Enquêtes over cybercriminaliteit vertellen ons niet wat we moeten weten

Overheidsfunctionarissen, nieuwsartikelen en beveiligingsbedrijven waarschuwen al jaren voor de gevaren en impact van cybercriminaliteit. Patrick Peterson, hoofd beveiligingsonderzoeker bij Cisco, schat dat de verliezen in 2009 in totaal $ 560 miljoen bedroegen. Killian Strauss van de Organisatie voor Veiligheid en Samenwerking in Europa schatte ze op $ 100 miljard per jaar. En in maart 2009 legde Edward Amoroso, hoofd beveiliging van AT&T, een schriftelijke getuigenis af aan de Amerikaanse Senaatscommissie voor handel, wetenschap en transport, waarin hij schatte dat cybercriminaliteit ongeveer $ 1 biljoen aan illegale inkomsten per jaar opleverde.





Voor sommige onderzoekers suggereren die enorm verschillende cijfers dat de huidige methoden voor het berekenen van verliezen door cybercriminaliteit zo slecht zijn dat we eigenlijk geen idee hebben hoe erg het probleem is. En zonder goede gegevens, zeggen ze, is er geen manier om het intelligent te bestrijden.

Hoe kan dit? zegt Cormac Herley , een hoofdonderzoeker bij Microsoft Research, zijn stem verheven in ongeloof. Hoe kun je schattingen hebben van hetzelfde probleem in drie ordes van grootte?

Sterker nog, zegt Herley, toen hij deze cijfers zag, voelde hij dat ze gewoon niet klopten. Ze zijn niet alleen overal op de kaart, maar sommige lijken ook onmogelijk hoog. Hij zegt bijvoorbeeld dat de inkomsten uit cybercriminaliteit van $ 1 biljoen $ 5000 betekenen voor elke Amerikaanse volwassene die tijd online doorbrengt.



Slechte data heeft gevolgen. Zonder cijfers kunnen we geen goed beleid of goede investeringsbeslissingen nemen, zegt Herley. Niet alleen dat, maar we kunnen niet achterhalen waar de belangrijkste bedreigingen vandaan komen. Verdienen de criminelen het grootste deel van hun geld met het loggen van sleutels? Zeer gerichte phishing-aanvallen (spear phishing)? Brute-force aanvallen op de wachtwoorden van mensen? Het is schrijnend, zegt hij.

Herley begon aan een onderzoek naar de methoden die werden gebruikt om deze getallen te berekenen en ontdekte dat ze ernstig tekortschoten. De meeste statistieken komen uit enquêtes waarin respondenten wordt gevraagd te melden of ze slachtoffer zijn geworden van een misdrijf en hoeveel ze hebben verloren. Enquêtes zijn moeilijk, zegt Herley. Zijn onderzoek bracht een aantal redenen aan het licht waarom enquêtes over cybercriminaliteit bijzonder moeilijk zijn.

Wetenschappers hebben behoorlijk goede methoden om bijvoorbeeld de intenties van kiezers te onderzoeken. In dat geval richt je je op het verkrijgen van een goede representatieve steekproef. Onnauwkeurigheden zijn belangrijk, maar een paar zullen op de een of andere manier niet veel uitmaken.



Cybercriminaliteit is een heel ander verhaal. Ten eerste proberen enquêtes over cybercriminaliteit een getal te meten: hoeveel geld er verloren is gegaan. In dat geval kunnen individuele reacties een enorm verschil maken. Een stemenquête wordt niet veel weggegooid als iemand die daadwerkelijk van plan is om op Democraat te stemmen, aangeeft van plan te zijn Republikeins te stemmen. Maar als een enquête-respondent die $ 50.000 heeft verloren aan cybercriminaliteit, beweert $ 500.000 te hebben verloren, zijn alle berekeningen op basis van die informatie enorm misplaatst.

Er zijn andere problemen. Elke geregistreerde kiezer heeft nuttige informatie te melden. Maar niet iedereen heeft een bruikbaar verhaal over cybercriminaliteit, waardoor een klein aantal reacties een enorm verschil kan maken. In een onderzoek uit 2006, uitgevoerd door Gartner Research, beweerden bijvoorbeeld 128 van de 4.000 mensen slachtoffer te zijn geweest. Herley berekent dat 59 procent van de verliezen afkomstig was van de top 1 procent van de respondenten die het slachtoffer waren geworden - in dit geval een enkele persoon. Hij is van mening dat dergelijke zorgen het onmogelijk maken om gegevens uit de meeste onderzoeken naar cybercriminaliteit te vertrouwen.

Het begrijpen van de impact van een misdaad is problematisch, zegt Julie Ryan , hoofdprofessor in informatiebeveiligingsbeheer aan de George Washington University. Volgens Ryan levert cybercriminaliteit echter bijzondere problemen op, omdat de meeste mensen niet goed zijn toegerust om technische vragen hierover te beantwoorden. Individuele respondenten van de enquête weten bijvoorbeeld misschien niet zeker of ze het slachtoffer zijn geworden van een phishing-aanval of dat als gevolg daarvan iets van hen is afgenomen. Dus hier hebben we een probleem, zegt Ryan. Potentiële misdaad die mogelijk niet detecteerbaar is, verergerd door een doelruimte die meestal onwetend is.



Om het probleem nog groter te maken, is het moeilijk om onbevooroordeelde informatie te krijgen, zegt Ryan. Grote bedrijven zijn misschien terughoudend om toe te geven dat ze het slachtoffer zijn van cybercriminaliteit, omdat een dergelijke bekentenis hen klanten zou kunnen verliezen. Aan de andere kant hebben beveiligingsbedrijven, die vaak enquêtes houden over cybercriminaliteit, er baat bij als mensen cybercriminaliteit serieus nemen.

Herley wil dat bedrijven en organisaties die enquêtes uitvoeren veel meer informatie publiceren, waardoor het voor onderzoekers gemakkelijker wordt om hun methoden te evalueren. Ze zouden bijvoorbeeld mediane cijfers voor cybercriminaliteit kunnen publiceren, waarvan het niet zo waarschijnlijk is dat gemiddelde of gemiddelde cijfers worden vertekend als een paar mensen overdrijven of zich vergissen.

Herley suggereert ook dat claims van grote verliezen zorgvuldig worden onderzocht. Je riskeert een catastrofale fout, zegt hij.



zich verstoppen