一、簡介

網絡犯罪，網絡間諜和其他惡意網絡活動被一些人稱作是“人類歷史上最偉大的財富轉移”，還有其他人稱之為“14萬億美元的經濟舍入誤差?”。

大致估算現有的損失————從十幾億美元到幾千億美元————就已經反映了一些問題。有的公司隱瞞了它們的損失而有一些公司還不清楚自己的損失，因為知識產權是很難去衡量其價值的。有些估算是基于其調查結果，但是除非能夠細致的構建評估體系，否則最后的估算會很不準確。網絡安全調查的一個常見問題就是，有一些精心準備答案回答問題的人，他們的回應將會影響最終結果的準確性。由于數據收集的問題，損失評估都是基于一定的規模和影響力假設，而改變這種(前提)假設，你就會得到不一樣的結果，而這些問題讓很多評估受到質疑。

惡意網絡活動結構

在這個先期報告中，我們從什么應該算作網絡犯罪和網絡間諜帶來的損失開始。我們可以將惡意網絡事件分為以下的6個部分：

知識產權和商業機密損失

網絡犯罪，每年消耗世界數百萬美元

敏感商業信息的泄露，其中包括可能被操縱的股市

機會成本，包括服務和就業中斷，對在線活動的信任度降低

來自網絡攻擊所消耗的網絡安全，保險和恢復的成本

被黑客攻擊的公司的聲譽損失

將這些加在一起，網絡犯罪和網絡間諜活動在全球的損失預計為幾千億美元。以損失額度角度來看，世界銀行在2011年計算的全年全球GDP大概為70萬億美元，4千億的損失————我們估測的損失上限————即占到全球GDP的零點幾百分比。不過，這需要假定幾個重要問題的正確性————對收購方和受害者的損害的累積效應，完全受害于網絡犯罪和網絡間諜活動。

運用類比的方式對惡意網路活動的成本進行估算

我們使用幾種類比算法，這幾種類比項已對損失范圍問題提出一個量化的方案，允許我們設置一個模糊的邊界————最高限度和最低限度————通過其他幾種犯罪和損失，為惡意網絡活動估算成本。

車禍：對于惡意網絡活動帶來的損失，一種想法是就像車禍是享受汽車帶來的便利的代價，惡意網絡活動就是電子商務帶來的種種好處的代價。疫病控制中心對于2010年美國車禍的花費統計約為990億美元，美國汽車協會2010年估算成本為1680億美元。

海盜：缺乏管理的地區會被犯罪分子利用，這在海上和網絡世界是一樣的。國際海洋局2005年用于治理海盜的花費評估在10億和16億美元之間(網絡并不是唯一的難以估算的領域)。通過這些數字，統計出2005年海上貿易總產值為7.8萬億，這意味著海盜成本為總產值的0.02%。

偷竊：公司可以接受“偷盜”或者“庫存縮減”作為商業成本的一部分。對于美國的零售企業，這介于年銷售額的1.5%到2%的比率————2008年的一次統計將偷竊損失定在1.7%。用“偷竊”的方式假設相同的損失率，惡意網絡活動將投入上限定在0.5%到2%的國民收入。在美國，這個數值為700億到2800億之間。問題是，“偷竊”在理論上是可行的，然而，許多企業并不很清楚它們的損失程度，這會導致他們做出的決策來源信息不足。

犯罪和毒品：常能聽到關于惡意網絡活動比毒品交易更加賺錢的消息，這不禁讓我們懷疑我們是否清楚毒品交易的具體價值。2012年聯合國辦公室在毒品和犯罪金額估算中得出所有跨國犯罪集團達8700億美元，或全球GDP的1.2%。其中6000億美元來自非法毒品交易。如果網絡損失成本也同樣分擔全球GDP，那么金額也會超過6000億美元。

這會造成的怎樣的后果?

若我們對于現有惡意網絡活動造成損失的“范圍”假設和車禍、偷竊和毒品范圍是一致的話，那么這就是網絡犯罪帶來的損失的上限。網絡犯罪帶來的損失不會超過GDP的1%，以美國為例，我們評估最好的情況大約是1000億美元/年，而從廣義上來看，還有研究經費4000億，還有1000億是因為知識產權偷盜取而沒有產生應有價值的部分。

在衡量對國家安全造成的損害的時候，有一個很大的問題。我們知道，對于軍事技術的偷取會增強潛在對手的實力、或者損害在航天、高端材料或其他高科技產品的出口市場，導致國家安全水平降低。在商業間諜活動和軍事間諜活動之間有某種聯系，偷取軍事技術和商業資料經常是某一個人的計劃，參與到這些網絡間諜活動可以增強其網絡攻擊能力。我們無法準確地用美元估計我們在軍事技術的損失，但是我們確定網絡犯罪改變了長期依存于國外競爭者的格局。

