网络犯罪很严重，但是究竟有多严重？

大家都认为网络犯罪影响着每个人——政府、公司、大众——但究竟影响有多大？大笔资金被投入到对网络犯罪的打击当中，可为什么计算不出网络犯罪造成的损失呢？

根据相关的最新调查显示，安全软件制造商赛门铁克公司称网络犯罪每年在世界范围内造成的损失达1100亿美元。但是，赛门铁克最有力的竞争对手迈克菲公司则表示，每年实际的损失几乎是该数字的10倍，约为1万亿美元左右。到底哪个数字是正确的？

不幸的是，安全专家认为，要得到准确的报告至少要经历四重障碍：

• 拒绝上报。许多网络犯罪的受害者不想上报他们的问题，因为他们认为这会影响到自己的业务。
• 自我选择偏见。因网络犯罪而蒙受损失的组织可能要比未受损失的组织更不乐意参与调查。而那些拥有公开的大面积损失的公司要比拥有少量未公开损失的组织更乐于参与。
• 缺乏规范的损失计算机制。有时故障时间带来的损失也被计入起其中。有时购买或更新设备、安全服务、外部顾问等成本也计入总数。并没有关于什么该统计和什么不能统计的统一标准。
• 未知损失。通常，一些组织甚至对受到的损失毫不知情，或是压根不清楚整个网络犯罪所带来问题的严重性。

来自普渡大学的计算机科学教授尤金. H. 斯帕福德说，想想看要是一家公司正在进行高端研究，这时有黑客侵入并将信息从电脑当中拷贝出来，“如果公司察觉了该入侵——也可能根本不知道——那么审计可能会发现公司的损失与弥补损失和更改安全软件的费用相当。可如果公司并未发觉信息丢失，或者不知道如何评估损失呢？如果所丢失的信息一年之后在公司竞争对手的产品中出现了呢，到那时损失又该如何计算？如果产品和国防有关呢？这种万分重要的产品又该如何计算价值呢？数百万美元？数十亿美元？“

迈克菲把他们和赛门铁克报告的差异归因于关注重点的不同，迈克菲的调查主要关注由于恶性攻击和意外数据丢失所造成的商业损失。

但是，公司方面却认为要拿出一份估算尤为困难，因为要考虑的方面太多了。

“你得把由于公司间谍行为所造成的损失算进去，而对于一个品牌声望的损坏等是根本无法量化的，”一位来自迈克菲的发言人说，“但是最难估计的还是对美国经济长期的竞争力所带来的损害。如果在未来，我们最好的硬件、软件和生物技术公司遭遇到拿到我们核心技术的竞争对手，并任其侵占有我们的市场、夺走美国的工作该怎么办？这部分损失——巨大的损失——是最难以估计的部分。“

对于顾客来说，网络犯罪并不仅仅会通过网上银行为他们带来损失，还有可能会威胁到他们数字财产的安全。

“他们写了一年的书稿值多少钱？”迈克菲的发言人问，“他们的照片、网络身份呢？大部分受害者都要花费大量时间来恢复他们的身份或重建他们丢失的信息。这部分时间又价值多少呢？”

他接着说，网络犯罪造成的真正损失涉及到以上所有的问题并”用一种强硬、清晰且可防卫的方式“将它们叠加起来。许多公司以及智囊团没有时间或资金来进行如此大范围的研究。

赛门铁克对此选择不参与或不予评论。

与此同时，微软研究院的首席研究员科马克·赫尔雷称，他“并不认为任何一方——不论是赛门铁克还是迈克菲——的数据更接近事实。你可以把任何数字称为估计值，“他说，”但是这并不意味着它就是一个对于现实的理性反映。“

赫尔雷和同事迪内·弗洛伦西奥最近写了一篇论文，名为《性，谎言和网络犯罪调查》，他们在看过网络犯罪损失的估计之后，说这份估计“根据级数的不同而应有所变化。我是说，很多东西都有回旋余地。但是如果物理学家在四个等级之内无法就光速达成一致的话，他们也只能承认自己不知道。”

