大家都認為網絡犯罪影響著每個人——政府、公司、大眾——但究竟影響有多大？大筆資金被投入到對網絡犯罪的打擊當中，可為什么計算不出網絡犯罪造成的損失呢？

根據相關的最新調查顯示，安全軟件制造商賽門鐵克公司稱網絡犯罪每年在世界范圍內造成的損失達1100億美元。但是，賽門鐵克最有力的競爭對手邁克菲公司則表示，每年實際的損失幾乎是該數字的10倍，約為1萬億美元左右。到底哪個數字是正確的？

不幸的是，安全專家認為，要得到準確的報告至少要經歷四重障礙：

◆拒絕上報。許多網絡犯罪的受害者不想上報他們的問題，因為他們認為這會影響到自己的業務。

◆自我選擇偏見。因網絡犯罪而蒙受損失的組織可能要比未受損失的組織更不樂意參與調查。而那些擁有公開的大面積損失的公司要比擁有少量未公開損失的組織更樂于參與。

◆缺乏規范的損失計算機制。有時故障時間帶來的損失也被計入起其中。有時購買或更新設備、安全服務、外部顧問等成本也計入總數。并沒有關于什么該統計和什么不能統計的統一標準。

◆未知損失。通常，一些組織甚至對受到的損失毫不知情，或是壓根不清楚整個網絡犯罪所帶來問題的嚴重性。

來自普渡大學的計算機科學教授尤金. H. 斯帕福德說，想想看要是一家公司正在進行高端研究，這時有黑客侵入并將信息從電腦當中拷貝出來，“如果公司察覺了該入侵——也可能根本不知道——那么審計可能會發現公司的損失與彌補損失和更改安全軟件的費用相當。可如果公司并未發覺信息丟失，或者不知道如何評估損失呢？如果所丟失的信息一年之后在公司競爭對手的產品中出現了呢，到那時損失又該如何計算？如果產品和國防有關呢？這種萬分重要的產品又該如何計算價值呢？數百萬美元？數十億美元？“

邁克菲把他們和賽門鐵克報告的差異歸因于關注重點的不同，邁克菲的調查主要關注由于惡性攻擊和意外數據丟失所造成的商業損失。

但是，公司方面卻認為要拿出一份估算尤為困難，因為要考慮的方面太多了。

“你得把由于公司間諜行為所造成的損失算進去，而對于一個品牌聲望的損壞等是根本無法量化的，”一位來自邁克菲的發言人說，“但是最難估計的還是對美國經濟長期的競爭力所帶來的損害。如果在未來，我們最好的硬件、軟件和生物技術公司遭遇到拿到我們核心技術的競爭對手，并任其侵占有我們的市場、奪走美國的工作該怎么辦？這部分損失——巨大的損失——是最難以估計的部分。“

對于顧客來說，網絡犯罪并不僅僅會通過網上銀行為他們帶來損失，還有可能會威脅到他們數字財產的安全。

“他們寫了一年的書稿值多少錢？”邁克菲的發言人問，“他們的照片、網絡身份呢？大部分受害者都要花費大量時間來恢復他們的身份或重建他們丟失的信息。這部分時間又價值多少呢？”

他接著說，網絡犯罪造成的真正損失涉及到以上所有的問題并”用一種強硬、清晰且可防衛的方式“將它們疊加起來。許多公司以及智囊團沒有時間或資金來進行如此大范圍的研究。

賽門鐵克對此選擇不參與或不予評論。

與此同時，微軟研究院的首席研究員科馬克·赫爾雷稱，他“并不認為任何一方——不論是賽門鐵克還是邁克菲——的數據更接近事實。你可以把任何數字稱為估計值，“他說，”但是這并不意味著它就是一個對于現實的理性反映。“

赫爾雷和同事迪內·弗洛倫西奧最近寫了一篇論文，名為《性，謊言和網絡犯罪調查》，他們在看過網絡犯罪損失的估計之后，說這份估計“根據級數的不同而應有所變化。我是說，很多東西都有回旋余地。但是如果物理學家在四個等級之內無法就光速達成一致的話，他們也只能承認自己不知道。”

