网络犯罪每年的费用无论是惊人的,还是在世界的经济底线仅仅是个小插曲,这取决于你如何看待它。
It is notoriously difficult to quantify, since a majority of cybercrime incidents go unreported, some companies don’t even realize they have been compromised and many are not able to put a dollar value on intellectual property (IP) that they still have, but is now also in the hands of a competitor, a thief or another nation state.
但是,大多数的估计,在数千亿美元的全球损失。一报告上月公布,由战略和国际问题研究中心(CSIS)和标题为“净亏损:估计网络犯罪的全球成本,”把它$ 375十亿和$ 575十亿之间。
从高端来看,这将超过美国的国防预算。这将超过许多国家的经济总量。报告的作者说,虽然他们有可能高估了成本,但他们认为更有可能是低估了成本。
即便如此,对于大多数个别国家,包括美国,达国内生产总值(GDP)的不到1%的损失。对于美国估计为0.64%。最糟糕的G20国家是德国,为1.6%。根据一些估算,这可以简单地看作是做生意的另一个次要的成本。
也就是说,在本质上是杰森·希利,大西洋理事会的网络治世计划主任的观点。“当我听到了大量的网络犯罪问题,我想知道具体你是什么意思?”他说。“如果我们要采取的IP损失一样认真对待,因为他们希望我们把它,我们需要知道它是如何实际使用。”
杰森·希利,总监,网络治世倡议,大西洋理事会
希利说,估计网络犯罪的真实经济成本已经几乎不可能了几十年。他说,自1988年以来已经有一系列两个数量级的“我们真的没有一个很好的答案,”他说。
但他与其他专家和报告,称原数事项低于趋势,这是由网络犯罪亏损增加同意。
TK Keanini,Lancope公司的CTO,在他们中间。“最重要的一点是,它是在错误的方向趋势和速度在逐年增加,”他说。
他补充说,一些企业是如此严重网络犯罪,他们在业务不再受损。因此,对于个别公司,“比我的书0.64%更大的数字,”他说。
TK Keanini, CTO, Lancope
更令人担忧的是,大多数公司,而他们的领导人表达对网络攻击的高度关注,并没有采取安全措施,已建议由专家为年中。
一秒报告by PwC, also released in June, titled, “US Cybercrime: Rising Risks, Reduced Readiness” (CSO is a cosponsor of the report, along with the CERT Division of the Software Engineering Institute at Carnegie Mellon University and the U.S. Secret Service), did not attempt to estimate total global or U.S. losses, but found that, “7% of U.S. organizations lost $1 million or more due to cybercrime incidents in 2013, compared with 3% of global organizations; furthermore, 19% of US entities reported financial losses of $50,000 to $1 million, compared with 8% of worldwide respondents.”
有许多的建议在网络犯罪增长的原因。其中之一是,捍卫者,有效,洛迪克。The PwC report, based on a survey of more than 500 U.S. executives, security experts, and others from the public and private sectors, was blunt: “The cybersecurity programs of U.S. organizations do not rival the persistence, tactical skills, and technological prowess of their potential cyber adversaries,” it said.
根据该报告CSIS,激励与袭击者。“网络犯罪产生低风险和(相对)低的成本,为黑客的高额回报,”它说,而对于公司来说,这是根据他们自己对风险的感知一个商业决定。
“这样做的问题是,如果公司没有意识到他们的损失或低估自己的弱点,他们会低估风险,”报告说。
许多人确实不知道他们的风险,根据普华永道,其报道称,“美国联邦调查局去年通知3000家美国公司 - 从小型银行,主要的国防承包商,以及领先的零售商 - 他们有网络入侵的任何受害者”换句话说,他们并没有发现自己的入侵。
而且缺乏认识显然是导致失败的广泛实施甚至是根本性的安全实践 - 已推荐标准的美国商务部国家技术研究所(NIST)的做法。普华永道的调查发现,54%的受访不会为新员工提供安全培训,并且只有20%的列车现场急救人员来处理潜在的证据。
只有一半报告了一项计划,到内部威胁做出响应,只有不到40%的人报告说他们有一个移动安全策略,加密设备和具有移动设备管理。
调查发现,许多组织,包括公用设施和其他重要基础设施的运营商,使用的是像Windows XP中,它不再支持过时的软件,即使支持左右结束的警告发出六年提前。
并与第三方的关系是宽松的,而且越来越严重。调查发现,只有44%的企业对他们开展与他们的业务运营之前评估的第三方的过程。这比前一年的54%下跌。
只有31%的报告在与外部供应商和供应商的合同中包括了安全条款,只有27%的报告与供应链供应商进行事件响应规划。
为了应对,甚至减慢网络犯罪的增长,专家一致认为,组织一个更大的百分比需要实现这些基础知识 - 大多数人所说的“安全卫生”。汤姆·贝恩在CounterTack高级主管说,要记住,很多网络犯罪是不是所有的,重要的是复杂的,如SQL注入和基本的恶意软件,“就像一个木马一个已经存在了数以百万计的变种多年。它并不总是必须是一个复杂的攻击,或者精确和隐身执行,”他说。
但除此之外,贝恩表示,企业实际上可以通过转动,表“应用监测隐身方法,以及这样做的规模,使企业可以在基本攻击者窥视”。
汤姆·贝恩,高级主管,CounterTack
Keanini建议,“治疗网络犯罪作为一个商业问题 - 作为竞争对手或破坏者一个人的业务连续性是第一步。
“攻击者用他们的创新和创造力击败防守者比任何东西都重要,”他说。“是时候让后卫们在这些条件下与他们会面,并且一次胜过他们了。”
希利认为,在市场,而不是政府监管,有使企业采取的网络安全重视的最好机会,而最有效的方法去实现它虽然是股东的压力。
在最近的柱在美国新闻与世界报道,他认为,道路真正的改革应该在内布拉斯加州奥马哈的家沃伦·巴菲特为经典的“奥马哈先知”开始;然后进行萨克拉门托,加利福尼亚州,家庭对国家最激进投资者集团之一 - 加州公务员退休基金(加州公共雇员退休系统)。
如果巴菲特有句名言规避风险,都拒绝在没有采取网络安全重视企业的投资,“所有其他的投资者,公司董事和高管将采取通知,”他写道。“或许连奥巴马总统可以指挥这种关注的问题。”
加州公务员退休基金,他说,即使是一个小股东,已按公司改变政策或行动,他们认为会伤害其股份的长期价值得到有效草根的方式。
“我认为这是一个很好的方法,”希利说。“说服股东认为他们在失去的危险。”公司更可能对那种压力,而不是又一轮的政府规章回应,他说。
“我说,让我们用市场解决方案开始,”他说。
这个故事,“网络犯罪:仍然只有GDP的很小一部分,但它的增长”最初发表CSO 。