Содержание статьи:
1. Введение про киберпреступность и исследование
2. Выборка участников
3. Процесс проведения исследования
4. Результаты исследования
5. Возникшие трудности во время исследования
6. Заключение
Введение
Киберпреступность - это серьезная проблема, с которой сталкивается весь мир, а стоимость результатов действий киберпреступников оценивается от нескольких десятков миллионов до триллионов. Несмотря на угрозу, которую она представляет, киберпреступность является в некоторой степени невидимым явлением. Осуществляя виртуальные атаки, преступники часто скрывают свое физическое местонахождение, прячась за сетевыми псевдонимами и техническими средствами защиты. Это означает, что технические данные плохо подходят для определения истинного местонахождения преступников, а научные знания о географии киберпреступности ограничены.
Именно поэтому в 2021 году было проведено исследование Всемирного индекса киберпреступности (по мнению британских ученых, прим автора) Были приглашены ведущие эксперты в области киберпреступности со всего мира, чтобы они приняли участие в анонимном онлайн-опросе о географическом местонахождении киберпреступников. В ходе опроса участникам предлагалось рассмотреть пять основных категории киберпреступлении, указать страны, которые, по их мнению, являются наиболее значимыми источниками каждого из этих видов киберпреступлении, а затем проранжировать каждую указанную страну по степени влияния, профессионализму и техническому мастерству ее преступников.
Точно определив, какие страны являются очагами киберпреступности, государственный и частный секторы смогут сконцентрировать свои ресурсы на этих очагах и тратить меньше времени и средств на меры по борьбе с киберпреступностью в странах, где эта проблема носит ограниченный характер. Поскольку киберпреступники часто используют прокси-сервисы для сокрытия своих IP-адресов, проводят атаки через национальные границы, сотрудничают с партнерами по всему миру и могут использовать инфраструктуру, расположенную в разных странах, поверхностные показатели не отражают истинного географического распределения этих преступников.
Кроме того, для проведения серьезного исследования по этой теме в метрику киберпреступности следует включить как можно больше стран, а выборка должна допускать вариативность, чтобы можно было сравнивать страны с высоким и низким уровнем киберпреступности. Если изучить лишь несколько широко известных центров киберпреступности, это приведет к отбору зависимой переменной. Очевидной проблемой в создании такой сравнительной шкалы является отсутствие качественных данных для ее построения.
Учитывая данные особенности, в 2020 году был разработан экспертный опрос, который доработали в фокус-группах и развернули в 2021 году. В ходе опроса участникам предлагалось рассмотреть пять основных видов киберпреступности - технические продукты/услуги; атаки и вымогательство; кража данных/личности; мошенничество; обналичивание/отмывание денег - и указать страны, которые, по их мнению, являются наиболее значимыми источниками каждого из этих видов киберпреступности. Затем участники оценили каждую из названных стран по степени воздействия совершаемых там преступлении, а также по профессионализму и техническим навыкам находящихся там преступников. Используя ответы экспертов, были получены оценки по каждому виду киберпреступлении, которые затем объединили в общую метрику киберпреступности по странам - Всемирный индекс киберпреступности (WCI).
Как бы пока все достаточно неплохо, можно сказать научный подход.
Выборка участников
Выявление и привлечение экспертов по киберпреступности - непростая задача. В силу специфики своей работы профессионалы, работающие в сфере киберпреступности, обычно особенно настороженно относятся к не запрошенным сообщениям. Кроме того, возникает проблема определения того, кто является настоящим экспертом по киберпреступности, а кто просто выдает себя за него. Для решения этих проблем был разработан многоуровневый метод выборки.
Основой стратегией была целенаправленная выборка. Под "экспертами" были определены сложившиеся опытные профессионалы, которые занимались разведкой, расследованием и/или атрибуцией киберпреступлении в течение как минимум пяти лет и имели безупречную репутацию среди своих коллег. В число участников были включены только практикующие в настоящее время или недавно практикующие сотрудники спецслужб и следователи. Хотя участники могли быть как из государственного, так и из частного сектора, были однозначно исключены специалисты, работающие в области исследования киберпреступности и не занимающиеся активным отслеживанием преступников, в том числе писатели и ученые. В выборку попали только эксперты, непосредственно знакомые с киберпреступниками. Важно было обеспечить включение экспертов из каждого региона мира (Африки, Азиатско- Тихоокеанского региона, Европы, Северной Америки и Южной Америки) и из разных соответствующих профессиональных областей.
