Секс, ложь и политика

(Впервые опубликовано – сентябрь 2012)

Первые признаки того, что между интимными тайнами секса, киберпреступностью и большой политикой имеются некие скрытые связи, продемонстрировал в свое время еще президент США Билл Клинтон.

Ныне, когда глобальный ущерб от компьютерных преступлений оценивают умопомрачительной цифрой в 1 триллион долларов ежегодно, исследователи-скептики уже с расчетами и фактами демонстрируют, сколь удивительно похожими оказываются эти вещи – ложь о сексуальных делах и ложь о масштабах киберкриминала.

cybercrime

Сегодня многие уже, наверное, и не помнят, что на закате своей президентской карьеры, в 1999-2000 годах, как следует оправившись после затянувшегося секс-скандала вокруг Моники Левински, Билл Клинтон вдруг страшно озаботился угрозами киберпреступности.

Для борьбы с этой напастью под эгидой лично президента были устроены беспрецедентные совещания в верхах, на которые приглашались эксперты со всех уровней общества – от руководства силовых структур и капитанов ИТ-индустрии до авторитетных хакеров сетевого андеграунда.

Очень скоро, впрочем, об этих впечатляющих инициативах все как-то подзабыли, поскольку к власти пришла новая администрация Дж. Буша-сына, избравшая в качестве главной внешней угрозы совсем другого опаснейшего врага – международный терроризм.

(Тут же уместно напомнить, что по данным статистического учета, как в те времена, так и сегодня, лично для вас вероятность погибнуть от террористической атаки примерно равна вероятности утонуть в собственной ванне.)

Поскольку выбор ужасно грозящих нации опасностей, с которыми непременно надо энергично бороться с мощными затратами бюджетных средств, у политиков в общем-то не очень велик, вряд ли следует удивляться, что после тотальной войны с терроризмом (закончившейся, как известно, ничем) ныне вновь разворачивается столь же решительная борьба с киберпреступлениями.

Что характерно, обострение этой активности в США – в виде попыток принять новое жесткое законодательство об укреплении кибербезопасности (Cybersecurity Act of 2012) – опять пришлось на самый конец правления очередного президента-демократа.

Странный выбор аргументов

Справедливости ради надо отметить, что Барак Обама начал демонстрировать озабоченность проблемами киберзащиты буквально с первых дней своего правления. Едва заняв Белый дом, уже в феврале 2009, новый президент дал указание в 60-дневный срок подготовить для него аналитический обзор по компьютерно-сетевой безопасности – дабы выяснить пути к наилучшей защите страны от кибератак.

Подготовленный для Обамы обзор был представлен публике в последних числах мая 2009 и тогда же президент произнес свою первую речь, целиком посвященную укреплению кибербезопасности. Особо эти факты следует отметить по той причине, что и в аналитическом «президентском» обзоре (на второй странице 38-страничного документа) и затем непосредственно в речи Обамы была озвучена на удивление гигантская сумма ущерба от киберпреступности.

Цитируя слова президента США буквально: «Было подсчитано, что за один лишь последний год у бизнес-структур по всему миру киберпреступники похитили интеллектуальной собственности на сумму около 1 триллиона долларов».

Если в соответствующем документе президентской администрации, Cyberspace Policy Review , обратиться за ссылкой на первоисточник столь любопытной оценки, то выяснится, что цифра 1 триллион долларов была взята из пресс-релиза антивирусной корпорации McAfee.

Уже один этот факт сам по себе никак не назовешь заурядным: когда президент мощнейшей державы на планете для того, чтобы предупредить соотечественников о великой напасти, угрожающей их экономике и национальной безопасности, опирается не на оценки серьезных институтов и аналитиков спецслужб, а на содержание пресс-релиза некой коммерческой компании (торгующей, к слову, средствами защиты от этих самых страшных угроз)…

Хуже того, за прошедшие с той поры годы стало чуть ли не традицией – как только хотят попугать публику ужасами киберпреступности, непременно извлекают и цифру в 1 триллион ежегодных убытков для бизнеса. Причем теперь ее повторяют даже высшие руководители разведывательных спецслужб.

