大家都認(rèn)為網(wǎng)絡(luò)犯罪影響著每個(gè)人——政府、公司、大眾——但究竟影響有多大？大筆資金被投入到對(duì)網(wǎng)絡(luò)犯罪的打擊當(dāng)中，可為什么計(jì)算不出網(wǎng)絡(luò)犯罪造成的損失呢？

根據(jù)相關(guān)的最新調(diào)查顯示，安全軟件制造商賽門(mén)鐵克公司稱網(wǎng)絡(luò)犯罪每年在世界范圍內(nèi)造成的損失達(dá)1100億美元。但是，賽門(mén)鐵克最有力的競(jìng)爭(zhēng)對(duì)手邁克菲公司則表示，每年實(shí)際的損失幾乎是該數(shù)字的10倍，約為1萬(wàn)億美元左右。到底哪個(gè)數(shù)字是正確的？

不幸的是，安全專家認(rèn)為，要得到準(zhǔn)確的報(bào)告至少要經(jīng)歷四重障礙：

◆拒絕上報(bào)。許多網(wǎng)絡(luò)犯罪的受害者不想上報(bào)他們的問(wèn)題，因?yàn)樗麄冋J(rèn)為這會(huì)影響到自己的業(yè)務(wù)。

◆自我選擇偏見(jiàn)。因網(wǎng)絡(luò)犯罪而蒙受損失的組織可能要比未受損失的組織更不樂(lè)意參與調(diào)查。而那些擁有公開(kāi)的大面積損失的公司要比擁有少量未公開(kāi)損失的組織更樂(lè)于參與。

◆缺乏規(guī)范的損失計(jì)算機(jī)制。有時(shí)故障時(shí)間帶來(lái)的損失也被計(jì)入起其中。有時(shí)購(gòu)買(mǎi)或更新設(shè)備、安全服務(wù)、外部顧問(wèn)等成本也計(jì)入總數(shù)。并沒(méi)有關(guān)于什么該統(tǒng)計(jì)和什么不能統(tǒng)計(jì)的統(tǒng)一標(biāo)準(zhǔn)。

◆未知損失。通常，一些組織甚至對(duì)受到的損失毫不知情，或是壓根不清楚整個(gè)網(wǎng)絡(luò)犯罪所帶來(lái)問(wèn)題的嚴(yán)重性。

來(lái)自普渡大學(xué)的計(jì)算機(jī)科學(xué)教授尤金. H. 斯帕福德說(shuō)，想想看要是一家公司正在進(jìn)行高端研究，這時(shí)有黑客侵入并將信息從電腦當(dāng)中拷貝出來(lái)，“如果公司察覺(jué)了該入侵——也可能根本不知道——那么審計(jì)可能會(huì)發(fā)現(xiàn)公司的損失與彌補(bǔ)損失和更改安全軟件的費(fèi)用相當(dāng)。可如果公司并未發(fā)覺(jué)信息丟失，或者不知道如何評(píng)估損失呢？如果所丟失的信息一年之后在公司競(jìng)爭(zhēng)對(duì)手的產(chǎn)品中出現(xiàn)了呢，到那時(shí)損失又該如何計(jì)算？如果產(chǎn)品和國(guó)防有關(guān)呢？這種萬(wàn)分重要的產(chǎn)品又該如何計(jì)算價(jià)值呢？數(shù)百萬(wàn)美元？數(shù)十億美元？“

邁克菲把他們和賽門(mén)鐵克報(bào)告的差異歸因于關(guān)注重點(diǎn)的不同，邁克菲的調(diào)查主要關(guān)注由于惡性攻擊和意外數(shù)據(jù)丟失所造成的商業(yè)損失。

但是，公司方面卻認(rèn)為要拿出一份估算尤為困難，因?yàn)橐紤]的方面太多了。

“你得把由于公司間諜行為所造成的損失算進(jìn)去，而對(duì)于一個(gè)品牌聲望的損壞等是根本無(wú)法量化的，”一位來(lái)自邁克菲的發(fā)言人說(shuō)，“但是最難估計(jì)的還是對(duì)美國(guó)經(jīng)濟(jì)長(zhǎng)期的競(jìng)爭(zhēng)力所帶來(lái)的損害。如果在未來(lái)，我們最好的硬件、軟件和生物技術(shù)公司遭遇到拿到我們核心技術(shù)的競(jìng)爭(zhēng)對(duì)手，并任其侵占有我們的市場(chǎng)、奪走美國(guó)的工作該怎么辦？這部分損失——巨大的損失——是最難以估計(jì)的部分。“

對(duì)于顧客來(lái)說(shuō)，網(wǎng)絡(luò)犯罪并不僅僅會(huì)通過(guò)網(wǎng)上銀行為他們帶來(lái)?yè)p失，還有可能會(huì)威脅到他們數(shù)字財(cái)產(chǎn)的安全。

“他們寫(xiě)了一年的書(shū)稿值多少錢(qián)？”邁克菲的發(fā)言人問(wèn)，“他們的照片、網(wǎng)絡(luò)身份呢？大部分受害者都要花費(fèi)大量時(shí)間來(lái)恢復(fù)他們的身份或重建他們丟失的信息。這部分時(shí)間又價(jià)值多少呢？”

他接著說(shuō)，網(wǎng)絡(luò)犯罪造成的真正損失涉及到以上所有的問(wèn)題并”用一種強(qiáng)硬、清晰且可防衛(wèi)的方式“將它們疊加起來(lái)。許多公司以及智囊團(tuán)沒(méi)有時(shí)間或資金來(lái)進(jìn)行如此大范圍的研究。

賽門(mén)鐵克對(duì)此選擇不參與或不予評(píng)論。

與此同時(shí)，微軟研究院的首席研究員科馬克·赫爾雷稱，他“并不認(rèn)為任何一方——不論是賽門(mén)鐵克還是邁克菲——的數(shù)據(jù)更接近事實(shí)。你可以把任何數(shù)字稱為估計(jì)值，“他說(shuō)，”但是這并不意味著它就是一個(gè)對(duì)于現(xiàn)實(shí)的理性反映。“

赫爾雷和同事迪內(nèi)·弗洛倫西奧最近寫(xiě)了一篇論文，名為《性，謊言和網(wǎng)絡(luò)犯罪調(diào)查》，他們?cè)诳催^(guò)網(wǎng)絡(luò)犯罪損失的估計(jì)之后，說(shuō)這份估計(jì)“根據(jù)級(jí)數(shù)的不同而應(yīng)有所變化。我是說(shuō)，很多東西都有回旋余地。但是如果物理學(xué)家在四個(gè)等級(jí)之內(nèi)無(wú)法就光速達(dá)成一致的話，他們也只能承認(rèn)自己不知道。”

赫爾雷將此歸咎于網(wǎng)絡(luò)犯罪調(diào)查的方法幾乎總是會(huì)將數(shù)據(jù)過(guò)分夸大。他認(rèn)為實(shí)際數(shù)字要小得多。他說(shuō)，問(wèn)題就在于網(wǎng)絡(luò)犯罪調(diào)查不像是投票調(diào)查那樣每個(gè)人的回答都分量相當(dāng)。

“當(dāng)你問(wèn)別人他們從網(wǎng)絡(luò)犯罪中都損失了什么的時(shí)候，你無(wú)法核實(shí)他們是否理解了你的問(wèn)題也無(wú)法證明他們的回答是否真實(shí)，”他解釋道，“然后，即便是一個(gè)人給了你一個(gè)非常不準(zhǔn)確的數(shù)字，那也有可能會(huì)毀掉整個(gè)調(diào)查。幾乎所有調(diào)查顯示的數(shù)據(jù)都會(huì)偏高。

為了表明調(diào)查當(dāng)中一個(gè)人能有多么荒謬，赫爾雷建議開(kāi)展一項(xiàng)關(guān)于多少人擁有獨(dú)角獸作為寵物的調(diào)查。“如果你問(wèn)100個(gè)人（代表一個(gè)國(guó)家的1億人口）的話，那就意味著，不管你得到什么樣的數(shù)字，你都得再乘以1億。接著你就可以組織問(wèn)卷了，每個(gè)人都老實(shí)地回答“零”，不過(guò)有一個(gè)人誤會(huì)了問(wèn)題的意思，然后回答是的，他們有一只獨(dú)角獸，因?yàn)樗麄兊呐畠旱呐P室里放著一只獨(dú)角獸的毛絨玩具。現(xiàn)在你的調(diào)查估計(jì)是美國(guó)有1億只獨(dú)角獸。這個(gè)結(jié)果是完全錯(cuò)誤的，而這個(gè)離譜的結(jié)果就來(lái)自于那一個(gè)錯(cuò)誤答案。“

如果結(jié)果真的有可能被認(rèn)為操控，那么試圖計(jì)算網(wǎng)絡(luò)犯罪帶來(lái)的損失還有意義嗎？專家說(shuō)“有“，如果一個(gè)組織反復(fù)持續(xù)使用相同的方法，就會(huì)出現(xiàn)一種趨勢(shì)，而這種趨勢(shì)才是對(duì)打擊網(wǎng)絡(luò)犯罪最有價(jià)值的。

