¿Por qué deberías olvidarte de las cifras?

¿Recuerdas Lockdroid? A principios del año pasado, el aterrador ransomware fue descubierto en la naturaleza, haciéndose pasar por una aplicación pornográfica y armado con la capacidad de bloquear su teléfono inteligente. Los titulares gritaban que miles de millones podrían verse afectados, con Symantec reclama dos tercios de Android los usuarios podrían estar en riesgo.

Estadísticas de seguridad aterradoras: por qué deberías olvidarte de las cifras

Al final, los propios análisis de Google revelaron la verdadera historia: solo mil teléfonos descargaron Lockdroid, y ni uno solo lo instaló.

Cuando se trata de seguridad, abundan las historias de miedo: no hay nada más aterrador que una estadística aterradora en un titular para captar nuestra atención. Es una táctica que utilizan las empresas de seguridad para alentarnos a tener cuidado en línea y, por supuesto, a comprar sus productos. Y aunque hay muchas cosas por las que deberíamos preocuparnos cuando se trata de seguridad digital (ciberdelincuentes, vigilancia a nivel estatal, piratas informáticos que lo hacen por lulz), el personal de marketing y relaciones públicas detrás de antivirus y otras empresas de seguridad optan por no historias personales de los daño causado por agujeros en las defensas digitales, pero para números grandes e inflados.

Hay muchos ejemplos recientes, pero aquí hay uno de mi bandeja de entrada. Un ISP comercial llamado Beaming envió un comunicado de prensa en el que afirma que las empresas del Reino Unido sufrieron un promedio de 43 000 ataques cibernéticos en el primer trimestre de 2017. Esto no afecta a todas las empresas; eso es para cada negocio: una afirmación de que cada empresa en el Reino Unido ha sido objeto de aproximadamente 474 ataques todos los días.

Eso suena bastante alto, ¿no? Bueno, en realidad es un 7% menos que el año pasado.

Pero estos no son necesariamente ataques en el sentido que esperaría, depende de cómo defina esa palabra. Si bien un portavoz de Beaming enfatizó que los ataques significan “intentos individuales de piratas informáticos de violar el firewall de una empresa en particular”, la directora general de la compañía, Sonia Blizzard, lo describió en el comunicado de prensa como “siendo investigado”.motion_sensors_can_reveal_passwords_pins_to_hackers

Dado que la empresa se está centrando en el Internet de las cosas, con toda probabilidad esos cientos de "ataques" diarios son scripts automatizados que hurgan en Internet, búsquedas que se ejecutan desde servicios como Shodan que buscan dispositivos conectados, investigadores que buscan dispositivos mal configurados y, sí, algunos posibles piratas informáticos.

“Los contamos como iguales en estas cifras: cualquier intento no autorizado de acceder a la red”, explicó el portavoz. “Hemos dicho anteriormente que la mayoría de los ataques cibernéticos de Internet son scripts de computadora que buscan debilidades en la web y prueban constantemente los firewalls para encontrar una forma de entrar. Una vez dentro, es relativamente fácil para los piratas informáticos tomar el control de los dispositivos conectados y permanecer inactivos antes -Usar esos activos como parte de un hack más grande o un ataque de denegación de servicio distribuido en una etapa posterior”.

“¿Es olfatear puertos un ataque? ¿O está haciendo uso de lo que encuentras el ataque?

Esto no es una crítica de Beaming. Simplemente destaca cómo la forma en que definimos los términos afecta la investigación que realiza un seguimiento de los problemas de seguridad. ¿Es olfatear puertos un ataque? ¿O está haciendo uso de lo que encuentras el ataque? Dejando a un lado la semántica, el número en sí mismo es en gran medida inútil. Si tiene dispositivos conectados a Internet abierto, bloquéelos, independientemente de si su kit fue olfateado 400 veces al día, 40 veces o cuatro veces.

Mala comunicación del gobierno

Las empresas de seguridad tienen un objetivo: llamar su atención y la de su empresa, para que luego puedan venderle algo. Es más difícil hacer concesiones para el gobierno. Varias veces al año, a través del Departamento de Cultura, Medios y Deportes (DCMS), la Oficina Nacional de Auditoría o alguna otra agencia, el gobierno publica informes de seguridad cibernética. Estos documentos generalmente son producidos por una consultoría, como PricewaterhouseCoopers (PwC) o una universidad, por lo que nosotros, los contribuyentes, pagamos por su producción.

Quizás el ejemplo más divertido es de 2013, cuando la NAO emitió un informe que afirmaba que el delito cibernético le cuesta al país entre 18.000 y 27.000 millones de libras esterlinas al año. Es posible que esos números alarmantes no suenen divertidos, pero la primera cifra es de un informe de la Universidad de Cambridge que fue encargado por el gobierno para desacreditar la fuente de la segunda estadística, un informe de Detica (un experto en inteligencia de la información)... también encargado por el gobierno.

Incluso si utilizamos la cifra de 18.000 millones de libras esterlinas, el informe de Cambridge la enumera en dólares, no en libras, por lo que debería ser de 18.000 millones de dólares. Además, incluye todo, desde fraude con tarjetas, pérdida de confianza del consumidor, el costo del antivirus, fraude fiscal y de beneficios y, lo que la mayoría de nosotros consideramos ciberdelito, fraude bancario en línea y botnets. Este último le cuesta al Reino Unido solo $ 164 millones al año, según el informe, mucho menos de lo que los británicos y sus empresas gastan en antivirus, y el informe señala que el "verdadero ciberdelito" cuesta a los ciudadanos "unas pocas decenas de centavos por año directamente", mientras que el los costos indirectos, como el dinero gastado en software antivirus, pueden ser cien veces mayores”.

