方法就是假设没有网络,这些犯罪活动将如何发生。

    这里有两个不可逾越的障碍。一是我们对“无网”的假设,这对于我们估计网络服务中断造成损失的估计非常重要。但是一家商店断网一天大约损失10000美元,但导致顾客要是愿意等待或者转向其他店铺,那么这使得网络对于经济的影响就小了很多。第二,我们是要去估计市场的价值的损失,而不是一个受害者的损失。比如一家公式花了10亿去产品研究,但是这项研究的价值取决于它能带来多少回报,而不是花了多少钱。

    一个复杂的假设哈?每年美国(这个国家的数据已经相当开放)损失大约1000亿美元。全球经济为网络犯罪和间谍活动大约付出的代价是美国的数倍,那么其造成的损失大约就是千亿的数量级。以此观察,世界银行宣称2011全球GDP大约70万亿美元。那么3000亿美元的损失,大概就是这个范围吧,实际占到了全球经济收入1%的十分之四。但是这看似微不足道的数字下却隐藏着几个非常关键的问题。就是实施者的既得利益还有对受害者在网络上的持续不断的损失。这些效应是比数字更重要的部分,于是本篇报告最终要关心的。

    我们对以前的研究进行了回溯以便能够更清楚的理解这个问题。例如,2010年一个德国的股份公司安全组织估计德国的知识产权损失大约为240亿元(大部分了,但是并不是网络间谍造成损失的全部)。美国的GDP大约是德国的5倍,所以以此我们对美国得到一个粗略的估计大约为最高1200亿美元。还有一份报告,虽然广受争议,指出英国的损失大约为270亿美元。这个数字大约是英国GDP的2%,那么对应到美国就是2800亿美元的损失。通过一系列的调查和论证,其中的四分之三是来自于公司的知识产权的损失。

    之前的一些关于网络犯罪损失评估都是基于调查,而这是非常不准确的,除非能精巧的构建评估系统。调查一些或者几百家公司的损失时候,从他们反馈的数据来估计是一种不够合理的方法。不同经济部门易受攻击的地方是不同的。无论如何科学的选取样本,调查的样本总是不完美的。有些调查的样本太小,那么他们的调查结果就是不可信的。在关于网络犯罪的调查访问中还有一个问题就是我们无法确定那些回答我们调查的人,和那些选择不回答的人的受攻击的经历是否是相同的。例如那些收到极大损害的公司可能就会选择不回答,这样就给调查带来了误差。

三、恶意网络活动的组成

    在这份最初的报告我们试图去将这个问题划界,讨论在估计中的重点是什么。我们会观察类比物,例如盗窃率,来帮助我们衡量恶意网络活动带来的损失。我们试图将恶意网络活动分成不同的部分。不同的部分组合起来就是整个恶意网络活动带来的损失。但是这里的每一个部分的详细数据都是不充足甚至不存在的,所以我们在做估计的时候应该时刻谨记。各部分如下:

知识产权损失

    在所有造成的损失中最为严重的部分就是知识产权还有商业机密被盗——这就是商业间谍行为的危害。这很难去估计一个确切的损失数。部分原因在于,网络间谍行为不是一种一方失去多少另一方就得到多少的博弈游戏。被偷的信息并不是被偷走消失了。如今的间谍可以偷走一个公司的产品计划、研究结果、客户信息,但是被偷的公司仍拥有这些信息。公司甚至不知道他们已经失去对这些信息的完全控制了。

    定义知识产权的价值的方法有很多。一种就是通过出售其许可,然后公司就可以通过它带来的现金流以及未来可能带来的对其价值进行估计。公司也可以通过衡量取代它所需要的成本来衡量它的价值,尽管依靠收入来判断其价值是非常不准确的。知识产权的实际价值和其研发成本差别很大的。如果一家公司花了10亿美元研发一个产品,但是产品是失败的,然后被间谍偷走了,那么公司的损失不是10亿美元而是0,因为他的市场价值是0.

