一、簡(jiǎn)介

網(wǎng)絡(luò)犯罪，網(wǎng)絡(luò)間諜和其他惡意網(wǎng)絡(luò)活動(dòng)被一些人稱作是“人類歷史上最偉大的財(cái)富轉(zhuǎn)移”，還有其他人稱之為“14萬(wàn)億美元的經(jīng)濟(jì)舍入誤差?”。

大致估算現(xiàn)有的損失————從十幾億美元到幾千億美元————就已經(jīng)反映了一些問題。有的公司隱瞞了它們的損失而有一些公司還不清楚自己的損失，因?yàn)橹R(shí)產(chǎn)權(quán)是很難去衡量其價(jià)值的。有些估算是基于其調(diào)查結(jié)果，但是除非能夠細(xì)致的構(gòu)建評(píng)估體系，否則最后的估算會(huì)很不準(zhǔn)確。網(wǎng)絡(luò)安全調(diào)查的一個(gè)常見問題就是，有一些精心準(zhǔn)備答案回答問題的人，他們的回應(yīng)將會(huì)影響最終結(jié)果的準(zhǔn)確性。由于數(shù)據(jù)收集的問題，損失評(píng)估都是基于一定的規(guī)模和影響力假設(shè)，而改變這種(前提)假設(shè)，你就會(huì)得到不一樣的結(jié)果，而這些問題讓很多評(píng)估受到質(zhì)疑。

惡意網(wǎng)絡(luò)活動(dòng)結(jié)構(gòu)

在這個(gè)先期報(bào)告中，我們從什么應(yīng)該算作網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜帶來的損失開始。我們可以將惡意網(wǎng)絡(luò)事件分為以下的6個(gè)部分：

知識(shí)產(chǎn)權(quán)和商業(yè)機(jī)密損失

網(wǎng)絡(luò)犯罪，每年消耗世界數(shù)百萬(wàn)美元

敏感商業(yè)信息的泄露，其中包括可能被操縱的股市

機(jī)會(huì)成本，包括服務(wù)和就業(yè)中斷，對(duì)在線活動(dòng)的信任度降低

來自網(wǎng)絡(luò)攻擊所消耗的網(wǎng)絡(luò)安全，保險(xiǎn)和恢復(fù)的成本

被黑客攻擊的公司的聲譽(yù)損失

將這些加在一起，網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜活動(dòng)在全球的損失預(yù)計(jì)為幾千億美元。以損失額度角度來看，世界銀行在2011年計(jì)算的全年全球GDP大概為70萬(wàn)億美元，4千億的損失————我們估測(cè)的損失上限————即占到全球GDP的零點(diǎn)幾百分比。不過，這需要假定幾個(gè)重要問題的正確性————對(duì)收購(gòu)方和受害者的損害的累積效應(yīng)，完全受害于網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜活動(dòng)。

運(yùn)用類比的方式對(duì)惡意網(wǎng)路活動(dòng)的成本進(jìn)行估算

我們使用幾種類比算法，這幾種類比項(xiàng)已對(duì)損失范圍問題提出一個(gè)量化的方案，允許我們?cè)O(shè)置一個(gè)模糊的邊界————最高限度和最低限度————通過其他幾種犯罪和損失，為惡意網(wǎng)絡(luò)活動(dòng)估算成本。

車禍：對(duì)于惡意網(wǎng)絡(luò)活動(dòng)帶來的損失，一種想法是就像車禍?zhǔn)窍硎芷噹淼谋憷拇鷥r(jià)，惡意網(wǎng)絡(luò)活動(dòng)就是電子商務(wù)帶來的種種好處的代價(jià)。疫病控制中心對(duì)于2010年美國(guó)車禍的花費(fèi)統(tǒng)計(jì)約為990億美元，美國(guó)汽車協(xié)會(huì)2010年估算成本為1680億美元。

海盜：缺乏管理的地區(qū)會(huì)被犯罪分子利用，這在海上和網(wǎng)絡(luò)世界是一樣的。國(guó)際海洋局2005年用于治理海盜的花費(fèi)評(píng)估在10億和16億美元之間(網(wǎng)絡(luò)并不是唯一的難以估算的領(lǐng)域)。通過這些數(shù)字，統(tǒng)計(jì)出2005年海上貿(mào)易總產(chǎn)值為7.8萬(wàn)億，這意味著海盜成本為總產(chǎn)值的0.02%。

偷竊：公司可以接受“偷盜”或者“庫(kù)存縮減”作為商業(yè)成本的一部分。對(duì)于美國(guó)的零售企業(yè)，這介于年銷售額的1.5%到2%的比率————2008年的一次統(tǒng)計(jì)將偷竊損失定在1.7%。用“偷竊”的方式假設(shè)相同的損失率，惡意網(wǎng)絡(luò)活動(dòng)將投入上限定在0.5%到2%的國(guó)民收入。在美國(guó)，這個(gè)數(shù)值為700億到2800億之間。問題是，“偷竊”在理論上是可行的，然而，許多企業(yè)并不很清楚它們的損失程度，這會(huì)導(dǎo)致他們做出的決策來源信息不足。

犯罪和毒品：常能聽到關(guān)于惡意網(wǎng)絡(luò)活動(dòng)比毒品交易更加賺錢的消息，這不禁讓我們懷疑我們是否清楚毒品交易的具體價(jià)值。2012年聯(lián)合國(guó)辦公室在毒品和犯罪金額估算中得出所有跨國(guó)犯罪集團(tuán)達(dá)8700億美元，或全球GDP的1.2%。其中6000億美元來自非法毒品交易。如果網(wǎng)絡(luò)損失成本也同樣分擔(dān)全球GDP，那么金額也會(huì)超過6000億美元。

這會(huì)造成的怎樣的后果?

若我們對(duì)于現(xiàn)有惡意網(wǎng)絡(luò)活動(dòng)造成損失的“范圍”假設(shè)和車禍、偷竊和毒品范圍是一致的話，那么這就是網(wǎng)絡(luò)犯罪帶來的損失的上限。網(wǎng)絡(luò)犯罪帶來的損失不會(huì)超過GDP的1%，以美國(guó)為例，我們?cè)u(píng)估最好的情況大約是1000億美元/年，而從廣義上來看，還有研究經(jīng)費(fèi)4000億，還有1000億是因?yàn)橹R(shí)產(chǎn)權(quán)偷盜取而沒有產(chǎn)生應(yīng)有價(jià)值的部分。

在衡量對(duì)國(guó)家安全造成的損害的時(shí)候，有一個(gè)很大的問題。我們知道，對(duì)于軍事技術(shù)的偷取會(huì)增強(qiáng)潛在對(duì)手的實(shí)力、或者損害在航天、高端材料或其他高科技產(chǎn)品的出口市場(chǎng)，導(dǎo)致國(guó)家安全水平降低。在商業(yè)間諜活動(dòng)和軍事間諜活動(dòng)之間有某種聯(lián)系，偷取軍事技術(shù)和商業(yè)資料經(jīng)常是某一個(gè)人的計(jì)劃，參與到這些網(wǎng)絡(luò)間諜活動(dòng)可以增強(qiáng)其網(wǎng)絡(luò)攻擊能力。我們無法準(zhǔn)確地用美元估計(jì)我們?cè)谲娛录夹g(shù)的損失，但是我們確定網(wǎng)絡(luò)犯罪改變了長(zhǎng)期依存于國(guó)外競(jìng)爭(zhēng)者的格局。