Si ya ha decidido ignorar esa aritmética alarmista, no está solo: los autores del informe ellos mismos advirtieron en contra de contar cifras para un gran número para incluir en los titulares.

la seguridad cibernética

Estas matemáticas dudosas no son únicas y se notan incluso en los informes más recientes. A finales del año pasado, la NAO publicó Protección de la información en todo el gobierno, que analiza los esfuerzos para reducir los costos al tiempo que mejora la seguridad de los datos: un objetivo valioso. En la sección 3.9, la amenaza del delito cibernético se describe como "considerable" y "creciente", citando una investigación de un informe anterior encargado por el BIS por los auditores PwC que encontró que el 90% de todas las grandes empresas británicas se vieron afectadas por una brecha de seguridad de algún tipo en 2015. “La tasa promedio de infracciones fue de más de una por mes, con un costo promedio de entre £ 1,46 millones y £ 3,14 millones, frente a £ 600 000 a £ 1,5 millones en 2014”.

Sin seleccionar, eso significa que nueve de cada diez grandes empresas británicas sufrieron una brecha de seguridad en 2015, con un promedio de más de una por mes, a un costo promedio de millones de libras cada una. Eso es mucho pirateo y mucho dinero en efectivo.

Tal afirmación debería hacer que cualquiera lo tome dos veces, y por una buena razón: no es cierto. Las empresas británicas no se ven afectadas por una brecha que les cuesta millones de libras cada mes. El informe de PwC, que se basa en una encuesta autoinformada, revela que las grandes empresas se ven afectadas por un promedio de 14 infracciones al año, pero eso incluye todo, desde un ataque DDoS hasta malware o un incidente relacionado con el personal, como el uso indebido del inicio de sesión. cartas credenciales. La cifra de costo promedio en millones de libras no corresponde a cada una de esas infracciones, sino a la peor infracción sufrida por las grandes organizaciones en el año, con un costo para las pequeñas empresas que oscila entre £ 75,000 y £ 310,000. Esa cifra no es el promedio, es el peor de los casos para las empresas más afectadas: una agencia gubernamental citó incorrectamente el informe de otra.

Volvamos a esa cifra que afirma que el 90% de las empresas británicas se ven afectadas por una infracción cada año. Esta semana, un informe encargado por el DCMS y producido por la Universidad de Portsmouth e Ipsos MORI afirma que una encuesta revela que el 46 % de las empresas británicas se vieron afectadas por una brecha en el último año, aumentando a dos tercios para las empresas más grandes. Nueve de cada diez frente a menos de cinco de cada diez: esa es una brecha muy grande.

Problemas de conteo

¿Por qué los problemas de seguridad son tan difíciles de sumar? Martijn Verbree, socio en la práctica de seguridad cibernética de KPMG, dijo que esto se debe a algunos problemas. “Número uno, no tenemos una definición clara y universalmente acordada sobre qué es realmente una infracción y cómo la medimos”, me dijo. “Esto hace que se comparen las manzanas con las peras. y naranjas Y plátanos…”

Por ejemplo, ¿cuál de los siguientes debe incluirse en un recuento de ataques contra empresas? Un correo electrónico personalizado que contiene ransomware que ignora; un bot escaneando su sitio web en busca de puertos abiertos; su cuenta de Twitter siendo tomada; o alguien robando 100.000 registros de clientes. “Las opiniones diferirán sobre qué contar y cómo contarlo, incluso dentro de la comunidad de expertos en seguridad cibernética”, dijo. “Primero es necesario obtener claridad de lo que estamos midiendo como brechas de seguridad antes de que podamos comenzar a informarlo y compararlo”.

Añádase a esto el problema de que muchas empresas no saben cuándo ha habido una infracción o no lo informan cuando ocurre; de ​​ahí la necesidad de encuestar a las empresas para obtener una imagen completa de las infracciones, ya que no podemos depender de la policía. informes.

“Muchas organizaciones no estarán dispuestas a hacer públicas sus brechas de seguridad, simplemente porque podría dañar su reputación, el precio de las acciones, [or] podría causar problemas regulatorios”, dijo Verbree. “A veces, es un incidente tan pequeño que no vale la pena que alguien se tome el tiempo de reportarlo, [but] que podría desarrollar a una brecha mucho mayor con el tiempo cuando se descubre más sobre lo que sucedió”.

bigstock-hacker-en-trabajo-81548849

“Los que están siendo reportados son realmente la punta del iceberg”

Entonces, ¿qué tan grande es la escala del delito cibernético? Nadie lo sabe, y cualquiera que diga lo contrario está vendiendo algo. Cuente cada sonda o correo electrónico cargado de malware y estamos bajo un ataque constante. Si solo incluimos las infracciones reales, nos falta una imagen completa. “Estamos hablando de miles de escaneos por día y correos electrónicos con malware recibidos diariamente”, dijo Verbree. “¿Cuántos de estos ataques realmente resultan en una violación de datos que se descubre y finalmente se informa? Es difícil decir qué tan grande es en realidad. Pero los que se están informando son realmente la punta del iceberg”.

Eso podría cambiar. “El lado positivo aquí es que el nuevo Reglamento General de Protección de Datos hará cumplir un requisito a nivel europeo para que las organizaciones notifiquen las violaciones de datos que involucren información personal a las autoridades supervisoras y a las personas afectadas”, dijo Verbree. “Con suerte, esto estandarizará la forma en que se informan algunas de estas infracciones, pero estará lejos de ser completo”.

Mientras tanto, no entre en pánico por las cifras de cualquier informe de seguridad, independientemente de si son de la industria o del gobierno; al final, no importa cuántos ataques e infracciones ocurran en el ecosistema, solo si le suceda o concierna a sus datos.