Hver eneste dag bliver 2000 danskere ofre for internetkriminalitet, som koster os den formidable sum af 1,7 milliarder kroner om året - men det er kun begyndelsen. Dertil skal lægges knap en milliard kroner i tabt arbejdsfortjeneste. Den samlede regning løber op i næsten tre milliarder kroner om året, og det er alene for Danmarks vedkommende. På verdensplan andrager omkostningerne ved cyberkriminalitet svimlende to billioner kroner om året.
Sådan lød påstanden fra Symantec i sidste uge, da selskabet via sit datterselskab Norton offentliggjorde en stor global undersøgelse om omfanget af cyberkriminalitet. Konklusionen var ikke overraskende, at kriminaliteten har et langt større omfang end hidtil antaget.
Verdens største PR-firma
Undersøgelsen blev omtalt vidt og bredt. Og selvom Symantec som leverandør af it-sikkerhedsprodukter jo netop har en klar økonomisk interesse i at male et billede af it-kriminalitetens omfang, der er så skræmmende som muligt, blev der ikke stillet spørgsmålstegn ved de enorme tal ret mange steder.
Norton Cybercrime Report 2011 hedder undersøgelsen bag billion-regningen.
Der er foretaget af firmaet StrategyOne, et amerikansk analysefirma, der er ejet af verdens største uafhængige PR-firma, Edelmann.
StrategyOne er betalt af Symantec for at gennemføre undersøgelsen, bekræfter sidstnævnte firma.
508 danskere spurgt
Undersøgelsen omfatter 24 forskellige lande. Ifølge baggrundsmaterialet er der i alt stillet spørgsmål til knap 20.000 mennesker. I Danmark er 508 personer blevet spurgt.
Desværre rummer baggrundsmaterialet ikke særlig megen forklaring på, hvordan undersøgelsen er kommet frem til de enorme beløbsstørrelser.
I en forklarende note i analysen hedder det blot om værdi-udregningen, at den er baseret på denne formel:
"Ofre de sidste 12 måneder (pr. land) x gennemsnitlig omkostning ved cyberkriminalitet (pr. land i amerikanske dollars)".
Med andre ord en helt igennem intetsigende forklaring.
Det store spørgsmål om hvordan Symantec er kommet frem til den gennemsnitlige omkostning ved cyberkriminalitet i hvert land er stadig ubesvaret.
Reparation og udbedring
Trods gentagne forsøg og stor velvillighed fra selskabets ledelse er det ikke lykkedes ComON at få Symatec til at forklare i detaljer, hvilken dataindsamling der ligger bag tallet.
Men en endnu ikke offentliggjort PDF-version af analysen kommer dog med en del af forklaringen.
Beløbet er blevet til ved at lægge de konkrete tab sammen med omkostningerne til reparation og udbedring af skaderne ved cyberangrebet.
Hvordan tallet for de konkrete tab er fremkommet, vides ikke.
Men oplysningen sætter alligevel tallene i et nyt lys.
Det er nemlig udgifterne til beskyttelse mod cyberangreb - altså de produkter, som blandt andre Symantec selv faldbyder, der presser omkostningerne op.
Nyindkøb af sikkerhedssoftware tælles med
Både Symantecs nordiske direktør Jan Skelbæk og selskabet eksterne PR-konsulent Therese Fischer-Larsen forklarer, at tallet ud over omkostninger til reparation også dækker udgifterne til beskyttelse mod (nye) angreb - altså for eksempel nyindkøb af sikkerhedssoftware fra Norton/Symantec.
På den måde er det måske ikke så svært at komme frem til milliarderne!
Tallene bag den ene milliard, som cyberkriminalitet ifølge Symantec-analysen koster danskerne i tabt arbejdsfortjeneste, er lidt mere konkrete.
Her er tallene fremkommet ved at bede deltagerne i undersøgelsen om at anslå værdien af den totale tabte tid afstedkommet af samtlige cyberangreb vedkommende har været udsat for i de sidste 12 måneder.
Smishing
Men hvordan er det lige et cyberangreb defineres? Igen er forklaringerne fra Symantec lidt usikre.
Clicker man ind på den danske udgave af analysen, står der i baggrundsnoterne, at deltagerne har svaret på, at de har været udsat for forskellige former for cyberkriminalitet. Et af spørgsmålene, man kunne sige ja til var: "Jeg har været udsat for en smishingbesked".
En smishingbesked er en sms-udgave af en phising-mail.
Det er altså nok blot at have modtaget en besked med phising-indhold.
"Modtaget" eller "responded to"
I første omgang bekræfter Symantec denne tolkning, og siger videre, at det også er nok at have modtaget phishingmails.
I den engelske tekst står der imidlertid "I have responded to a Smishing message" og "I responded to a Phishing message thinking it was a legitimate request." Det svar indebærer, af den adspurgte rent faktisk lod sig narre.
Deltagerne i undersøgelsen er også spurgt, om de nogensinde har haft virus eller malware på deres computer. Her er der ikke førnævnte forskelle på den engelske og danske tekst, men til gengæld står malware-begrebet hen uden nærmere forklaring.
Det er altså lidt op til de adspurgte selv, hvor meget de vil inkludere i begrebet malware.
Malware - hvad er det præcist?
Som man måske kunne forvente, består hovedparten (47 procent) af de danske cyberangreb af virus og malware-problemer. Kun otte procent af de adspsurgte svarede, at de nogensinde havde været udsat for online svindel.
Tilbage står, at hovedbudskabet om, at cyberkriminalitet koster os milliarder, til trods for alle forklaringerne ikke virker særlig troværdigt.
Selv hvis man strækker begrebet cyberkriminalitet lidt, så det omfatter svindel med dankort, netbanker og nethandel, er der kun tale om mikroskopiske beløb i forhold til Symantec-tallet.
Sidste år blev danskerne (det vil sige deres banker) snydt for i alt 12, 6 millioner kroner på grund af svindel med Dankort. (Se dokumentation her.)
Nøjes man med de blotte omkostninger, som menige danskere er blevet påført, når de eksempelvis er hoppet på en phising mail eller har inviteret en trojaner indenfor, er tallene endnu mindre.
Ifølge Finansrådet blev der sidste år begået 12 indbrud i danske netbanker, heraf to (2) med tab. De samlede tab fra netbankrøverierne beløb sig til 433.043 kroner.
