Onderzoeken naar sexuele relaties en naar cybercrime vertonen grote gelijkenis, zeggen twee onderzoekers van Microsoft in het rapport Sex, Lies and Cyber-crime Surveys. Dit rapport wordt volgende week gepresenteerd op de Workshop over Economics of Information Security (WEIS 2011) op de George Mason University.
Het probleem van beide typen onderzoek is dat de betrokkenen rapporteren zonder dat hun beweri ngen worden gecontroleerd, waardoor schattingen gedaan door een klein deel van de ondervraagden, grote invloed hebben op de uitkomsten.
Dinei Florencio and Cormac Herley, de auteurs, stellen dat weinig waarde moet worden gehecht aan deze onderzoeken.
In het geval van onderzoek naar het aantal sexuele partners, blijken mannen te ‘overschatten’, terwijl vrouwen geneigd zijn een kleiner aantal op te geven. Mannen hebben de gewoonte flagtrante leugens te vertellen over hun sexuele prestaties. Als gevolg daarvan duwen zij de gemiddelden in de uitkomst van deze onderzoeken omhoog.
Volgens de onderzoekers kunnen parallellen getrokken worden met onderzoeken naar de gevolgen van cybercrime. Ook hier heeft een kleine groep de neiging de financiële schade sterk te overdrijven. De onderzoekers tonen met een statistische analyse aan hoe makkelijk het is de einduitkomst te beïnvloeden met slechts enkele foutieve resultaten.
Het probleem is, zegt een beveiligingsonderzoeker van Kaspersky Labs, dat criminelen geen jaarcijfers publiceren. Daarmee is het een ondoorzichtige economie. Dat neemt niet weg dat cybercrime een groot probleem is.
‘Far from being broadly-based estimates of losses across the population, the cyber-crime estimates that we have appear to be largely the answers of a handful of people extrapolated to the whole population. A single individual who
claims $50,000 losses, in an N = 1000 person survey, is all it takes to generate a $10 billion loss over the population. One unveried claim of $7,500 in phishing losses translates into $1.5 billion’, zo wordt in het rapport geschreven. Praktisch alle schattingen over cybercrime zijn bovendien gebaseerd op enquêtes, niet op directe observaties.
De onderzoekers menen dat het menselijk is om te willen weten wat de schade van zo’n verschijnsel is maar dat het heel moeilijk te meten is, in tegenstelling tot hoe vaak een virus verspreid wordt of wat het aantal phishingaanvallen is.