Neueste Sicherheitsfehler zu zerstören alle Unternehmen? “Gesundheitscheck” Ihre Internetkriminalitätsstatistik

Entscheidungsträger, die die Sortierung von Fakten aus der Fiktion mit Cybercrime-News zu kämpfen, kann für das Denken, dass jemand, irgendwo könnte … ein wenig dramatisch bekommen vergeben werden.

Schlagzeilen wie “Aufbügeln Sie Ihr Chryslerfahrzeug, bevor Hacker Sie töten” konnten für einige lulzy sein, aber die Schwierigkeit, die Tatsache von der Fiktion in den cybercrime Nachrichten zu erklären, ist in den letzten Jahren schlechter geworden.

Immer mehr Internet-Kriminalität Umfragen mislabeled werden als Studien, Sicherheitsunternehmen PR wird als Nachrichten berichtet, zuverlässige Statistiken über Internet-Kriminalität sind schwer zu fassen, und es ist fast unmöglich, realistische Bedrohungen aus Schlagzeile Trends zu erzählen.

Dies ist nicht eine Überraschung für jeden, der Cybercrime-Berichte beobachtet wird von Tech-Blogs, Prime Time’s Spotlight gehen. Aber wenn falsch gemeldete Forschung in Umlauf kommt und beginnt, die Meinung zu beeinflussen, könnte es dazu führen, dass die falsche Zuweisung von kostbaren Ressourcen, Budget, Manpower – und kann das Vertrauen der Führungskräfte beeinflussen. Mit allen Augen auf die Bedrohung durch einen Bruch (oder noch schlimmer), jetzt können Entscheidungsträger buchstäblich nicht leisten, Fehler mit der Risikobewertung machen.

Da große Daten, die IoT und Social Media ihre Flügel ausbreiten, bringen sie neue Herausforderungen für die Informationssicherheit und die Privatsphäre der Nutzer.

Cybercrime-Zahlen sind hart zu vertrauen, auch von hoch angesehenen Quellen. Nehmen wir zum Beispiel die Identitätsdiebstahl-Schätzungen der FTC. Die FTC geschätzte Identitätsdiebstahl auf $ 47000000000 im Jahr 2004 $ 15600000000 im Jahr 2006 und $ 54000000000 im Jahr 2008. In dem Papier “Sex, Lies and Cyber-Crime Surveys” Microsoft-Forscher Dinei Florencio und Cormac Herley dem Schluss, dass “Entweder gab es einen steilen Abfall Im Jahr 2006, oder alle Schätzungen sind sehr laut.

Wenn die Schätzungen laut sind, beziehen sich die Forscher auf ein Signal-Rausch-Verhältnis, in dem die signalgenauen Cyberkriminalitätszahlen “mit dem Rauschen der Fehlinformationen” überwältigt sind.

Die 2012 Microsoft Forschung klingt wie es geschrieben wurde diese Woche, zitiert Schlagzeilen blaring, dass Cyberkriminalität “hat sich verdoppelt” … oder abgelehnt.

Es gibt viele komplexe Fragen, die Umfragen, Berichte und Studien aus der Genauigkeit zu halten, abgesehen von der Tatsache, dass Cyberkriminalität News und Cyberkriminalität Clickbait sind fast ununterscheidbar. Unternehmen haben eine harte Zeit zu wissen, was gestohlen wurde – war es ein Bruch oder ein Fehler? – und in der Abwesenheit von starken, gut durchgesetzte föderale Offenlegungsgesetze, Unternehmen (und Regierungsbehörden) falsche Angaben zur Vermeidung von peinlichen und rechtlichen Fragen. Auch, damit wir nicht vergessen, Cybercrime’s Black Market ist ein verdecktes.

Zu viele Schriftsteller mislabel Umfragen als Studien. Suchen Sie nach der Quelle: Ist das, was Sie lesen auf einer Umfrage oder einer Studie zu lesen – oder nur ein Bericht von einem Unternehmen ausgestellt?

Fügen Sie in einem Sektor rabiat im Wettbewerb um Aufmerksamkeit (infosec) zu einer Zeit als Internet-Kriminalität zwingt unerhörten Sicherheit zu verbringen, dann Verbindung dieses Chaos mit einem Nachrichten-Zyklus kämpfen, um in so viel Umsatz wie möglich zu ziehen. Sortierung der Unterschied zwischen den Nachrichten und Spin wird eine ziemlich heikle Sache zu ziehen.