赫爾雷將此歸咎于網絡犯罪調查的方法幾乎總是會將數據過分夸大。他認為實際數字要小得多。他說，問題就在于網絡犯罪調查不像是投票調查那樣每個人的回答都分量相當。

“當你問別人他們從網絡犯罪中都損失了什么的時候，你無法核實他們是否理解了你的問題也無法證明他們的回答是否真實，”他解釋道，“然后，即便是一個人給了你一個非常不準確的數字，那也有可能會毀掉整個調查。幾乎所有調查顯示的數據都會偏高。

為了表明調查當中一個人能有多么荒謬，赫爾雷建議開展一項關于多少人擁有獨角獸作為寵物的調查。“如果你問100個人（代表一個國家的1億人口）的話，那就意味著，不管你得到什么樣的數字，你都得再乘以1億。接著你就可以組織問卷了，每個人都老實地回答“零”，不過有一個人誤會了問題的意思，然后回答是的，他們有一只獨角獸，因為他們的女兒的臥室里放著一只獨角獸的毛絨玩具。現在你的調查估計是美國有1億只獨角獸。這個結果是完全錯誤的，而這個離譜的結果就來自于那一個錯誤答案。“

如果結果真的有可能被認為操控，那么試圖計算網絡犯罪帶來的損失還有意義嗎？專家說“有“，如果一個組織反復持續使用相同的方法，就會出現一種趨勢，而這種趨勢才是對打擊網絡犯罪最有價值的。

此外，從認識的角度而言，專家說讓企業界、個人和政府組織認識到問題的嚴重性是非常重要的。否則，通常的態度就是“我們從來沒有過這個問題，所以未來可能也不會有“。

憤青們還指責說，網絡犯罪的統計數據是人為抬高的，目的是為了恐嚇大眾，使其購買安全軟件。他們還說，那些出售反惡意程序的公司不應該參與報告惡意程序規模問題。

不過，觀察員說，從另一方面講，安全公司了解這一領域、通常又廣為人知、并且人們愿意向他們提供良好的反饋信息，因而除了他們，還有誰會組織這樣的安全分析呢？

“在這一領域，一般不會看到像女主人零食公司那樣的組織發起類似調查，“觀察員說道，”如果政府牽頭來做調查的話，很多組織不愿意向政府報告自己的損失，因為他們不信任這些信息將被如何使用。“

但是來自微軟的赫爾雷說，他“非常有信心而且并不擔心由公司使用的方法可能帶來的虛假回答而產生的矛盾。我就是不知道，而且我也不想去推測。即便是完全沒有欺騙，錯誤也時常發生。“

但是，羅斯·安德森卻懷疑，大部分網絡犯罪的數據——“例如荒唐的1萬億，也就是說世界GDP的2%“——是不可靠的，“因為編輯數據的人（例如警察或是安全軟件的供貨商）都是別有用心的。”安德森是牛津大學計算機實驗室的安全工程教授。

他在2008年發起了一項名為“安全經濟和獨立市場”的研究，研究稱這種現象已經持續多年了。他最近的一篇論文《網絡犯罪的損失測量》表明，社會應該減少在反病毒軟件上的花費，并應增加對于網絡監管的費用。

“很多網絡犯罪都是少數人發起的，”他說，“例如，在2010年，世界上三分之一的垃圾郵件都是由同一個僵尸網絡發出的。所以，比起讓世界上幾億用戶都安裝反病毒或者反垃圾郵件軟件來說，把那幾個壞人抓到監獄去效率會高得多。當然了，反病毒和反垃圾郵件軟件公司可不會贊同我的觀點。“

他堅持認為，世界上大部分用于彌補玩過犯罪損失的花費都用于反病毒軟件上了， “事實上，反病毒公司從垃圾郵件當中所獲得的利潤要比那些制造垃圾郵件的人多的多。“

其實，計算網絡犯罪造成的損失還是很重要的，專家們對此也提出了一些建議。來自普渡大學的斯帕福德建議，一套合理的數據——以及一套合理的獲得數據的問題——需要經過熟悉建立調查和損失計算的組織的修改。他推薦軟件或者硬件供貨商聯盟，也許是已經存在的一家，也許是像國家標準技術局（NIST）這樣的組織。

“不管是誰，“他說，“這個組織必須要贏得所有人的信任。這絕對不是輕而易舉就能做到的，也絕對不會來得便宜。”

牛津大學的安德森提出了另外一種建議。“別在估量網絡犯罪和網絡戰爭上浪費錢了，”他說，“還是把錢花在警察身上比較實在。”