Процесс проведения исследования
Исследование состояло из трех этапов. Во-первых, было проведено три фокус-группы с семью экспертами в области киберпреступности, чтобы оценить первоначальные предположения, концепции и рамки. Эти фокус-группы позволили внести ряд уточнении в план опроса и конкретные термины, чтобы сделать их более понятными для участников. Окончательный вариант опроса был опубликован в Интернете в марте 2021 года и завершен в октябре 2021 года.
Во введении к опросу были обозначены две основные цели исследования: определить, какие страны являются наиболее значительными источниками киберпреступлении, совершаемых с целью получения прибыли, и определить степень влияния киберпреступности в этих странах. Участникам напомнили, что государственные субъекты и преступники, руководствующиеся в первую очередь личными интересами (например, киберзапугивание или преследование), должны быть исключены из рассмотрения. Был определен "источник" киберпреступлении как страна, в которой в основном находятся преступники, а не их гражданство. Чтобы сохранить последовательность, в списке стран, находились официально признанные Организацией Объединенных Нации. Были определены пять категорий как наиболее значимых угрозах киберпреступности в глобальном масштабе:
1. Технические продукты/услуги (например, кодирование вредоносных программ, доступ к ботнетам, доступ к взломанным системам, производство инструментов).
2. Атаки и вымогательство (например, DDoS-атаки, программы-вымогатели)
3. Кража данных/идентификационных данных (например, взлом, фишинг, компрометация учетных записей, кража кредитных карт).
4. Мошенничество (например, мошенничество с авансовыми платежами, взлом деловой электронной почты, мошенничество на интернет-аукционах).
5. Обналичивание/отмывание денег (например, мошенничество с кредитными картами, денежные мулы, незаконные платформы виртуальной валюты).
После того как участникам были предложены эти описания и ряд изображении карт мира, чтобы убедиться, что они рассматривают широкий спектр регионов/стран, им было предложено указать до пяти стран, которые, по их мнению, являются наиболее значительными источниками каждого из этих видов киберпреступлении. Затем участников попросили оценить каждую из названных ими стран по трем показателям: насколько масштабным является киберпреступление, насколько профессиональны киберпреступники и насколько технически грамотны киберпреступники. По каждому из этих трех показателей участников просили выставить оценки по шкале Лайкерта от 1 (например, наименее профессионально) до 10 (например, наиболее профессионально). Выставление номинации и последующая оценка стран повторялись для всех пяти категории киберпреступлении.
Измерения
Используя ответы на вопросы анкеты, были определены следующие два показателя: (i) оценка "типа" киберпреступности для каждого из пяти типов преступлении; (ii) "общая" оценка всех типов киберпреступлении, которая была названа Всемирным индексом киберпреступности (WCI). Оценка киберпреступности рассчитывалась для каждого типа преступлении - WCI type - в два этапа. Рассчитывался средний балл по трем измерениям (воздействие, профессионализм и технические навыки) по всем номинациям для данной страны в рамках одного из пяти типов киберпреступлении. Затем средний балл по каждому измерению усредняется и составляет оценку "типа" для каждой страны, как показано в уравнении (1):
Затем этот показатель "типа" умножается на долю экспертов, выдвинувших данную страну. В рамках каждого типа киберпреступности страна может быть номинирована в общей сложности 92 раза - по одному разу от каждого участника. Затем мы умножаем этот взвешенный балл на десять, чтобы получить непрерывную шкалу из 100 баллов (см. уравнение (2)). Этот процесс не позволяет странам, получившим высокие баллы, но малое количество номинации, получить искусственно завышенные рейтинги.
