Senaste säkerhets fel att förstöra alla företag? “Sanity kontrollera” dina databrott statistik

Beslutsfattare som kämpar sorterings fakta från fiktion med cyberbrott nyheter kan tro att någon, någonstans kan få … lite dramatisk.

Rubriker som “Patch din Chrysler fordonet innan hackare döda dig” kan vara lulzy för vissa, men det är svårt att tala om fakta från fiktion i cyberbrott nyheter har blivit värre under de senaste åren.

Fler och fler IT-brott undersökningar felaktigt som studier, blir säkerhetsföretag PR rapporteras som nyheter, tillförlitliga statistik på cyberbrott är svårfångade, och det är nästan omöjligt att säga realistiska hot från överordnade trender.

Detta är inte en överraskning för alla som sett cyberbrott rapportering går från tech bloggar till bästa sändningstid spotlight. Men när felaktigt forskning blir i omlopp och börjar påverka opinionen, kan det leda till snedfördelning av värdefulla resurser, budget, arbetskraft – och kan påverka ledarskap förtroende. Med alla ögon på hotet om ett brott (eller värre), just nu beslutsfattare bokstavligen inte har råd att göra misstag med riskbedömning.

Som stora uppgifter, sakernas internet, och sociala medier sprida sina vingar, de få nya utmaningar för informationssäkerhet och användarnas personliga integritet.

Cybercrime siffror är svåra att lita på även från ansedda källor. Ta till exempel FTC: s identitetsstöld uppskattningar. FTC uppskattade Identitetsstöld $ 47 miljarder 2004, $ 15,6 miljarder 2006 och $ 54 miljarder 2008. I tidningen “Sex, lögner och Cyber-brottslighet undersökningar” Microsofts forskare Dinei Florencio och Cormac Herley drog slutsatsen att “Antingen det fanns en brant nedgång 2006, eller alla uppskattningar är mycket bullriga.

Genom att säga beräkningarna är bullriga, är forskarna med hänvisning till en signal-brusförhållande där signalen – noggranna databrott tal – “. Överväldigad med buller desinformation” är

2012 Microsoft forskning låter som det var skrivet denna vecka, med hänvisning till rubriker blaring att cyberbrott “har fördubblats” … eller minskat.

Det finns många komplexa frågor som håller undersökningar, rapporter och studier från att vara exakt, bortsett från det faktum att IT-brott nyheter och cyberbrott clickbait är nästan omöjliga att särskilja. Företagen har svårt att veta vad stals – det var ett brott eller en blunder? – Och i avsaknad av starka, väl upprätt federala upplysnings lagar, företag (och myndigheter) misreport att undvika pinsamheter och juridiska frågor. Också, så att vi inte glömmer, är cyberbrott svarta marknaden en hemlig en.

Alltför många författare mislabel undersökningar som studier. Leta efter källan: Är vad du läser baserad på en undersökning eller en studie – eller bara en rapport utfärdad av ett företag?

Lägg i en sektor rabidly konkurrerar om uppmärksamhet (INFOSEC) vid en tidpunkt då cyberbrott tvingar oerhörda utgifter för säkerhet, då förening här röran med en nyhetscykel kämpar för att dra in så mycket intäkter som möjligt. Sortering skillnaden mellan nyheter och spin blir en ganska knepig sak att dra bort.

2014 RAND rapporten “Marknaden för IT-brottslighet Verktyg och stulna uppgifterna” såg RAND – uppfriskande – erkänna det hade svårt att få tillgång gatu värderingar och kontrollera kostnaderna för att utnyttja kit och noll dagar på grund av arten av den illegala marknaden, liksom dess brottsbekämpande källor ovilja att avslöja känslig information.

Cybercrime egen distorsion fält kan också ha lite att göra med det faktum att vissa av de företag som utfärdar rapporter – nämligen de som säljer förebyggande it-brottslighet och upptäckt programvara – är intressenter i cyberbrott rykte som en tillväxtbransch.

Ett välkänt exempel på fudging var 2009 års rapport från Centrum för strategiska och internationella studier, som uppskattade hacka kostnaderna för världsekonomin på $ 1 biljoner. President Barack Obama, olika underrättelsetjänstemän och medlemmar av kongressen har citerat detta nummer när du trycker för lagstiftning om cyberbrott skydd.

International Business Times rapporterade

En ny studie vid CSIS har fått många brister i metoden av 2009 studien och konstaterade att ett visst antal skulle vara mycket svårare att beräkna.

Hackonomics: Cybercrime: s kostnader för företagen, nya hot intelligens rapport grillspett industrin förvirring, Charlatans

Rapporten, fortfarande sker i samarbete med McAfee, producerade siffror som varierade så kraftigt att det fortfarande upp uppskattningsvis en biljon ögonbryn när den slog i pressen, men deras $ 100.000.000.000 – $ 400.000.000.000 rad var fortfarande en bråkdel av 2009 FUD sideshow. De publiceras antalet under 2011, men den felaktiga en fortfarande cirkulerar. En av studien laget berättade The Economist att hitta korrekta uppgifter var ett sådant problem att laget hade “skojade om att publicera resultaten tillsammans med en online-slumptalsgenerator som läsare kan klicka på tills det producerade en uppskattning enligt deras önskemål.”

