Издание The Verge опубликовало исполинских размеров статью о механизмах работы онлайн-мошенников — с массой видеороликов, снятых в ходе подготовки материала, и не только. К прочтению безусловно рекомендуется, даже притом, что процесс может занять часы.
В статье в больших количествах упоминаются весьма крупные цифры финансового ущерба, который претерпели жертвы (причём жертвы вполне конкретного злоумышленника, чьё имя неоднократно называется). И хотя факты, приводимые в материале The Verge, сами по себе не выглядят как нечто надуманное, всё-таки вспоминается месячной давности колонка Динеи Флоренсьо и Кормака Хёрли «Волна киберкриминала, которой не было», опубликованная в New York Times. Авторы — сотрудники Microsoft Research.
Они указывают, что ежегодный ущерб от киберпреступности оценивается гигантскими цифрами — миллионы, миллиарды, чуть ли не до триллиона долларов в год; однако не исключено, что эти цифры буквально высосаны из пальца, просто в силу очень скверных методов подсчёта.
По словам авторов, большая часть оценок базируется на опросах потребителей и компаний.
Их достоверность черпается из предвыборных, например, опросов общественного мнения, которым, по крайней в мере в США, люди привыкли более-менее доверять. Однако при экстраполяции репрезентативной выборки на всё население в целом между вопросами о предпочтениях и вопросами о численных показателях существует гигантская разница
«В опросах, связанных с числами, погрешность всегда работает в сторону увеличения: размеры понесённого ущерба в численном выражении могут быть только позитивными, и в то время как верхних пределов не существует, нижняя граница — всегда ноль. Вследствие этого ошибки респондентов (или просто прямая ложь) не могут быть ничем скомпенсированы. Хуже того, при экстраполяции ошибки умножаются во много раз».
Пример исследователи приводят довольно простой: 5000 человек просят назвать объём ущерба, который каждый из них понёс вследствие кибератаки или мошенничества. Общая численность населения в США — 200 млн человек, соответственно при экстраполяции объёмы названного респондентами ущерба… увеличиваются в 40 тысяч раз.
«Один человек, который безосновательно утверждает, что потерял 25 тысяч долларов в результате действия мошенников, в итоговых подсчётах образуется фиктивный миллиард долларов потерь. И поскольку отрицательный размер потерь никто назвать не может, скомпенсировать ошибку нечем».
Исследователи также утверждают, что рынок киберкриминала очень густо населён, а потому миллиардеров на нём нет и быть не может, поскольку столько денег на всех не хватит (законы экономики). Конкуренция очень высока, а доходы — невелики. Впрочем, и того, что киберпреступность — это несерьёзно, авторы не утверждают. Наоборот:
«Те, кто знает, что такое подцепить «живность» на свой компьютер или лишиться доступа к своему почтовому ящику, поскольку с него украли пароль, знают, что на исправление ситуации потребуется прорва усилий, по сравнению с которой финансовый ущерб, нанесённый злоумышленниками, в буквальном смысле меркнет. Многие раздражающие меры защиты — такие, как мудрёные пароли, выскакивающие предупреждения и требования доказать, что вы человек, были бы не нужны, если бы киберпреступники не проверяли то и дело системы на прочность.
Это, однако, не означает, что преувеличения в оценках ущерба становятся приемлемыми. Это означает, скорее, что нужно выработать новые подходы к проблеме со стороны потребителей и законодателей».
Беда в том, что, скорее всего, никто и не подумает пересматривать методики подсчёта. Потому что этими подсчётами преимущественно занимаются компании, оказывающие услуги по защите данных, и чем страшнее цифири, тем меньше усилий придётся прилагать их маркетинговым отделам, чтобы продать свою продукцию напуганным частным и юридическим лицам.