2017年11月,丹麦航运巨头AP Møller-Mærsk以6月网络攻击的持续影响为由,下调了利润预期。该公司向投资者提交的第三季度报告称,由于“销量减少和单位成本增加”,该事件使盈利能力减少了“2.5 -3亿美元”(AP Møller-Mærsk 2017)。英国跨国公司利洁时(Reckitt Benckiser)也受到了同样的攻击,该公司生产家喻户晓的药品和清洁产品。官方损失数字尚未公布,但分析人士估计损失约为1.4亿美元。今年9月,美国消费信贷报告机构Equifax披露了一起影响1.43亿美国人的数据泄露事件,这些人的敏感个人信息最终被泄露到网上。消息公布三个月后,该公司股价仍下跌了20%。这只是最近几起造成重大经济后果的网络事件中的两起。
有人可能会得出这样的结论:一些长期的市场领导者正开始失去光彩,因为他们无法跟上技术进步的快速步伐。成立于100多年前的公司可能未能发展出足够的灵活性来在数字经济中生存,现在它们很容易受到专注于互联网的竞争对手和网络犯罪分子的攻击。
但事实并非如此;新一代企业也在遭受黑客攻击。已成为技术颠覆象征的叫车公司优步(Uber)在2016年遭到大规模网络攻击。它不仅没有向当局披露这一事件,据称还试图贿赂肇事者,使其保持沉默。陪审团还不知道这次事件将花费多少,但金额不可能很小。
网络攻击的代价:测量和建模的挑战
那么,网络攻击给我们的经济带来的总体代价是什么?我们知道的还不多。2017年5月,七国集团财长和央行行长承认,在网络安全的经济层面存在数据差距;他们呼吁“国际组织和政府机构与私营部门合作”提供“可靠、公正、全面和广泛获取的”信息(G7 2017),作为政策决策的依据。
测量最简单的变量——事件发生的频率——已经相当具有挑战性。受害者缺乏披露攻击的动机,即使在法律义务存在的情况下;声誉成本和随后的竞争力丧失可能超过信息共享的好处(Gal-or和Ghose 2005, Laube和Böhme 2016)。就经济影响而言,由于概念和实际的原因,这项努力变得困难得多。
首先,对于网络攻击的成本构成,各方没有共同的定义。现有的大多数研究都关注直接受到黑客攻击的企业所遭受的损失,即使在这个有限的范围内,一些组件在本质上是不确定的。
根据英国网络安全漏洞调查(UK Cyber Security breach Survey)使用的分类方法(该领域官方统计数据的唯一例子),受害者应该通过将三类项目相加来计算一次攻击的成本:
- 直接影响,例如业务中断造成的收入损失,以及数据盗窃或破坏造成的其他损失
- 恢复活动,包括处理破坏的额外工作量,以及修理设备或基础设施的支出
- 长期影响,如罚款、法律费用和股票价值或资金的损失
英国政府警告称,“对企业来说,这(最后)一组成本可能更难估算,这意味着这些数字的误差幅度可能更高”。报告还指出,可能存在普遍的可靠性问题,因为“企业很少监测网络安全漏洞的财务成本”(英国文化、媒体和体育部2017年)。
第二,越来越多的证据表明,成本的分布是高度不对称的,这限制了大多数基于调查的估计的信息内容。Edwards等人(2016)发现,隐私权信息交换所数据1中所列的侵权行为的规模服从对数正态分布。意大利银行的数据显示,2016年,绝大多数针对意大利非金融私营企业的攻击造成的直接和恢复成本低于5万欧元,但每1000名受害者中就有一人报告损失至少20万欧元(Biancotti 2017)。
图1.在公司层面,2016年遭受的所有网络攻击的经济成本(核密度估算;费用以欧元)
请注意:受访者可以选择在回答成本问题时选择一个等级,而不是给出一个估计分数。上面的括号是开放的(“20万欧元及以上”),为了便于阅读,在这个图表中它的上限是30万欧元。这个数字不应该被解释为实际的上限。
《网络安全漏洞调查》(Cyber Security breach Survey)对英国的情况也类似,少数严重事件造成的危害超过了所有普通攻击的总和。然而,我们仍然不知道超级入侵的平均规模有多大,也不知道所有这些事件加在一起的总成本是多少——到目前为止使用的数据收集技术并不适合测量尾部事件。
第三,聚合并不简单。整个经济的损失并不是系统被黑的公司所承担的成本总和;网络漏洞具有负外部性(Biancotti et al. 2017),只有部分外部性最终会被攻击者内部化(例如,通过法院下令赔偿在攻击中个人数据被窃取的客户)。如果我们的出发点仅仅是估计被黑客攻击的能源分销商所遭受的损失,我们如何计算影响一个大城市的四小时停电的成本?
