1.1.1　損失的現狀

CSO雜志與美國特勤局（the U.S.Secret Service）、卡內基梅隆大學軟件工程學院CERT計劃與德勤（Deloitte）的安全性和隱私保護解決方案中心合作進行的2010年網絡安全觀察調查（2010 CyberSecurity Watch Survey）[CSO 2010]揭示，在2007～2009年之間，網絡犯罪受害者的數量減少（60％相對于66％），但受網絡犯罪事件影響的組織的數量顯著增加。在2008年8月至2009年7月被調查的523名受訪者中，與前一年相比，超過三分之一（37％）的受訪者經歷了網絡犯罪增加，16％的受訪者金錢損失增加。在經歷了電子犯罪（e-crime）的那些人中，有25％的受訪者報告經營虧損，13％的受訪者表示有經濟損失，15％的受訪者宣稱由此導致聲譽受損。受訪者報告，電子犯罪平均給每個組織造成的損失達394700美元。

估計僅在美國，網絡犯罪的損失范圍從每年數以百萬計到高達一萬億美元。但是，真實損失是很難進行量化的，其中有許多原因，包括以下內容。

·相當高比例的網絡犯罪（72％，根據2010年網絡安全觀察調查[CSO 2010]）被隱瞞甚至被忽視。

·統計數字有時不可靠，要么被高估，要么被低估，取決于統計數字的來源方（例如，銀行可能故意少報成本，以避免網上銀行失去消費者信賴）。根據由計算機安全協會（Computer Crime Institute，CSI）進行的2010/2011年度計算機犯罪與安全調查（2010/2011Computer Crime and Security Survey），“與以往任何時候相比，現在愿意分享其遭受的經濟損失的具體信息的受訪者更少”[CSI 2011]。

·間接成本，如在線服務失去消費者的信賴（例如，銀行會導致電子交易費收入減少和更高的維護人員成本[Anderson 2012]），也被所有報告的機構高估、低估或不考慮在內。

·傳統犯罪（如稅收和福利詐騙，今天被認為是網絡犯罪，只是因為這些相互作用的很大一部分現在是在線進行的）和新的“歸因于Internet”的犯罪之間的界限往往是模糊的[Anderson 2012]。

作為響應來自英國國防部的請求，Ross Anderson和他的同事們對網絡犯罪的開銷進行了系統的研究[Anderson 2012]。表1.1重點描述了一些他們在評估全球的網絡犯罪開銷上的研究成果。

表1.1　由已知的估算判斷成本類別的覆蓋范圍*

①估計是使用英國數據并基于英國GDP占世界GDP份額（5%）按比例擴展而得的，由英國數據推斷全球規模，需要極為謹慎。

*資料來源：摘自R.Anderson等在2012年第11屆信息安全經濟學年度研討會上的“測量網絡犯罪成本”論文。http://weis 20l2.econinfosec.org/papers/Anderson_WEIS 2012.pdf