Trots allt detta, de flesta av numren vi ser i dag till dag cyber rapporteringen från företagen datasäkerhet själva, och om deras PR-avdelningar är värda någonting, är dessa siffror fluffas, hyped och soundbite-klar.

Varför många brädor lämnar IT-säkerhet i första hand till säkerhetstekniker, och varför kan inte datanörd övertyga sina styrelser att spendera knappa pengar på att skydda information intressenter? Vi erbjuder vägledning om hur man stänger IT-säkerhetsstyrning gap.

Som ett resultat, budget får misspent resurser får under- eller överutnyttjade, och så dyra hot intelligens allas samla bara samlar damm.

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

För beslutsfattare kartlägga databrottslighet rubrik hysteri, är det enda alternativet att fördubbla ner på att känna igen tecken på BS i nyheter om kostnader, förluster eller hot.

Det är viktigt att göra en “sanity check” när nyheten är baserad på fordringar i en undersökning, rapport, eller studera.

En sak att hålla utkik efter är undersökningar, och alltför många författare mislabel undersökningar som studier. Leta efter källan: Är vad du läser baserad på en undersökning eller en studie – eller bara en rapport utfärdad av ett företag?

Vars ingång är information som bygger på: Ett företag, ett företags kunder eller ett urval av befolkningen i allmänhet?

Under årtionden, mycket av den information vi har om databrott vinster och förluster har hämtats från undersökningar, där representativa urval snedvrider information som redan har utmanat genom att baseras på obekräftade, självrapporterade siffror.

Den “Sex, lögner och cyberbrott Undersökningar” team sa, “Långt ifrån att vara i stort sett baserade uppskattningar av förluster över befolkningen, databrott uppskattar att vi har verkar vara i stort sett svaren från en handfull människor extrapoleras till hela befolkningen.” De förklarar, “en enskild individ som hävdar $ 50.000 förluster, i en N = 1000 personer undersökning, är allt som behövs för att generera en $ 10 miljarder förlust över befolkningen.

Om lösningen kommer från endast ett företag, då du tittar på ett företag produkt.

Vidare, IT-brott undersökningar lider … den mänskliga naturen. “Sex, lögner och Cyber-brott” förklarade att till exempel “en otillfredsställande online-auktion erfarenhet eller tvist med en köpman kan enkelt conflated med” onlinebedrägerier. ” FTC undersökning som finner en enskild svarande försöker rapportera en påstådd förlust på $ 999.999 “stöld av intellektuell egendom” som ID-stöld är just ett sådant exempel.

“Sanity check” din cyberbrott nyheter

Kontrollera att se om undersökningen är giltig. Den metod som anges separat? Vad är provstorleken? Verkar det rimligt?

Akta dig för okontrollerade och overifierade uttalanden och statistik. Är källan, och information kontrolleras på något sätt?

Nästa, håll utkik efter en rättvis rapportering. Är den information som presenteras med den andra sidan av historien eller counter forskningen? Har informationskällan har en personlig insats inblandade? Finns det en personligt intresse från rapporterings källa? Är reportern en “fan” av en person som deltar i forskningen, eller har ett företag föredrar? Har nyheter utlopp tenderar att gynna eller fördömer någon eller något?

Hot intelligens är ett exempel på en IT-brott ämne trend. De flesta organisationer vet att de behöver “göra” hot intelligens, men få förstår, eller kan komma överens om vad det betyder.

Idag finns ett stort antal TI leverantörer och rådgivnings papper (ofta utgivna genom leverantörernas marknadsavdelningar) som beskriver extremt olika produkter och tjänster, allt under parollen hot intelligens. Dessa papper hamnar ibland upp som nyheter – och ett snabbt sätt att separera öl från skummet är att titta på problemet en nyhet presenterar, och se hur artikeln föreslår en lösning: Om lösningen kommer från endast ett företag, då du tittar på ett företag produkt.

Därefter tittar på det hot som ställs i den del du läser. Innebär detta hot faktiskt gäller för din organisation eller dina kunder? Är detta en attack som endast kan ske under mycket ovanliga omständigheter? Är det gamla nyheter? Har hotet eller problemet lösts, men denna information är begravd i artikeln? Är formuleringen “påverkas” (en aktiv attack) eller “kan påverkas” (en eventuell attack om du kisa och vinkel huvudet medan du tittar på problemet)?

Strävan efter noggrannhet gör oss bättre på att hitta starka information för att göra riskbedömningar som väder även de värsta, mest löjliga trender.

Och just nu, om du frågar mig, saker och ting blir ganska löjligt.

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund