Onderzoekers van Microsoft stellen dat de cijfers uit enquêtes naar cybercriminaliteit zwaar overdreven zijn. In deze enquêtes moeten deelnemers moeten aangeven hoeveel materiële schade ze hebben geleden door cybercrime. Omdat enkele deelnemers die schade schromelijk overdrijven zijn de uitkomsten te vergelijken met seksenquêtes, zo stellen onderzoekers van het softwarebedrijf.

Overdrijven

Ze leggen die link omdat het bewezen is dat mannen claimen dat ze meer vrouwelijke bedpartners hebben dan dat vrouwen mannelijke bedpartners hebben. Die discrepantie komt niet alleen voort uit fouten in de steekproef, zo weet The Register. Er hoeft slechts een aantal mannen te zijn dat zijn eigen bedpartners overdrijft om de statistieken enorm te verstoren.

Volgens de onderzoekers van Microsoft worden de enquêtes over cybercriminaliteit ook geteisterd door veel mensen die de enquêtes niet invullen en dat al op een kleine populatie. Daardoor worden de resultaten van zo’n onderzoek gedomineerd door een klein aantal reacties. Opvallend genoeg zijn dat meestal de mensen die veel geld verloren hebben als gevolg van een hack of malware, of slechts denken dat ze dat hebben.

Tien miljard dollar schade

“In plaats van een schatting gebaseerd op een groot aantal mensen, zijn de schattingen over cybercrime grotendeels bepaald op basis van antwoorden van een handvol mensen. Die worden dan geëxtrapoleerd naar de hele populatie”, zo schrijven onderzoekers Cormac Herley en Daniel Florencio in hun onderzoek.

Praktisch alle schattingen over cybercrime zijn bovendien gebaseerd op enquêtes, niet op directe observaties. De onderzoekers menen dat het menselijk is om te willen weten wat de schade van zo’n verschijnsel is maar dat het heel moeilijk te meten is. Dat in tegenstelling tot hoe vaak een virus verspreid wordt of wat het aantal phishingaanvallen is.

De onderzoekers stellen dat met een onderzoekspopulatie van 1.000 de geëxtrapoleerde schade op 10 miljard dollar kan komen als één persoon een schade van 50 duizend dollar claimt. Ook een onterechte claim van 7.500 dollar kan met een dergelijke extrapolatie in totaal anderhalf miljard dollar schade worden.

Meer softwareverkoop

Beveiligingsbedrijven zouden dit soort lacunes in hun onderzoeken over het hoofd zien, primair omdat hogere cybercriminaliteitscijfers ook leiden tot meer verkopen van hun software. Het grote probleem ontstaat volgens de Microsoft-mannen pas als de onderzoeken, die wetenschappelijk verantwoord lijken, als middel worden gebruikt om managers van grote bedrijven of politici te overtuigen.

De onderzoekers vergelijken de gebrekkige onderzoeken met het adagium ‘vertrouw user input niet’, zoals een standaardtekst over het schrijven van veilige code stelt. “Het is dan ironisch dat enquêtes over cybercrime bijna volledig vertrouwen op ongecontroleerde input van gebruikers”, menen zij.