    从计算机网络获取的信息,获得信息的人并不会马上从中获益。因为他们缺少生产军事或者高新产品的工艺或者技术。对于某些高新技术,偷来5到10年才做出产品。这样的情况使我们的估计工作变得十分复杂。不同部门被盗知识产权技术的出产时间是不同的。有些要几年。有些像高铁,风力发电就快一些。有些甚至能在正版之前上市。

    有一种方法能将这样情况下的损失估计出来,那就是我们假设一家美国的公司拥有价值10亿美元的知识产权,全部被外国黑客盗走,黑客卖给了竞争对手。这样竞争对手就免费拥有了有价值的知识产权。但是,如果竞争对手不能利用得到的信息做出产品,那么被盗的公司就不受到额外的损失。非法得到这些信息的人只有做出产品或者通过降低研究成本提高竞争底线才会对原有公司照成损害。

    制造高新技术产品不仅需要核心技术还需要很多工艺技术比如整个加工过程,便宜的原材料,用户体验等等。这些事情都会制约那些指望间谍行为竞争的公司。但是这些公司如果知道在每次遇到问题的时候,可以参照原创公司的做法,那么很快就能学会如何使用偷来的技术。

    一直以来,拥有政府背景的商业间谍行为会关注着那些有益于国家的利益的领域,比如高新技术和军事。近来某些国家甚至视之为常规手段。国家通过间谍活动给本国的公司提供技术支持甚至比直接给津贴还便宜。而公司单独的间谍行为则可以使其与大公司匹敌。曾经知识产权局公开的一家公司的IP被盗之后,就能在网上见到各种他们设计的产品了。类似的事情很多,比如盗取早餐麦片的配方,鞋子的设计,手机的部分技术,软饮料的配方。这些并非是“战略新兴产业”,但是他们在网络间谍行为中也受到了极大的损失。

    被盗的公司仍然拥有完整的知识产权。并没有失去生产产品的能力,实际的变化只是他多了一个竞争对手。那么如果这个新型的外企有政府的资助使他能够倾销或者有国内市场的支持,那么这个竞争对被盗的公司就是一个很大的挑战了。对我们而言,我们就需要尽我们可能了解到网络间谍活动带来的损失,并整合到国家经济发展和贸易政策的大局之中来了解网络间谍活动会带来哪些影响。

商业信用信息

    商业机密和知识产权的界限是不分明的。商业机密包括贸易机密和“内幕”。这样的结构和知识产权是一致的,甚至带来的损失也是一致的。我们这样区分二者:知识产权是是生产一件复杂的产品更容易;商业机密是指会是商业谈判中获得巨大优势的信息或者改变竞争策略的信息。

    虽然从盗取知识产权到做出真正的产品会花费很多年的时间,但是量化被偷机密商业信息的价值已经刻不容缓。对石油挖掘资料、敏感商业信息、谈判数据甚至股票内幕的盗窃会被盗窃者立刻利用。这会对公司造成巨大的损害。衡量这种战略上的损失是非常困难的,因为被盗的公司甚至不知道这一切是怎么发生的。

    另一种更阴险的黑客行为叫做内幕交易。这里获取未公开的将要进行的交易信息并不是内部人员,但是这样的行为和黑客盗窃一样的行为。内部交易或者等价的黑客行为看似没有受害者,但实际上这回坚守社会福利、损害金融市场。一个精明的黑客可以操纵股票价格,或自动交易系统,投入假新闻可能影响价格或整个市场。影响的时间虽然较短,但是
但黑客就可以执行事先计划的交易。在股票被操控的情况下,类似于内幕交易的网络犯罪非常难以察觉。他们可以利用获取到的信息进行交易,使执法变的困难。

网络犯罪

    网络犯罪带来的损失很复杂,他们并不直接危害国家安全,除了国际网络犯罪使得潜在竞争对手利用别人的资源为自己牟利。直接入侵个人可能是是整个网络犯罪活动中造成损失最小的。这种情况大致是通过扮演某种角色然后进入到了个人账户之类的欺诈行为,比如假扮反病毒公司说服受害者,给受害者清理电脑。

    禁毒办估计,身份盗窃是网络犯罪最赚钱的形式,每年在全球范围内带来10十亿美元的收入。同一份禁毒办报告估计,采用网络技术在美国身份盗窃的带来的损失是7.8亿美元(其他国家的数据是不容易得到)。对其他类型的损失由银行数据不容易获得,但美国总共的损失大约是每年3亿美元到5亿美元之间。这不是一个单纯的数字,如果它发生在我们的街道上会引起轩然大波的。然而,金融机构认为这是在提供网络服务的生意中成本的一部分,

