Cyber economics v2 -Measuring the true cost of Cybercrime

  • 244 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
244
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
4
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • ב-7 באפריל 2013 הותקפו אתרי אינטרנט ישראלים בארץ ובעולם במבצע שנודע כ- OpIsrael. המתקפה התרחשה בהמשך למבצע "עמוד ענן" של צה"ל בסוף 2012 ברצועת עזה וכתגובה למדיניות ישראל בשטחים. למבצע הקיברנטי קדמו פרסומים רבים וכן סרטוני תעמולה של ארגון Anonymous אשר הוביל את ההתקפה. מארגני המבצע איימו לנתק את מדינת ישראל מהאינטרנט וקבעו רף חדש במערכה התודעתית וביחסים בין טרור קיברנטי למדינה. במהלך השבועות שקדמו להתקפה הורגשה בשוק המקומי תכונה רבה לקראת העתיד לבוא. בארגונים רבים, במיוחד באלה הנמנים על המגזרים המועדים להתקפות על רקע לאומני, התקיימו ישיבות הכנה, בוצעו פעולות מנע וטיוב למערכות ההגנה, אורגנו התייעצויות עם גורמים מקצועיים ונאסף מודיעין לקראת ההתקפה. במהלך ההתקפה עצמה, אשר נמשכה כל סוף השבוע שקדם ל- 7 באפריל וכן במהלך אותו יום ובימים לאחר מכן, הותקפו אתרים של חברות וארגונים מכל הסוגים, רשויות ציבוריות, משרדי ממשלה, גופים ביטחוניים וכל יעד אחר שהמתקיפים שייכו למדינת ישראל או למוסדות המזוהים עמה. http://www.youtube.com/watch?v=q760tsz1Z7M
  • דוגמא לסוגיה ניתן למצוא במחקר, שפירסמה בשנת 2009 חברת מקאפי, אשר העריך את סך הנזק הגלובלי כתוצאה מפעולות קיברנטיות בלתי לגיטימיות בסכום הדמיוני של טריליון דולר בשנה. מחקר זה נוצל בשעתו בידי חלק מאנשי הממשל כדי לשכנע את הנשיא אובמה לתקצב בנדיבות את המאמצים הקיברנטיים של ארצות הברית. לדבר על המאמר הראשון של מקאפי ועל זה שהם הסתבכו עם המספר הזה: http://news.slashdot.org/story/13/08/19/1522217/mcafee-regrets-flawed-trillion-dollar-cyber-crime-claimshttp://news.cnet.com/8301-1009_3-57594989-83/cyberattacks-account-for-up-to-$1-trillion-in-global-losses/,
  • האתגר המרכזי כאן הוא אפוא מדידה אפקטיבית של השפעת עולם הסייבר על הכלכלה. אבל מה עומד מאחורי הביטוי מדידה אפקטיבית? מחקר שפורסם בשנת 2010 על ידי Fafinski, Dutton, Margetts מאוניברסיטת אוקספורד ניסה לעשות סדר במדידה של פשיעת סייבר. מחקר זה הצביע במפורש על חלק מהקשיים המרכזיים באיסוף מידע אמין לביצוע המדידה: עודף במקורות מידע –בעולם שבו אנו חיים קיים מגוון עצום של מקורות מידע. גם בתחום מחקר הסייבר קיימים עשרות רבות של גופים בינלאומיים ומקומיים אשר עוסקים בנושא. הקושי העיקרי כאן הוא שאין תקן אחיד לאיכות הנתונים ואין שום הבטחה לגבי נכונותם.תיעוד חסר של אירועי סייבר –בהמשך לנקודה הראשונה ולמרבה האירוניה, הפחד מפרסום שלילי או ריגול בקרב ארגונים שסבלו מאירוע סייבר, העדר חובת דיווח והעדר תקן לצורת הדיווח מביאים לכך שלכלל תושבי כדור הארץ אין כיום תמונת מצב מהימנה לגבי אירועי סייבר והשפעתם המצטברת על הכלכלה. סקרי סייבר –כמו שכבר הוזכר למעלה, אין מתודולוגיה מוכרת לביצוע סקרים בנושא הנזק הנגרם כתוצאה מאירועי סייבר. כמו כן, אין כמעט סקרים אשר ביצעו עבודה מקיפה למדידה של הנזק הנ"ל. יש לציין כי סקרים ורטיקלים נחשבים למדוייקים יותר וניתן באמצעותם לקבל, לעתים, תמונת מצב טובה על הנעשה במגזר מסויים. עדיין, תמונה כללית על שוק או מדינה אינם בנמצא.ניגוד אינטרסים והטיות –סקרים רבים מבוצעים על ידי גורמים אשר יש להם אינטרס מסויים בשוק של פשיעה קיברנטית. חברות אשר מוכרות מוצרים בתחום עלולות לפרסם נתונים מנופחים על מנת לשדר בהלה ודחיפות ולנסות לשכנע לקוחות לרכוש את מוצריהם.שפה ורטוריקה –אוכלוסיות שונות משתמשות בטרמינולוגיה שונה ועל ידי כך מקשות על כלל הציבור לקבל תמונה מהימנה של האירועים. דוגמא טובה לכך היא הדרמטיזציה שעיתונאים עושים לתחום הסייבר בכיסוי שלו במדיות השונות. דוגמא נוספת מישראל היא השיח הקולני, לעתים, אשר מובל על ידי נבחרי ציבור שונים שמנסים למשוך את תשומת הלב הציבורית לנושא באמצעות תיאורים אפוקליפטים ודימויים מוגזמים. http://www.law.leeds.ac.uk/assets/files/staff/FD18.pdfhttp://main.knesset.gov.il/Activity/committees/Science/News/pages/pr_980_01011900.aspx
  • עורכי המחקר מציעים להפריד בין תחומים שלגביהם קיים מידע ונתונים אשר מאפשרים לבצע מדידה כמו הונאות בכרטיסי אשראי, הונאות בבנקאות באינטרנט, זיופים שונים בתחום המוסיקה והוידאו ועוד לבין תחומים שאין לגביהם נתונים כלל. בכל תחום מתחומי ההונאה השונים נבחר מקור המידע האמין ביותר לדעת החוקרים וכך הורכבה התמונה השלמה. החוקרים התבססו על הנחה נוספת, לפיה בריטניה אחראית ל 5% מסך התמ"ג העולמי וזאת כדי לבצע מנפולציות על נתונים מהרמה העולמית לרמה המקומית וההיפך. סך הממצאים מרוכזים בטבלה הבאה:http://data.worldbank.org/country/united-kingdomהמספרים המודגשים חושבו בהתבסס על הנחות ומחקרים בכל תחום ואילו המספרים לצידם, שאינם מודגשים, חושבו על פי חלקה היחסי של בריטניה מסך התמ"ג העולמי.על פי נתונים אלו, עלות פשיעת הסייבר בבריטניה עומדת על כ- 18.5 מיליארד דולר (0.77% מהתמ"ג הבריטי). עם זאת, יש לשים לב לפרמטר מאוד חשוב בטבלה: במחקר נלקחו בחשבון סעיפי עלות להונאות מתחומי המס והרווחה מתוך הבנה כי חלק גדול מהאינטראקציה בין האזרח לרשויות היא אלקטרונית. כך, למשל, הונאות מס נעשות כיום, במקרים רבים, במערכות ממוחשבות ועל פי מחקר זה יש לראות בהן הונאות של תחום אשר הופך לקיברנטי. עם זאת, יתכן שלא כולם יסכימו לפרשנות זו, שכן בדוגמה זו מהות העבירה היא לא קיברנטית, למרות שהאמצעי הטכני לביצועה -כן. שני חלקים אלה תורמים כ- 14 מיליארד דולר עלות הכוללת. אם ננקה את שני הסעיפים הללו נראה כי סך העלות כתוצאה מפשיעת סייבר בבריטניה עומדת על כ- 4.5 מיליארד (0.19% מהתמ"ג הבריטי). אם נקיש מנתונים אלה על השוק הישראלי נגלה כי 0.19% מהתמ"ג הישראלי מסתכמים ב- 460 מיליון דולר. וזו, על פי מחקר זה, היא עלות הפשיעה הקיברנטית בישראל.החישוב: תמ"ג בישראל (248 מיליארד $ בקירוב) כפול 0.19%: 248B*0.19%=460M