惡意網絡活動對于就業市場的影響需要進一步的研究。美國商務部在2011的統計估計表明，10億美元的出口相當于5080份職位。這意味著我們對于網絡間諜活動的最高估計1000億美元相當于508000人失去工作，也是就將降低1/3的就業率，并且這不是正常的失業————人們可以在別的地方找到工作。而這些因為網絡間諜活動失業的人的國家的情況將會更糟，原來高收入的藍領將只能失業或者有一份低收入的工作。

網絡犯罪損失估計的第二步

確定一個網絡犯罪和間諜活動來帶的損失的具體數值是我們的主題，但是問題的關鍵在于他們對貿易、技術和競爭力的影響。找到這些問題的答案有助于我們了解問題的全局。雖然每年因為網絡犯罪和網絡間諜活動給全球經濟帶來額數十億美元的損失，這是一個很大的數字，但即使是這樣大的數字也未能完全反應其對全球經濟的影響。也許如何對世界經濟產生巨大影響才是我們應該真正關注的地方，而不是一些具體的數字。#p#

二、網絡犯罪的利潤到底有多大

無論是某小公司的某臺電腦還是整個政府機構，準確評估其價值都是一件大的工程，損失的具體規模往往是爭論的焦點。不知道這是不是某位領導人說的人類史上最偉大的財富轉移，或者某位經濟學專家說的14萬億經濟體下的一個小小的問題。

每年針對銀行及其他金融網絡機構的犯罪可能會花費數億美元。網絡知識產權和商業機密信息的盜竊可能會花費發達經濟體國家十億美元————有多少個十億還是一個懸而未決的問題。這些損失可能僅僅是這樣做的成本或者說這些損失對于公司和國家來說可能是一個主要的新風險，因為這些非法收購損害了全球經濟的競爭力并破壞了技術優勢。

每年對于網絡間諜活動給企業帶來的損失的預估顯示出了驚人的變化，從數十億美元到數千億美元，估計結果的范圍跨度如此之大反映了收集數據的困難，有的公司隱瞞自己的損失，而有些公司則不知道到底損失了什么。知識產權的價值很難估計，而評估往往是基于事件或調查，這些問題結合起來使之前的一些估計結果還可以再商榷。

惡意網絡活動帶來的損失不僅僅涉及到金融資產或知識產權的損失、還有相應的機會成本，對品牌和聲譽的損害，“彌補”用戶受騙以及服務中斷機會成本，還有隨之增加的維護網絡安全的成本。這其中的每一個類別都應該小心地處理，而這會幫助我們衡量社會成本。在多數情況下，我們把美國作為樣本，因為美國的數據真是一應俱全。

在理想的世界，我們搜集各種不同的事件資料是直接而純粹的，但那是不可能的。我們對于所有惡意網絡活動的資料都是不完全的，資料收集在定義資料的部分就非常困難。舉個例子，我們定義網絡犯罪是任何通過網絡手段的犯罪還是說剔除掉哪些可以使用傳統手段完成的，也就是那些僅僅只能夠通過網絡進行的犯罪才叫網絡犯罪呢?而我們唯一判別的方法就是假設沒有網絡，這些犯罪活動將如何發生。

這里有兩個不可逾越的障礙，第一是我們對“無網”的假設，這對于我們估計網絡服務中斷造成損失的估計非常重要，比如一家商店斷網一天大約損失10000美元，但如果顧客愿意等下去或者轉向其他店鋪，那么這使得網絡對于經濟的影響就小了很多;第二，我們是要估計市場價值的損失，而不是一個受害者的損失，比如一家公司花了10億美元去產品研究，但是這項研究的價值取決于它能帶來多少回報，而不是花了多少錢。

一個粗獷的假設是，每年美國(這個國家的數據已經相當開放)損失大約1000億美元，全球經濟為網絡犯罪和間諜活動大約付出的代價是美國的數倍，那么其造成的損失大約就是千億的數量級。以此觀察，世界銀行宣稱2011全球GDP大約70萬億美元，那么3000億美元的損失，大概就是這個范圍吧，實際占到了全球經濟收入1%的十分之四。但是這看似微不足道的數字下卻隱藏著幾個非常關鍵的問題，就是實施者的既得利益還有對受害者在網絡上的持續不斷的損失，這些效應是比數字更重要的部分，于是本篇報告最終要關心的。

我們對以前的研究進行了回溯以便能夠更清楚的理解這個問題，例如2010年一個德國股份公司的安全組織估計德國的知識產權損失大約為240億元(大部分，但是并不是網絡間諜造成損失的全部)。美國的GDP大約是德國的5倍，所以以此我們對美國得到的粗略估計大約為最高1200億美元。還有一份報告(雖然廣受爭議)指出英國的損失大約為270億美元，這個數字大約是英國GDP的2%，那么對應到美國就是2800億美元的損失。通過一系列的調查和論證，其中的四分之三是來自于公司知識產權的損失。

