「犯罪は割に合う」とも言われる。しかし、サイバー犯罪の被害に遭った企業の財布から、お金が飛んでいくのは確かだ。
3月、Juniper NetworksとRAND Corporationは、「Hackonomics: A First-of-Its-Kind Economic Analysis of the Cyber Black Markets」(ハッキング経済:サイバーブラックマーケットに関する初の経済分析)という記事を公開した。その結論は「サイバーブラックマーケット」は世界的な違法ドラッグ取引よりも高利潤であるというもので、企業のサイバー犯罪に関するコストについて、考えさせられる内容だった。
サイバー犯罪の実際のコストに関してはさまざまな見方があり、サイバー犯罪の脅威について2014年に発表された数多くのレポートには、細かい部分で違いがある。さまざまな問題があるが、特に企業が何を盗まれたかを把握するのが難しいという点が、正確な調査やレポート、研究を困難にしている。
また、レポートの内容に違いがあるのは、それらのレポートを発表している企業の一部(具体的には、サイバー犯罪の防止や検知のためのソフトウェアを販売する企業)が、サイバー犯罪が成長産業であるという評判を広める一翼を担う、利害関係者であることとも関係しているのかも知れない。
でっち上げの有名な例は、2009年のに戦略国際問題研究所(CSIS)が発表したもので、この調査ではグローバル経済がハッキングで受けるコストを1兆ドルと推定している。Barack Obama大統領や、さまざまな情報機関の当局者、米議会の政治家たちは、サイバー犯罪対策の法制化を進める際、盛んにこの数字を引用した。
しかしInternational Business Timesは2013年に次のような記事を掲載している。
この数字は、地域レベル、州レベル、そして連邦レベルで米国政府と密接に連携している、Intelのソフトウェアセキュリティ子会社McAfeeによる、大規模な誇張だとわかった。
CSISの新しい調査で、2009年の調査の手法には数多くの欠陥があり、具体的な数字ははるかに計算が難しいことが明らかになった。
2014年のCSISのレポートでは(これもMcAfeeとのパートナーシップによる調査だが)、非常に幅の広い数字が出ており、これも報道されたときには懸念を呼んだが、1000億ドルから4000億ドルという幅は、2009年の大きすぎる数字に比べれば数分の1に過ぎない。
ハッキングを受けると、具体的にどのくらいのコストが企業に発生するか
さまざまなレポートを読んでいくと、「ハッキングのコスト」に関する推定の幅は非常に広いことがわかる。また、その数字が意味するところも違っている。
研究者のKelly White氏は2014年に発表された23本の脅威レポート(かなりの数だが、すべてではない)を要約し、1枚の興味深い、グラフや図を豊富に使った「Paper: The Best of The 2014 InfoSec Threat Reports」(2014年情報セキュリティ脅威に関するレポートの要旨)という文書をまとめた。