    服务中断,如拒绝服务攻击,可能对一个国家的经济之带来很有限的损失(虽然这可以摧毁一家公司,他们经历)。如果一个在线零售的网站处于脱机状态,他们将没有销量,但对实际的经济体的影响并没有那么大。消费者可以推迟购买或者换一家店。即使是相对较大的拒绝服务攻击、像2007年发生在爱沙尼亚那次,也仅仅对整体经济产生了一点点影响。其他的狡诈勒索型的网络攻击性行为像威胁进行拒绝服务攻击、渗透、数据加密收取解密费等等也是一样的结果。

    剑桥大学利用Gartner的数据对钓鱼攻击进行了一次评估,身份信息被盗将带给受害人572美元的净损失,那么已经发现的400个钓鱼网站所造成的总损失将达到1.780亿美元。他们估计钓鱼网站的消费者每年的总损失是3.5亿美元。而Gartner的报告是20亿美元。他们估计的区别在于对问题的假设是不一样的。有别的估计对于受害人损失的估计不到实际的1%。

    一项关于网上零售商的调查表示2012年的网上诈骗大约为35亿美元。因为各大公司开始采取相应反诈骗的措施,诈骗率才从2004年的1.8%下降到到2012年的0.9%,下降超过一半。但相反的是移动端的诈骗率却上升到了1.4%,而且这些诈骗和网上零售商的联系更为紧密了。带来的这些损失占国民经济的比重非常之小,而且仅仅被视为盗窃的另一种形式,却没有被认为是一种会蔓延并且阻碍网上经济进一步发展而带来的风险。虽然现在威胁还没用爆发出来,但是这必将是一枚定时炸弹。未来网络交易的价值或是因为人们在交易中不断增加的风险而带来的对网上交易的负面影响是我们无法估量的。

    网络犯罪还会带来社会损失。比如会向儿童展示色情图片或者鼓吹恐怖主义给社会带来巨大威胁的网站。美国国会预算办公室估计用于执行反儿童色情法的成本大约是3亿美元一年。这份估计自然没有包括对人们造成的心理创伤以及其他各个方面的影响。我们知道受害者受到侵害后会有无形损失,而这一概念在网络犯罪需要进行一定的修改。公司,不是人,尽管员工和股东会受到恶意网络攻击而受到损失(如果他们知道是因为网络攻击而受到损失)。对其他犯罪的无形损失的估计给我们以警示。各个犯罪带来的平均无形损失从谋杀的数十万美元到盗窃的几美元不等,伪造欺诈和侵占的带来的损失或者很高或者难以估计。

名誉侵害

    公司很害怕坏了名声,但是名声也是很难量化的东西,而且大家在这方面做的工作很少。公司在宣布他们受到了黑客攻击之时,公司的声誉必然会受到影响,你看它的股价就知道了。下跌的幅度会很大从1%到5%不等,但是不会下跌很长时间,通常在下个季度之前就会恢复。但是这将影响各种股票公司对公司股价的估计。而另一方面黑客行为带来的包括美国证券交易委员会要求公司提交受到网络攻击的这一系列变化会不会让股东明白黑客攻击也是现代商业竞争资本的一部分。股东不太可能知道到底发生了什么,更不用说谁干的,幕后主使是谁。如果投资者认为公司的知识产权受到了很大的侵害或者有大量的客户流失,那么股价的恢复就不会那么顺利了。

不断增加的安全成本

    不断增长的网络安全投入自然是网络间谍活动和网络犯罪带来的损失的一部分。一项估计预测公司和政府要花费其全部预算的7%在网络安全事宜上。另一项报告显示全球每年在安全软件上的花费是600亿美元,增长速度超过每年8%。美国预算和管理处的报告显示2012年,联邦机构在网络安全相关的计划和活动花费了超过150亿美元,占了联邦政府在信息技术所有花费的20%。

    像Anderson等对其进行了相当深入的研究,“我们对抗网络犯罪的手段是极其低效的;或者这么说吧,网络罪犯就像恐怖分子或者金属窃贼(译者按:例如公共场所的金属装饰,偷走当废铁卖),这些行为为其带来的利益相比对社会造成的损失是微不足道的。”

