Cooperativa de jornalistas investigativos alerta que o conflito de interesses dos fornecedores de programas de segurança do governo americano pode estar superestimando os valores
O presidente norte-americano Barack Obama falou do custo estimado do cibercrime em um importante discurso sobre cibersegurança. Senadores dos EUA abordaram-no enquanto promoviam o seu Cyber Security Act de 2012. O general Keith Alexander, diretor da Agência de Segurança Nacional (NSA) e chefe do CiberComando dos EUA, referiu-se a ele enquanto advertia para a “maior transferência de riqueza na história”, devido ao roubo de propriedade intelectual.
Mas a mera citação do custo estimado do cibercrime não o torna realidade, diz um relatório do ProPublica.
Há um consenso geral de que o custo mundial do cibercrime está na casa de centenas de milhões de dólares. Mas quantas centenas de milhões é uma questão em debate, na sequência do relatório do ProPublica, que questionou as estimativas mais amplamente citadas por duas grandes empresas de segurança.
A McAfee estimou o custo anual do cibercrime em todo o mundo em mil biliões de dólares. A Symantec estimou o custo anual de roubo de propriedade intelectual nos EUA em 250 mil milhões de dólares.
O relatório diz que são exageros – talvez grandes – observando que a figura dos mil bilhões de dólares não está sequer no relatório da McAfee, mas nos comunicados de imprensa sobre o assunto.
E os jornalistas autores do relatório do ProPublica não são os únicos a colocarem essas estimativas em questão. A avaliação da qualidade dos estudos sobre o cibercrime dos pesquisadores Dinei Florêncio e Cormac Herley, da Microsoft Research, autores de um recente trabalho intitulado “Sex, Lies and Cyber-crime Surveys“, é dura: “eles são tão comprometidos e parciais que nenhuma fé pode ser colocada nas suas conclusões”.
O relatório do ProPublica diz que a estimativa da McAfee é contestada por alguns daqueles que analisaram os dados no relatório de 2009, que foi baseado em informações obtidas a partir de um inquérito a 1.000 profissionais de TI.
Eugene Spafford, um dos três investigadores independentes da Universidade disse ter ficado “realmente horrorizado quando o número foi publicado pela imprensa, porque era muito, muito grande”.
Outro investigador, Ross Anderson, professor de segurança informática na Universidade de Cambridge, disse ao ProPublica que “teria desaprovado a divulgação da estimativa de mil bilhões de dólares se soubesse. A qualidade intelectual disto está abaixo do abismal”.
“A estimativa da Symantec foi de fato mencionada num relatório da empresa , mas não é um número da Symantec e a sua origem permanece um mistério”, diz o relatório.
Sal Viveros, responsável de relações públicas da McAfee que supervisionou o relatório de 2009, não respondeu a um pedido de comentário até a pulbicação desta reportagem. Mas escreveu em um e-mail ao ProPublica que a empresa trabalha ”com grupos de reflexão [“think tanks”] e universidades para garantir que os relatórios não sejam tendenciosos e sejam tão precisos quanto possível”.
Outros especialistas em segurança e analistas tendem a concordar com o ProPublica, dizendo que não só as estimativas são inflacionadas mas que qualquer estimativa de um fornecedor de segurança deve ser tratada com algum cepticismo, porque existe um conflito interno de interesses – quanto pior forem os riscos na segurança e custos, melhor é para o seu negócio.
Além disso, os relatórios da indústria não estão sujeitos ao tipo de análise [“peer review”] feito em revistas acadêmicas e profissionais.
Mas os especialistas também estão dispostos a dar alguma folga às empresas, por muitas razões. Primeiro, é muito difícil estimar este tipo de coisas. Às vezes, as empresas nem sequer sabem que foram atacadas. Muitas vezes, quando descobrem, não querem falar sobre isso, para não danificar a sua marca. E às vezes é difícil calcular quanto foi o dano real.
“Não as reprovo por isso”, disse Jason Healey, do Atlantic Council e antigo oficial de segurança da Casa Branca e da Goldman Sachs. “Os especialistas há muito tempo que têm problemas em concordar em estimativas” [que são tão diferentes].
Healey diz que as estimativas de danos do primeiro ciberincidente em larga escala, o worm Morris em 1988, “variou de 200 dólares para mais de 53 mil dólares por instalação, enquanto a estimativa mais citada dos danos totais variaram de 100 mil a 10 milhões de dólares: duas ordens de magnitude. E isso foi há 24 anos”.
Gary McGraw, CTO da Cigital, disse suspeitar que a McAfee “seguiu o protocolo no seu relatório até ao final, onde fez uma matemática maluca – acho que o controle foi entregue às pessoas do marketing”.
Mas ele admite: “tenho citado o número de mil bilhões de dólares no meu próprio trabalho. Estava escrevendo um artigo sobre a ciberguerra para um ‘think tank’ e pensando como o cibercrime era pior do que a ciberguerra – como os riscos da ciberguerra eram exagerados, e o cibercrime era pior. Que ironia”.
Há outras razões pelas quais as estimativas são difíceis. Em recente artigo, “Measuring the Cost of Cybercrime“, feito para o Ministério da Defesa do Reino Unido, os autores apresentam um gráfico que sugere que o custo anual do cibercrime em todo o mundo foi de 225 mil milhões de dólares – menos de 25% da estimativa da McAfee.
Mas os autores incluíram uma série de advertências, incluindo: “existem mais de 100 diferentes fontes de dados sobre cibercrime, no entanto as estatísticas disponíveis são ainda insuficientes e fragmentadas; eles vão de sub a super estimadas, dependendo de quem as regista, e os erros podem ser tanto intencionais (por exemplo, fornecedores e agências de segurança jogando com as ameaças) como não intencionais (por exemplo, efeitos das respostas ou desvio na amostra)”.
Eles também observam que há diferenças entre os custos diretos e indiretos. Na realidade, o grupo recusa-se mesmo a juntar os seus próprios valores para determinar um total, observando que “muitas destas são estimativas extremamente brutas – acreditamos que é totalmente enganador fornecer totais especialmente por poderem ser citados fora de contexto, sem todas as advertências e cuidados que fornecemos”.
Em suma, eles são muito mais cautelosos do que qualquer McAfee ou Symantec.
Mas a outra razão porque alguns especialistas estão dispostos a conceder às empresas alguma margem de manobra é que, qualquer que seja o número exato, ele é muito grande.
Na verdade, há histórias diárias sobre violações de dados – o recente caso do Dropbox, que resultou no roubo de nomes de utilizadores e passwords, é apenas um dos mais recentes.
Um estudo da NetBenefit revelado pelo vendedor de software SecurityCoverage detectou que o número de informações ilegalmente vendidas durante o primeiro trimestre de 2012 cresceu 67% relativamente aos valores de 2010.
“Não é bom inflacionar as estimativas”, disse Gary McGraw. “Mas o cibercrime é um problema enorme. Pode-se falar sobre ciberespionagem e ciberguerra, mas o cibercrime é muito pior”.
A solução é “fazer as coisas corretamente”, diz. “Se o fizéssemos, reduziríamos a probabilidade da guerra e da espionagem e muitos crimes”.
View the original article here
This post was made using the Auto Blogging Software from WebMagnates.org This line will not appear when posts are made after activating the software to full version.
TudoSobreTech 