NSA- og USCYBERCOM-sjef general Keith Alexander var slett ikke alene om å male den kinesiske kyberfanden på veggen. (Bilde: NSA)

Kyberkrim koster ikke SÅ mye

McAfee torpederer USA-lederes hysteriske anslag.

General Keith Alexander, sjef for både USAs kyberkommando USCYBERCOM og for etterretningstjenesten NSA, la ikke fingrene imellom i juli i fjor da han skulle beskrive hva kyberkriminalitet koster samfunnet.

Han viste til at kyberkrim tapper verdensøkonomien for ett tusen milliarder dollar i året.

Tapet av bedriftshemmeligheter og verdier knyttet til patenter og åndsverk gjennom kyberspionasje utgjør «historiens største overføring av formue», sa Alexander.

Hvor fikk han tallet tusen milliarder dollar fra? Fra McAfee, i dag IT-sikkerhetsavdelingen til Intel. Tallet har versert siden 2009.

I går publiserte McAfee, i samarbeid med Center for Strategic and International Studies, en rapport som helt slår beina under dette og andre tall fra egne og andres rapporter om kyberkriminalitet.

Rapporten kan være startskuddet for mer realistiske økonomiske analyser fra IT-sikkerhetsbransjen.
Rapporten kan være startskuddet for mer realistiske økonomiske analyser fra IT-sikkerhetsbransjen.

Rapporten, The Economic Impact of Cybercrime and Cyber Espionage (pdf, 20 sider) gjør rede for en mer troverdig beregningsmodell. Det reelle tapet for amerikansk økonomi anslås til 100 milliarder dollar i året (i 2012!). Tapet for verdensøkonomien er sannsynligvis godt under 400 milliarder dollar.

Sammenlikn dette med andre tall som lederen for USAs kyberkommando og for etterretningstjenesten NSA kom med for et år siden: Amerikanske selskaper taper 250 milliarder dollar i året på tyveri av immaterielle verdier. Andre former for kyberkriminalitet koster dem 114 milliarder dollar direkte, og ytterligere 220 milliarder dollar på grunn av påført nedetid. I sum: Nærmere 600 milliarder dollar i året. Kilden: ulike McAfee- og Symantec-rapporter.

– Det dreier seg om vår framtid. Den forsvinner foran øynene på oss, sa Alexander.

Store ord på spinkelt, og antakelig feilaktig grunnlag. Men tallgrunnlaget, særlig de tusen milliardene, er gjentatt av mange, også av president Barack Obama.

Utspillet til NSA- og USCYBERCOM-sjefen kom på en tid da mange i det amerikanske regjeringsapparatet var opptatt av å male den kinesiske kyberfanden på veggen. Daværende forsvarsminister Leon Panetta hadde allerede kommet med sine første – det ble flere etter hvert – advarsler mot et digitalt «Pearl Harbor». Daværende utenriksminister Hillary Clinton var opptatt av at USA måtte utfordre Kina innen kyberspionasje og kyberangrep.

Tallene som Alexander oppga, ble forholdsvis fort plukket fra hverandre av uavhengige eksperter.

Det har nok bidratt til å få McAfee på tanken om å utarbeide mere troverdige kostnadsoverslag for kyberkriminalitet. Den nye rapporten har trukket inn uavhengige eksperter. Dessuten er den åpen om hvilke problemer man støter på når man skal anslå hva kyberkriminalitet koster samfunnet.

En kilde til inspirasjon kan ha vært en artikkel publisert 1. august i fjor av den ideelle journalistorganisasjonen ProPublica: Does Cybercrime Really Cost $1 Trillion?, som straks etter ble republisert i Huffington Post. Artikkelen påviser grunnleggende metodiske feil og mangler i tallgrunnlagene til McAfee og Symantec. Den påviser også kritikk fra forskerhold mot disse selskapers IT-sikkerhetsrapporter, også fra akademikere som disse rapportene oppgir som kilde.

Den nyeste McAfee-rapporten ser ut til å ha tatt mange av innvendingene på alvor. Den nye metodikken har følgelig gitt langt mer troverdige anslag. Det understrekes samtidig at også de nye anslagene må tas med en klype salt: Det hefter mye usikkerhet ved beregningene.

Anslaget på 100 milliarder dollar i årlig tap i USA betraktes som mer pålitelig enn anslaget på 400 milliarder dollar i globale tap.

Hvor mye er 100 milliarder dollar? Rapporten viser til at andre uønskede fenomener koster det amerikanske samfunnet tilsvarende mye, uten at det mobiliserer ledende politikere og militære til å rykke ut med advarsler om pågående katastrofer.

De to mest kurante anslag over hva trafikkuhell kostet det amerikanske samfunnet i 2010, lyder på henholdsvis 99 milliarder dollar og 168 milliarder dollar.

Amerikanske butikkjeder antar at de utsettes for svinnrater på mellom 1,5 og 2,0 prosent av den totale omsetningen. Overført til digital virksomhet, skulle dette tilsi at et tap på opptil 280 milliarder dollar i året ikke vil kunne betraktes som unormalt.

Man prøver selvsagt å unngå trafikkuhell og svinn i varehandelen. Men svinn og trafikkuhell betraktes likevel som en del av risikoen man tar når man driver butikk eller ferdes i trafikken. Kanskje man skulle se på kyberkriminalitet ut fra at fenomenet kan ha et typisk nivå som utgjør en normal risiko for aktørene?

Modellgjennomgangen i rapporten peker på åpenbare sannheter som svekker tidligere anslag over hva kyberkriminalitet koster.

Et poeng er at dersom noen rapper immaterielle verdier som har kostet 100 millioner dollar, innebærer ikke det at du har tapt 100 millioner dollar. De immaterielle verdiene er fortsatt i din besittelse. Kyberkriminelle fjerner ikke dokumenter, de kopierer dem. Det er ikke gitt at de har samme anledning som du har til å tjene på det de kopierer. Det er ikke enkelt å anslå hva det faktiske tapet er for selskapet eller for samfunnet som helhet, men hensiktsmessig sikkerhetsarbeid innebærer en realistisk tilnærming til risiko. Svartmaling tjener ingen.

Et annet poeng er at tidligere undersøkelser har bedt ofrene anslå hva de har tapt på datainnbrudd, for så å legge sammen alle tapstallene og deretter ekstrapolere til hele næringslivet. Dette kan ikke gi et korrekt bilde av hva samfunnet som helhet går glipp av. Hvis en nettbutikk må stenge går kundene til neste og kjøper den samme varen der, eller venter til butikken er oppe igjen. Det den enkelte butikken taper oppveies langt på vei av ekstra omsetning hos andre. Det er ikke gitt at samfunnet taper noe i det hele tatt. Tapet er i hvert fall ikke summen av enkelttapene. Men det er faktisk slik tidligere rapporter har gått fram.

Kanskje den nye McAfee-rapporten markerer slutten på skremselspropaganda fra IT-sikkerhetsselskapenes side?

Til toppen