    本来每家公司都会在网络安全上投入一部分资金,但是我们假设现在的网络环境好一点的话,那么就不用花这么多钱在安全事宜上。决定恶意网络攻击带来的风险溢价要面对所有损失估计所会面对的问题,而其中首先要考虑到的一点就是2012年所有公司要在对抗社会媒体攻击、隐私侵权、网络犯罪和网络间谍上花费10亿美元。这个相对较低的数字反映了现在保险业的不完善和公司对网络风险的认知。

    经过网络攻击之后的清理重建工作的花费相对较小。一项调查显示对大型企业而言经过一次成功的入侵之后清理工作的花费大约平均在900万美元。这些攻击都是,这些入侵中很大一部分还是用被盗的笔记本干的,人们还期望发动网络攻击的成本会高一些呢。另一个研究方向就是不断增长的保险的花费,因为公司也在不断寻找控制网络泄露责任的方法。

机会成本

    对恶意网络活动的损失估计当然包括其机会成本、失去的机会以及那些因为本应在网络活动中获得的利益。如果网络环境好一些,那些从网络安全的花费中剩下的资金就是一种机会成本。其他的还包括减少的销量和产量还有为了避开网上交易而做出的决定。

    欧盟网络安全战略委员会的一份文件引用的一项调查显示,出于安全原因,大约有三分之一的欧洲人表示他们并不能自信的在网上使用银行业务或者购物并且避免个人信息不被泄露(最担忧的就是身份盗窃实行诈骗)。2008年一项由欧洲网络与信息安全局委托的研究表明公众对信息安全的担忧已经在阻碍市场和公共服务的发展。还有一项2006年国际电信联盟进行的全球性的研究,这是为其增强在网络安全方面的地位一次战役,总共收到了400份回应,发现当时超过40%的网络使用者会因为网络安全的原因而尽量避免网上的交易。这些数据虽然不是决定性的,但是他们表明网络安全问题确实让一些电子商务的机遇从我们手中溜走了。

    我们必须在权衡这些报告所表达的信息的时候记住一件事情,互联网还在不断地发展,当我们采访民众的时候,民众对此表示担忧但是还会继续使用网络。我们可以假设如果网络环境好一点的话,互联网的发展还会更快一些。我们可以说糟糕的网络安全环境不会使人们摒弃网络,但是会使人们无法正常的使用网络、使人们没法使用网络来做高价值的、重要的事情。这种“扭曲”的使用也许是网络犯罪和间谍活动给互联网带来的最大的损害。

    在估计网络犯罪活动带来的损失的时候有一项机会成本常常忘记考虑,那就是对实施盗窃的国家的技术兴起的影响。知识产权的盗窃实际上是被盗国的财富和知识向盗窃国的转移,这使得盗窃国可以以较低的成本生产产品,但这同时也对盗窃国本国的创新能力变差。古语云“授人以鱼不如授人以渔”。如果只会剽窃就不会去学习如何去创造,最终就会放弃创造新的技术。还有一种可能就是这种剽窃行为因为阻碍了盗窃国的创新而实际上对其噪声损失,逐步导致全球的创新能力下降,这样的话被盗过的创造者的回报就会下降(使之失去信心)并且其资源和动力也会下降。由此来看羸弱的网络环境对全球而言都是糟糕的。

    我们还没考虑潜在的损失-就是受害者受到的心理创伤。这些损失通常会诉诸于法庭而其中一些是固定的(像人死亡的赔偿),其他的就有很大差别。

四、用类比的方法确定恶意网络活动带来的损失的范围

    类比法使用的是一个“等价代换”的数值而非我们直接从现象中测量出来的值。我们无法得到知识产权损失到底是多少,但是我们有很多商店被盗的信息,通过这些信息我们可以找到公司对非法活动的容忍限度(我们知道无形财产和消费类商品是不同的)。这种代换本身是不完美的,所以我们要知道我们离我们真正的目标有多少误差:就像用油量的损耗代表行驶的公里数,但是我们得到的结果也会因不同的车而改变。我们会有一个基于全车型的“平均”换算值(还有其每公里耗油量)。我们的期望是利用一些比较好引证的值像犯罪和疾病,我们可以从中得出一些粗略的恶意网络活动的带来损失的估计。