惡意網(wǎng)絡(luò)活動(dòng)對(duì)于就業(yè)市場(chǎng)的影響需要進(jìn)一步的研究。美國(guó)商務(wù)部在2011的統(tǒng)計(jì)估計(jì)表明，10億美元的出口相當(dāng)于5080份職位。這意味著我們對(duì)于網(wǎng)絡(luò)間諜活動(dòng)的最高估計(jì)1000億美元相當(dāng)于508000人失去工作，也是就將降低1/3的就業(yè)率，并且這不是正常的失業(yè)————人們可以在別的地方找到工作。而這些因?yàn)榫W(wǎng)絡(luò)間諜活動(dòng)失業(yè)的人的國(guó)家的情況將會(huì)更糟，原來高收入的藍(lán)領(lǐng)將只能失業(yè)或者有一份低收入的工作。

網(wǎng)絡(luò)犯罪損失估計(jì)的第二步

確定一個(gè)網(wǎng)絡(luò)犯罪和間諜活動(dòng)來帶的損失的具體數(shù)值是我們的主題，但是問題的關(guān)鍵在于他們對(duì)貿(mào)易、技術(shù)和競(jìng)爭(zhēng)力的影響。找到這些問題的答案有助于我們了解問題的全局。雖然每年因?yàn)榫W(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜活動(dòng)給全球經(jīng)濟(jì)帶來額數(shù)十億美元的損失，這是一個(gè)很大的數(shù)字，但即使是這樣大的數(shù)字也未能完全反應(yīng)其對(duì)全球經(jīng)濟(jì)的影響。也許如何對(duì)世界經(jīng)濟(jì)產(chǎn)生巨大影響才是我們應(yīng)該真正關(guān)注的地方，而不是一些具體的數(shù)字。#p#

二、網(wǎng)絡(luò)犯罪的利潤(rùn)到底有多大

無論是某小公司的某臺(tái)電腦還是整個(gè)政府機(jī)構(gòu)，準(zhǔn)確評(píng)估其價(jià)值都是一件大的工程，損失的具體規(guī)模往往是爭(zhēng)論的焦點(diǎn)。不知道這是不是某位領(lǐng)導(dǎo)人說的人類史上最偉大的財(cái)富轉(zhuǎn)移，或者某位經(jīng)濟(jì)學(xué)專家說的14萬(wàn)億經(jīng)濟(jì)體下的一個(gè)小小的問題。

每年針對(duì)銀行及其他金融網(wǎng)絡(luò)機(jī)構(gòu)的犯罪可能會(huì)花費(fèi)數(shù)億美元。網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)和商業(yè)機(jī)密信息的盜竊可能會(huì)花費(fèi)發(fā)達(dá)經(jīng)濟(jì)體國(guó)家十億美元————有多少個(gè)十億還是一個(gè)懸而未決的問題。這些損失可能僅僅是這樣做的成本或者說這些損失對(duì)于公司和國(guó)家來說可能是一個(gè)主要的新風(fēng)險(xiǎn)，因?yàn)檫@些非法收購(gòu)損害了全球經(jīng)濟(jì)的競(jìng)爭(zhēng)力并破壞了技術(shù)優(yōu)勢(shì)。

每年對(duì)于網(wǎng)絡(luò)間諜活動(dòng)給企業(yè)帶來的損失的預(yù)估顯示出了驚人的變化，從數(shù)十億美元到數(shù)千億美元，估計(jì)結(jié)果的范圍跨度如此之大反映了收集數(shù)據(jù)的困難，有的公司隱瞞自己的損失，而有些公司則不知道到底損失了什么。知識(shí)產(chǎn)權(quán)的價(jià)值很難估計(jì)，而評(píng)估往往是基于事件或調(diào)查，這些問題結(jié)合起來使之前的一些估計(jì)結(jié)果還可以再商榷。

惡意網(wǎng)絡(luò)活動(dòng)帶來的損失不僅僅涉及到金融資產(chǎn)或知識(shí)產(chǎn)權(quán)的損失、還有相應(yīng)的機(jī)會(huì)成本，對(duì)品牌和聲譽(yù)的損害，“彌補(bǔ)”用戶受騙以及服務(wù)中斷機(jī)會(huì)成本，還有隨之增加的維護(hù)網(wǎng)絡(luò)安全的成本。這其中的每一個(gè)類別都應(yīng)該小心地處理，而這會(huì)幫助我們衡量社會(huì)成本。在多數(shù)情況下，我們把美國(guó)作為樣本，因?yàn)槊绹?guó)的數(shù)據(jù)真是一應(yīng)俱全。

在理想的世界，我們搜集各種不同的事件資料是直接而純粹的，但那是不可能的。我們對(duì)于所有惡意網(wǎng)絡(luò)活動(dòng)的資料都是不完全的，資料收集在定義資料的部分就非常困難。舉個(gè)例子，我們定義網(wǎng)絡(luò)犯罪是任何通過網(wǎng)絡(luò)手段的犯罪還是說剔除掉哪些可以使用傳統(tǒng)手段完成的，也就是那些僅僅只能夠通過網(wǎng)絡(luò)進(jìn)行的犯罪才叫網(wǎng)絡(luò)犯罪呢?而我們唯一判別的方法就是假設(shè)沒有網(wǎng)絡(luò)，這些犯罪活動(dòng)將如何發(fā)生。

這里有兩個(gè)不可逾越的障礙，第一是我們對(duì)“無網(wǎng)”的假設(shè)，這對(duì)于我們估計(jì)網(wǎng)絡(luò)服務(wù)中斷造成損失的估計(jì)非常重要，比如一家商店斷網(wǎng)一天大約損失10000美元，但如果顧客愿意等下去或者轉(zhuǎn)向其他店鋪，那么這使得網(wǎng)絡(luò)對(duì)于經(jīng)濟(jì)的影響就小了很多;第二，我們是要估計(jì)市場(chǎng)價(jià)值的損失，而不是一個(gè)受害者的損失，比如一家公司花了10億美元去產(chǎn)品研究，但是這項(xiàng)研究的價(jià)值取決于它能帶來多少回報(bào)，而不是花了多少錢。

一個(gè)粗獷的假設(shè)是，每年美國(guó)(這個(gè)國(guó)家的數(shù)據(jù)已經(jīng)相當(dāng)開放)損失大約1000億美元，全球經(jīng)濟(jì)為網(wǎng)絡(luò)犯罪和間諜活動(dòng)大約付出的代價(jià)是美國(guó)的數(shù)倍，那么其造成的損失大約就是千億的數(shù)量級(jí)。以此觀察，世界銀行宣稱2011全球GDP大約70萬(wàn)億美元，那么3000億美元的損失，大概就是這個(gè)范圍吧，實(shí)際占到了全球經(jīng)濟(jì)收入1%的十分之四。但是這看似微不足道的數(shù)字下卻隱藏著幾個(gè)非常關(guān)鍵的問題，就是實(shí)施者的既得利益還有對(duì)受害者在網(wǎng)絡(luò)上的持續(xù)不斷的損失，這些效應(yīng)是比數(shù)字更重要的部分，于是本篇報(bào)告最終要關(guān)心的。

我們對(duì)以前的研究進(jìn)行了回溯以便能夠更清楚的理解這個(gè)問題，例如2010年一個(gè)德國(guó)股份公司的安全組織估計(jì)德國(guó)的知識(shí)產(chǎn)權(quán)損失大約為240億元(大部分，但是并不是網(wǎng)絡(luò)間諜造成損失的全部)。美國(guó)的GDP大約是德國(guó)的5倍，所以以此我們對(duì)美國(guó)得到的粗略估計(jì)大約為最高1200億美元。還有一份報(bào)告(雖然廣受爭(zhēng)議)指出英國(guó)的損失大約為270億美元，這個(gè)數(shù)字大約是英國(guó)GDP的2%，那么對(duì)應(yīng)到美國(guó)就是2800億美元的損失。通過一系列的調(diào)查和論證，其中的四分之三是來自于公司知識(shí)產(chǎn)權(quán)的損失。