之前的一些關于網絡犯罪損失評估都是基于調查，而這是非常不準確的，除非能精巧的構建評估系統。調查一些或者幾百家公司的損失時候，從他們反饋的數據來估計是一種不夠合理的方法。不同經濟部門易受攻擊的地方是不同的，無論如何科學的選取樣本，調查的樣本總是不完美的。有些調查的樣本太小，那么他們的調查結果就是不可信的。在關于網絡犯罪的調查訪問中還有一個問題就是我們無法確定那些回答我們調查的人和那些選擇不回答的人的受攻擊的經歷是否是相同的。例如那些受到極大損失的公司可能就會選擇不回答，這樣就給調查帶來了誤差。#p#

三、惡意網絡活動的組成

在這份初始報告中我們試圖去將這個問題劃界，討論估計的重點是什么。我們會觀察類比物，例如盜竊率，來幫助我們衡量惡意網絡活動帶來的損失。我們試圖將惡意網絡活動分成不同的部分，不同的部分組合起來就是整個惡意網絡活動帶來的損失，但是這里的每一個部分的詳細數據都是不充足甚至不存在的，所以我們在做估計的時候應該時刻謹記。各部分如下:

◆知識產權的損失

◆網絡犯罪帶來的直接損失

◆敏感商業信息泄露帶來的損失(例如談判底線)包括可能的股票市場的反應

◆機會成本，包括服務中斷，失去線上的信任，恢復因黑客攻擊而失去的軍事領先，還有因為公司被黑而帶來的裁員進而對經濟政策的影響

◆為維護網絡安全增加的成本以及修復的成本

◆被攻擊公司的名譽信用的影響

知識產權損失

在所有造成的損失中最為嚴重的部分就是知識產權還有商業機密被盜————這就是商業間諜行為的危害。這很難去估計一個確切的損失數，部分原因在于，網絡間諜行為不是一種一方失去多少另一方就得到多少的博弈游戲。被偷的信息并不是被偷走消失了。如今的間諜可以偷走一個公司的產品計劃、研究結果、客戶信息，但是被偷的公司仍擁有這些信息。公司甚至不知道他們已經失去對這些信息的完全控制了。

定義知識產權的價值的方法有很多。一種就是通過出售其許可，然后公司就可以通過它帶來的現金流以及未來可能帶來的對其價值進行估計。公司也可以通過衡量取代它所需要的成本來衡量它的價值，盡管依靠收入來判斷其價值是非常不準確的。知識產權的實際價值和其研發成本差別很大的。如果一家公司花了10億美元研發一個產品，但是產品是失敗的，然后被間諜偷走了，那么公司的損失不是10億美元而是0，因為它的市場價值是0。

從計算機網絡獲取的信息，獲得信息的人并不會馬上從中獲益，因為他們缺少生產軍事或者高新產品的工藝或者技術。對于某些高新技術，偷來5到10年才做出產品，這樣的情況使我們的估計工作變得十分復雜。不同部門被盜知識產權技術的出產時間是不同的，有些要幾年，有些像高鐵，風力發電就快一些，有些甚至能在正版之前上市。

有一種方法能將這樣情況下的損失估計出來，那就是我們假設一家美國的公司擁有價值10億美元的知識產權，全部被外國黑客盜走，黑客賣給了競爭對手，這樣競爭對手就免費擁有了有價值的知識產權。但是，如果競爭對手不能利用得到的信息做出產品，那么被盜的公司就不受到額外的損失，非法得到這些信息的人只有做出產品或者通過降低研究成本提高競爭底線才會對原有公司造成損害。

制造高新技術產品不僅需要核心技術還需要很多工藝技術比如整個加工過程、便宜的原材料、用戶體驗等等。這些事情都會制約那些指望間諜行為競爭的公司。但是這些公司如果知道在每次遇到問題的時候，可以參照原創公司的做法，那么很快就能學會如何使用偷來的技術。

一直以來，擁有政府背景的商業間諜行為會關注著那些有利于國家利益的領域，比如高新技術和軍事。近來某些國家甚至視之為常規手段，國家通過間諜活動給本國的公司提供技術支持甚至比直接給津貼還便宜，而公司單獨的間諜行為則可以使其與大公司匹敵。曾經知識產權局公開的一家公司的IP被盜之后，就能在網上見到各種他們設計的產品了。類似的事情很多，比如盜取早餐麥片的配方、鞋子的設計、手機的部分技術、軟飲料的配方。這些并非是“戰略新興產業”，但是他們在網絡間諜行為中也受到了極大的損失。

被盜的公司仍然擁有完整的知識產權，并沒有失去生產產品的能力，實際的變化只是他多了一個競爭對手。那么如果這個新型的外企有政府資助使他能夠傾銷或者有國內市場的支持，那么這個競爭對被盜的公司就是一個很大的挑戰了。對我們而言，我們就需要盡我們可能了解到網絡間諜活動帶來的損失，并整合到國家經濟發展和貿易政策的大局之中來了解網絡間諜活動會帶來哪些影響。

