CC BY
24
Компьютерная преступность: новые вызовы обществу
Ю. В. КРЫЛОВА,
кандидат экономических наук Санкт-Петербургский государственный университет
С середины 1990-х годов все больше внимания уделяется вопросам преступлений в информационной сфере. Это обусловлено тем, что в условиях все большего распространения электронного предпринимательства и торговли преступления в сфере информационных технологий могут стать серьезной экономической угрозой. Очевидно, что использование информационных технологий дает сильные преимущества не только корпорациям и финансовым организациям, но и криминальным субъектам, тем самым порождая новые вызовы современному обществу.
Данная статья посвящена оценке темпов роста компьютерной преступности в сфере экономики и сопряженных с этим финансовых потерь в России и за рубежом.
© ЭКО 2006 г.
174
ЭКО
Согласно данным организованного под эгидой ФБР Центра жалоб на мошенничество в Интернете1, среднегодовые темпы роста киберпреступности в 2002-2005 гг. составили 101%2. В России статистика компьютерных преступлений ведется с 1997 г., когда была введена уголовная ответственность за преступления в сфере компьютерной информации. В 1998 г. было создано специализированное подразделение «Р» МВД РФ по борьбе с преступностью в сфере высоких технологий. В настоящее время его функции выполняет управление «К» МВД РФ по борьбе с компьютерными преступлениями. За период 1999-2003 гг. среднегодовые темпы роста компьютерной преступности в России составили 88%3.
Следует иметь в виду высокую латентность компьютерной преступности. Значительное количество неучтенных преступлений объясняется, во-первых, тем, что субъекты информационных отношений могут не знать о том, что их ресурсы несанкционированно используются преступниками. Во-вторых, корпорации и финансовые компании, на базы данных которых часто совершаются атаки, не спешат сообщать об этом правоохранительным органам и широкой общественности, в связи с возможной потерей репутации и снижением стоимости акций на фондовом рынке.
С учетом высокой латентности компьютерных преступлений возникают существенные трудности в процессе оценки сопряженных финансовых потерь. Это усугубляется отсутствием унифицированной методики расчета ущерба и использованием субъективных оценок издержек отдельных видов преступлений, особенно связанных с незаконным использованием конфиденциальной информации. Некоторые оценки материального ущерба приведены в таблице4.
1 Internet Crime Complaint Center, I3C.
2 IC3 2005 Internet Fraud Report. NW3C, 2006. P. 3.
3 Главный информационный центр МВД. www.cyberpool.ru
4 Gordon L., Loeb M., Lucyshyn W., Richardson R. 2004 CSI/FBI Computer Crime and Security Survey. CSI, 2005. P. 10; High-Tech Crime: The Impact on UK Business. NOP World. NHTCU, 2004. P. 17; InternetRelated Fraud Complaints. Federal Trade Commission, 2005. www.ftc.gov/sentinel
Финансовые потери от компьютерных преступлений
Источник Охват Потери, млн дол.
Федеральная торговая комиссия (США) Анализ 205568 заявлений потребителей 265,4
Институт компьютерной безопасности (США) Опрос 269 организаций 141,5
Национальный департамент по борьбе с высокотехнологичными преступлениями (Великобритания) Опрос 167 организаций 102,7
Общественные и организационные потери
Прямой ущерб, нанесенный обществу в результате электронного вандализма, можно рассматривать как чистые общественные потери. Кражи и мошенничество в Интернете не ведут напрямую к снижению благосостояния граждан, а только к его перераспределению. Другими словами, потери жертвы компенсируются приростом дохода преступника. Однако из этого не следует, что общественные издержки подобного рода правонарушений равны нулю.
Во-первых, совершение преступлений подразумевает отвлечение ресурсов из производственной в перераспределительную сферу, в качестве которой в данном случае выступает криминальная.
Во-вторых, рост преступности способствует увеличению расходов на защиту прав собственности, которые составляют косвенные издержки противоправной деятельности. В отношении компьютерных преступлений к ним относятся: расходы на системы обнаружения сетевого вторжения, антивирусное программное обеспечение, резервирование компьютерных систем, биометрические опознавательные устройства, технический аудит, содержание служб информационной безопасности, содержание и обучение сотрудников специализированных подразделений правоохранительных органов и т. д. Это означает отвлечение ресурсов из традиционных сфер инвестирования. Иначе говоря, рост трансакционных издержек защиты прав собственности ведет к дополнительным общественным потерям.
С учетом необходимости оценки косвенных издержек преступлений, в 2004 г. эксперты Института компьютерной безопасности США5 провели специальное обследование, в ходе которого было опрошено 494 организации частного и общественного секторов.