之前的一些關(guān)于網(wǎng)絡(luò)犯罪損失評(píng)估都是基于調(diào)查，而這是非常不準(zhǔn)確的，除非能精巧的構(gòu)建評(píng)估系統(tǒng)。調(diào)查一些或者幾百家公司的損失時(shí)候，從他們反饋的數(shù)據(jù)來估計(jì)是一種不夠合理的方法。不同經(jīng)濟(jì)部門易受攻擊的地方是不同的，無論如何科學(xué)的選取樣本，調(diào)查的樣本總是不完美的。有些調(diào)查的樣本太小，那么他們的調(diào)查結(jié)果就是不可信的。在關(guān)于網(wǎng)絡(luò)犯罪的調(diào)查訪問中還有一個(gè)問題就是我們無法確定那些回答我們調(diào)查的人和那些選擇不回答的人的受攻擊的經(jīng)歷是否是相同的。例如那些受到極大損失的公司可能就會(huì)選擇不回答，這樣就給調(diào)查帶來了誤差。#p#

三、惡意網(wǎng)絡(luò)活動(dòng)的組成

在這份初始報(bào)告中我們?cè)噲D去將這個(gè)問題劃界，討論估計(jì)的重點(diǎn)是什么。我們會(huì)觀察類比物，例如盜竊率，來幫助我們衡量惡意網(wǎng)絡(luò)活動(dòng)帶來的損失。我們?cè)噲D將惡意網(wǎng)絡(luò)活動(dòng)分成不同的部分，不同的部分組合起來就是整個(gè)惡意網(wǎng)絡(luò)活動(dòng)帶來的損失，但是這里的每一個(gè)部分的詳細(xì)數(shù)據(jù)都是不充足甚至不存在的，所以我們?cè)谧龉烙?jì)的時(shí)候應(yīng)該時(shí)刻謹(jǐn)記。各部分如下:

◆知識(shí)產(chǎn)權(quán)的損失

◆網(wǎng)絡(luò)犯罪帶來的直接損失

◆敏感商業(yè)信息泄露帶來的損失(例如談判底線)包括可能的股票市場(chǎng)的反應(yīng)

◆機(jī)會(huì)成本，包括服務(wù)中斷，失去線上的信任，恢復(fù)因黑客攻擊而失去的軍事領(lǐng)先，還有因?yàn)楣颈缓诙鴰淼牟脝T進(jìn)而對(duì)經(jīng)濟(jì)政策的影響

◆為維護(hù)網(wǎng)絡(luò)安全增加的成本以及修復(fù)的成本

◆被攻擊公司的名譽(yù)信用的影響

知識(shí)產(chǎn)權(quán)損失

在所有造成的損失中最為嚴(yán)重的部分就是知識(shí)產(chǎn)權(quán)還有商業(yè)機(jī)密被盜————這就是商業(yè)間諜行為的危害。這很難去估計(jì)一個(gè)確切的損失數(shù)，部分原因在于，網(wǎng)絡(luò)間諜行為不是一種一方失去多少另一方就得到多少的博弈游戲。被偷的信息并不是被偷走消失了。如今的間諜可以偷走一個(gè)公司的產(chǎn)品計(jì)劃、研究結(jié)果、客戶信息，但是被偷的公司仍擁有這些信息。公司甚至不知道他們已經(jīng)失去對(duì)這些信息的完全控制了。

定義知識(shí)產(chǎn)權(quán)的價(jià)值的方法有很多。一種就是通過出售其許可，然后公司就可以通過它帶來的現(xiàn)金流以及未來可能帶來的對(duì)其價(jià)值進(jìn)行估計(jì)。公司也可以通過衡量取代它所需要的成本來衡量它的價(jià)值，盡管依靠收入來判斷其價(jià)值是非常不準(zhǔn)確的。知識(shí)產(chǎn)權(quán)的實(shí)際價(jià)值和其研發(fā)成本差別很大的。如果一家公司花了10億美元研發(fā)一個(gè)產(chǎn)品，但是產(chǎn)品是失敗的，然后被間諜偷走了，那么公司的損失不是10億美元而是0，因?yàn)樗氖袌?chǎng)價(jià)值是0。

從計(jì)算機(jī)網(wǎng)絡(luò)獲取的信息，獲得信息的人并不會(huì)馬上從中獲益，因?yàn)樗麄內(nèi)鄙偕a(chǎn)軍事或者高新產(chǎn)品的工藝或者技術(shù)。對(duì)于某些高新技術(shù)，偷來5到10年才做出產(chǎn)品，這樣的情況使我們的估計(jì)工作變得十分復(fù)雜。不同部門被盜知識(shí)產(chǎn)權(quán)技術(shù)的出產(chǎn)時(shí)間是不同的，有些要幾年，有些像高鐵，風(fēng)力發(fā)電就快一些，有些甚至能在正版之前上市。

有一種方法能將這樣情況下的損失估計(jì)出來，那就是我們假設(shè)一家美國(guó)的公司擁有價(jià)值10億美元的知識(shí)產(chǎn)權(quán)，全部被外國(guó)黑客盜走，黑客賣給了競(jìng)爭(zhēng)對(duì)手，這樣競(jìng)爭(zhēng)對(duì)手就免費(fèi)擁有了有價(jià)值的知識(shí)產(chǎn)權(quán)。但是，如果競(jìng)爭(zhēng)對(duì)手不能利用得到的信息做出產(chǎn)品，那么被盜的公司就不受到額外的損失，非法得到這些信息的人只有做出產(chǎn)品或者通過降低研究成本提高競(jìng)爭(zhēng)底線才會(huì)對(duì)原有公司造成損害。

制造高新技術(shù)產(chǎn)品不僅需要核心技術(shù)還需要很多工藝技術(shù)比如整個(gè)加工過程、便宜的原材料、用戶體驗(yàn)等等。這些事情都會(huì)制約那些指望間諜行為競(jìng)爭(zhēng)的公司。但是這些公司如果知道在每次遇到問題的時(shí)候，可以參照原創(chuàng)公司的做法，那么很快就能學(xué)會(huì)如何使用偷來的技術(shù)。

一直以來，擁有政府背景的商業(yè)間諜行為會(huì)關(guān)注著那些有利于國(guó)家利益的領(lǐng)域，比如高新技術(shù)和軍事。近來某些國(guó)家甚至視之為常規(guī)手段，國(guó)家通過間諜活動(dòng)給本國(guó)的公司提供技術(shù)支持甚至比直接給津貼還便宜，而公司單獨(dú)的間諜行為則可以使其與大公司匹敵。曾經(jīng)知識(shí)產(chǎn)權(quán)局公開的一家公司的IP被盜之后，就能在網(wǎng)上見到各種他們?cè)O(shè)計(jì)的產(chǎn)品了。類似的事情很多，比如盜取早餐麥片的配方、鞋子的設(shè)計(jì)、手機(jī)的部分技術(shù)、軟飲料的配方。這些并非是“戰(zhàn)略新興產(chǎn)業(yè)”，但是他們?cè)诰W(wǎng)絡(luò)間諜行為中也受到了極大的損失。

被盜的公司仍然擁有完整的知識(shí)產(chǎn)權(quán)，并沒有失去生產(chǎn)產(chǎn)品的能力，實(shí)際的變化只是他多了一個(gè)競(jìng)爭(zhēng)對(duì)手。那么如果這個(gè)新型的外企有政府資助使他能夠傾銷或者有國(guó)內(nèi)市場(chǎng)的支持，那么這個(gè)競(jìng)爭(zhēng)對(duì)被盜的公司就是一個(gè)很大的挑戰(zhàn)了。對(duì)我們而言，我們就需要盡我們可能了解到網(wǎng)絡(luò)間諜活動(dòng)帶來的損失，并整合到國(guó)家經(jīng)濟(jì)發(fā)展和貿(mào)易政策的大局之中來了解網(wǎng)絡(luò)間諜活動(dòng)會(huì)帶來哪些影響。

商業(yè)信用信息

商業(yè)機(jī)密和知識(shí)產(chǎn)權(quán)的界限是不分明的，商業(yè)機(jī)密包括貿(mào)易機(jī)密和“內(nèi)幕”，這樣的結(jié)構(gòu)和知識(shí)產(chǎn)權(quán)是一致的，甚至帶來的損失也是一致的。我們這樣區(qū)分二者：知識(shí)產(chǎn)權(quán)是使生產(chǎn)一件復(fù)雜的產(chǎn)品更容易;商業(yè)機(jī)密是指會(huì)使商業(yè)談判中獲得巨大優(yōu)勢(shì)的信息或者改變競(jìng)爭(zhēng)策略的信息。

雖然從盜取知識(shí)產(chǎn)權(quán)到做出真正的產(chǎn)品會(huì)花費(fèi)很多年的時(shí)間，但是量化被偷機(jī)密商業(yè)信息的價(jià)值已經(jīng)刻不容緩。對(duì)石油挖掘資料、敏感商業(yè)信息、談判數(shù)據(jù)甚至股票內(nèi)幕的盜竊會(huì)被盜竊者立刻利用，這會(huì)對(duì)公司造成巨大的損害。衡量這種戰(zhàn)略上的損失是非常困難的，因?yàn)楸槐I的公司甚至不知道這一切是怎么發(fā)生的。

另一種更陰險(xiǎn)的黑客行為叫做內(nèi)幕交易。這里獲取未公開的將要進(jìn)行的交易信息并不是內(nèi)部人員，但是這樣的行為和黑客盜竊是一樣的行為。內(nèi)部交易或者等價(jià)的黑客行為看似沒有受害者，但實(shí)際上這會(huì)降低社會(huì)福利、損害金融市場(chǎng)。一個(gè)精明的黑客可以操縱股票價(jià)格或自動(dòng)交易系統(tǒng)，投入假新聞可能影響價(jià)格或整個(gè)市場(chǎng)，影響的時(shí)間雖然較短，但黑客可以執(zhí)行事先計(jì)劃的交易。在股票被操控的情況下，類似于內(nèi)幕交易的網(wǎng)絡(luò)犯罪非常難以察覺，他們可以利用獲取到的信息進(jìn)行交易，使執(zhí)法變地困難。

網(wǎng)絡(luò)犯罪

網(wǎng)絡(luò)犯罪帶來的損失很復(fù)雜，他們并不直接危害國(guó)家安全，除了國(guó)際網(wǎng)絡(luò)犯罪使得潛在競(jìng)爭(zhēng)對(duì)手利用別人的資源為自己牟利。直接入侵個(gè)人可能是是整個(gè)網(wǎng)絡(luò)犯罪活動(dòng)中造成損失最小的。這種情況大致是通過扮演某種角色然后進(jìn)入到了個(gè)人賬戶之類的欺詐行為，比如假扮反病毒公司說服受害者給受害者清理電腦。

禁毒辦估計(jì)，身份盜竊是網(wǎng)絡(luò)犯罪最賺錢的形式，每年在全球范圍內(nèi)帶來十億美元的收入。同一份禁毒辦報(bào)告估計(jì)，采用網(wǎng)絡(luò)技術(shù)在美國(guó)身份盜竊的帶來的損失是7.8億美元(其他國(guó)家的數(shù)據(jù)不容易得到)。對(duì)其他類型的損失由銀行數(shù)據(jù)不容易獲得，但美國(guó)總共的損失大約是每年3億美元到5億美元之間。這不是一個(gè)單純的數(shù)字，如果它發(fā)生在我們的街道上會(huì)引起軒然大波，然而金融機(jī)構(gòu)認(rèn)為這是在提供網(wǎng)絡(luò)服務(wù)生意中成本的一部分。

服務(wù)中斷，如拒絕服務(wù)攻擊，可能對(duì)一個(gè)國(guó)家的經(jīng)濟(jì)帶來很有限的損失(雖然可以通過這種手段搞垮一家公司)。如果一個(gè)在線零售的網(wǎng)站處于脫機(jī)狀態(tài)，他們將沒有銷量，但對(duì)實(shí)際的經(jīng)濟(jì)體的影響并沒有那么大，消費(fèi)者可以推遲購(gòu)買或者換一家店。即使是相對(duì)較大的拒絕服務(wù)攻擊，像2007年發(fā)生在愛沙尼亞那次，也僅僅對(duì)整體經(jīng)濟(jì)產(chǎn)生了一點(diǎn)點(diǎn)影響。其他的敲詐勒索型的網(wǎng)絡(luò)攻擊性行為，像威脅進(jìn)行拒絕服務(wù)攻擊、滲透、數(shù)據(jù)加密收取解密費(fèi)等等也是一樣的結(jié)果。

劍橋大學(xué)利用Gartner的數(shù)據(jù)對(duì)釣魚攻擊進(jìn)行了一次評(píng)估，身份信息被盜將帶給受害人572美元的凈損失，那么已經(jīng)發(fā)現(xiàn)的400個(gè)釣魚網(wǎng)站所造成的總損失將達(dá)到1.78億美元，他們估計(jì)釣魚網(wǎng)站的消費(fèi)者每年的總損失是3.5億美元，而Gartner的報(bào)告是20億美元。他們估計(jì)的區(qū)別在于對(duì)問題的假設(shè)是不一樣的，有別的估計(jì)對(duì)于受害人損失的估計(jì)不到實(shí)際的1%。

一項(xiàng)關(guān)于網(wǎng)上零售商的調(diào)查表示2012年的網(wǎng)上詐騙總額大約為35億美元。因?yàn)楦鞔蠊鹃_始采取相應(yīng)反詐騙的措施，詐騙率才從2004年的1.8%下降到到2012年的0.9%，下降超過一半，但相反的是移動(dòng)端的詐騙率卻上升到了1.4%，而且這些詐騙和網(wǎng)上零售商的聯(lián)系更為緊密了，帶來的這些損失占國(guó)民經(jīng)濟(jì)的比重非常之小，而且僅僅被視為盜竊的另一種形式，卻沒有被認(rèn)為是一種會(huì)蔓延并且阻礙網(wǎng)上經(jīng)濟(jì)進(jìn)一步發(fā)展而帶來的風(fēng)險(xiǎn)。雖然現(xiàn)在威脅還沒有爆發(fā)出來，但是這必將是一枚定時(shí)炸彈，未來網(wǎng)絡(luò)交易的價(jià)值或是因?yàn)槿藗冊(cè)诮灰字胁粩嘣黾拥娘L(fēng)險(xiǎn)而帶來的對(duì)網(wǎng)上交易的負(fù)面影響是我們無法估量的。

網(wǎng)絡(luò)犯罪還會(huì)帶來社會(huì)損失，比如會(huì)向兒童展示色情圖片或者鼓吹恐怖主義給社會(huì)帶來巨大威脅的網(wǎng)站。美國(guó)國(guó)會(huì)預(yù)算辦公室估計(jì)用于執(zhí)行反兒童色情法的成本大約是3億美元一年。這份估計(jì)自然沒有包括對(duì)人們?cè)斐傻男睦韯?chuàng)傷以及其他各個(gè)方面的影響。我們知道受害者受到侵害后會(huì)有無形損失，而這一概念在網(wǎng)絡(luò)犯罪需要進(jìn)行一定的修改。在公司里，盡管員工和股東會(huì)受到惡意網(wǎng)絡(luò)攻擊而受到損失(如果他們知道是因?yàn)榫W(wǎng)絡(luò)攻擊而受到損失)。對(duì)其他犯罪的無形損失的估計(jì)給我們以警示。各個(gè)犯罪帶來的平均無形損失從謀殺的數(shù)十萬(wàn)美元到盜竊的幾美元不等，偽造欺詐和侵占的帶來的損失或者很高或者難以估計(jì)。