商業信用信息

商業機密和知識產權的界限是不分明的，商業機密包括貿易機密和“內幕”，這樣的結構和知識產權是一致的，甚至帶來的損失也是一致的。我們這樣區分二者：知識產權是使生產一件復雜的產品更容易;商業機密是指會使商業談判中獲得巨大優勢的信息或者改變競爭策略的信息。

雖然從盜取知識產權到做出真正的產品會花費很多年的時間，但是量化被偷機密商業信息的價值已經刻不容緩。對石油挖掘資料、敏感商業信息、談判數據甚至股票內幕的盜竊會被盜竊者立刻利用，這會對公司造成巨大的損害。衡量這種戰略上的損失是非常困難的，因為被盜的公司甚至不知道這一切是怎么發生的。

另一種更陰險的黑客行為叫做內幕交易。這里獲取未公開的將要進行的交易信息并不是內部人員，但是這樣的行為和黑客盜竊是一樣的行為。內部交易或者等價的黑客行為看似沒有受害者，但實際上這會降低社會福利、損害金融市場。一個精明的黑客可以操縱股票價格或自動交易系統，投入假新聞可能影響價格或整個市場，影響的時間雖然較短，但黑客可以執行事先計劃的交易。在股票被操控的情況下，類似于內幕交易的網絡犯罪非常難以察覺，他們可以利用獲取到的信息進行交易，使執法變地困難。

網絡犯罪

網絡犯罪帶來的損失很復雜，他們并不直接危害國家安全，除了國際網絡犯罪使得潛在競爭對手利用別人的資源為自己牟利。直接入侵個人可能是是整個網絡犯罪活動中造成損失最小的。這種情況大致是通過扮演某種角色然后進入到了個人賬戶之類的欺詐行為，比如假扮反病毒公司說服受害者給受害者清理電腦。

禁毒辦估計，身份盜竊是網絡犯罪最賺錢的形式，每年在全球范圍內帶來十億美元的收入。同一份禁毒辦報告估計，采用網絡技術在美國身份盜竊的帶來的損失是7.8億美元(其他國家的數據不容易得到)。對其他類型的損失由銀行數據不容易獲得，但美國總共的損失大約是每年3億美元到5億美元之間。這不是一個單純的數字，如果它發生在我們的街道上會引起軒然大波，然而金融機構認為這是在提供網絡服務生意中成本的一部分。

服務中斷，如拒絕服務攻擊，可能對一個國家的經濟帶來很有限的損失(雖然可以通過這種手段搞垮一家公司)。如果一個在線零售的網站處于脫機狀態，他們將沒有銷量，但對實際的經濟體的影響并沒有那么大，消費者可以推遲購買或者換一家店。即使是相對較大的拒絕服務攻擊，像2007年發生在愛沙尼亞那次，也僅僅對整體經濟產生了一點點影響。其他的敲詐勒索型的網絡攻擊性行為，像威脅進行拒絕服務攻擊、滲透、數據加密收取解密費等等也是一樣的結果。

劍橋大學利用Gartner的數據對釣魚攻擊進行了一次評估，身份信息被盜將帶給受害人572美元的凈損失，那么已經發現的400個釣魚網站所造成的總損失將達到1.78億美元，他們估計釣魚網站的消費者每年的總損失是3.5億美元，而Gartner的報告是20億美元。他們估計的區別在于對問題的假設是不一樣的，有別的估計對于受害人損失的估計不到實際的1%。

一項關于網上零售商的調查表示2012年的網上詐騙總額大約為35億美元。因為各大公司開始采取相應反詐騙的措施，詐騙率才從2004年的1.8%下降到到2012年的0.9%，下降超過一半，但相反的是移動端的詐騙率卻上升到了1.4%，而且這些詐騙和網上零售商的聯系更為緊密了，帶來的這些損失占國民經濟的比重非常之小，而且僅僅被視為盜竊的另一種形式，卻沒有被認為是一種會蔓延并且阻礙網上經濟進一步發展而帶來的風險。雖然現在威脅還沒有爆發出來，但是這必將是一枚定時炸彈，未來網絡交易的價值或是因為人們在交易中不斷增加的風險而帶來的對網上交易的負面影響是我們無法估量的。

網絡犯罪還會帶來社會損失，比如會向兒童展示色情圖片或者鼓吹恐怖主義給社會帶來巨大威脅的網站。美國國會預算辦公室估計用于執行反兒童色情法的成本大約是3億美元一年。這份估計自然沒有包括對人們造成的心理創傷以及其他各個方面的影響。我們知道受害者受到侵害后會有無形損失，而這一概念在網絡犯罪需要進行一定的修改。在公司里，盡管員工和股東會受到惡意網絡攻擊而受到損失(如果他們知道是因為網絡攻擊而受到損失)。對其他犯罪的無形損失的估計給我們以警示。各個犯罪帶來的平均無形損失從謀殺的數十萬美元到盜竊的幾美元不等，偽造欺詐和侵占的帶來的損失或者很高或者難以估計。