Не далее как летом нынешнего года генерал Кит Александер – директор Агентства национальной безопасности США и по совместительству глава национального Киберкомандования – выступал перед элитой национальной индустрии в Американском институте предпринимательства в Вашингтоне.

В своей речи Александер предупредил, что кибератаки ныне вызывают «величайшую перекачку богатств в истории человечества», для подтверждения чего процитировал статистические данные из разных источников, среди которых особо впечатляюще выглядели цифры от компаний McAfee и Symantec (другая головная фигура в бизнесе инфобезопасности).

Цитируя Symantec, в частности, Александер напомнил слушателям, что хищения интеллектуальной собственности обходятся лишь одним американским компаниям потерями в 250 миллиардов долларов в год. Ну а для убытков в целом по миру Александер привел уже известную оценку McAfee – о глобальной стоимости киберпреступности 1 триллион долларов.

«Это то, как наше будущее исчезает у нас перед глазами», – драматично подытожил генерал свою речь, призвав Конгресс поторопиться с принятием закона, укрепляющего киберзащиту Америки…

Тут же пора заметить, что уже с момента первой публикации этих весьма сомнительных цифр стало появляться немало статей в СМИ, блог-постов в интернете и академических исследований в научной прессе, где выражался сильнейший скептицизм относительно достоверности этих привлекающих всеобщее внимание оценок.

Но увы, критические отклики скептиков практически никак не сказываются на том, что множеством госчиновников и политиков вновь и вновь продолжают публично цитироваться эти астрономические оценки – как заслуживающие безусловного доверия.

И вот, наконец, в августе 2012 появились результаты специального исследования, проведенного репортерами ProPublica, уникального онлайнового проекта, специализирующегося на профессиональных «журналистских расследованиях в интересах общества».

Новое их расследование так и называется: «Действительно ли киберпреступность стоит 1 триллион долларов?» (Peter Maass and Megha Rajagopalan, Does Cybercrime Really Cost $1 Trillion? , ProPublica, Aug. 1, 2012, https://www.propublica.org/article/does-cybercrime-really-cost-1-trillion/).

Забегая чуть вперед, можно сразу сказать, что американским журналистам удалось нарыть очень убедительные свидетельства тому, что за всеми этими гигантскими цифрами потерь, которыми стращают обывателя, реально не стоит практически ничего. Но ради большей наглядности предъявленных фактов полезно для начала обратиться к результатам другого исследования, сделанного несколько ранее.

«Сексуальные отклонения» метода

Летом прошлого года два сотрудника центра научно-технических исследований «Microsoft Research», Динеи Флоренсио и Кормак Херли, опубликовали собственную аналитическую работу – примерно на ту же тему, но под куда более хлестким названием «Секс, ложь и обзоры по киберпреступности» («Sex, Lies and Cyber-crime Surveys», by Dinei Florencio and Cormac Herley, June 2011, http://research.microsoft.com/apps/pubs/default.aspx?id=149886).

Привлечение в работу сексуальной проблематики было сделано авторами отнюдь не искусственно, а по причине непосредственного методологического родства между исследованиями столь разных, казалось бы, вещей, как интимные отношения полов и масштаб компьютерных преступлений. Или, выражаясь точнее, из-за очень похожей природы возникновения гигантских ошибок при изучении статистики в той и другой области.

Поскольку сексуальное поведение человека стало предметом научных исследований намного раньше, здесь ученым уже давно и хорошо известно, что практически все обзоры на основе опросов респондентов в своих результатах чрезвычайно стабильно демонстрируют значительное расхождение ответов по половому признаку.

Мужчины неизменно сообщают, что имели секс-партнерш среди женщин намного больше, нежели это можно ожидать из ответов женщин, сообщающих о количестве своих секс-партнеров среди мужчин. Такого рода расхождение в разных обзорах может отличаться, однако везде эти несоотвествия очень значительны – отличаясь в 3, 5, а то и в 9 раз. Причем разница эта устойчиво повторяется во множестве обзоров самых разных стран (США, Британия, Франция, Новая Зеландия, Норвегия).