名譽(yù)侵害

公司很害怕壞了名聲，但是名聲也是很難量化的東西，而且大家在這方面做的工作很少。公司在宣布他們受到了黑客攻擊之時(shí)，公司的聲譽(yù)必然會(huì)受到影響，你看它的股價(jià)就知道了。下跌的幅度會(huì)很大從1%到5%不等，但是不會(huì)下跌很長(zhǎng)時(shí)間，通常在下個(gè)季度之前就會(huì)恢復(fù)，但是這將影響各種股票公司對(duì)公司股價(jià)的估計(jì)。而另一方面黑客行為帶來的包括美國(guó)證券交易委員會(huì)要求公司提交受到網(wǎng)絡(luò)攻擊的這一系列變化會(huì)不會(huì)讓股東明白黑客攻擊也是現(xiàn)代商業(yè)競(jìng)爭(zhēng)資本的一部分。股東不太可能知道到底發(fā)生了什么，更不用說誰(shuí)干的，幕后主使是誰(shuí)。如果投資者認(rèn)為公司的知識(shí)產(chǎn)權(quán)受到了很大的侵害或者有大量的客戶流失，那么股價(jià)的恢復(fù)就不會(huì)那么順利了。

不斷增加的安全成本

不斷增長(zhǎng)的網(wǎng)絡(luò)安全投入自然是網(wǎng)絡(luò)間諜活動(dòng)和網(wǎng)絡(luò)犯罪帶來的損失的一部分。一項(xiàng)估計(jì)預(yù)測(cè)公司和政府要花費(fèi)其全部預(yù)算的7%在網(wǎng)絡(luò)安全事宜上。另一項(xiàng)報(bào)告顯示全球每年在安全軟件上的花費(fèi)是600億美元，增長(zhǎng)速度超過每年8%。美國(guó)預(yù)算和管理處的報(bào)告顯示2012年，聯(lián)邦機(jī)構(gòu)在網(wǎng)絡(luò)安全相關(guān)的計(jì)劃和活動(dòng)花費(fèi)了超過150億美元，占聯(lián)邦政府在信息技術(shù)所有花費(fèi)的20%。

像Anderson等對(duì)其進(jìn)行了相當(dāng)深入的研究，“我們對(duì)抗網(wǎng)絡(luò)犯罪的手段是極其低效的;或者這么說吧，網(wǎng)絡(luò)罪犯就像恐怖分子或者金屬竊賊(譯者按：例如公共場(chǎng)所的金屬裝飾，偷走當(dāng)廢鐵賣)，這些行為為其帶來的利益相比對(duì)社會(huì)造成的損失是微不足道的。”

本來每家公司都會(huì)在網(wǎng)絡(luò)安全上投入一部分資金，但是我們假設(shè)現(xiàn)在的網(wǎng)絡(luò)環(huán)境好一點(diǎn)的話，那么就不用花這么多錢在安全投入上。決定惡意網(wǎng)絡(luò)攻擊帶來的風(fēng)險(xiǎn)溢價(jià)要面對(duì)所有損失估計(jì)所會(huì)面對(duì)的問題，而其中首先要考慮到的一點(diǎn)就是2012年所有公司要在對(duì)抗社會(huì)媒體攻擊、隱私侵權(quán)、網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜上花費(fèi)10億美元。這個(gè)相對(duì)較低的數(shù)字反映了現(xiàn)在保險(xiǎn)業(yè)的不完善和公司對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)知。

經(jīng)過網(wǎng)絡(luò)攻擊之后的清理重建工作的花費(fèi)相對(duì)較小。一項(xiàng)調(diào)查顯示對(duì)大型企業(yè)而言經(jīng)過一次成功的入侵之后清理工作的花費(fèi)大約平均在900萬(wàn)美元。這些入侵中很大一部分還是用被盜的筆記本干的，人們還期望發(fā)動(dòng)網(wǎng)絡(luò)攻擊的成本會(huì)高一些呢。另一個(gè)研究方向就是不斷增長(zhǎng)的保險(xiǎn)的花費(fèi)，因?yàn)楣疽苍诓粩鄬ふ铱刂凭W(wǎng)絡(luò)泄露責(zé)任的方法。

機(jī)會(huì)成本

對(duì)惡意網(wǎng)絡(luò)活動(dòng)的損失估計(jì)當(dāng)然包括其機(jī)會(huì)成本、失去的機(jī)會(huì)以及那些因?yàn)楸緫?yīng)在網(wǎng)絡(luò)活動(dòng)中獲得的利益。如果網(wǎng)絡(luò)環(huán)境好一些，那些從網(wǎng)絡(luò)安全的花費(fèi)中剩下的資金就是一種機(jī)會(huì)成本。其他的還包括減少的銷量和產(chǎn)量還有為了避開網(wǎng)上交易而做出的決定。

歐盟網(wǎng)絡(luò)安全戰(zhàn)略委員會(huì)的一份文件引用的一項(xiàng)調(diào)查顯示，出于安全原因，大約有三分之一的歐洲人表示他們并不能放心在網(wǎng)上使用銀行業(yè)務(wù)或者購(gòu)物并且避免個(gè)人信息不被泄露(最擔(dān)憂的就是身份盜竊實(shí)行詐騙)。2008年一項(xiàng)由歐洲網(wǎng)絡(luò)與信息安全局委托的研究表明公眾對(duì)信息安全的擔(dān)憂已經(jīng)在阻礙市場(chǎng)和公共服務(wù)的發(fā)展。還有一項(xiàng)2006年國(guó)際電信聯(lián)盟進(jìn)行的全球性的研究，這是為其增強(qiáng)在網(wǎng)絡(luò)安全方面地位的一次戰(zhàn)役，總共收到了400份回應(yīng)，發(fā)現(xiàn)當(dāng)時(shí)超過40%的網(wǎng)絡(luò)使用者會(huì)因?yàn)榫W(wǎng)絡(luò)安全的原因而盡量避免網(wǎng)上的交易。這些數(shù)據(jù)雖然不是決定性的，但是他們表明網(wǎng)絡(luò)安全問題確實(shí)讓一些電子商務(wù)的機(jī)遇從我們手中溜走了。

我們必須在權(quán)衡這些報(bào)告所表達(dá)的信息的時(shí)候記住一件事情，互聯(lián)網(wǎng)還在不斷地發(fā)展，當(dāng)我們采訪民眾的時(shí)候，民眾對(duì)此表示擔(dān)憂但是還會(huì)繼續(xù)使用網(wǎng)絡(luò)。我們可以假設(shè)如果網(wǎng)絡(luò)環(huán)境好一點(diǎn)的話，互聯(lián)網(wǎng)的發(fā)展還會(huì)更快一些。我們可以說糟糕的網(wǎng)絡(luò)安全環(huán)境不會(huì)使人們摒棄網(wǎng)絡(luò)，但是會(huì)使人們無法正常的使用網(wǎng)絡(luò)、使人們沒法使用網(wǎng)絡(luò)來做高價(jià)值的、重要的事情。這種“扭曲”的使用也許是網(wǎng)絡(luò)犯罪和間諜活動(dòng)給互聯(lián)網(wǎng)帶來的最大的損害。