此外，從認(rèn)識(shí)的角度而言，專家說(shuō)讓企業(yè)界、個(gè)人和政府組織認(rèn)識(shí)到問(wèn)題的嚴(yán)重性是非常重要的。否則，通常的態(tài)度就是“我們從來(lái)沒(méi)有過(guò)這個(gè)問(wèn)題，所以未來(lái)可能也不會(huì)有“。

憤青們還指責(zé)說(shuō)，網(wǎng)絡(luò)犯罪的統(tǒng)計(jì)數(shù)據(jù)是人為抬高的，目的是為了恐嚇大眾，使其購(gòu)買(mǎi)安全軟件。他們還說(shuō)，那些出售反惡意程序的公司不應(yīng)該參與報(bào)告惡意程序規(guī)模問(wèn)題。

不過(guò)，觀察員說(shuō)，從另一方面講，安全公司了解這一領(lǐng)域、通常又廣為人知、并且人們?cè)敢庀蛩麄兲峁┝己玫姆答佇畔?，因而除了他們，還有誰(shuí)會(huì)組織這樣的安全分析呢？

“在這一領(lǐng)域，一般不會(huì)看到像女主人零食公司那樣的組織發(fā)起類似調(diào)查，“觀察員說(shuō)道，”如果政府牽頭來(lái)做調(diào)查的話，很多組織不愿意向政府報(bào)告自己的損失，因?yàn)樗麄儾恍湃芜@些信息將被如何使用。“

但是來(lái)自微軟的赫爾雷說(shuō)，他“非常有信心而且并不擔(dān)心由公司使用的方法可能帶來(lái)的虛假回答而產(chǎn)生的矛盾。我就是不知道，而且我也不想去推測(cè)。即便是完全沒(méi)有欺騙，錯(cuò)誤也時(shí)常發(fā)生。“

但是，羅斯·安德森卻懷疑，大部分網(wǎng)絡(luò)犯罪的數(shù)據(jù)——“例如荒唐的1萬(wàn)億，也就是說(shuō)世界GDP的2%“——是不可靠的，“因?yàn)榫庉嫈?shù)據(jù)的人（例如警察或是安全軟件的供貨商）都是別有用心的。”安德森是牛津大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的安全工程教授。

他在2008年發(fā)起了一項(xiàng)名為“安全經(jīng)濟(jì)和獨(dú)立市場(chǎng)”的研究，研究稱這種現(xiàn)象已經(jīng)持續(xù)多年了。他最近的一篇論文《網(wǎng)絡(luò)犯罪的損失測(cè)量》表明，社會(huì)應(yīng)該減少在反病毒軟件上的花費(fèi)，并應(yīng)增加對(duì)于網(wǎng)絡(luò)監(jiān)管的費(fèi)用。

“很多網(wǎng)絡(luò)犯罪都是少數(shù)人發(fā)起的，”他說(shuō)，“例如，在2010年，世界上三分之一的垃圾郵件都是由同一個(gè)僵尸網(wǎng)絡(luò)發(fā)出的。所以，比起讓世界上幾億用戶都安裝反病毒或者反垃圾郵件軟件來(lái)說(shuō)，把那幾個(gè)壞人抓到監(jiān)獄去效率會(huì)高得多。當(dāng)然了，反病毒和反垃圾郵件軟件公司可不會(huì)贊同我的觀點(diǎn)。“

他堅(jiān)持認(rèn)為，世界上大部分用于彌補(bǔ)玩過(guò)犯罪損失的花費(fèi)都用于反病毒軟件上了， “事實(shí)上，反病毒公司從垃圾郵件當(dāng)中所獲得的利潤(rùn)要比那些制造垃圾郵件的人多的多。“

其實(shí)，計(jì)算網(wǎng)絡(luò)犯罪造成的損失還是很重要的，專家們對(duì)此也提出了一些建議。來(lái)自普渡大學(xué)的斯帕福德建議，一套合理的數(shù)據(jù)——以及一套合理的獲得數(shù)據(jù)的問(wèn)題——需要經(jīng)過(guò)熟悉建立調(diào)查和損失計(jì)算的組織的修改。他推薦軟件或者硬件供貨商聯(lián)盟，也許是已經(jīng)存在的一家，也許是像國(guó)家標(biāo)準(zhǔn)技術(shù)局（NIST）這樣的組織。

“不管是誰(shuí)，“他說(shuō)，“這個(gè)組織必須要贏得所有人的信任。這絕對(duì)不是輕而易舉就能做到的，也絕對(duì)不會(huì)來(lái)得便宜。”

牛津大學(xué)的安德森提出了另外一種建議。“別在估量網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)戰(zhàn)爭(zhēng)上浪費(fèi)錢(qián)了，”他說(shuō)，“還是把錢(qián)花在警察身上比較實(shí)在。”