名譽侵害

公司很害怕壞了名聲，但是名聲也是很難量化的東西，而且大家在這方面做的工作很少。公司在宣布他們受到了黑客攻擊之時，公司的聲譽必然會受到影響，你看它的股價就知道了。下跌的幅度會很大從1%到5%不等，但是不會下跌很長時間，通常在下個季度之前就會恢復，但是這將影響各種股票公司對公司股價的估計。而另一方面黑客行為帶來的包括美國證券交易委員會要求公司提交受到網絡攻擊的這一系列變化會不會讓股東明白黑客攻擊也是現代商業競爭資本的一部分。股東不太可能知道到底發生了什么，更不用說誰干的，幕后主使是誰。如果投資者認為公司的知識產權受到了很大的侵害或者有大量的客戶流失，那么股價的恢復就不會那么順利了。

不斷增加的安全成本

不斷增長的網絡安全投入自然是網絡間諜活動和網絡犯罪帶來的損失的一部分。一項估計預測公司和政府要花費其全部預算的7%在網絡安全事宜上。另一項報告顯示全球每年在安全軟件上的花費是600億美元，增長速度超過每年8%。美國預算和管理處的報告顯示2012年，聯邦機構在網絡安全相關的計劃和活動花費了超過150億美元，占聯邦政府在信息技術所有花費的20%。

像Anderson等對其進行了相當深入的研究，“我們對抗網絡犯罪的手段是極其低效的;或者這么說吧，網絡罪犯就像恐怖分子或者金屬竊賊(譯者按：例如公共場所的金屬裝飾，偷走當廢鐵賣)，這些行為為其帶來的利益相比對社會造成的損失是微不足道的。”

本來每家公司都會在網絡安全上投入一部分資金，但是我們假設現在的網絡環境好一點的話，那么就不用花這么多錢在安全投入上。決定惡意網絡攻擊帶來的風險溢價要面對所有損失估計所會面對的問題，而其中首先要考慮到的一點就是2012年所有公司要在對抗社會媒體攻擊、隱私侵權、網絡犯罪和網絡間諜上花費10億美元。這個相對較低的數字反映了現在保險業的不完善和公司對網絡風險的認知。

經過網絡攻擊之后的清理重建工作的花費相對較小。一項調查顯示對大型企業而言經過一次成功的入侵之后清理工作的花費大約平均在900萬美元。這些入侵中很大一部分還是用被盜的筆記本干的，人們還期望發動網絡攻擊的成本會高一些呢。另一個研究方向就是不斷增長的保險的花費，因為公司也在不斷尋找控制網絡泄露責任的方法。

機會成本

對惡意網絡活動的損失估計當然包括其機會成本、失去的機會以及那些因為本應在網絡活動中獲得的利益。如果網絡環境好一些，那些從網絡安全的花費中剩下的資金就是一種機會成本。其他的還包括減少的銷量和產量還有為了避開網上交易而做出的決定。

歐盟網絡安全戰略委員會的一份文件引用的一項調查顯示，出于安全原因，大約有三分之一的歐洲人表示他們并不能放心在網上使用銀行業務或者購物并且避免個人信息不被泄露(最擔憂的就是身份盜竊實行詐騙)。2008年一項由歐洲網絡與信息安全局委托的研究表明公眾對信息安全的擔憂已經在阻礙市場和公共服務的發展。還有一項2006年國際電信聯盟進行的全球性的研究，這是為其增強在網絡安全方面地位的一次戰役，總共收到了400份回應，發現當時超過40%的網絡使用者會因為網絡安全的原因而盡量避免網上的交易。這些數據雖然不是決定性的，但是他們表明網絡安全問題確實讓一些電子商務的機遇從我們手中溜走了。

我們必須在權衡這些報告所表達的信息的時候記住一件事情，互聯網還在不斷地發展，當我們采訪民眾的時候，民眾對此表示擔憂但是還會繼續使用網絡。我們可以假設如果網絡環境好一點的話，互聯網的發展還會更快一些。我們可以說糟糕的網絡安全環境不會使人們摒棄網絡，但是會使人們無法正常的使用網絡、使人們沒法使用網絡來做高價值的、重要的事情。這種“扭曲”的使用也許是網絡犯罪和間諜活動給互聯網帶來的最大的損害。

在估計網絡犯罪活動帶來損失的時候有一項機會成本常常忘記考慮，那就是對實施盜竊的國家的技術興起的影響。知識產權的盜竊實際上是被盜國的財富和知識向盜竊國的轉移，這使得盜竊國可以以較低的成本生產產品，但這同時也對盜竊國本國的創新能力變差。古語云“授人以魚不如授人以漁”，如果只會剽竊就不會去學習如何去創造，最終就會放棄創造新的技術。還有一種可能就是這種剽竊行為因為阻礙了盜竊國的創新而實際上對其造成損失，逐步導致全球的創新能力下降，這樣的話被盜國創造者的回報就會下降(使之失去信心)并且其資源和動力也會下降。由此來看羸弱的網絡環境對全球而言都是糟糕的。

我們還沒考慮潛在的損失————就是受害者受到的心理創傷，這些損失通常會訴諸于法庭而其中一些是固定的(像人死亡的賠償)，其他的就有很大差別。#p#

四、用類比的方法確定惡意網絡活動帶來的損失的范圍

類比法使用的是一個“等價代換”的數值而非我們直接從現象中測量出來的值。我們無法得到知識產權損失到底是多少，但是我們有很多商店被盜的信息，通過這些信息我們可以找到公司對非法活動的容忍限度(我們知道無形財產和消費類商品是不同的)。這種代換本身是不完美的，所以我們要知道我們離我們真正的目標有多少誤差：就像用油量的損耗代表行駛的公里數，但是我們得到的結果也會因不同的車而改變。我們會有一個基于全車型的“平均”換算值(還有其每公里耗油量)。我們的期望是利用一些比較好引證的值像犯罪和疾病，我們可以從中得出一些粗略的惡意網絡活動的帶來損失的估計。

類比的方法讓我們能夠知道我們研究問題的大致規模是怎么樣的，甚至能幫我們確定問題的邊界————上下限————惡意網絡活動帶來的損失的最大值和最小值，我們要做的就是和網絡犯罪類似的犯罪或者帶來損失的情況進行對比。為了尋找可以進行類比的活動，首先我們需要承認人們愿意為了之后的回報而在前期進行一定的投入。百貨公司允許顧客自行擺弄貨物，沒有銷售人員在一旁看著，因為這樣可以提升銷量，即使會使盜竊情況增加。同樣的，我們需要汽車，即使會有發生車禍的危險。所以，即使會有網絡犯罪的阻礙，整個社會還是會走向數字化的，問題在于我們對于商品被盜和汽車帶來的損失的容忍程度能否映射出我們對于網絡犯罪的容忍程度。

車禍：疾病控制中心估計(他們的數據比較準確)，美國2010因為車禍損失了900億美元。美國汽車協會估計2010年因為車禍損失了1680億美元。我們可以這樣看待現在惡意網絡活動帶給人們的損失，那就是如果說美國人民可以接受這些車禍帶來的損失作為獲得生活便利的代價，那么同樣的，網絡犯罪和網絡間諜活動也是信息社會帶來便利的代價。當然這不是說大家沒有盡力使損失降下來，并且如果考慮的到敏感軍事信息被盜這樣無法用金錢衡量的損失的時候，這種類比是十分不精確的。而對于車禍的賠償情況，我們也希望能知道我們損失的錢數能不能準確的反映受害人承受的“痛苦和損失”，假設他們知道他們被黑客攻擊了。

海盜：在海上無人監管的地區會被犯罪所統治，網絡也是一樣，索馬里是最有名的一個，不是唯一的一個。國際海洋局是一個無政府的組織，是國際商會的一部分，會追蹤全球的海盜行為。他們估計2005年因為海盜帶來的損失是10到160億美元之間。(看來網絡犯罪損失不是唯一難以估計的)另外一家組織公布的2010年的估計是70到120億美元。這其中并不包括人身損失，像囚禁甚至死亡，還有增長的保險金以及無法進行工作的機會成本。把這些算在一起，2005年海上貿易的價值是7.8萬億，這意味著因為海盜每年要損失0.02%的總價值。

盜竊：另外一個可以用來近似估計的案例來自于這樣一個現實：很多產業對于網絡間諜活動的反應非常冷淡。原因可能就是這些公司對于這樣的情況做一個合理的分析，他們認為對于阻止這類犯罪的花費要大于這些犯罪本身帶來的損失。公司將這一定程度的“失竊”或者“項目丟失”算作運營成本的一部分。對美國的零售商來說，1.5%到2%的這樣的損失都是可以接受的————2008年的估算為1.7%。用這樣的盜竊來近似惡意網絡活動帶來的損失的話，那么損失的上限就是國民生產總值的0.5%到2%之間，那么對應到美國那就是700億到2800億美元之間。也許各個公司也和零售業一樣計算了哪里應該進行更好的網絡防御才能使利益最大。“盜竊衡量”理論最大的問題在于很多企業不清楚失竊帶來的額外的損失是多少，這使得商業決案建立在了不合適的信息基礎之上。

犯罪和毒品：我們經常聽到有人說相比販毒，網絡犯罪的更為暴利。要證明這句話我們首先要知道販毒的利潤是多少。2012年10月，聯合國毒品和犯罪辦公室估計全球所有跨國犯罪的涉案金額為8700億美元，是全球生產總值的1.2%。其中有6000億是販毒相關。剩下的2700億包括人口販賣、走私、和網絡犯罪。在販毒猖獗的地方，我們看以看到毒品對整個地區的社會和經濟的影響，然而網絡犯罪沒有這些可以觀察到的效應。那么，網絡犯罪能產生6000億的暴利的想法就是比較夸張了。