在估計(jì)網(wǎng)絡(luò)犯罪活動(dòng)帶來?yè)p失的時(shí)候有一項(xiàng)機(jī)會(huì)成本常常忘記考慮，那就是對(duì)實(shí)施盜竊的國(guó)家的技術(shù)興起的影響。知識(shí)產(chǎn)權(quán)的盜竊實(shí)際上是被盜國(guó)的財(cái)富和知識(shí)向盜竊國(guó)的轉(zhuǎn)移，這使得盜竊國(guó)可以以較低的成本生產(chǎn)產(chǎn)品，但這同時(shí)也對(duì)盜竊國(guó)本國(guó)的創(chuàng)新能力變差。古語(yǔ)云“授人以魚不如授人以漁”，如果只會(huì)剽竊就不會(huì)去學(xué)習(xí)如何去創(chuàng)造，最終就會(huì)放棄創(chuàng)造新的技術(shù)。還有一種可能就是這種剽竊行為因?yàn)樽璧K了盜竊國(guó)的創(chuàng)新而實(shí)際上對(duì)其造成損失，逐步導(dǎo)致全球的創(chuàng)新能力下降，這樣的話被盜國(guó)創(chuàng)造者的回報(bào)就會(huì)下降(使之失去信心)并且其資源和動(dòng)力也會(huì)下降。由此來看羸弱的網(wǎng)絡(luò)環(huán)境對(duì)全球而言都是糟糕的。

我們還沒考慮潛在的損失————就是受害者受到的心理創(chuàng)傷，這些損失通常會(huì)訴諸于法庭而其中一些是固定的(像人死亡的賠償)，其他的就有很大差別。#p#

四、用類比的方法確定惡意網(wǎng)絡(luò)活動(dòng)帶來的損失的范圍

類比法使用的是一個(gè)“等價(jià)代換”的數(shù)值而非我們直接從現(xiàn)象中測(cè)量出來的值。我們無法得到知識(shí)產(chǎn)權(quán)損失到底是多少，但是我們有很多商店被盜的信息，通過這些信息我們可以找到公司對(duì)非法活動(dòng)的容忍限度(我們知道無形財(cái)產(chǎn)和消費(fèi)類商品是不同的)。這種代換本身是不完美的，所以我們要知道我們離我們真正的目標(biāo)有多少誤差：就像用油量的損耗代表行駛的公里數(shù)，但是我們得到的結(jié)果也會(huì)因不同的車而改變。我們會(huì)有一個(gè)基于全車型的“平均”換算值(還有其每公里耗油量)。我們的期望是利用一些比較好引證的值像犯罪和疾病，我們可以從中得出一些粗略的惡意網(wǎng)絡(luò)活動(dòng)的帶來?yè)p失的估計(jì)。

類比的方法讓我們能夠知道我們研究問題的大致規(guī)模是怎么樣的，甚至能幫我們確定問題的邊界————上下限————惡意網(wǎng)絡(luò)活動(dòng)帶來的損失的最大值和最小值，我們要做的就是和網(wǎng)絡(luò)犯罪類似的犯罪或者帶來?yè)p失的情況進(jìn)行對(duì)比。為了尋找可以進(jìn)行類比的活動(dòng)，首先我們需要承認(rèn)人們?cè)敢鉃榱酥蟮幕貓?bào)而在前期進(jìn)行一定的投入。百貨公司允許顧客自行擺弄貨物，沒有銷售人員在一旁看著，因?yàn)檫@樣可以提升銷量，即使會(huì)使盜竊情況增加。同樣的，我們需要汽車，即使會(huì)有發(fā)生車禍的危險(xiǎn)。所以，即使會(huì)有網(wǎng)絡(luò)犯罪的阻礙，整個(gè)社會(huì)還是會(huì)走向數(shù)字化的，問題在于我們對(duì)于商品被盜和汽車帶來的損失的容忍程度能否映射出我們對(duì)于網(wǎng)絡(luò)犯罪的容忍程度。

車禍：疾病控制中心估計(jì)(他們的數(shù)據(jù)比較準(zhǔn)確)，美國(guó)2010因?yàn)檐嚨湏p失了900億美元。美國(guó)汽車協(xié)會(huì)估計(jì)2010年因?yàn)檐嚨湏p失了1680億美元。我們可以這樣看待現(xiàn)在惡意網(wǎng)絡(luò)活動(dòng)帶給人們的損失，那就是如果說美國(guó)人民可以接受這些車禍帶來的損失作為獲得生活便利的代價(jià)，那么同樣的，網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜活動(dòng)也是信息社會(huì)帶來便利的代價(jià)。當(dāng)然這不是說大家沒有盡力使損失降下來，并且如果考慮的到敏感軍事信息被盜這樣無法用金錢衡量的損失的時(shí)候，這種類比是十分不精確的。而對(duì)于車禍的賠償情況，我們也希望能知道我們損失的錢數(shù)能不能準(zhǔn)確的反映受害人承受的“痛苦和損失”，假設(shè)他們知道他們被黑客攻擊了。

海盜：在海上無人監(jiān)管的地區(qū)會(huì)被犯罪所統(tǒng)治，網(wǎng)絡(luò)也是一樣，索馬里是最有名的一個(gè)，不是唯一的一個(gè)。國(guó)際海洋局是一個(gè)無政府的組織，是國(guó)際商會(huì)的一部分，會(huì)追蹤全球的海盜行為。他們估計(jì)2005年因?yàn)楹１I帶來的損失是10到160億美元之間。(看來網(wǎng)絡(luò)犯罪損失不是唯一難以估計(jì)的)另外一家組織公布的2010年的估計(jì)是70到120億美元。這其中并不包括人身?yè)p失，像囚禁甚至死亡，還有增長(zhǎng)的保險(xiǎn)金以及無法進(jìn)行工作的機(jī)會(huì)成本。把這些算在一起，2005年海上貿(mào)易的價(jià)值是7.8萬(wàn)億，這意味著因?yàn)楹１I每年要損失0.02%的總價(jià)值。

盜竊：另外一個(gè)可以用來近似估計(jì)的案例來自于這樣一個(gè)現(xiàn)實(shí)：很多產(chǎn)業(yè)對(duì)于網(wǎng)絡(luò)間諜活動(dòng)的反應(yīng)非常冷淡。原因可能就是這些公司對(duì)于這樣的情況做一個(gè)合理的分析，他們認(rèn)為對(duì)于阻止這類犯罪的花費(fèi)要大于這些犯罪本身帶來的損失。公司將這一定程度的“失竊”或者“項(xiàng)目丟失”算作運(yùn)營(yíng)成本的一部分。對(duì)美國(guó)的零售商來說，1.5%到2%的這樣的損失都是可以接受的————2008年的估算為1.7%。用這樣的盜竊來近似惡意網(wǎng)絡(luò)活動(dòng)帶來的損失的話，那么損失的上限就是國(guó)民生產(chǎn)總值的0.5%到2%之間，那么對(duì)應(yīng)到美國(guó)那就是700億到2800億美元之間。也許各個(gè)公司也和零售業(yè)一樣計(jì)算了哪里應(yīng)該進(jìn)行更好的網(wǎng)絡(luò)防御才能使利益最大。“盜竊衡量”理論最大的問題在于很多企業(yè)不清楚失竊帶來的額外的損失是多少，這使得商業(yè)決案建立在了不合適的信息基礎(chǔ)之上。

犯罪和毒品：我們經(jīng)常聽到有人說相比販毒，網(wǎng)絡(luò)犯罪的更為暴利。要證明這句話我們首先要知道販毒的利潤(rùn)是多少。2012年10月，聯(lián)合國(guó)毒品和犯罪辦公室估計(jì)全球所有跨國(guó)犯罪的涉案金額為8700億美元，是全球生產(chǎn)總值的1.2%。其中有6000億是販毒相關(guān)。剩下的2700億包括人口販賣、走私、和網(wǎng)絡(luò)犯罪。在販毒猖獗的地方，我們看以看到毒品對(duì)整個(gè)地區(qū)的社會(huì)和經(jīng)濟(jì)的影響，然而網(wǎng)絡(luò)犯罪沒有這些可以觀察到的效應(yīng)。那么，網(wǎng)絡(luò)犯罪能產(chǎn)生6000億的暴利的想法就是比較夸張了。