Общий балл WCI overall для каждой страны был рассчитан, используя аналогичный процесс. Сначала рассчитывается средний балл страны (Country Scoretype из уравнения 1) по всем пяти типам киберпреступности. Затем эти пять типов усредняются и получают общий балл. Затем этот общий балл умножается на сумму номинации по всем типам преступлении, деленную на общее количество возможных номинации для каждой страны, которое увеличивается до 460 (один раз на 92 участника, на 5 типов киберпреступлении). Затем эта оценка умножается на десять, чтобы получить непрерывную шкалу из 100 баллов, как показано в уравнении (3):
Результаты исследования
А вот выборка экспертов недостаточна и нерепрезентативна для уровня заявленного исследования, и потому статистически недостоверна, по мнению переводчика, однако в каждой шутке есть только доля шутки… Поэтому не будем игнорировать эту попытку.
В ходе исследования обращения были направлены 245 людям с предложением принять участие в опросе, из которых 147 согласились и получили пригласительные ссылки для участия. Из этих 147 человек 92 заполнили анкету, что дало общий процент ответов 37,5 %. Учитывая экспертный характер выборки, это высокий показатель. В ходе опроса была собрана информация об основной национальности участников и их текущей стране проживания. Четыре участника предпочли не указывать свою национальность. В целом участники представляли все пять основных геополитических регионов (Африка, Азиатско-Тихоокеанский регион, Европа, Северная Америка и Южная Америка), как по гражданству, так и по месту жительства, хотя распределение было неравномерным и концентрировалось в отдельных регионах/странах. Из Африки было 8 участников, из Азиатско-Тихоокеанского региона - 11, из Северной Америки - 27, из Европы - 39. Южная Америка была наименее представленным регионом - всего 3 участника.
В таблице 1 приведены оценки пятнадцати стран, вошедших в число лучших по индексу WCIoverall. В каждой записи указана страна, а также средний балл (из 10), усредненный по всем участникам, номинировавшим эту страну, по трем категориям: влияние, профессионализм и техническое мастерство. Далее следуют оценки каждой страны по WCIoverall и WCItype . Страны упорядочены по их общему баллу WCIoverall. Самые высокие баллы по WCItype выделены.
Из данной таблицы можно заметить некоторые закономерности. Во-первых, небольшое число стран занимает стабильно высокие позиции по киберпреступности. Во-вторых, несмотря на небольшой список стран, регулярно фигурирующих в качестве центров киберпреступности, результаты исследования отражают широкое географическое разнообразие. Все пять геополитических регионов представлены в каждом типе. В целом 97 стран были названы хотя бы одним экспертом. Их можно разделить по категориям киберпреступности. Технические продукты/услуги - 41 страна; Атаки и вымогательство - 43; Кража данных/идентификации - 51; Мошенничество - 49; Обналичивание/отмывание денег - 63.
Из этих результатов следует несколько ключевых выводов, которые иллюстрируются следующими рисунками 1 и 2. Во-первых, киберпреступность распространена не повсеместно. Некоторые страны являются центрами киберпреступности, в то время как многие другие не связаны с киберпреступностью в серьезной степени. Во-вторых, страны, являющиеся центрами киберпреступности, специализируются на определенных видах киберпреступлении. То есть, несмотря на то что небольшое количество стран являются ведущими производителями киберпреступлении, между ними наблюдаются значительные различия как по категориям, так и по показателям влияния, профессионализма и технического мастерства. В-третьих, результаты показывают более длинный список стран-производителей киберпреступлении, чем обычно включается в публикации по географии киберпреступности.
По мнению авторов первоисточника в статье представлена глобальная и надежная метрика киберпреступности - Всемирный индекс киберпреступности. WCI не ограничивается техническими показателями географии кибератак, а представляет собой более точный показатель географии киберпреступников. Полученный путем опроса экспертов, WCI показывает, что киберпреступность не является универсальной. Ключевой теоретический вклад этого индекса заключается в том, чтобы проиллюстрировать, что киберпреступность, которую часто рассматривают как изменчивый и глобальный вид организованной преступности, на самом деле имеет сильное местное измерение.