这些问题不容易解决,但必须找到解决办法,因为缺乏信息本身就是脆弱性的一个原因。在企业层面,对网络攻击能造成多大破坏的不完全理解,导致在安全方面的投资不足;事实上,意大利银行的数据显示,拥有至少20名员工的中位数公司在网络防御上的支出仅为4530欧元,相当于典型员工年收入的15%。由于网络空间是高度互联的,这导致了一个不安全的运营环境,即使是那些把安全放在首位的公司。
没有事故和损失的时间序列数据,风险转移的选择也很有限,因为保险公司很难为承保范围定价。2015年,经合组织国家独立网络保险的毛保费总额估计仅为25亿美元,相比之下,火灾和财产保险为2770亿美元,一般责任保险为1710亿美元(经合组织2017年)。意大利银行(Bank of Italy)尚未公布的数据显示,2017年9月,近80%的公司没有任何形式的网络风险保险;只有ICT部门的覆盖率更高(Biancotti和Cristadoro即将到来)。最后,缺乏数据会损害政策设计,更重要的是会损害评估。
表12017年9月,按活动部门技术强度划分的网络保险普及率(企业份额)
改善指标的路线图
改善成本指标的质量需要在各个领域取得进展。作为第一步,需要进行一些基础工作,以便在各个层面(个人、公司、部门、经济、经济集团)对网络攻击的经济成本制定共同的定义,并制定衡量这些成本的共同标准。这一领域的工作已经在进行中——经合组织成立了一个国际专家组,美国国土安全部(Livingston等人,2017年)最近提出了一个衡量框架。
研究如何最好地集成多个数据源也很重要。考虑到这一现象的复杂性,从单个数据集中获得有意义的估计是不太可能的,无论数据集多么好。现有的调查将该公司作为抽样单位。这是显示攻击对公司经济表现的影响的重要目的,但却没有解决聚合问题。这种调查应辅以以事件为抽样单位的其他调查;由于不存在事件普查,因此必须从外部来源提取适当的抽样框架——例如,由国家数据保护当局管理的事件通知档案,或由战略与国际研究中心(2017)维护的攻击清单。
此外,考虑到不常见的大型攻击的重要性,所有的数据收集和估计工具都应该考虑到罕见事件。在调查的情况下,文献建议当人们想测量一个倾斜的长尾变量时,对右尾进行过采样,其中右尾的报告不足和无响应明显高于分布的其他部分。调查结果可以得到有效的验证,并与有关严重攻击的定性信息相结合——使用了哪些恶意软件,它们在网络中传播的速度有多快,它们未被发现的时间有多长,等等。大数据技术可用于集成覆盖网络安全各个维度的异构、非结构化数据集。私营部门正在试验这些技术(劳埃德2017年报告),官方统计数据需要迎头赶上。
最后,尽管这些方法论问题的综合影响表明,网络攻击的成本永远无法以同样的精确度估算(比如,以年度工作时间计算),但这并不一定是政策设计和评估的致命障碍。选择正确的政策需要知道哪些立法、规范和法规在遏制袭击的经济影响方面最成功。如果很好地理解了测量中的偏差来源,就有可能得出无偏估计的频率变化和攻击成本随时间的变化,即使不能准确确定绝对水平。
参考文献
AP Møller-Mærsk(2017),中期报告2017 - Q3。
Biancotti, C和R Cristadoro(即将出版),“网络风险保险的市场:来自意大利私营部门的证据”,意大利银行,偶发论文。
Biancotti, C(2017),“网络安全的代价:来自意大利私营部门的证据”,意大利银行,偶发论文第407期。
Biancotti, C, R Cristadoro, S Di Giuliomaria, A Fazio和G Partipilo(2017),”网络攻击:经济政策的挑战, VoxEU.org, 6月23日。
战略与国际研究中心(2017),“2006年以来的重大网络事件”。
Edwards, B, S Hofmeyr和S Forrest(2016),“炒作和沉重的尾巴:数据泄露的近距离观察”,《网络安全2(1)。
Gal-or, E和A Ghose(2005),“共享安全信息的经济激励”,信息系统研究16(2)。
G7 (2017), G7财长和央行行长会议Communiqué。
Laube, S和R Böhme(2016),“向当局报告强制性安全漏洞的经济学”,网络安全杂志2(1): 29-41。
利文斯顿,O, M Shabbat和T Cheesebrough(2017),“网络事件的成本”,在第16届信息安全经济学研讨会上发表。
劳合社(2017),计算成本:网络曝光解码.
经合组织(2017),加强保险在网络风险管理中的作用.
英国文化、媒体和体育部(2017年),网络安全漏洞调查:主要报告。
尾注
在撰写本文时,隐私权信息交换所数据集列出了2005年至2017年期间导致个人信息暴露的7852起公共记录数据泄露事件。
