1.1.1　损失的现状

CSO杂志与美国特勤局（the U.S.Secret Service）、卡内基梅隆大学软件工程学院CERT计划与德勤（Deloitte）的安全性和隐私保护解决方案中心合作进行的2010年网络安全观察调查（2010 CyberSecurity Watch Survey）[CSO 2010]揭示，在2007～2009年之间，网络犯罪受害者的数量减少（60％相对于66％），但受网络犯罪事件影响的组织的数量显著增加。在2008年8月至2009年7月被调查的523名受访者中，与前一年相比，超过三分之一（37％）的受访者经历了网络犯罪增加，16％的受访者金钱损失增加。在经历了电子犯罪（e-crime）的那些人中，有25％的受访者报告经营亏损，13％的受访者表示有经济损失，15％的受访者宣称由此导致声誉受损。受访者报告，电子犯罪平均给每个组织造成的损失达394700美元。

估计仅在美国，网络犯罪的损失范围从每年数以百万计到高达一万亿美元。但是，真实损失是很难进行量化的，其中有许多原因，包括以下内容。

·相当高比例的网络犯罪（72％，根据2010年网络安全观察调查[CSO 2010]）被隐瞒甚至被忽视。

·统计数字有时不可靠，要么被高估，要么被低估，取决于统计数字的来源方（例如，银行可能故意少报成本，以避免网上银行失去消费者信赖）。根据由计算机安全协会（Computer Crime Institute，CSI）进行的2010/2011年度计算机犯罪与安全调查（2010/2011Computer Crime and Security Survey），“与以往任何时候相比，现在愿意分享其遭受的经济损失的具体信息的受访者更少”[CSI 2011]。

·间接成本，如在线服务失去消费者的信赖（例如，银行会导致电子交易费收入减少和更高的维护人员成本[Anderson 2012]），也被所有报告的机构高估、低估或不考虑在内。

·传统犯罪（如税收和福利诈骗，今天被认为是网络犯罪，只是因为这些相互作用的很大一部分现在是在线进行的）和新的“归因于Internet”的犯罪之间的界限往往是模糊的[Anderson 2012]。

作为响应来自英国国防部的请求，Ross Anderson和他的同事们对网络犯罪的开销进行了系统的研究[Anderson 2012]。表1.1重点描述了一些他们在评估全球的网络犯罪开销上的研究成果。

表1.1　由已知的估算判断成本类别的覆盖范围*

①估计是使用英国数据并基于英国GDP占世界GDP份额（5%）按比例扩展而得的，由英国数据推断全球规模，需要极为谨慎。

*资料来源：摘自R.Anderson等在2012年第11届信息安全经济学年度研讨会上的“测量网络犯罪成本”论文。http://weis 20l2.econinfosec.org/papers/Anderson_WEIS 2012.pdf