Несмотря на то, что были предприняты ряд мер для обеспечения географической репрезентативности выборки экспертов, в ней наблюдается перекос в сторону некоторых регионов (например, Европы) и некоторых стран (например, США). Чтобы лучше понять, какие предубеждения могли повлиять на данные опроса, проанализировали поведение участников при выставлении оценок с помощью серии линейных регрессии. В качестве ответа использовались числовые оценки, а в качестве предикторов - различные характеристики участников: страна гражданства; страна проживания; экспертная оценка типа преступления; региональная экспертная оценка. Анализ показал (p < 0,05), что участники присваивали более высокие оценки странам, в которых они проживают или являются гражданами, хотя это не было сильным или последовательным результатом. Например, региональные эксперты не оценивали свои регион экспертизы более высоко, чем другие регионы.
Помимо вклада в теоретические дискуссии о (локальной) природе организованной преступности, этот индекс также может внести вклад в политические дискуссии. Например, постоянно ведутся споры о том, какие подходы лучше всего использовать для борьбы с киберпреступностью, будь то повышение потенциала киберправоохранительных органов, расширение возможностей легальной работы и доступа к молодежным программам для потенциальных преступников, укрепление международных соглашений и гармонизация законодательства, разработка более сложных и культурно-специфичных мер противодействия социальной инженерии или снижение уровня коррупции.
Возникшие трудности во время исследования
Во-первых, как отмечалось в методах, пул экспертов оказался не таким большим и не таким глобально репрезентативным. Достижение значительного числа ответов является общей проблемой для всех исследовании, и особенно сложно в тех, где используется метод снежного кома, а также предпринимаются попытки привлечения экспертов. В целом, размер выборки (n = 92) относительно невелик. Будущие итерации исследования WCI должны быть направлены на привлечение большего числа экспертов, особенно из недостаточно представленных регионов. Тем не менее, это небольшая и труднодоступная группа населения, что, скорее всего, означает, что размер выборки не будет значительно расти. Хотя это ограничивает статистическую мощность, это также является сильной стороной опроса: благодаря тому, что были набраны только лучшие эксперты по киберпреступности в мире, вес и достоверность данных увеличиваются.
Во-вторых, хоть и виды, и меры киберпреступлении были разработаны при помощи фокус-групп, некоторые моменты были спорными. Например, небольшое количество комментариев, оставленных в конце опроса, указывало на то, что категория "Обналичивание/отмывание денег" была неясной для некоторых участников, которые не знали, следует ли им указывать страну, в которой организованы эти схемы, или страны, в которых происходит фактическое обналичивание денег. Небольшое количество участников также отметили, что они не уверены, следует ли измерять "влияние" киберпреступности в стране с точки зрения затрат, социальных изменении или других показателей.
Наконец, несмотря на то, что ограничили ВКП деятельностью, направленной на получение прибыли, различие между киберпреступностью, мотивированной финансовыми соображениями, и киберпреступностью, мотивированной другими интересами, иногда бывает нечетким. Преступники, которые обычно совершают преступления, направленные на получение прибыли, могут также заниматься деятельностью, спонсируемой государством. Некоторые страны, занимающие высокие позиции в рейтинге WCI, могут приютить киберпреступников, преследующих корыстные цели, которые находятся под защитой коррумпированных государственных структур разного рода или имеют другие виды отношении с государством. Таким образом, хотя WCI исключает государственные атаки, в него могут входить киберпреступники, руководствующиеся соображениями выгоды и находящиеся под защитой государства.
Заключение
В данном исследовании была попытка провести экспертный опрос для более точного определения географии киберпреступлении, совершаемых с целью получения прибыли, и представлен результат этой работы - Всемирный индекс киберпреступности. Этот индекс, организованный по пяти основным категориям киберпреступлении, проливает свет на географическое местонахождение киберпреступников, совершающих преступления с финансовой мотивацией. Результаты показывают, что несколько стран представляют собой наиболее значительную киберпреступную угрозу. Иллюстрируя, что центры часто специализируются на определенных формах киберпреступности, WCI также предлагает ценные сведения о местном аспекте киберпреступности. Данное исследование закладывает основу для разработки теоретически обоснованной модели, объясняющей, почему в одних странах совершается больше киберпреступлении, чем в других. Способствуя более глубокому пониманию киберпреступности как локализованного явления, WCI может помочь снять завесу анонимности, защищающую киберпреступников, и тем самым активизировать глобальные усилия по борьбе с этой эволюционирующей угрозой.