1.1.1　損失的現(xiàn)狀

CSO雜志與美國特勤局（the U.S.Secret Service）、卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院CERT計(jì)劃與德勤（Deloitte）的安全性和隱私保護(hù)解決方案中心合作進(jìn)行的2010年網(wǎng)絡(luò)安全觀察調(diào)查（2010 CyberSecurity Watch Survey）[CSO 2010]揭示，在2007～2009年之間，網(wǎng)絡(luò)犯罪受害者的數(shù)量減少（60％相對(duì)于66％），但受網(wǎng)絡(luò)犯罪事件影響的組織的數(shù)量顯著增加。在2008年8月至2009年7月被調(diào)查的523名受訪者中，與前一年相比，超過三分之一（37％）的受訪者經(jīng)歷了網(wǎng)絡(luò)犯罪增加，16％的受訪者金錢損失增加。在經(jīng)歷了電子犯罪（e-crime）的那些人中，有25％的受訪者報(bào)告經(jīng)營虧損，13％的受訪者表示有經(jīng)濟(jì)損失，15％的受訪者宣稱由此導(dǎo)致聲譽(yù)受損。受訪者報(bào)告，電子犯罪平均給每個(gè)組織造成的損失達(dá)394700美元。

估計(jì)僅在美國，網(wǎng)絡(luò)犯罪的損失范圍從每年數(shù)以百萬計(jì)到高達(dá)一萬億美元。但是，真實(shí)損失是很難進(jìn)行量化的，其中有許多原因，包括以下內(nèi)容。

·相當(dāng)高比例的網(wǎng)絡(luò)犯罪（72％，根據(jù)2010年網(wǎng)絡(luò)安全觀察調(diào)查[CSO 2010]）被隱瞞甚至被忽視。

·統(tǒng)計(jì)數(shù)字有時(shí)不可靠，要么被高估，要么被低估，取決于統(tǒng)計(jì)數(shù)字的來源方（例如，銀行可能故意少報(bào)成本，以避免網(wǎng)上銀行失去消費(fèi)者信賴）。根據(jù)由計(jì)算機(jī)安全協(xié)會(huì)（Computer Crime Institute，CSI）進(jìn)行的2010/2011年度計(jì)算機(jī)犯罪與安全調(diào)查（2010/2011Computer Crime and Security Survey），“與以往任何時(shí)候相比，現(xiàn)在愿意分享其遭受的經(jīng)濟(jì)損失的具體信息的受訪者更少”[CSI 2011]。

·間接成本，如在線服務(wù)失去消費(fèi)者的信賴（例如，銀行會(huì)導(dǎo)致電子交易費(fèi)收入減少和更高的維護(hù)人員成本[Anderson 2012]），也被所有報(bào)告的機(jī)構(gòu)高估、低估或不考慮在內(nèi)。

·傳統(tǒng)犯罪（如稅收和福利詐騙，今天被認(rèn)為是網(wǎng)絡(luò)犯罪，只是因?yàn)檫@些相互作用的很大一部分現(xiàn)在是在線進(jìn)行的）和新的“歸因于Internet”的犯罪之間的界限往往是模糊的[Anderson 2012]。

作為響應(yīng)來自英國國防部的請(qǐng)求，Ross Anderson和他的同事們對(duì)網(wǎng)絡(luò)犯罪的開銷進(jìn)行了系統(tǒng)的研究[Anderson 2012]。表1.1重點(diǎn)描述了一些他們?cè)谠u(píng)估全球的網(wǎng)絡(luò)犯罪開銷上的研究成果。

表1.1　由已知的估算判斷成本類別的覆蓋范圍*

①估計(jì)是使用英國數(shù)據(jù)并基于英國GDP占世界GDP份額（5%）按比例擴(kuò)展而得的，由英國數(shù)據(jù)推斷全球規(guī)模，需要極為謹(jǐn)慎。

*資料來源：摘自R.Anderson等在2012年第11屆信息安全經(jīng)濟(jì)學(xué)年度研討會(huì)上的“測(cè)量網(wǎng)絡(luò)犯罪成本”論文。http://weis 20l2.econinfosec.org/papers/Anderson_WEIS 2012.pdf