    类比的方法让我们能够知道我们研究问题的大致规模是怎么样的,甚至能帮我们确定问题的边界-上下限-恶意网络活动带来的损失的最大值和最小值,我们要做的就是和网络犯罪类似的犯罪或者带来损失的情况进行对比。为了寻找可以进行类比的活动,首先我们需要承认人们愿意为了之后的回报而在前期进行一定的投入。百货公司允许顾客自行摆弄货物,没有销售人员在一旁看着,因为这样可以提升销量,即使会使盗窃情况增加。同样的,我们需要汽车,即使会车祸的危险。所以,即使会有网络犯罪的阻碍,整个社会还是会走向数字化的。问题在于我们对于商品被盗和汽车带来的损失的容忍程度能否映射出我们对于网络犯罪的容忍程度。

车祸:疾病控制中心估计(他们的数据比较准确),美国2010因为车祸损失了900亿美元。美国汽车协会估计2010年因为车祸损失了1680亿美元。我们可以这样看待现在恶意网络活动带给人们的损失,那就是如果说美国人民可以接受这些车祸带来的损失作为获得生活便利的代价,那么同样的,网络犯罪和网络间谍活动也是信息社会带来便利的代价。当然这不是说大家没有尽力使损失降下来,并且如果考虑的到敏感军事信息被盗这样无法用金钱衡量的损失的时候,这种类比是十分不精确的。而对于车祸的赔偿情况,我们也希望能知道我们损失的钱数能不能准确的反映受害人承受的“痛苦和损失”,假设他们知道他们被黑客攻击了。

海盗:在海上无人监管的地区会被犯罪所统治,网络也是一样。索马里是最有名的一个,不是唯一的一个。国际海洋局是一个无政府的组织,是国际商会的一部分,会追踪全球的海盗行为。他们估计2005年因为海盗带来的损失是10到160亿美元之间。(看来网络犯罪损失不是唯一难以估计的)另外一家组织公布的2010年的估计是70到120亿美元。这其中并不包括人身损失,像囚禁甚至死亡,还有增长的保险金以及无法进行工作的机会成本。把这些算在一起,2005年海上贸易的价值是7.8万亿,这意味着因为海盗每年要损失0.02的总价值。

盗窃:另外一个可以用来近似估计的案例来自于这样一个现实:很多产业对于网络间谍活动的反应非常冷淡。原因可能就是这些公司对于这样的情况做一个合理的分析,他们认为对于阻止这类犯罪的花费要大于这些犯罪本身带来的损失。公司将这一定程度的“失窃”或者“项目丢失”算作运营成本的一部分。对美国的零售商来说,1.5%到2%的这样的损失都是可以接受的-2008年的估算为1.7%。用这样的盗窃来近似恶意网络活动带来的损失的话,那么损失的上限就是国民生产总值的0.5%到2%之间。那么对应到美国那就是700亿到2800亿美元之间。也许各个公司也和零售业一样计算了哪里应该进行更好的网络防御才能使利益最大。“盗窃衡量”理论最大的问题在于很多企业不清楚失窃带来的额外的损失是多少,这使得商业决案建立在了不合适的信息基础之上。

犯罪和毒品:我们经常听到有人说相比贩毒,网络犯罪的更为暴利。要证明这句话我们首先要知道贩毒的利润是多少。2012年10月,联合国毒品和犯罪办公室估计全球所有跨国犯罪的涉案金额为8700亿美元,是全球生产总值的1.2%。其中有6000亿是贩毒相关。剩下的2700亿包括人口贩卖、走私、和网络犯罪。在贩毒猖獗的地方,我们看以看到毒品对整个地区的社会和经济的影响。然而网络犯罪没有这些可以观察到的效应。那么,网络犯罪能产生6000亿的暴利的想法就是比较夸张了。

类比法的局限性

    如果我们对于网络犯罪的“忍耐限度”的假设是对的话,也就是说和车祸、盗窃、毒品有类似的损失范围,那么我们就能得到总损失的“限界”。而上述内容分析的结果是这是限界大约为国民生产总值的1%过着更少。但是这一切均建立于未经检验的假设,我们的推论也是建立在一些不确定的数据,包括非法的到的知识产权的使用率和报道的网络犯罪和间谍带来的损失的准确性。——网络世界的活动和其他可接受损失是有内在关联的而且对于发展中国家,这项估计可能会偏高,因为这些国家的并不主要依赖知识产权和网络。各国和各公司的损失是不一样的。建立不同的模型,不同的假设,结果都会不一样。假设精度的不同会导致结果相差很大,但是任何估计方式超过我们估计的界限,都是应该再检查一遍的。我们欢迎批评指正。