類比法的局限性

如果我們對于網絡犯罪的“忍耐限度”的假設是對的話，也就是說和車禍、盜竊、毒品有類似的損失范圍，那么我們就能得到總損失的“界限”，而上述內容分析的結果是界限大約為國民生產總值的1%或者更少。但是這一切均建立于未經檢驗的假設，我們的推論也是建立在一些不確定的數據，包括非法得到的知識產權的使用率和報道的網絡犯罪和間諜帶來的損失的準確性。網絡世界的活動和其他可接受損失是有內在關聯的而且對于發展中國家，這項估計可能會偏高，因為這些國家并不主要依賴知識產權和網絡。各國和各公司的損失是不一樣的，建立不同的模型，不同的假設，結果都會不一樣。假設精度的不同會導致結果相差很大，但是任何估計方式超過我們估計的界限，都是應該再檢查一遍的。我們歡迎批評指正。#p#

五、危害

這份初步的調查說明了網絡間諜活動和犯罪帶來損失的上限大約為國際財政收入的0.5到1%之間，以美國為例，具體的數值大約為700億到1400億美元之間，而估值的下限為200億到250億之間。這個估計范圍略粗糙，我們會在未來的調查中進一步精確我們的估計。我們計劃：首先要堅守對于事件和調查數據的依賴，然后開始完善和比較已完成的估計，優化數據，從數據中提煉更合理的假設。雖然我們很難得到網絡間諜活動和犯罪法帶來的損失的精確值，但是我們相信我們可以得到一個相對比較準確的潛在損失的范圍估計，以便我們能夠更好的權衡問題。

我們用這個粗略的估計來估計美國這個占全球經濟總量五分之一的經濟體，那么推廣到全球的話，那就是1000到5000億美元的損失，這基本上可以說是大于實際情況的。我們需要修正的部分，首先就是發展中國家經濟相對于發達國際并沒有那么依賴于網絡并且也沒有那么多的無形資產，在十個經濟領導性國家中無形產品和服務占到了其GDP的50%到70%。那么將此考慮進去之后，損失的范圍將變成800億到4000億美元。這個范圍還是過于寬泛，所以我們只能用來作為研究的起始點。若我們將目光放在全球經濟總量有70萬億美元，那么這帶來的損失是很小的一部分，但是這并不意味著各國政府不愿意想辦法去盡力減少這一損失，而且因為軍事機密失竊帶來的損失很多時候是無法用金錢衡量的。我也需要從傳統的技術轉移方式中解脫出來，這其實是一種國外投資。網絡間諜活動至少會被人們當作是全球技術轉移大勢中的麻煩，我不想將全部的技術轉移和國外公司競爭力的增強歸因為網絡間諜的存在，同樣我也不會否認網絡間諜活動的對于經濟增長的長期的、巨大的影響，因為即使只有千分之幾的影響，年復一年也會對經濟健康發展帶來危害。

而公司卻遠遠低估了他們將要面對的威脅。一些公司認為網絡間諜活動帶來的損失是可以接受的，還有一部分在全球最快發展的市場里的公司認為他們可以以更快的速度更新技術，這樣就會使損失最小。這里面也許有他的經濟原理，對于個別公司會帶來短期收益。但是非法的技術轉移，甚至包括在美國已經過了專利保護期的技術轉移都會加速(別國)的軍事現代化。這會加速本土技術進步和科技水平，使得盜竊國能夠更快的掌握偷盜的技術并生產出有競爭力的產品。公司面對的風險不僅僅是失去戰略優勢，知識產權還包括用戶名單，競爭分析和銷售數據。

考慮乘法效應的話，現在對于惡意網絡活動的美元估值是低估了實際的損失的。某政府資助的研究項目發表聲明稱，雖然這個說法是有利于研究項目的————花費在研究項目單位美元的產出是高于商業活動的。果真如此的話，那么研究惡意網絡活動所造成的損失的乘法系數將比現在大很多，即使研究是免費的。那么由于網絡間諜，知識產權的損失的每一美元本應創造比一美元給國外競爭者更多的價值。若這是真確的，那么200美元的知識產權損失實際會為為盜竊國帶來遠大于200美元的利益。但是，這還是未經證明的事兒，因為乘法效應在經濟學理論中仍存在爭議。有經濟學家以生物醫學為例，生物醫學實驗每1美元的投入將得到2美元的產出。而其他對乘法效應的批判者認為也許一美元的投入將只能帶來8毛甚至更少的回報。