Несложно, наверное, сообразить, что в условиях замкнутого населения с равным числом мужчин и женщин подобных расхождений на самом деле быть не должно. Среднее количество гетеросексуальных партнеров для мужчин и женщин в течение их жизни является одним и тем же. А это значит, что все подобные опросы мужчин и женщин в действительности дают независимые оценки одного и того же количественного параметра, однако получаемые при этом оценки оказываются взаимно несовместимыми.

Понятно, что здесь с необходимостью должны присутствовать источники существенной ошибки в одной, другой или даже в обеих выводимых оценках. Более того, поскольку мужчины стабильно сообщают о большем количестве партнерш, нежели сообщают о количестве партнеров женщины – при опросах в самых разных странах, в разные периоды времени и с использованием различных методологий – эти ошибки выглядят устойчиво смещенными в одну и ту же сторону.

Имеются очень сильные доводы за то, что каждый из обзоров имеет, в сущности, один и тот же источник ошибки. На множестве разных наборов данных показано, что наибольшая часть расхождений порождается очень малой долей респондентов-мужчин, которые сообщают о весьма значительном количестве своих партнерш. В остальной же части опрошенных, то есть среди более 90% респондентов, сообщавших о менее чем 20 партнерах, расхождения в сведениях от мужчин и женщин исчезают практически полностью.

Этот факт дает основания выдвинуть очень простое (и естественное) объяснение, которое отвечает за основную часть отмечаемого в опросах сдвига. Большинство женщин говорит правду, но, быть может, слегка преуменьшает реальную картину. Большинство мужчин также говорит правду, но, возможно слегка преувеличивает. Однако совсем небольшая доля мужчин рассказывает небылицы: они явно завышают количество своих секс-партнерш, причем завышают не слегка, а очень существенно.

При таких раскладах мужчина, заявляющий, будто имел в своей жизни 100 и более партнерш (как это действительно отмечается в реальных опросах примерно для 1% мужчин), в то время как реальное число женщин, с которыми у него был секс, в действительности составляет, скажем 50, привносит в итоговую оценку ответов гигантскую ошибку.

Чтобы статистически «погасить» завышенную цифру всего одного такого гиперсексуального вруна, понадобилось бы еще 16 мужчин со средним количеством секс-партнерш, которые почему-то решили бы вдруг приуменьшить в 2 раза количество своих интимных контактов.

Но коль скоро мужчины вообще не имеют тенденцию занижать свои сексуальные похождения, таким образом и порождается гигантская асимметрия в ответах респондентов разного пола…

Неясным после этого объяснения остается лишь один момент: какое, собственно, отношение столь занимательная, спору нет, история имеет к масштабам потерь от киберпреступлений?

Дело здесь в том, поясняют авторы исследования, что киберпреступность – как и сексуальное поведение человека – по самой природе своей не поддается крупномасштабным прямым наблюдениям. И, соответственно, все оценки, которые имеют ученые-аналитики на данный счет, выводятся практически целиком из обзорных опросов участников-респондентов.

Опросы относительно числа сексуальных партнеров уникальны в том смысле, что хотя ученые и не знают правильных ответов, при этом они имеют возможность для их перекрестной проверки, сопоставляя ответы мужчин с ответами женщин. Благодаря же такой проверке становится отчетливо видно, что процедура выстраивания оценки порождает заведомо неверные данные и ответы.

Для оценок киберпреступности – по естественным причинам – возможностей перекрестной проверки нет. Но если приглядеться, как именно здесь выстраиваются оценочные цифры, то для специалиста несложно заметить, что сгенерированы они с использованием абсурдно никудышных статистических методов. А это автоматически делает их полностью ненадежными.

Подавляющее большинство киберкриминальных оценок основаны на опросах потребителей и компаний. Такие методы по традиции пользуются у публики доверием из-за предвыборных опросов избирателей, которым практика научила доверять. Однако есть тут очень важный нюанс.

Когда делается экстраполяция результата от опрошенной группы на общую массу населения в целом, то имеется гигантское и принципиальное различие между вопросами о «качественных» предпочтениях (что характерно для вопросов о кандидатах на выборах) и «количественных» вопросах с числовыми данными (как в опросах о масштабах киберпреступности или числе секс-партнеров).

Самое главное, в числовых опросах ошибки почти всегда дают завышения. Поскольку суммы оцениваемых от кибератак потерь должны быть положительными, то сверху для них предела нет, а снизу есть предел очень жесткий – нуль. Как следствие, невольные ошибки респондентов – или же их заведомая ложь – не могут быть погашены ошибками и ложью в другую сторону.

И даже хуже того, ошибки многократно умножаются, когда исследователи начинают масштабировать эти данные от опрошенной группы до общего населения в целом.

Для иллюстрации этого механизма предположим, что опрошено 5000 человек с просьбой оценить их потери от киберпреступности. Собранные данные затем экстраполируются на население порядка 200 миллионов человек.

При такой экстраполяции всякий заявленный доллар потерь принято умножать на множитель 40 000. Соответственно, всего один человек, сообщивший неправду о понесенных им потерях в размере 25 000 долларов, добавляет в итоговую оценку гигантскую ошибку в 1 миллиард долларов. А поскольку ни один из респондентов не сообщает об отрицательных потерях, эту ошибку уже нельзя ничем сократить.

Те статистические обзоры по киберпреступности, что изучались авторами исследования, демонстрируют в точности этот механизм порождения гигантских, ничем не проверяемых выбросов, которые доминируют в получаемых итоговых данных. В некоторых из таких обзоров 90 процентов от суммы оценки потерь оказываются идущими всего от одного или двух респондентов.

Причем проблему эту никак не назовешь неизвестной. В 2006 году из аналитического обзора Федеральной торговой комиссии США, посвященного убыткам от кражи личности, ответы двух респондентов были принудительно удалены – как расцененные в итоге «не кражей личности» и «несогласующиеся с имеющимися записями». Включение лишь двух этих ответов в итоговую оценку увеличивало ее величину на 37,5 миллиардов долларов, или иначе, завышало общую сумму потерь больше, чем в три раза…

Как правило, однако, такого рода «волевые исключения» заведомых аномалий делать не принято. Подобная картина, подчеркивают авторы, – это не просто неудача в достижении совершенства или проблема с ошибкой в нескольких процентах. Это правило, а не исключение.

Среди десятков обзоров киберпреступности – от поставщиков средств безопасности, от аналитиков индустрии и от правительственных агентств, не удается обнаружить ни одного обзора, который был бы свободен от этих явных смещений оценок вверх.

Как результат, общество имеет очень слабое представление о реальных масштабах потерь вследствие киберпреступности.

Источник неизвестен

Теперь, когда уже имеется общее представление о «надежности» оценок для масштабов киберкриминала, пора вернуться к расследованию ProPublica.

Журналисты этого проекта, Питер Маас и Мегха Раджагопалан, решили всерьез докопаться, как же именно были вычислены эти удивительные цифры статистики о «величайшей перекачке богатств» – 1 триллион долларов в год для мира и 250 миллиардов для США.

И выяснили они весьма примечательную вещь – что в реальности ситуация с надежностью публично озвучиваемой статистики в данной области обстоит даже хуже, чем это обрисовано в прошлогоднем исследовании «про секс, ложь и киберпреступность».

Результаты журналистского расследования удобнее начать с цифры Symantec (оценка потерь для США). Хотя корпорация Symantec действительно приводит эту 250-миллиардную оценку в своем отчете 2011 года «Индикаторы поведенческого риска от хищений интеллектуальной собственности» (http://www.symantec.com/about/news/release/article.jsp?prid=20111207_01), быстро выясняется, что цифра эта на самом деле идет не от Symantec.

Данный отчет приводит эту оценку как бы мимоходом, давая в примечании ссылку на некую юридическую статью. Однако в статье этой, как установлено обращением к первоисточнику, цифра в 250 миллиардов долларов не упоминается вообще никак.