五、危害

    这份初步的调查说明了网络间谍活动和犯罪带来损失的上限大约为国际财政收入的0.5到1%之间,以美国为例,具体的数值大约为700亿到1400亿美元之间。而估值的下限为200亿到250亿之间。这个估计范围略粗糙,我们会在未来的调查中进一步精确我们的估计。我们计划:首先要坚守对于事件和调查数据的依赖,然后开始完善和比较已完成的估计,优化数据,从数据中提炼更合理的假设。虽然我们很难得到网络间谍活动和犯罪法带来的损失的精确值,但是我们相信我们可以得到一个相对比较准确的潜在损失的范围估计,以便我们能够更好的权衡问题。

    我们用这个粗略的估计来估计美国这个占全球经济总量五分之一的经济体,那么推广到全球的话,那就是1000到5000亿美元的损失。这基本上可以说是大于实际情况的。我们需要修正的部分,首先就是发展中国家经济相对于发达国际并没有那么依赖于网络并且也没有那么多的无形资产。在十个经济领导性国家中无形产品和服务占到了其GDP的50%到70%。那么将此考虑进去之后,损失的范围将变成800亿到4000亿美元。这个范围还是过于宽泛,所以我们只能用来作为研究的起始点。若我们将目光放在全球经历总量有70万亿美元,那么这带来的损失是很小的一部分,但是这并不意味着各国政府不愿意想办法去尽力减少这一损失,而且因为军事机密失窃带来的损失很多时候是无法用金钱衡量的。我也需要从传统的技术转移方式中解脱出来,这其实是一种国外投资。网络间谍活动至少会被人们当作是全球技术转移大势中的麻烦。我不想将全部的技术转移和国外公司竞争力的增强归因为网络间谍的存在,同样我也不会否认网络间谍活动的对于经济增长的长期的、巨大的影响,因为即使只有千分之几的影响,年复一年也会对经济健康发展带来危害。

    而公司却远远低估了他们将要面对的威胁。一些公司认为网络间谍活动带来的损失是可以接受的,还有一部分在全球最快发展的市场里的公司认为他们可以以更快的速度更新技术,这样就会使损失最小。这里面也许有他的经济原理,对于个别公司会带来短期收益。但是非法的技术转移,甚至包括在美国已经过了专利保护期的技术转移都会加速(别国)的军事现代化。这会加速本土技术进步和科技水平,使得盗窃国能够更快的掌握偷盗的技术并生产出有竞争力的产品。公司面对的风险不仅仅是失去战略优势,知识产权还包括用户名单,竞争分析和销售数据。

    考虑乘法效应的话,现在对于恶意网络活动的美元估值是低估了实际的损失的。某政府资助的研究项目发表声明称,虽然这个说法是有利于研究项目的——花费在研究项目单位美元的产出是高于商业活动的。果真如此的话,那么研究恶意网络活动所造成的损失的乘法洗漱将比现在大很多,即使研究是免费的。那么由于网络间谍,知识产权的损失的每一美元本应创造比一美元给国外竞争者更多的价值。若这是真确的,那么200美元的知识产权损失实际会为为盗窃国带来远大于200美元的利益。但是,这还是未经证明的事儿,因为乘法效应在经济学理论中仍存在争议。有经济学家以生物医学为例,生物医学实验每1美元的投入将得到2美元的产出。而其他对乘法效应的批判者认为也许一美元的投入将只能带来8毛甚至更少的回报。

    之前说过,在量化对国家安全还有一个难点。首先,在网络间谍活动和网络攻击能力的发展之间有必然的联系。网络间谍活动为网络攻击至少提供了可攻击的目标的信息和攻击训练。第二,对商业的网络间谍活动和对军事网络间谍活动是有联系的。他们通常是同一帮人为收集军事和商业信息所为。以美国为例,很多大案可以在秘密行动,潜艇,导弹以及核能力对美国造成广泛的打击。我们无法准确估计我们在军事技术上的损失,但是我们可以说网络间谍活动,包括商业间谍会改变我们和他国竞争者之间的格局。