類比法的局限性

如果我們對(duì)于網(wǎng)絡(luò)犯罪的“忍耐限度”的假設(shè)是對(duì)的話，也就是說和車禍、盜竊、毒品有類似的損失范圍，那么我們就能得到總損失的“界限”，而上述內(nèi)容分析的結(jié)果是界限大約為國(guó)民生產(chǎn)總值的1%或者更少。但是這一切均建立于未經(jīng)檢驗(yàn)的假設(shè)，我們的推論也是建立在一些不確定的數(shù)據(jù)，包括非法得到的知識(shí)產(chǎn)權(quán)的使用率和報(bào)道的網(wǎng)絡(luò)犯罪和間諜帶來的損失的準(zhǔn)確性。網(wǎng)絡(luò)世界的活動(dòng)和其他可接受損失是有內(nèi)在關(guān)聯(lián)的而且對(duì)于發(fā)展中國(guó)家，這項(xiàng)估計(jì)可能會(huì)偏高，因?yàn)檫@些國(guó)家并不主要依賴知識(shí)產(chǎn)權(quán)和網(wǎng)絡(luò)。各國(guó)和各公司的損失是不一樣的，建立不同的模型，不同的假設(shè)，結(jié)果都會(huì)不一樣。假設(shè)精度的不同會(huì)導(dǎo)致結(jié)果相差很大，但是任何估計(jì)方式超過我們估計(jì)的界限，都是應(yīng)該再檢查一遍的。我們歡迎批評(píng)指正。#p#

五、危害

這份初步的調(diào)查說明了網(wǎng)絡(luò)間諜活動(dòng)和犯罪帶來?yè)p失的上限大約為國(guó)際財(cái)政收入的0.5到1%之間，以美國(guó)為例，具體的數(shù)值大約為700億到1400億美元之間，而估值的下限為200億到250億之間。這個(gè)估計(jì)范圍略粗糙，我們會(huì)在未來的調(diào)查中進(jìn)一步精確我們的估計(jì)。我們計(jì)劃：首先要堅(jiān)守對(duì)于事件和調(diào)查數(shù)據(jù)的依賴，然后開始完善和比較已完成的估計(jì)，優(yōu)化數(shù)據(jù)，從數(shù)據(jù)中提煉更合理的假設(shè)。雖然我們很難得到網(wǎng)絡(luò)間諜活動(dòng)和犯罪法帶來的損失的精確值，但是我們相信我們可以得到一個(gè)相對(duì)比較準(zhǔn)確的潛在損失的范圍估計(jì)，以便我們能夠更好的權(quán)衡問題。

我們用這個(gè)粗略的估計(jì)來估計(jì)美國(guó)這個(gè)占全球經(jīng)濟(jì)總量五分之一的經(jīng)濟(jì)體，那么推廣到全球的話，那就是1000到5000億美元的損失，這基本上可以說是大于實(shí)際情況的。我們需要修正的部分，首先就是發(fā)展中國(guó)家經(jīng)濟(jì)相對(duì)于發(fā)達(dá)國(guó)際并沒有那么依賴于網(wǎng)絡(luò)并且也沒有那么多的無形資產(chǎn)，在十個(gè)經(jīng)濟(jì)領(lǐng)導(dǎo)性國(guó)家中無形產(chǎn)品和服務(wù)占到了其GDP的50%到70%。那么將此考慮進(jìn)去之后，損失的范圍將變成800億到4000億美元。這個(gè)范圍還是過于寬泛，所以我們只能用來作為研究的起始點(diǎn)。若我們將目光放在全球經(jīng)濟(jì)總量有70萬(wàn)億美元，那么這帶來的損失是很小的一部分，但是這并不意味著各國(guó)政府不愿意想辦法去盡力減少這一損失，而且因?yàn)檐娛聶C(jī)密失竊帶來的損失很多時(shí)候是無法用金錢衡量的。我也需要從傳統(tǒng)的技術(shù)轉(zhuǎn)移方式中解脫出來，這其實(shí)是一種國(guó)外投資。網(wǎng)絡(luò)間諜活動(dòng)至少會(huì)被人們當(dāng)作是全球技術(shù)轉(zhuǎn)移大勢(shì)中的麻煩，我不想將全部的技術(shù)轉(zhuǎn)移和國(guó)外公司競(jìng)爭(zhēng)力的增強(qiáng)歸因?yàn)榫W(wǎng)絡(luò)間諜的存在，同樣我也不會(huì)否認(rèn)網(wǎng)絡(luò)間諜活動(dòng)的對(duì)于經(jīng)濟(jì)增長(zhǎng)的長(zhǎng)期的、巨大的影響，因?yàn)榧词怪挥星Х种畮椎挠绊?，年?fù)一年也會(huì)對(duì)經(jīng)濟(jì)健康發(fā)展帶來危害。

而公司卻遠(yuǎn)遠(yuǎn)低估了他們將要面對(duì)的威脅。一些公司認(rèn)為網(wǎng)絡(luò)間諜活動(dòng)帶來的損失是可以接受的，還有一部分在全球最快發(fā)展的市場(chǎng)里的公司認(rèn)為他們可以以更快的速度更新技術(shù)，這樣就會(huì)使損失最小。這里面也許有他的經(jīng)濟(jì)原理，對(duì)于個(gè)別公司會(huì)帶來短期收益。但是非法的技術(shù)轉(zhuǎn)移，甚至包括在美國(guó)已經(jīng)過了專利保護(hù)期的技術(shù)轉(zhuǎn)移都會(huì)加速(別國(guó))的軍事現(xiàn)代化。這會(huì)加速本土技術(shù)進(jìn)步和科技水平，使得盜竊國(guó)能夠更快的掌握偷盜的技術(shù)并生產(chǎn)出有競(jìng)爭(zhēng)力的產(chǎn)品。公司面對(duì)的風(fēng)險(xiǎn)不僅僅是失去戰(zhàn)略優(yōu)勢(shì)，知識(shí)產(chǎn)權(quán)還包括用戶名單，競(jìng)爭(zhēng)分析和銷售數(shù)據(jù)。

考慮乘法效應(yīng)的話，現(xiàn)在對(duì)于惡意網(wǎng)絡(luò)活動(dòng)的美元估值是低估了實(shí)際的損失的。某政府資助的研究項(xiàng)目發(fā)表聲明稱，雖然這個(gè)說法是有利于研究項(xiàng)目的————花費(fèi)在研究項(xiàng)目單位美元的產(chǎn)出是高于商業(yè)活動(dòng)的。果真如此的話，那么研究惡意網(wǎng)絡(luò)活動(dòng)所造成的損失的乘法系數(shù)將比現(xiàn)在大很多，即使研究是免費(fèi)的。那么由于網(wǎng)絡(luò)間諜，知識(shí)產(chǎn)權(quán)的損失的每一美元本應(yīng)創(chuàng)造比一美元給國(guó)外競(jìng)爭(zhēng)者更多的價(jià)值。若這是真確的，那么200美元的知識(shí)產(chǎn)權(quán)損失實(shí)際會(huì)為為盜竊國(guó)帶來遠(yuǎn)大于200美元的利益。但是，這還是未經(jīng)證明的事兒，因?yàn)槌朔ㄐ?yīng)在經(jīng)濟(jì)學(xué)理論中仍存在爭(zhēng)議。有經(jīng)濟(jì)學(xué)家以生物醫(yī)學(xué)為例，生物醫(yī)學(xué)實(shí)驗(yàn)每1美元的投入將得到2美元的產(chǎn)出。而其他對(duì)乘法效應(yīng)的批判者認(rèn)為也許一美元的投入將只能帶來8毛甚至更少的回報(bào)。