Der 2014 Die RAND-Bericht “Die Märkte für Cyber-Kriminalität Werkzeuge und gestohlene Daten” sah RAND – erfrischend – Einlassen es Schwierigkeiten hatte, die Straße Werte zugreifen und Überprüfung Kosten für Exploit-Kits und null Tage aufgrund der Art des illegalen Markt, sowie sein Strafverfolgungsbehörden “widerstreben, sensible Informationen preiszugeben.

Cyber-Kriminalität eigenen Verzerrungsfeld kann auch ein wenig mit der Tatsache zu tun, dass einige der Unternehmen, berichtet die Ausstellung – nämlich diejenigen, die Internet-Kriminalität Prävention und Aufdeckung Software zu verkaufen – sind Akteure im Ruf der Internet-Kriminalität als Wachstumsbranche.

Ein bekanntes Beispiel für fudging war der 2009-Bericht des Centre for Strategic and International Studies, der Hacking-Kosten für die Weltwirtschaft mit einer Billion US-Dollar schätzte. Präsident Barack Obama, verschiedene Geheimdienstbeamte und Mitglieder des Kongresses haben diese Zahl zitiert, als sie auf die Gesetzgebung zum Schutz von Cyberkriminalität drängten.

International Business Times berichtet

Eine neue Studie von CSIS fand zahlreiche Mängel in der Methodik der Studie von 2009 und stellte fest, dass eine bestimmte Zahl viel schwieriger zu berechnen wäre.

Hackonomie: Cybercrime Kosten für Unternehmen, neue Bedrohung Intelligenz Bericht Spieße Industrie Verwirrung, Scharlatane

Der Bericht, der getan noch in Partnerschaft mit McAfee, produziert Zahlen, die es so weit verändert noch schätzungsweise eine Billion die Augenbrauen hoch, wenn es die Presse treffen, obwohl ihre 100.000.000.000 $ – $ 400.000.000.000 Bereich noch ein Bruchteil der 2009 FUD Nebenschauplatz war. Sie veröffentlichten die Zahl im Jahr 2011, aber die falsche noch zirkuliert. Einer der Studienteam sagte The Economist, dass genaue Daten zu finden, war so ein Problem, dass das Team hatte “, scherzte über die Ergebnisse zusammen mit einem Online-Zufallszahlengenerator zu veröffentlichen, die Leser klicken Sie konnte, bis es eine Schätzung nach ihrem Geschmack produziert.”

Trotz alledem sind die meisten der Zahlen, die wir im täglichen Cybersecurity Reporting sehen, von den Computersicherheitsfirmen selbst, und wenn ihre PR-Abteilungen alles wert sind, werden diese Zahlen geflockt, hyped und soundbite-bereit.

Warum verlassen viele Boards IT-Sicherheit in erster Linie für Sicherheitstechniker, und warum können die Techniker ihre Boards davon überzeugen, kaum Geld für den Schutz von Stakeholder-Informationen auszugeben? Wir bieten Leitlinien für die Schließung der IT-Sicherheits-Governance-Lücke.

Infolgedessen werden Budgets missverstanden, Ressourcen werden unter- oder überbelastet, und all das teure Bedrohungsintelligenz, das alle sammeln, sammelt nur Staub.

Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundes-Chief Information Security Officer, Sicherheit, Pentagon für Cyber ​​kritisiert -Notfall Reaktion durch die Regierung Watchdog

Für Entscheidungsträger Charting Cyberkriminalität Schlagzeile Hysterie, die einzige Option ist es, Doppel-down auf Anerkennung Zeichen von BS in Nachrichten über Kosten, Verluste oder Bedrohungen.

Es ist entscheidend, einen “Sanity Check” durchzuführen, wenn die Nachricht auf Forderungen in einer Umfrage, einem Bericht oder einer Studie basiert.

Eine Sache zu achten ist, ist Umfragen, und zu viele Schriftsteller mislabel Umfragen als Studien. Suchen Sie nach der Quelle: Ist das, was Sie lesen auf einer Umfrage oder einer Studie zu lesen – oder nur ein Bericht von einem Unternehmen ausgestellt?

Wessen Input sind die Informationen basierend auf: Ein Unternehmen, Kunden eines Unternehmens oder eine Stichprobe der allgemeinen Bevölkerung?