Эрик Шоу (Eric Shaw) один из двух специалистов по криминалистической психологии, привлекавшихся фирмой Symantec для аналитических исследований в их отчете, сообщил журналистам, искавшим источник, что «ссылка в примечании была ошибкой».

Вместо этого она должна была отсылать к совсем другой аналитической статье 2010 года, которая в свою очередь в качестве источника указывает речь директора ФБР Роберта Мюллера (Robert S. Mueller), сделанную еще в 2003 году.

В ответ на запрос журналистов об источниках этой цифры, пресс-представительница ФБР сообщила, что хотя, как она полагает, руководство Бюро использовало надежный источник для оглашения этой цифры, однако само ФБР (а) не разрабатывало эту оценку и (б) не заявляло когда-либо, что эта оценка сделана ими.

Попутно она перевела стрелку дальше, указав на еще один официальный документ, теперь уже из недр Министерства юстиции США, где все то же красивое число 250 миллиардов фигурирует как исходящее от представителя Торговой палаты США.

Увы, пресс-секретарь Торговой палаты в ответ на запрос об источнике сообщил, что данная цифра исходит не от них: «Ваш запрос, похоже, относится к оценочной цифре, идущей из индустрии».

Как бы в подтверждение этому журналистам дали ссылку на аналитическую статью Министерства торговли США, посвященную хищениям интеллектуальной собственности. Конечно же, в этом документе опять приводится цифра 250 миллиардов – вот только в качестве ее источника снова фигурирует ФБР…

Короче, круг ссылок замкнулся, а официальные структуры правительства не в силах объяснить, откуда взялась эта примечательная, всеми ими цитируемая статистика.

Как могут, добавляют сюда путаницы и законодательные структуры государства. Так, сенаторы Коллинз и Либерман, энергично выступая в Конгрессе в поддержку нового билля о кибербезопасности, также сочли необходимым упомянуть директора АНБ Кита Александера, который «полагает, что американские компании теряют около 250 миллиардов долларов в год из-за хищений их интеллектуальной собственности».

Когда журналисты обратились к законодателям за разъясняющими комментариями относительно надежности приводимых ими цифр, пресс-служба ответила на запрос так: «Сенатор Либерман и его аппарат полагают, что McAfee, Symantec и генерал Александер – это авторитетные источники информации относительно кибербезопасности»…

Если же источник известен

С идущей от McAfee цифрой глобальных потерь, оцениваемых в 1 триллион долларов, разобраться оказалось несколько легче.

В 2008 году компания McAfee решила заказать аналитический отчет, в котором было бы рассмотрено, как спад глобальной экономики соотносится с кражами данных у компаний. Отвечать за этот проект руководство McAfee назначило одного из своих пиар-менеджеров, Сэла Вивероса (Sal Viveros).

По свидетельству Вивероса, для проведения статистического опроса среди 1000 примерно руководителей фирм по всему миру, была нанята некая компания маркетинговых технологий.

После чего авторитетный научный институт, Центр образования и исследований в области информационной безопасности при Университете Пэрдью, проанализировал результаты опроса, провел последующие интервью и помог написать итоговый отчет «Unsecured Economies: Protecting Vital Information» (http://www.cerias.purdue.edu/assets/pdf/mfe_unsec_econ_pr_rpt_fnl_online_012109.pdf).

Публикация данного отчета была устроена так, чтобы обеспечить документу наибольший резонанс. Это было сделано 29 января 2009 года в Давосе, Швейцария, во время встречи мировой элиты на Всемирном экономическом форуме.

По этому поводу McAfee массово распространила новостной пресс-релиз, в текст которого и была помещена драматичная цифра – 1 триллион долларов ежегодных потерь – которая, (!) внимание (!), в материалах отчета не фигурирует вообще никак…

Пиар-умельцы McAfee подсунули эту цифру в пресс-релиз таким образом: «Опрошенные компании оценили, что за один лишь прошлый год они потеряли своей интеллектуальной собственности в общей сложности на 4,6 миллиарда долларов, потратив еще примерно 600 миллионов на восстановление ущерба от потерь данных… Основываясь на этих цифрах, McAfee подсчитала, что компании по всему миру потеряли за прошлый год свыше 1 триллиона долларов».