Transcript

  • 1. Cyberonomics Measuring the true cost of Cybercrime Shahar Geiger Maor
  • 2. https://twitter.com/Op_Israel/status/320957190309543938 B (daily)
  • 3. Why Measuring Cyber Security? in :
  • 4. “…Cybercrime Cost is estimated $1 Trillion worldwide” http://www.whitehouse.gov/video/President-Obama-on-Cybersecurity#transcript http://www.forbes.com/sites/andygreenberg/ /mcafee-explains- the-dubious-math-behind-its-unscientific- -trillion-data-loss-claim
  • 5. Risk Landscap e (2013) http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2013.pdf
  • 6. 1.8% Of GDP UK = 27B₤ IL = 4.5B$ The Cost Of Cybercrime in Israel (#1) -industry-and-government-joint-crime-cyber-of-cost-https://www.gov.uk/government/publications/the
  • 7. The Cost Of Cybercrime in Israel (#1) 4.5B$ http://www.slideshare.net/jimmyschwarzkopf/stki-summit-2012-israeli-it-market 4.5B$ ~66% of 6.7B$
  • 8. Why Measuring Cyber Security Is So Problematic? Too many sources of data The problems of under-recording and under/over-reporting Cybercrime surveys (lack of methodology) Conflicts of interest Terminology and rhetorics What to measure? (impact, loss) http://www.law.leeds.ac.uk/assets/files/staff/FD .pdf
  • 9. The Costs Of Cybercrime To Society Defense costs Indirect losses Direct losses Cybercrime Supporting Infra. Criminal revenue Cost to society http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf +customizations Terrorist’s gain Vendor revenue
  • 10. 0.19% Of GDP UK = 4.5B₤ IL = 460M$ http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf
  • 11. The Cost Of Cybercrime in Israel (#2) 460M$ http://mops.gov.il/Documents/Publications/CrimeDamage/CrimeDamageReports/CrimeDamageReport2011.pdf Total cost of crime in Israel (2012): 4B$ Sex Crimes: 170M$ Murder: 100M$ Fraud+ ​Property : 1,960M$ x2. 7 x4. 2 23 %
  • 12. Some Insights From An Israeli Security Survey This survey refers to 2009-2011 (included) Market Average: 2 incidents in 3 years Per organization Market score: ~400 incidents in 2011 An average security incident looks like this: • Inside factor or known vulnerability/threat • ~50 working hours per incident • ~50K$ per incident (~~~~~~~~~~~) http://www.slideshare.net/shaharmaor/information-security-stki-summit-2012shahar-geiger-maor-12059675
  • 13. The Cost Of Cybercrime in Israel (#3) 20M$
  • 14. http://hackingdefined.org/opisrael/rss.xml A Brave New Economic Model Scope Target Impact Timing Reputation Economic gains
  • 15. Government’s Role In Cyber Economic Measurement Quantitative risk assessment may improve cyber security controls and mitigation. So: Regulators should encourage the use of cyber economic measurement tools One methodology One focal point Discreet reporting
  • 16. Thank You!