因网络犯罪行为带来的实际损失之探究

受赛门铁克的委托,领先策略市场研究公司对来自14个不同国家的77000名互联网用户进行调查分析,结果发现在全部用户中,有65%成为过网络犯罪的受害者。

考虑到病毒和恶意软件,以及网上诈骗、网络钓鱼攻击、账户劫持和入侵等行为都被包括在内,这一比例低得让人有些吃惊。因此,对于这一数字我个人的猜测是,很多受访者的系统中其实是存在病毒或恶意软件的,只是他们不知道。

调查结果显示,受害者平均需要花费28天以及334美元才能恢复被网络犯罪分子破坏的部分。如果受害者的时间按照每小时30美元的价格来计算的话,就是840美元,两者加起来已经远远超过了1000美元。报告中并没有提到的是额外成本(这一点是可以预计到的,毕竟调查是由一家防病毒公司赞助的),它指的是我们担心不选择这些额外安全措施,就有可能成为受害者,因此,我们需要为防病毒工具、防恶意软件工具、防火墙以及其它安全类软件和硬件付费,这就是网络犯罪行为造成的结果。对于很多人来说,这就意味着50美元的投入,或者每年20到30美元的更新费用,当然,这一数字可以降低(或者免除,如果你使用免费工具的话),也可以大幅上升。

不过,网络犯罪行为带来的实际损失远远不止资金方面的损失。

非资金方面的损失

不象大多数类似的调查,赛门铁克试图通过询问受害者的情绪变化并进行深入分析找出一些隐含成本。他们发现网络犯罪行为的受害者大部分情绪变化和盗窃之类其它犯罪行为的受害者情绪是类似的,这样的结果并不让人吃惊。受害者表现出愤怒、烦躁和受到欺骗,对拘捕并惩处攻击者不抱有希望的情绪。网络犯罪行为带来的体验非常类似盗窃或破坏类案件。别人进入你的空间,无论是家庭还是计算机,并拿走或破坏你的财产,让你感觉受到了侵犯。

大多数个人犯罪行为的受害者也经历了调查中显然没有询问的另一种情感:恐惧,有时间会近似于偏执狂,并且会再次发生。网络犯罪行为的受害者在这方面有什么不同?调查结果显示,只有一半多一点的被调查者认为,如果成为网络犯罪行为的受害者,他们会选择改变自己的行为。报告中没有对他们为什么会改变的原因进行详细说明。

不过,从我接触过的例子来看,在遭遇到网络犯罪行为后受害者通常的表现是,大幅度减少对技术的依赖,上网行为发生了变化。有些受害者甚至选择不再使用计算机进行包括网上购物和登录账户在内任何和金融有关的活动。尤其是那些身份盗窃犯罪的受害者。这是非常现实的情况,依据今年早些时间福布斯的文章,由于金融机构需要承担责任,身份盗窃的个人平均成本下降了。

当然,认为消费者不会受到影响的想法是非常天真的。金融机构会通过提高收费和利息等措施来消除这类经营成本,而同时在公司税收中也可以获得递减。

沉默的痛苦

在赛门铁克研究中最有趣的发现之一也许是,在网络犯罪行为的受害者中,只有不到一半(44%)向执法机关报告了发生的案件。对于造成这种情况的原因,我们只能推测,但基于对其他类型犯罪受害者研究的基础上,我作出了下面的猜想:

  • 他们并不信任警方,认为即使报了案,也不会有人进行处理。
  • 他们不想花费更多的时间来填写表格和执法人员交谈,以及在报告时讨论涉及的“麻烦因素”。
  • 他们不认为这样的犯罪有多么严重,或损失非常巨大,值得花费时间去采取法律措施。
  • 他们不愿意承认自己是犯罪的受害者。
  • 因为他们认为这样使得自己看起来非常软弱或愚蠢(在商业案例中,则是会导致他们失去客户,因为客户不再信任他们能够充分保护客户端数据),所以不希望其它人知道自己是受害者。
  • 他们责怪自己,没有选择防火墙或防恶意软件工具或点击链接或访问网站或降低计算机的安全设置,从而让犯罪分子更容易获得他们需要的东西。

盗窃案件的受害者往往也有相同的想法,警方不能或无法逮捕闯入他们家里的犯罪分子,能做的仅仅就是填写并提交一份报告。但是,在他们需要警方提供犯罪记录报告以获得保险赔偿时,报告犯罪的可能性就会上升,因为,这时间,他们相信警方可能会加强在该地区的巡逻,有助于防止这类事件的再次发生。

通常情况下,网络犯罪造成的数据丢失和计算机软件损害是没有保险的,警方也没有什么办法来保障受害者不会受到进一步的侵害。如果受害者报告犯罪,结果没有发生新情况,就会导致他在刑事司法系统中的信任度下降,并且妨碍其它情况的报告,导致在未来出现更严重的犯罪。在这里“麻烦因素”的关键是,如果受害者相信案件会被破获,犯罪分子将被擒拿归案的话,他们才愿意花时间与官僚们合作。