Ну и дабы цепляющая цифра вбилась в головы уже наверняка, заголовок пресс-релиза сделали таким: «Из-за хищений данных и киберпреступности бизнес-структуры теряют свыше 1 триллиона долларов в своей интеллектуальной собственности».

Столь броская цифра, конечно же, привлекла внимание и была повторена множеством СМИ без какой-либо критической оценки.

На запрос журналистов из ProPublica относительно методологии их подсчетов, Сэл Виверос дал такие пояснения: «Вычисления были сделаны в McAfee группой специалистов по технологиям, маркетингу и продажам, опиравшихся на ответы респондентов в отчете. McAfee экстраполировала 1 триллион … основываясь на усредненных данных потерь для одной компании, умноженных на количество подобных компаний в тех странах, которые мы изучали. Когда же эта прикидка была опубликована в пресс-релизе, цифра была энергично подхвачена и получила свою собственную жизнь».

Итого в сухом остатке

Оценка в триллион долларов (это много больше, чем масштабы мировой нелегальной торговли наркотиками и оружием вместе взятые) вызывает сильнейшие сомнения даже у тех исследователей из университета Purdue, которых сама McAfee называет в качестве специалистов, анализировавших исходные данные опроса и помогавших делать отчет.

«Я был действительно удивлен когда эти цифры появились в сообщениях новостей – триллион долларов – потому что это было уж слишком, слишком большое число», – говорит Юджин Спаффорд (Eugene Spafford), профессор информатики в Purdue и главный участник от ученых, принимавших участие в создании обзора McAfee.

Другой соавтор того же отчета, Ник Акерман (Nick Akerman) из юридической фирмы Dorsey & Whitney, специализирующейся на компьютерных делах, всячески приветствует проведение аналитических исследований по масштабам киберпреступности: «Нельзя сказать, что проблема невелика. Она действительно очень значительная».

Однако его совершенно не устраивает нынешняя методология крайне искусственного сведения потерь к неким суммам денег, которые по их ощущениям потеряли жертвы атак: «Я не вижу, каким образом вы могли бы адекватно прийти к оценкам в долларовом исчислении. Более того, я бы мог доказать, что это невозможно».

А вот что отмечает другая независимая исследовательница, Джули Райан (Julie Ryan), профессор системного инжиниринга в Университете Джорджа Вашингтона и соавтор известной среди специалистов статьи «Использование, неправильное применение и злоупотребление статистикой в исследованиях по инфобезопасности» (http://attrition.org/archive/misc/use_misuse_abuse_stats_infosec_research.pdf).

В интервью для ProPublica она сказала так: «Среди того, что я повидала из больших коммерческих обзоров, все они страдают одной главной слабостью, суть которой в том, что представленные там данные просто бесполезны. Бесполезны с научной точки зрения. Но они представляют очень, очень большую ценность в смысле маркетинговых перспектив»…

Post Scriptum

Когда данная статья была уже практически готова, корпорация Symantec выпустила очередное исследование по киберпреступности «Norton Cybercrime Report 2012» (http://www.norton.com/2012cybercrimereport), где глобальная стоимость потерь потребителей от киберпреступлений за последние 12 месяцев рассчитана в сумме 110 миллиардов долларов.

В прошлом 2011 эта же фирма насчитала общемировых потерь за год на сумму 388 миллиардов долларов (сопроводив оценку таким комментарием «это больше, чем оценочная стоимость глобального черного рынка марихуаны, кокаина и героина вместе взятых»).

На основе подобной динамики можно было бы наивно подумать, будто суммы убытков от киберпреступности явно снижаются. Однако антивирусные фирмы и власти США уверяют всех прямо в противоположном – на самом деле угроза неуклонно нарастает.

Ну а цифры… Почему-то в этот раз решили подсчитать вот так, на 278 миллиардов меньше. Может, хоть так кто поверит?