网络犯罪保护中一个反复出现的主题是ROI。它通常指的是小偷在时间和金钱方面所付出的努力与可能获得的价值相比较。简单地说,小偷花更多的精力闯入诺克斯堡比偷一个六岁小孩的毛衣更有道理。
但是ROI在今天的网络犯罪预防工作中有着完全不同的含义。当然,网络攻击中最具潜在破坏性的参与者是内部人士:拥有合法权限的雇员和承包商,但他们要么参与欺诈,要么帮助其他参与欺诈的人。
第二种投资回报率是员工/承包商在考虑从事不正当行为时所考虑的。这需要三重考虑:1)如果我不受惩罚,我能得到多少钱?如果我被抓住了,可能会有什么后果?(最常见的是被解雇、起诉和监禁);3)最令人生畏的问题是,我被抓住的几率有多大?
当我听到IT人员讨论威慑问题时,他们总是专注于前两点,完全忽略了第三点,这就是他们经常做出错误决定的原因。IT通常会想:“谁会为了一美元而冒着坐牢的风险。x尤其是因为他们无论如何都得交出那笔钱。最重要的是,他们会被解雇,被起诉,可能会破产,冒着离婚和公众蔑视的风险。他们不太可能再找到一份好工作。谁会疯到冒这个险?”然后他们得出结论,他们所信任的圈子里没有人会冒这样的风险,因此不会出现额外的安全措施,至少不会以一种严肃的方式。
您不仅可以忽视第三个要素(“我确实抓住了什么赔率?”),但它可能是最常见的内幕共谋人选(如果不是犯罪者)最有说服力。考虑到犯罪的人 - 特别是他或她认为潜在的扣除他们数百万美元 - 这将是真正风险的可怕判断,并将显着低估所捕获的几率。
这就是犯罪学家在争论威慑的有限影响时所指出的。如果一个罪犯认为他不会被抓住,他就不会认真考虑结果被抓到。
因此,潜在的罪犯更关注于前者:我可能会得到多少?顺便说一下,就像他们往往会低估被抓住的机会一样,他们也会高估这种行为可能带来的收益。
这里还有更多的坏消息:“我可能会得到多少?”变得越来越棘手——而且在某种程度上伤害了IT部门。过去,数据唯一的价值就是在黑市上出售。那仍然是价值的很大一部分,但是敲诈勒索的赎金也变得相当有利可图,就像阿什利麦迪逊正在明确.(别忘了,这都是作恶者内心的想法。他们的看法是否存在严重缺陷并不重要。他们将独自决定是否要参与顽皮。)
Ashley Madison被公开告知要做些什么——修改其收费隐私计划——否则数据将被公布。公司拒绝了,攻击者兑现了他们的威胁。潜在任性的员工/承包商会认为这意味着公司更有可能屈服于这种威胁,悄悄支付赎金。这是否有效并不重要。这是受到诱惑的员工可能得出的结论。
认真考虑这些犯罪行为的员工,很可能已经决定要这么做了。他们只是想说服自己。他们在找借口假设收益巨大而风险很小。
这篇文章,《你们公司网络叛徒的内幕》最初是由《计算机世界》 .