在很多案件中,网络犯罪行为导致的资金损失,举例来说,重新格式化驱动器、重新安装操作系统、从备份中恢复数据等措施花费时间的价值是很难确定的。即使有直接的资金损失,举例来说,在身份盗窃案件中,也很难或无法证明身份盗窃行为与被木马感染或局域网遭到入侵有关;尽管看上去似乎是这样,但很难证明。

有些人对待犯罪的做法是,将实际情况从头脑中排除出去,假装从来没有发生过,在殴打和强奸等个人犯罪行为中,这种情况尤其突出。向警方报案意味着它是真实的。即便他们承认自己已经成为受害者,可能也不希望其他人知道此事,因为他们相信这将降低自己在其它人眼里的地位。不得不承认,尴尬,甚至羞辱是网络犯罪分子控制你的最好手段。

自责是常见于强奸犯罪行为的受害者,并且在入室行窃、抢劫和盗窃等案件的受害者也经常出现。在涉及到网络犯罪时,所有关于可能发生这种情况的警告和应该保护自身的提醒都是善意的和有益的,但也有可能产生导致受害者产生感到内疚的倾向,或者觉得自己非常“愚蠢”,没有采取足够措施来阻止这种情况的发生。人们在感到内疚或者认为这属于自己的过错时间,不太可能报告犯罪。因此,如果我们希望获得更多网络犯罪行为方面报告的话,让用户了解安全,让他们知道不是自己没有采取足够的安全措施是非常重要的。

商业领域的损失

赛门铁克调查关注的主要是网络犯罪行为对个人造成的后果。因为很多人的计算机里都存在有价值的信息,就象可能被身份盗窃犯罪利用的个人数据和财务数据,这些数据的额外价值往往难以量化。而从某些方面来看,对于企业来说,网络犯罪造成的损失更容易估计、

《信息周刊》分析委员会发布的的报告《威胁遍及全球,案件频频出现》中包含了全球范围内公司受到网络犯罪影响的更多内容。

在报告(第2页)有一个非常有趣的数字,员工花费在相关领域时间占的比率非常小,对最终用户进行安全意识培训的时间(2009年为9%,2010年上升到11%),监测员工行为(每年都是7%)。不过,请注意,因为合并起来的结果远远超过了100%,所以我们不确定这些数字的有效性。无论如何,从实际来看关注用户时间太少(第6页),是第二大威胁以70%的比率受到了用户和员工的共同认可,仅次于黑客(术语)的77%。

取决于引用研究报告的不同,对于网络犯罪行为给企业带来的资金损失,给出的数据也有很大的差异。在2009年,迈克菲针对来自几个国家的首席信息官们进行的调查研究结果显示:在全球范围内,网络犯罪行为带来的损失高达1万亿美元。

而在最近,由ArcSight研究所进行的一项研究的结果发表在网络世界上。经过对美国45家公司组织进行研究的结果显示,年度平均安全损失为380万美元。这一数字不包含防火墙和防病毒软件之类预防措施的花费,而仅仅包含了受到攻击后进行处理、清除和恢复等措施的费用。平均时间耗费为14天,而内部恶意攻击则高达42天甚至更多。

并且,这些直接费用成本实际上仅仅是冰山一角。特别是在涉及到消费者或客户数据的情况下,由于声誉受到损害而对未来业务造成的影响是无法衡量的。而且,我们也必须意识到,由于攻击活动是隐蔽的,所以,企业甚至有可能不知道自己已经受到恶意软件、入侵和其它犯罪活动的攻击。不同于物理设备的被盗,如果原始数据没有变化,数据盗窃行为是可能被忽略的。这些被忽略的损失可能永远不会被发现或报告。

降低损失

怎样才能降低网络犯罪行为带来的损失这一问题的答案对于我们大家来说非常简单:就是逮捕罪犯。但做起来就没有说的这么简单了。司法管辖权、隐私和匿名、预算限制加上很多其它因素的影响,让执法机关处理网络犯罪变得非常困难。很少有其它类型的犯罪可以在跨越半个地球的范围,而不是同一个国家内实施,受害者和犯罪对象是脚对脚。通常情况下,对犯罪活动进行更严密的跟踪也意味着对合法互联网活动进行更多跟踪以及对普通用户隐私的侵犯。很多人认为,这样的代价太高了。而案件的强制执行,由于距离的遥远导致费用的上升,在持续疲软的经济环境下,对于预算紧缩的执法机关来说,也是非常大的挑战。

网络犯罪的打击重点是发现和阻止网络恐怖主义,很多资源都被分配到这一领域。作为网络犯罪中最严重的类型,网络恐怖主义分子成功制造的袭击在人身安全和社会影响方面带来的损失会是非常巨大的,因此,这让防范成为当务之急。不过,这意味着“仅仅”涉及资金的犯罪以及这些犯罪行为的受害者可能不会获得足够关注。

在这些问题获得解决之前,我们要做的就是被动地处理网络犯罪,而不是采用主动迎击模式。这意味着犯罪分子将保持领先一步。在以后的专栏中,我们将对这些问题和可能的解决方案或变通方法进行更深入的研究。与此同时,网络犯罪的受害者和潜在受害者将面对一个严峻的问题:我们愿意付出多大的代价(包括资金和非资金方面),来将更多的网络犯罪分子绳之以法?