Relatório do ProPublica critica estimativas de custo do cibercrime

O presidente norte-americano Barack Obama falou do custo estimado do cibercrime em um importante discurso sobre cibersegurança. Senadores dos EUA abordaram-no enquanto promoviam o seu Cyber Security Act de 2012. O general Keith Alexander, diretor da Agência de Segurança Nacional (NSA) e chefe do CiberComando dos EUA, referiu-se a ele enquanto advertia para a “maior transferência de riqueza na história”, devido ao roubo de propriedade intelectual.
Mas a mera citação do custo estimado do cibercrime não o torna realidade, diz um relatório do ProPublica.
Há um consenso geral de que o custo mundial do cibercrime está na casa de centenas de milhões de dólares. Mas quantas centenas de milhões é uma questão em debate, na sequência do relatório do ProPublica, que questionou as estimativas mais amplamente citadas por duas grandes empresas de segurança.
A McAfee estimou o custo anual do cibercrime em todo o mundo em mil biliões de dólares. A Symantec estimou o custo anual de roubo de propriedade intelectual nos EUA em 250 mil milhões de dólares.
O relatório diz que são exageros – talvez grandes – observando que a figura dos mil bilhões de dólares não está sequer no relatório da McAfee, mas nos comunicados de imprensa sobre o assunto.
E os jornalistas autores do relatório do ProPublica não são os únicos a colocarem essas estimativas em questão. A avaliação da qualidade dos estudos sobre o cibercrime dos pesquisadores Dinei Florêncio e Cormac Herley, da Microsoft Research, autores de um recente trabalho intitulado “Sex, Lies and Cyber-crime Surveys“, é dura: “eles são tão comprometidos e parciais que nenhuma fé pode ser colocada nas suas conclusões”.
O relatório do ProPublica diz que a estimativa da McAfee é contestada por alguns daqueles que analisaram os dados no relatório de 2009, que foi baseado em informações obtidas a partir de um inquérito a 1.000 profissionais de TI.
Eugene Spafford, um dos três investigadores independentes da Universidade disse ter ficado “realmente horrorizado quando o número foi publicado pela imprensa,  porque era muito, muito grande”.
Outro investigador, Ross Anderson, professor de segurança informática na Universidade de Cambridge, disse ao ProPublica que “teria desaprovado a divulgação da estimativa de mil bilhões de dólares se soubesse. A qualidade intelectual disto está abaixo do abismal”.
“A estimativa da Symantec foi de fato mencionada num relatório da empresa , mas não é um número da Symantec e a sua origem permanece um mistério”, diz o relatório.
Sal Viveros, responsável de relações públicas da McAfee que supervisionou o relatório de 2009, não respondeu a um pedido de comentário até a pulbicação desta reportagem. Mas escreveu em um e-mail ao ProPublica que a empresa trabalha ”com grupos de reflexão [“think tanks”] e universidades para garantir que os relatórios não sejam tendenciosos e sejam tão precisos quanto possível”.
Outros especialistas em segurança e analistas tendem a concordar com o ProPublica, dizendo que não só as estimativas são inflacionadas mas que qualquer estimativa de um fornecedor de segurança deve ser tratada com algum cepticismo, porque existe um conflito interno de interesses – quanto pior forem os riscos na segurança e custos, melhor é para o seu negócio.
Além disso, os relatórios da indústria não estão sujeitos ao tipo de análise [“peer review”] feito em revistas acadêmicas e profissionais.
Mas os especialistas também estão dispostos a dar alguma folga às empresas, por muitas razões. Primeiro, é muito difícil estimar este tipo de coisas. Às vezes, as empresas nem sequer sabem que foram atacadas. Muitas vezes, quando descobrem, não querem falar sobre isso, para não danificar a sua marca. E às vezes é difícil calcular quanto foi o dano real.
“Não as reprovo por isso”, disse Jason Healey, do Atlantic Council e antigo oficial de segurança da Casa Branca e da Goldman Sachs. “Os especialistas há muito tempo que têm problemas em concordar em estimativas” [que são tão diferentes].
Healey diz que as estimativas de danos do primeiro ciberincidente em larga escala, o worm Morris em 1988, “variou de 200 dólares para mais de 53 mil dólares por instalação, enquanto a estimativa mais citada dos danos totais variaram de 100 mil a 10 milhões de dólares: duas ordens de magnitude. E isso foi há 24 anos”.
Gary McGraw, CTO da Cigital, disse suspeitar que a McAfee “seguiu o protocolo no seu relatório até ao final, onde fez uma matemática maluca – acho que o controle foi  entregue às pessoas do marketing”.
Mas ele admite: “tenho citado o número de mil bilhões de dólares no meu próprio trabalho. Estava escrevendo um artigo sobre a ciberguerra para um ‘think tank’ e pensando como o cibercrime era pior do que a ciberguerra – como os riscos da ciberguerra eram exagerados, e o cibercrime era pior. Que ironia”.
Há outras razões pelas quais as estimativas são difíceis. Em recente artigo, “Measuring the Cost of Cybercrime“, feito para o Ministério da Defesa do Reino Unido, os autores apresentam um gráfico que sugere que o custo anual do cibercrime em todo o mundo foi de 225 mil milhões de dólares – menos de 25% da estimativa da McAfee.
Mas os autores incluíram uma série de advertências, incluindo: “existem mais de 100 diferentes fontes de dados sobre cibercrime, no entanto as estatísticas disponíveis são ainda insuficientes e fragmentadas; eles vão de sub a super estimadas, dependendo de quem as regista, e os erros podem ser tanto intencionais (por exemplo, fornecedores e agências de segurança jogando com as ameaças) como não intencionais (por exemplo, efeitos das respostas ou desvio na amostra)”.
Eles também observam que há diferenças entre os custos diretos e indiretos. Na realidade, o grupo recusa-se mesmo a juntar os seus próprios valores para determinar um total, observando que “muitas destas são estimativas extremamente brutas – acreditamos que é totalmente enganador fornecer totais especialmente por poderem ser citados fora de contexto, sem todas as advertências e cuidados que fornecemos”.
Em suma, eles são muito mais cautelosos do que qualquer McAfee ou Symantec.
Mas a outra razão porque alguns especialistas estão dispostos a conceder às empresas alguma margem de manobra é que, qualquer que seja o número exato, ele é muito grande.
Na verdade, há histórias diárias sobre violações de dados – o recente caso do Dropbox, que resultou no roubo de nomes de utilizadores e passwords, é apenas um dos mais recentes.
Um estudo da NetBenefit revelado pelo vendedor de software SecurityCoverage detectou que o número de informações ilegalmente vendidas durante o primeiro trimestre de 2012 cresceu 67% relativamente aos valores de 2010.
“Não é bom inflacionar as estimativas”, disse Gary McGraw. “Mas o cibercrime é um problema enorme. Pode-se falar sobre ciberespionagem e ciberguerra, mas o cibercrime é muito pior”.
A solução é “fazer as coisas corretamente”, diz. “Se o fizéssemos, reduziríamos a probabilidade da guerra e da espionagem e muitos crimes”.
Via: IDG Now
Anúncios
Esse post foi publicado em MERCADO, NOTÍCIAS, SEGURANÇA. Bookmark o link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s