Издание The Verge опубликовало исполинских размеров статью о механизмах работы онлайн-мошенников – с массой видеороликов, снятых в ходе подготовки материала, и не только. К прочтению безусловно рекомендуется, даже притом, что процесс может занять часы.

В статье в больших количествах упоминаются весьма крупные цифры финансового ущерба, который претерпели жертвы (причём жертвы вполне конкретного злоумышленника, чьё имя неоднократно называется). И хотя факты, приводимые в материале The Verge, сами по себе не выглядят как нечто надуманное, всё-таки вспоминается месячной давности колонка Динеи Флоренсьо и Кормака Хёрли “Волна киберкриминала, которой не было”, опубликованная в New York Times. Авторы – сотрудники Microsoft Research.

Они указывают, что ежегодный ущерб от киберпреступности оценивается гигантскими цифрами – миллионы, миллиарды, чуть ли не до триллиона долларов в год; однако не исключено, что эти цифры буквально высосаны из пальца, просто в силу очень скверных методов подсчёта.

По словам авторов, большая часть оценок базируется на опросах потребителей и компаний.

Их достоверность черпается из предвыборных, например, опросов общественного мнения, которым, по крайней в мере в США, люди привыкли более-менее доверять. Однако при экстраполяции репрезентативной выборки на всё население в целом между вопросами о предпочтениях и вопросами о численных показателях существует гигантская разница

“В опросах, связанных с числами, погрешность всегда работает в сторону увеличения: размеры понесённого ущерба в численном выражении могут быть только позитивными, и в то время как верхних пределов не существует, нижняя граница – всегда ноль. Вследствие этого ошибки респондентов (или просто прямая ложь) не могут быть ничем скомпенсированы. Хуже того, при экстраполяции ошибки умножаются во много раз”.

Пример исследователи приводят довольно простой: 5000 человек просят назвать объём ущерба, который каждый из них понёс вследствие кибератаки или мошенничества. Общая численность населения в США – 200 млн человек, соответственно при экстраполяции объёмы названного респондентами ущерба… увеличиваются в 40 тысяч раз.

“Один человек, который безосновательно утверждает, что потерял 25 тысяч долларов в результате действия мошенников, в итоговых подсчётах образуется фиктивный миллиард долларов потерь. И поскольку отрицательный размер потерь никто назвать не может, скомпенсировать ошибку нечем”.

Исследователи также утверждают, что рынок киберкриминала очень густо населён, а потому миллиардеров на нём нет и быть не может, поскольку столько денег на всех не хватит (законы экономики). Конкуренция очень высока, а доходы – невелики. Впрочем, и того, что киберпреступность – это несерьёзно, авторы не утверждают. Наоборот:

“Те, кто знает, что такое подцепить “живность” на свой компьютер или лишиться доступа к своему почтовому ящику, поскольку с него украли пароль, знают, что на исправление ситуации потребуется прорва усилий, по сравнению с которой финансовый ущерб, нанесённый злоумышленниками, в буквальном смысле меркнет. Многие раздражающие меры защиты – такие, как мудрёные пароли, выскакивающие предупреждения и требования доказать, что вы человек, были бы не нужны, если бы киберпреступники не проверяли то и дело системы на прочность.

Это, однако, не означает, что преувеличения в оценках ущерба становятся приемлемыми. Это означает, скорее, что нужно выработать новые подходы к проблеме со стороны потребителей и законодателей”.

Беда в том, что, скорее всего, никто и не подумает пересматривать методики подсчёта. Потому что этими подсчётами преимущественно занимаются компании, оказывающие услуги по защите данных, и чем страшнее цифири, тем меньше усилий придётся прилагать их маркетинговым отделам, чтобы продать свою продукцию напуганным частным и юридическим лицам.