Seit Jahrzehnten ist ein Großteil der Informationen, die wir über Cybercrime-Gewinne und -verluste haben, aus Umfragen abgeleitet worden, bei denen repräsentative Stichproben von Informationen, die bereits angefochten werden, auf unbestätigten, selbst gemeldeten Zahlen beruhen.

Die “Sex, Lies and Cyber-Kriminalität Surveys” Team sagte: “Weit davon entfernt, im Großen und Ganzen basierten Schätzungen der Verluste in der Bevölkerung, die Cyber-Kriminalität Schätzungen, die wir weitgehend die Antworten von einer Handvoll Menschen auf die gesamte Bevölkerung hochgerechnet zu sein scheinen, haben.” Sie erklären, “eine einzelne Person, die $ 50.000 Verluste behauptet, in einer N = 1000 Person Umfrage ist alles, was es braucht, um einen $ 10 Milliarden Verlust über die Bevölkerung zu generieren.

Wenn die Lösung kommt von nur einem Unternehmen, dann sind Sie bei einem Unternehmen Produkt suchen.

Darüber hinaus leiden Cybercrime-Erhebungen an … menschlicher Natur. “Sex, Lügen und Cyber-Kriminalität” erklärte, dass zum Beispiel “eine unbefriedigende Online-Auktion Erfahrung oder Streit mit einem Händler könnte leicht mit” Online-Betrug “konfrontiert werden. Die FTC-Umfrage, die einen einzelnen Befragten findet, der versucht, einen behaupteten Verlust von $ 999999 “Diebstahl von geistigem Eigentum” als Identitätsdiebstahl zu melden, ist nur ein solches Beispiel.

“Gesundheitscheck” Ihre Cybercrime Nachrichten

Prüfen Sie, ob die Umfrage gültig ist. Ist die Methodik offenbar offenbart? Was ist die Stichprobengröße? Ist das vernünftig?

Hüten Sie sich vor ungeprüften und ungeprüften Aussagen und Statistiken. Ist die Quelle und die Informationen in irgendeiner Weise verifizierbar?

Als nächstes achten Sie auf eine faire Berichterstattung. Sind die Informationen mit der anderen Seite der Geschichte oder Kontrapunktforschung präsentiert? Ist die Quelle der Informationen persönlich beteiligt? Gibt es eine persönliche oder berufliche Interesse aus der Berichterstattung Quelle? Ist der Reporter ein “Fan” einer Person in der Forschung beteiligt, oder haben ein Unternehmen Vorliebe? Ist der Nachrichtenausgang neigen, jemanden zu bevorzugen oder zu verurteilen, oder irgendetwas?

Threat Intelligence ist ein Beispiel für ein Thema Trend Cybercrime. Die meisten Organisationen wissen, dass sie “Bedrohungsintelligenz” tun müssen, aber wenige verstehen oder können sich darauf einigen, was das bedeutet.

Heute gibt es eine große Anzahl von TI-Anbietern und Beratungsdokumenten (die oft über Verkäufer-Marketingabteilungen ausgestellt werden), die extrem unterschiedliche Produkte und Dienstleistungen beschreiben, alle unter dem Banner der Bedrohungsintelligenz. Diese Papiere manchmal am Ende als Neuigkeiten – und eine schnelle Möglichkeit, das Bier vom Schaum zu trennen ist, das Problem zu betrachten, das eine Nachrichtengeschichte präsentiert, und sehen, wie der Artikel eine Lösung vorschlägt: Wenn die Lösung von nur einem Unternehmen kommt, Dann sind Sie bei einem Unternehmen Produkt suchen.

Als nächstes betrachten Sie die Bedrohung in dem Stück, das Sie lesen. Gilt diese Bedrohung tatsächlich für Ihre Organisation oder Ihre Kunden? Ist dies ein Angriff, der nur unter sehr ungewöhnlichen Umständen geschehen kann? Sind es alte Nachrichten? Wurde die Bedrohung oder Problem gelöst, doch diese Informationen ist in dem Artikel begraben? Ist die Phrase “betroffen” (ein aktiver Angriff) oder “könnte betroffen sein” (ein möglicher Angriff, wenn Sie schielen und Ihren Kopf winkeln, während Sie das Problem betrachten)?

Die Suche nach Genauigkeit macht uns besser bei der Suche nach starken Informationen, mit denen Risikobewertungen, dass Wetter auch die schlimmsten, lächerlichsten Trends zu machen.

Und jetzt, wenn Sie mich fragen, werden die Dinge ziemlich lächerlich.

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog