Relatório destaca conflito de interesses pelos fornecedores de programas de segurança informática.
O presidente norte-americano Barack Obama falou dele num importante discurso sobre cibersegurança. Senadores dos EUA abordaram-no enquanto promoviam o seu Cyber Security Act de 2012. O general Keith Alexander, director da Agência de Segurança Nacional (NSA) e chefe do CiberComando dos EUA, referiu-se-lhe enquanto advertia para a “maior transferência de riqueza na história”, devido ao roubo de propriedade intelectual.
Mas porque o citaram – o custo estimado do cibercrime – isso não o torna realidade, diz um relatório do ProPublica.
Há um consenso geral de que o custo mundial do cibercrime está nas centenas de milhões de dólares. Mas quantas centenas de milhões é uma questão em debate, na sequência do relatório do ProPublica, que questionou as estimativas mais amplamente citados por duas grandes empresas de segurança.
A McAfee estimou o custo anual em todo o mundo do cibercrime em mil biliões de dólares. A Symantec estimou o custo anual de roubo de propriedade intelectual nos EUA em 250 mil milhões.
O relatório diz que são exageros – talvez vastos – observando que a figura dos mil biliões de dólares não está sequer no relatório da McAfee, mas nos comunicados de imprensa sobre o assunto.
Não são os únicos a colocarem essas estimativas em questão. Os investigadores informáticos Dinei Florêncio e Cormac Herley, da Microsoft Research, autores de um recente trabalho intitulado “Sex, Lies and Cyber-crime Surveys“, escreveram: “a nossa avaliação da qualidade dos estudos sobre o cibercrime é dura: eles são tão comprometidos e parciais que nenhuma fé pode ser colocada nas suas conclusões”.
O relatório do ProPublica diz que a estimativa da McAfee é contestada por alguns daqueles que analisaram os dados no relatório de 2009, que foi baseado em informações obtidas a partir de um inquérito a 1.000 profissionais de TI.
Eugene Spafford, um dos três investigadores independentes da Universidade de Purdue, disse-lhes: “eu fiquei realmente como que horrorizado quando o número saiu nas notícias, os biliões de dólares, porque era muito, muito grande”.
Outro investigador, Ross Anderson, professor de segurança informática na Universidade de Cambridge, disse ao ProPublica que “teria desaprovado na altura se soubesse [sobre a estimativa dos mil biliões de dólares]. A qualidade intelectual disto está abaixo do abismal”.
“[A estimativa da Symantec] foi de facto mencionada num relatório da Symantec, mas não é um número da Symantec e a sua origem permanece um mistério”, diz o relatório.
Sal Viveros, responsável de relações públicas da McAfee que supervisionou o relatório de 2009, não respondeu a um pedido de comentário até ao fecho desta reportagem. Mas ele escreveu num e-mail ao ProPublica: ” trabalhamos com grupos de reflexão [“think tanks”] e universidades para garantir que os nossos relatórios não são tendenciosos e são tão precisos quanto possível”.
Outros especialistas em segurança e analistas tendem a concordar com o ProPublica, dizendo que não só as estimativas são inflaccionadas mas que qualquer estimativa de um fornecedor de segurança deve ser tratada com algum cepticismo, porque existe um conflito interno de interesses – quanto pior forem os riscos na segurança e custos, melhor é para o seu negócio.
Além disso, os relatórios da indústria não estão sujeitos ao tipo de análise [“peer review”] feito em revistas académicas e profissionais.
Mas os especialistas também estão dispostos a dar alguma folga às empresas, por um par de razões. Primeiro, é muito difícil estimar este tipo de coisas. Às vezes, as empresas nem sequer sabem que foram atacadas. Muitas vezes, quando descobrem, não querem falar sobre isso, para não danificar a sua marca. E às vezes é difícil calcular quanto foi o dano real.
“Eu não lhes bato por isso”, disse Jason Healey, do Atlantic Council e antigo oficial de segurança da Casa Branca e da Goldman Sachs. “Os especialistas há muito tempo que têm problemas em concordar em estimativas” [que são tão diferentes].
Healey refere que as estimativas de danos do primeiro ciberincidente em larga escala, o worm Morris em 1988, “variou de 200 dólares para mais de 53 mil dólares por instalação, enquanto a estimativa mais citada dos danos totais variaram de 100 mil a 10 milhões e dólares: duas ordens completas de magnitude. E isso foi há 24 anos”.
Gary McGraw, CTO da Cigital, disse suspeitar que a McAfee “seguiu o protocolo [no seu relatório] até ao final, onde fizeram uma matemática maluca – acho que o controlo foi então entregue às pessoas do marketing”.
Mas ele admite: “tenho citado o número [de mil biliões de dólares] no meu próprio trabalho. Estava a escrever um artigo sobre a ciberguerra para um ‘think tank’ e a pensar como o cibercrime era pior do que a ciberguerra – como os riscos da ciberguerra eram exagerados, e o cibercrime era pior. Que ironia”.
Há outras razões pelas quais as estimativas são difíceis. Num recente artigo, “Measuring the Cost of Cybercrime“, feito para o Ministério da Defesa do Reino Unido, os autores apresentam um gráfico que sugere que o custo anual do cibercrime em todo o mundo foi de 225 mil milhões de dólares – menos de 25% da estimativa da McAfee.
Mas os autores incluíram uma série de advertências, incluindo: “existem mais de 100 diferentes fontes de dados sobre cibercrime, no entanto as estatísticas disponíveis são ainda insuficientes e fragmentadas; eles vão de sub a sobre-reportar, dependendo de quem as regista, e os erros podem ser tanto intencionais (por exemplo, fornecedores e agências de segurança jogando com as ameaças) como não intencionais (por exemplo, efeitos das respostas ou desvio na amostra)”.
Eles também observam que há diferenças entre os custos directos e indirectos. Na realidade, o grupo recusa-se mesmo a juntar os seus próprios valores para determinar um total, observando que “muitas destas são estimativas extremamente em bruto – acreditamos que é totalmente enganador fornecer totais tanto mais que podem ser citados fora de contexto, sem todas as advertências e cuidados que fornecemos”.
Em suma, eles são muito mais cautelosos do que qualquer McAfee ou Symantec.
Mas a outra razão porque alguns especialistas estão dispostos a conceder às empresas alguma margem de manobra é que, qualquer que seja o número exacto é, ele é muito grande.
Na verdade, há histórias diárias sobre violações de dados – o recente caso do Dropbox, que resultou no roubo de nomes de utilizadores e passwords, é apenas um dos mais recentes.
Um estudo da NetBenefit revelada pelo vendedor de software SecurityCoverage detectiou que o número de informações ilegalmente vendido durante o primeiro trimestre de 2012 cresceu 67% relativamente aos valores de 2010.
“Não é bom inflaccionar as estimativas”, disse Gary McGraw. “Mas o cibercrime é um problema enorme. Pode-se falar sobre ciberespionagem e ciberguerra, mas o cibercrime é muito pior”.
A solução é “fazer as coisas correctamente”, diz. “Se o fizéssemos, reduzia a probabilidade da guerra e da espionagem e diminuía em parte o crime”.