之前說過，在量化對國家安全還有一個難點。首先，在網絡間諜活動和網絡攻擊能力的發展之間有必然的聯系，網絡間諜活動為網絡攻擊至少提供了可攻擊的目標的信息和攻擊訓練。第二，對商業的網絡間諜活動和對軍事網絡間諜活動是有聯系的，他們通常是同一幫人為收集軍事和商業信息所為。以美國為例，一個有說服力的例子是諸如潛艇，導彈以及核能力對美國已經造成延伸之外的損失。我們無法準確估計我們在軍事技術上的損失，但是我們可以說網絡間諜活動，包括商業間諜會改變我們和他國競爭者之間的格局。

貿易格局和失業

貿易格局和一個國家必須為支付其進口的商品而出口的商品量。如果進口商品價格下跌，貿易格局就會偏向于進口國家，所以就必須減少出口。在我們得到被盜的知識產權會最終給消費者帶來更低的價格的結論之前，我們先看一些先決條件。首先，民眾不覺得考慮違法行為帶來的“優惠”是荒謬的。其次，網絡間諜活動降低了研究、教育和技術帶來的競爭力，使得被盜的發達國家難以生產那些需要用來支付進口賬單的商品。雖然間諜活動實際是為國外生產廠家進行了補貼，但是消費者實際得到的利潤卻并不大。

如果間諜沒有得到很好的報酬，那么這對被盜國將更慘。商業部國際貿管理局的分析發現，在2011年，10億美元的出口意味著5080份工作。全美的職工數量約為1.35億到1.45億人。這意味著我們之前估計的網絡間諜帶來的損失上限1000億美元，將導致508000人失業，再加上間諜活動本身對就業市場的影響，大約有三分之一的崗位將受到牽連。

相比就業總數，更為重要的是制造業和高薪職業的職位。網絡間諜行為使得很多高薪藍領只能從事低薪工作甚至失業，更重要的是，如果我們對失業率帶來的影響的粗略估計是正確的話，即使數值便的相對小一些，他實際是引出了知識產權的盜竊對我們真正的傷害。惡意網絡行為給我們帶來的最大的損失和風險不是他帶來的直接損失，而是盜竊國的經濟發展和全球競爭力的通過非法手段得到了增強(經濟也許也包括軍事)。#p#

六、下一階段的評估

我們已經完成了對惡意網絡行為帶來損失的關鍵因素的定義。

這些關鍵因素有的可以量化，但是這些因素依賴于對非法獲得的知識產權的實際效用和網絡犯罪和間諜活動的損失報告。任何網絡犯罪和間諜活動的準確數字是不可知的，但是我們可以做到相對準確的潛在損失的估計。

我們也定義一些對度量和效應有影響的事件。我們的目的是能夠量化網絡犯罪和間諜活動帶來的損失，但是其核心是得到其對貿易，技術和競爭力的影響。我們下一份報告會提供基于更多種技術，模型和假設得到的范圍估計，同時也會對更大的效應進行評估。我們計劃在最終的報告中使用其他國家的數據，來精煉我們的估計。特別的，我們會分析4個基本問題:

“合理損失范圍”的準確的類比是否能又來來進行估計分析?有一種論調就是基于當下電腦領養計劃的成功導致的隱性利潤成本分析的偏差。這樣的話個人在面臨長期投入和短期獲利的選擇之時損失巨大。(One proxy of possible interest starts from the proposition that the implicit cost-benefit analysis of “to lerated costs” may be skewed by immediate gratification in the context of computer adoption. Individuals may willingly incur much heavier, and arguably irrational, losses if they are making choices between short-term gratification and long-term costs.)健康問題和其他可治愈疾病問題可以很好的匹配這個模型。成本的出現于對生活方式的選擇————抽煙、肥胖、缺乏鍛煉————我們知道這樣不好，但是我們還是保持原樣。(抽煙當然是會上癮的，但是有的人會說……稍等我要查下這個不會被自動發到Twiiter上)

通過網絡非法獲得的技術會給處心積慮的盜竊國帶來很大的科技進步還是說只是會對盜竊國和被盜國的經濟造成一點點影響(注意有的公司受到了毀滅性的影響)。

公司會把這樣的損失折算到生意成本的一部分么還是沒有注意到他們損失之巨大。

用美元來衡量我們受到網絡間諜和犯罪活動的侵害是否合適，這里面有無形資產，有對國際互聯網的信任以及對軍事力量的影響。

對這些大問題的回答會幫助我們界定問題的范圍并可以從全局進行考慮，網絡犯罪和間諜活動每年給全世界帶來數十億美元的損失，盡管數額巨大，但是這并沒能完整反映對全球經濟的影響。網絡犯罪和間諜減緩了技術創新的步伐，擾亂貿易秩序，增加社會成本，引發犯罪和事業，這些巨大的不良影響比準確的數據更為重要，這也將會是我們最終報告的核心。

來源說明：本文來自McAfee國際信息研究中心2013年6月發布的報告《The economic impact of cybercrime and cyber espionage》，由IDF實驗室李天星翻譯。