之前說過，在量化對(duì)國(guó)家安全還有一個(gè)難點(diǎn)。首先，在網(wǎng)絡(luò)間諜活動(dòng)和網(wǎng)絡(luò)攻擊能力的發(fā)展之間有必然的聯(lián)系，網(wǎng)絡(luò)間諜活動(dòng)為網(wǎng)絡(luò)攻擊至少提供了可攻擊的目標(biāo)的信息和攻擊訓(xùn)練。第二，對(duì)商業(yè)的網(wǎng)絡(luò)間諜活動(dòng)和對(duì)軍事網(wǎng)絡(luò)間諜活動(dòng)是有聯(lián)系的，他們通常是同一幫人為收集軍事和商業(yè)信息所為。以美國(guó)為例，一個(gè)有說服力的例子是諸如潛艇，導(dǎo)彈以及核能力對(duì)美國(guó)已經(jīng)造成延伸之外的損失。我們無法準(zhǔn)確估計(jì)我們?cè)谲娛录夹g(shù)上的損失，但是我們可以說網(wǎng)絡(luò)間諜活動(dòng)，包括商業(yè)間諜會(huì)改變我們和他國(guó)競(jìng)爭(zhēng)者之間的格局。

貿(mào)易格局和失業(yè)

貿(mào)易格局和一個(gè)國(guó)家必須為支付其進(jìn)口的商品而出口的商品量。如果進(jìn)口商品價(jià)格下跌，貿(mào)易格局就會(huì)偏向于進(jìn)口國(guó)家，所以就必須減少出口。在我們得到被盜的知識(shí)產(chǎn)權(quán)會(huì)最終給消費(fèi)者帶來更低的價(jià)格的結(jié)論之前，我們先看一些先決條件。首先，民眾不覺得考慮違法行為帶來的“優(yōu)惠”是荒謬的。其次，網(wǎng)絡(luò)間諜活動(dòng)降低了研究、教育和技術(shù)帶來的競(jìng)爭(zhēng)力，使得被盜的發(fā)達(dá)國(guó)家難以生產(chǎn)那些需要用來支付進(jìn)口賬單的商品。雖然間諜活動(dòng)實(shí)際是為國(guó)外生產(chǎn)廠家進(jìn)行了補(bǔ)貼，但是消費(fèi)者實(shí)際得到的利潤(rùn)卻并不大。

如果間諜沒有得到很好的報(bào)酬，那么這對(duì)被盜國(guó)將更慘。商業(yè)部國(guó)際貿(mào)管理局的分析發(fā)現(xiàn)，在2011年，10億美元的出口意味著5080份工作。全美的職工數(shù)量約為1.35億到1.45億人。這意味著我們之前估計(jì)的網(wǎng)絡(luò)間諜帶來的損失上限1000億美元，將導(dǎo)致508000人失業(yè)，再加上間諜活動(dòng)本身對(duì)就業(yè)市場(chǎng)的影響，大約有三分之一的崗位將受到牽連。

相比就業(yè)總數(shù)，更為重要的是制造業(yè)和高薪職業(yè)的職位。網(wǎng)絡(luò)間諜行為使得很多高薪藍(lán)領(lǐng)只能從事低薪工作甚至失業(yè)，更重要的是，如果我們對(duì)失業(yè)率帶來的影響的粗略估計(jì)是正確的話，即使數(shù)值便的相對(duì)小一些，他實(shí)際是引出了知識(shí)產(chǎn)權(quán)的盜竊對(duì)我們真正的傷害。惡意網(wǎng)絡(luò)行為給我們帶來的最大的損失和風(fēng)險(xiǎn)不是他帶來的直接損失，而是盜竊國(guó)的經(jīng)濟(jì)發(fā)展和全球競(jìng)爭(zhēng)力的通過非法手段得到了增強(qiáng)(經(jīng)濟(jì)也許也包括軍事)。#p#

六、下一階段的評(píng)估

我們已經(jīng)完成了對(duì)惡意網(wǎng)絡(luò)行為帶來?yè)p失的關(guān)鍵因素的定義。

這些關(guān)鍵因素有的可以量化，但是這些因素依賴于對(duì)非法獲得的知識(shí)產(chǎn)權(quán)的實(shí)際效用和網(wǎng)絡(luò)犯罪和間諜活動(dòng)的損失報(bào)告。任何網(wǎng)絡(luò)犯罪和間諜活動(dòng)的準(zhǔn)確數(shù)字是不可知的，但是我們可以做到相對(duì)準(zhǔn)確的潛在損失的估計(jì)。

我們也定義一些對(duì)度量和效應(yīng)有影響的事件。我們的目的是能夠量化網(wǎng)絡(luò)犯罪和間諜活動(dòng)帶來的損失，但是其核心是得到其對(duì)貿(mào)易，技術(shù)和競(jìng)爭(zhēng)力的影響。我們下一份報(bào)告會(huì)提供基于更多種技術(shù)，模型和假設(shè)得到的范圍估計(jì)，同時(shí)也會(huì)對(duì)更大的效應(yīng)進(jìn)行評(píng)估。我們計(jì)劃在最終的報(bào)告中使用其他國(guó)家的數(shù)據(jù)，來精煉我們的估計(jì)。特別的，我們會(huì)分析4個(gè)基本問題:

“合理?yè)p失范圍”的準(zhǔn)確的類比是否能又來來進(jìn)行估計(jì)分析?有一種論調(diào)就是基于當(dāng)下電腦領(lǐng)養(yǎng)計(jì)劃的成功導(dǎo)致的隱性利潤(rùn)成本分析的偏差。這樣的話個(gè)人在面臨長(zhǎng)期投入和短期獲利的選擇之時(shí)損失巨大。(One proxy of possible interest starts from the proposition that the implicit cost-benefit analysis of “to lerated costs” may be skewed by immediate gratification in the context of computer adoption. Individuals may willingly incur much heavier, and arguably irrational, losses if they are making choices between short-term gratification and long-term costs.)健康問題和其他可治愈疾病問題可以很好的匹配這個(gè)模型。成本的出現(xiàn)于對(duì)生活方式的選擇————抽煙、肥胖、缺乏鍛煉————我們知道這樣不好，但是我們還是保持原樣。(抽煙當(dāng)然是會(huì)上癮的，但是有的人會(huì)說……稍等我要查下這個(gè)不會(huì)被自動(dòng)發(fā)到Twiiter上)

通過網(wǎng)絡(luò)非法獲得的技術(shù)會(huì)給處心積慮的盜竊國(guó)帶來很大的科技進(jìn)步還是說只是會(huì)對(duì)盜竊國(guó)和被盜國(guó)的經(jīng)濟(jì)造成一點(diǎn)點(diǎn)影響(注意有的公司受到了毀滅性的影響)。

公司會(huì)把這樣的損失折算到生意成本的一部分么還是沒有注意到他們損失之巨大。

用美元來衡量我們受到網(wǎng)絡(luò)間諜和犯罪活動(dòng)的侵害是否合適，這里面有無形資產(chǎn)，有對(duì)國(guó)際互聯(lián)網(wǎng)的信任以及對(duì)軍事力量的影響。

對(duì)這些大問題的回答會(huì)幫助我們界定問題的范圍并可以從全局進(jìn)行考慮，網(wǎng)絡(luò)犯罪和間諜活動(dòng)每年給全世界帶來數(shù)十億美元的損失，盡管數(shù)額巨大，但是這并沒能完整反映對(duì)全球經(jīng)濟(jì)的影響。網(wǎng)絡(luò)犯罪和間諜減緩了技術(shù)創(chuàng)新的步伐，擾亂貿(mào)易秩序，增加社會(huì)成本，引發(fā)犯罪和事業(yè)，這些巨大的不良影響比準(zhǔn)確的數(shù)據(jù)更為重要，這也將會(huì)是我們最終報(bào)告的核心。

來源說明：本文來自McAfee國(guó)際信息研究中心2013年6月發(fā)布的報(bào)告《The economic impact of cybercrime and cyber espionage》，由IDF實(shí)驗(yàn)室李天星翻譯。