Обследование показало, что затраты на информационную безопасность составляют значительную долю бюджета компаний. В частности, организации с ежегодным уровнем продаж ниже 10 млн дол. расходуют на компьютерную безопасность в среднем 500 дол. в расчете на одного сотрудника (операционные расходы - 334 дол., капитальные вложения - 163 дол.). Фирмы с ежегодными объемами продаж свыше 1 млрд дол. тратят в этих целях в среднем около 110 дол. в расчете на одного сотрудника (операционные расходы - 82 дол., капитальные вложения - 30 дол.)6.
Инвестиционные решения
Несмотря на рост затрат на информационную безопасность, до настоящего времени не до конца проработаны вопросы экономического обоснования инвестиционных решений в данной сфере. Разработки в области теории инвестирования применительно к информационной безопасности начались только в последние два года. Необходимость этого направления объясняется операционными трудностями, с которыми сталкиваются специалисты, работающие в информационной сфере. Основные проблемы связаны с измерением рисков и потерь от компьютерных преступлений, методикой расчета эффективности инвестиций в системы безопасности и обоснования бюджетов соответствующих подразделений организации.
В опросе, проведенном Институтом компьютерной безопасности, организациям предложили указать, какой показатель они используют в процессе обоснования расходов на информационную безопасность. В ходе обследования выяснилось, что только 54% респондентов применяют процеду-
5 Computer Security Institute, CSI.
6 Gordon L., Loeb M., Lucyshyn W., Richardson R. 2004 CSI/FBI Computer Crime and Security Survey. CSI, 2005. P. 5.
ру оценки эффективности соответствующих инвестиционных расходов. При этом 55% отдают предпочтение показателю рентабельности инвестиций (ROI).
Между тем любое инвестиционное решение должно приниматься с учетом фактора времени, поэтому более предпочтительным является использование показателей чистой текущей стоимости (NPV) и внутренней нормы доходности (IRR), которые используют только 25% и 28% опрошенных соответственно.
В России комплексное исследование проблем информационной безопасности проводилось в 2004 г. компанией InfoWatch путем опроса представителей 387 государственных и коммерческих структур. Обследование показало, что в большинстве российских организаций отсутствует система учета издержек и рисков компьютерных преступлений. Так, 67% опрошенных организаций не могут точно определить масштабы компьютерных угроз. При этом 99% респондентов, в организациях которых были зафиксированы противоправные деяния в области компьютерной информации, затруднились оценить нанесенный ущерб в финансовых показателях7.
Оценка рисков
Одним из важных аспектов проблемы компьютерных преступлений является управление рисками. Обследование 200 государственных и коммерческих организаций в Великобритании, организованное Национальным департаментом по борьбе с высокотехнологичными преступлениями в 2004 г., показало, что более 30% респондентов не имеют формальной процедуры оценки соответствующих рисков8. Организации, которые внедрили у себя подобную процедуру, представлены в основном финансовыми институтами и телекоммуникационными компаниями. При этом первые отдают предпочтение специализированной процедуре оценки рисков в области информационной безопасности, а вторые интегрируют ее в общую систему управления организационными рисками.
7 Внутренние ИТ-угрозы в России-2004. www.InfoWatch.ru
8 High-Tech Crime: The Impact on UK Business. NOP World. NHTCU, 2005. Р. 29.
В настоящее время все большее распространение получают различные схемы страхования от высокотехнологичных преступлений. Так, в США их применяют 28% организаций. В России еще в 1997 г. компания «Ингосстрах» предложила услугу по комплексному страхованию от компьютерных преступлений, которая предусматривает возмещение финансовых потерь от вредоносных программ, а также мошенничества и несанкционированных действий третьих лиц, совершенных с помощью информационных технологий. Однако этой услугой воспользовались немногочисленные организации, главным образом финансового сектора. Сдерживающим фактором является сложность оценки рисков и убытков при наступлении страхового случая.
Процедура оценки специфических рисков также важна при расчете эффективности инвестиций в информационную безопасность, связанных с применением радикально новых технологий. В настоящее время наблюдается возрастающий интерес к сфере биометрических технологий, причем не только в США, но и в Европе.
Так, в 2003 г. Европейская комиссия инициировала в рамках программы «Технологии информационного общества» проект комплексного исследования проблем и перспектив внедрения биометрических технологий в европейских государствах. В частности, данный проект предполагает широкомасштабное использование биометрических систем в финансовом секторе для усиления безопасности электронных расчетов. По нашему мнению, одним из недостатков проекта является чрезмерное увлечение качественными методами обоснования инвестиций и оценки рисков новых технологий в ущерб количественным. В этой связи представляется необходимой разработка модели обоснования отдельных инвестиционных проектов в сфере информационной безопасности.
* * *
Высокие темпы роста компьютерной преступности, а также сопряженных с ней прямых и косвенных издержек делают очевидной необходимость разработки превентивных мер пресечения злоупотреблений в киберпространстве. В связи с этим приоритетной задачей является разработка инструментария оценки рисков и финансовых потерь от компьютерных преступлений, а также методики обоснования инвестиций в области информационной безопасности.
