Statistiky kyberzločinu: většinou pouze marketingové bláboly

Stojí kybernetický zločin svět opravdu jeden bilion dolarů? Má fakticky na svědomí 250 miliard dolarů zbytečných nákladů amerických společností ročně? Kdo zveřejňuje taková čísla? Web Pro Publica dokazuje, že tyto často citované hodnoty jsou mimo realitu.

Statistiky kyberzločinu: většinou pouze marketingové bláboly


Šéf americké Národní bezpečnostní agentury Keith Alexander uvedl nedávno ve svém prohlášení, že kyberzločin stojí svět 1 bilion dolarů. Americký generál NSA (National Security Agency) Keith B. Alexander k tomuto tématu uvedl: „Podle mého názoru se jedná o největší přesun bohatství v historii."

Investigativní reportéři webu Pro Publica však zjistili, že takové statistiky jsou ve skutečnosti značně přehnané. Jak uvádějí Peter Maass a Megha Rajagopalan:

„Alexander citoval statistiky mimo jiné i od společností Symantec a McAfee, které obě prodávají software k ochraně počítačů před hackery. Od Symantecu měl informaci, že krádeže intelektuálního vlastnictví stojí americké společnosti 250 miliard dolarů za rok. Zmínil také odhad společnosti McAfee, že celkové globální náklady kyberzločinu jsou asi jeden bilion dolarů. Alexander se tím snažil přimět Kongres k přijetí legislativy zdokonalující obranu Spojených států v kyberprostoru.“

Číslo jeden bilion bylo již citováno mnoha lidmi z americké vlády, kteří tím argumentovali pro vyšší útraty na „kyberbyrokracii“.

Takové argumenty jsou nicméně podloženy nesmysly. A tyto nesmysly jsou zase založeny na číslech, která někomu nejspíše náhodně vyskočila z generátoru. Dinei Florencio a Cormac Herley při svém bádání zjistili, že „tyto velice rozšířené odhady škod napáchaných kyberzločinem jsou generovány za použití absurdně špatných statistických metod, což je činí zcela nedůvěryhodné.“

Zatímco Florencio a Herley a priori odsoudili většinu statistik kyberzločinu, lidé z Pro Publica chtěli být specifičtější a zkusili zjistit, odkud se vzala nejpoužívanější čísla – výše zmíněných 250 miliard a jeden bilion dolarů. Ukázalo se, že to neví ani badatelé, z jejichž práce byla pro tyto účely citována.

O 250 miliardách:

„Přestože Symantec zmínil tuto částku ve své zprávě „Indikátory rizikového chování u krádeží IP“ z roku 2011, nepochází tento odhad od Symantecu. Zpráva číslo zmiňuje v textu, u nějž je v poznámce jako zdroj uveden právní dokument, v němž, jak se později ukázalo, není číslo 250 miliard vůbec řečeno. Eric Shaw, jeden ze dvou soudních psychologů Symantecu zodpovědných za zprávu o indikátorech chování, řekl pro web Pro Publica, že tato citace byla nešťastná.

Místo toho měla odkazovat na jiný text z roku 2003, který je postaven na proslovu tehdejšího ředitele FBI Roberta S. Muellera. Stejné číslo je citováno také ve starých tiskových zprávách FBI dostupných přes Internet Archive (Archive.org). Mluvčí agentury k tomu řekla, ž věří tomu, že představitelé FBI vycházeli v tomto případě z důvěryhodného zdroj, nicméně číslo 250 miliard nepochází přímo od FBI, a agntura to ani nikdy netvrdila.“

A nyní k jednomu bilionu:

„Bilionový odhad McAfee je zpochybňován dokonce i třemi nezávislými badateli z Purdue University, které McAfee uvádí jako zdroj analýz hrubých dat, z nichž byl tento odhad vyvozen. Eugene Spafford, profesor počítačových věd z Purdue řekl, že byl konsternován tím, že se takové číslo [bilion dolarů] objevilo ve zprávách, protože dle něj bylo mnohem nižší.“

Ross Anderson, další z badatelů, řekl, že se o bilionovém odhadu dozvěděl až ve chvíli, kdy byl zvěřejněn. „Určitě bych protestoval, kdybych se o tom dozvěděl dříve. Intelektuální hodnota tohoto čísla je horší než mizerná.“

Sal Viveros, který má v McAfee na starosti vztahy s veřejností a na průběh psaní zprávy v roce 2009 dohlížel, řekl, že univerzita v Purdue výrobci bezpečnostního software nikdy neoznámila, že toto číslo nemůže být podpořeno žádnými daty z výzkumu. Nic netušící společnost zprávu nakonec vydala a, jak podotkl Viveros, bilionový odhat „začal žít svým vlastním životem.“

To se může stát každému, že.

Další skvělá věta:

„Mluvčí StrategyOne na otázku, zda mohou být odhady Symantecu označeny jako vědecké, odpověděl: 'Ano, stejně jako jakýkoliv jiný průzkum nebo dotazník, který při odhadech ztrát spotřebitelů spoléhá na paměť těchto spotřebitelů.'“

Mluvčí tedy svým „ano“ myslí „ne“.

Statistiky zločinu – ať už toho fyzického nebo kybernetického – jsou vždy problematické. Přinejlepším měří pouze nahlášené případy. Víme, že ve fyzickém světě bývají takové statistiky podhodnocené, protože oběti zločiny často nenahlašují. Připadá jim, že by jim to stejně nepomohlo, nebo (například v případě znásilnění) by to pro ně bylo příliš traumatické.

Statistiky kyberzločinu jsou ještě horší, protože jeho oběti (lidé nebo společnosti) často ani nevědí, že byli „hacknuty“, a pokud to vědí, nechtějí, aby to někdo věděl, kvůli možným důsledkům (například na jejich důvěryhodnost vůči klientům).

Shrnuto a podtrženo: dosud nikdo nepřišel na způsob, jak spočítat, kolik peněz stojí kyberzločin společnosti. Abychom si rozuměli: nikdo neříká, že kyberzločin není velkým problémem. Jistě je. Ale čísla, která se prozatím ve statistikách na toto téma objevila, jsou prostě a jednoduše pouhými marketingovými bláboly.


Úvodní foto: Fotolia © Alexandr Mitiuc




Komentáře