贸易格局和失业

    贸易格局和一个国家必须为支付其进口的商品而出口的商品量。如果进口商品价格下跌,贸易格局就会偏向于进口国家,所以就必须减少出口。在我们得到被盗的知识产权会最终给消费者带来更低的价格的结论之前,我们先看一些先决条件。首先,民众不觉得考虑违法行为带来的“优惠”是荒谬的。其次,网络间谍活动降低了研究、教育和技术带来的竞争力,使得被盗的发达国家难以生产那些需要用来支付进口账单的商品。虽然间谍活动实际是为国外生产厂家进行了补贴,但是消费者实际得到的利润却并不大。

    如果间谍没有得到很好的报酬,那么这对被盗国将更惨。商业部国际贸管理局的分析发现,在2011年,10亿美元的出口意味着5080份工作。全美的职工数量约为1.35亿到1.45亿人。这意味着我们之前估计的网络间谍带来的损失上限1000亿美元,将导致508000人失业,再加上间谍活动本身对就业市场的影响,大约有三分之一的岗位将受到牵连。

    相比就业总数,更为重要的是制造业和高薪职业的职位。网络间谍行为使得很多高薪蓝领只能从事低薪工作甚至失业。更重要的是。如果我们对失业率带来的影响的粗略估计是正确的话,即使数值便的相对小一些,他实际是引出了知识产权的盗窃对我们真正的伤害。恶意网络行为给我们带来的最大的损失和风险不是他带来的直接损失,而是盗窃国的经济发展和全球竞争力的通过非法手段得到了增强(经济也许也包括军事)。

六、下一阶段的评估

    我们已经完成了对恶意网络行为带来损失的关键因素的定义。

    这些关键因素有的可以量化,但是这些因素依赖于对非法获得的知识产权的实际效用和网络犯罪和间谍活动的损失报告。任何网络犯罪和间谍活动的准确数字是不可知的,但是我们可以做到相对准确的潜在损失的估计。

    我们也定义一些对度量和效应有影响的事件。我们的目的是能够量化网络犯罪和间谍活动带来的损失,但是其核心是得到其对贸易,技术和竞争力的影响。我们下一份报告会提供基于更多种技术,模型和假设得到的范围估计,同时也会对更大的效应进行评估。我们计划在最终的报告中使用其他国家的数据,来精炼我们的估计。特别的,我们会分析4个基本问题:

1.“合理损失范围”的准确的类比是否能又来来进行估计分析?有一种论调就是基于当下电脑领养计划的成功导致的隐性利润成本分析的偏差。这样的话个人在面临长期投入和短期获利的选择之时损失巨大。(One proxy of possible interest starts from the proposition that the implicit cost-benefit analysis of “to lerated costs” may be skewed by immediate gratification in the context of computer adoption. Individuals may willingly incur much heavier, and arguably irrational, losses if they are making choices between short-term gratification and long-term costs.)健康问题和其他可治愈疾病问题可以很好的匹配这个模型。成本的出现于对生活方式的选择-抽烟、肥胖、缺乏锻炼-我们知道这样不好,但是我们还是保持原样。(抽烟当然是会上瘾的,但是有的人会说。。。稍等我要查下这个不会被自动发到Twiiter上)
2.通过网络非法获得的技术会给处心积虑的盗窃国带来很大的科技进步还是说只是会对盗窃国和被盗国的经济造成一点点影响(注意到有的公司受到了毁灭性的影响)。
3.公司会把这样的损失折算到生意成本的一部分么还是没有注意到他们损失之巨大
4.用美元来衡量我们受到网络间谍和犯罪活动的侵害是否合适,这里面有无形资产,有对国际互联网的信任以及对军事力量的影响。

    对这些大问题的回答会帮助我们界定问题的范围并可以从全局进行考虑,网络犯罪和间谍活动每年给全世界带来数十亿美元的损失。尽管数额巨大,但是这并没能完整反映对全球经济的影响。网络犯罪和间谍减缓了技术创新的步伐,扰乱贸易秩序,增加社会成本,引发犯罪和事业。这些巨大的不良影响比准确的数据更为重要,这也将会是我们最终报告的核心。


来源说明:本文来自McAfee国际信息研究中心2013年6月发布的报告《The economic impact of cybercrime and cyber espionage》,由IDF实验室李天星翻译。

源链接

Hacking more

...