赫尔雷将此归咎于网络犯罪调查的方法几乎总是会将数据过分夸大。他认为实际数字要小得多。他说，问题就在于网络犯罪调查不像是投票调查那样每个人的回答都分量相当。

“当你问别人他们从网络犯罪中都损失了什么的时候，你无法核实他们是否理解了你的问题也无法证明他们的回答是否真实，”他解释道，“然后，即便是一个人给了你一个非常不准确的数字，那也有可能会毁掉整个调查。几乎所有调查显示的数据都会偏高。

为了表明调查当中一个人能有多么荒谬，赫尔雷建议开展一项关于多少人拥有独角兽作为宠物的调查。“如果你问100个人（代表一个国家的1亿人口）的话，那就意味着，不管你得到什么样的数字，你都得再乘以1亿。接着你就可以组织问卷了，每个人都老实地回答“零”，不过有一个人误会了问题的意思，然后回答是的，他们有一只独角兽，因为他们的女儿的卧室里放着一只独角兽的毛绒玩具。现在你的调查估计是美国有1亿只独角兽。这个结果是完全错误的，而这个离谱的结果就来自于那一个错误答案。“

如果结果真的有可能被认为操控，那么试图计算网络犯罪带来的损失还有意义吗？专家说“有“，如果一个组织反复持续使用相同的方法，就会出现一种趋势，而这种趋势才是对打击网络犯罪最有价值的。

此外，从认识的角度而言，专家说让企业界、个人和政府组织认识到问题的严重性是非常重要的。否则，通常的态度就是“我们从来没有过这个问题，所以未来可能也不会有“。

愤青们还指责说，网络犯罪的统计数据是人为抬高的，目的是为了恐吓大众，使其购买安全软件。他们还说，那些出售反恶意程序的公司不应该参与报告恶意程序规模问题。

不过，观察员说，从另一方面讲，安全公司了解这一领域、通常又广为人知、并且人们愿意向他们提供良好的反馈信息，因而除了他们，还有谁会组织这样的安全分析呢？

“在这一领域，一般不会看到像女主人零食公司那样的组织发起类似调查，“观察员说道，”如果政府牵头来做调查的话，很多组织不愿意向政府报告自己的损失，因为他们不信任这些信息将被如何使用。“

但是来自微软的赫尔雷说，他“非常有信心而且并不担心由公司使用的方法可能带来的虚假回答而产生的矛盾。我就是不知道，而且我也不想去推测。即便是完全没有欺骗，错误也时常发生。“

但是，罗斯·安德森却怀疑，大部分网络犯罪的数据——“例如荒唐的1万亿，也就是说世界GDP的2%“——是不可靠的，“因为编辑数据的人（例如警察或是安全软件的供货商）都是别有用心的。”安德森是牛津大学计算机实验室的安全工程教授。

他在2008年发起了一项名为“安全经济和独立市场”的研究，研究称这种现象已经持续多年了。他最近的一篇论文《网络犯罪的损失测量》表明，社会应该减少在反病毒软件上的花费，并应增加对于网络监管的费用。

“很多网络犯罪都是少数人发起的，”他说，“例如，在2010年，世界上三分之一的垃圾邮件都是由同一个僵尸网络发出的。所以，比起让世界上几亿用户都安装反病毒或者反垃圾邮件软件来说，把那几个坏人抓到监狱去效率会高得多。当然了，反病毒和反垃圾邮件软件公司可不会赞同我的观点。“

他坚持认为，世界上大部分用于弥补玩过犯罪损失的花费都用于反病毒软件上了， “事实上，反病毒公司从垃圾邮件当中所获得的利润要比那些制造垃圾邮件的人多的多。“

其实，计算网络犯罪造成的损失还是很重要的，专家们对此也提出了一些建议。来自普渡大学的斯帕福德建议，一套合理的数据——以及一套合理的获得数据的问题——需要经过熟悉建立调查和损失计算的组织的修改。他推荐软件或者硬件供货商联盟，也许是已经存在的一家，也许是像国家标准技术局（NIST）这样的组织。

“不管是谁，“他说，“这个组织必须要赢得所有人的信任。这绝对不是轻而易举就能做到的，也绝对不会来得便宜。”

牛津大学的安德森提出了另外一种建议。“别在估量网络犯罪和网络战争上浪费钱了，”他说，“还是把钱花在警察身上比较实在。”