Tidigare i veckan publicerade säkerhetsföretaget McAfee en rapport om hur mycket kostnader it-brotten direkt och indirekt orsakar samhället. Rapporten berör den amerikanska marknaden, och uppskattar att mer än 650 miljarder kronor per år går åt till att hantera leveransstörningar, skador och direkta stölder av finansiella tillgångar. Rapporten, Estimating the Cost of Cybercrime and Cyber Espionage, bygger på en framtagen ekonomisk modell och metodologi, och tar hjälp av bland andra ekonomer och säkerhetsexperter för att komma fram till de siffrorna. McAfee bedömer utifrån rapporten att över en halv miljon jobb kan ha gått förlorade som en följd av den it-relaterade brottsligheten.

Det är däremot svårt att få fram tillförlitliga siffror över situationen eftersom företagen inte har en rapporteringsskyldighet vid it-relaterade incidenter. I en del amerikanska delstater förekommer regler där företagen är skyldiga att kontakta de drabbade vid intrång som berör personuppgifter. I Sverige finns dock inga liknande regler, varför det råder en stor ovisshet kring hur stort problemet är. Fredrik Möller, vd för McAfee i Norden och Baltikum, hade gärna sett att den bilden ändras.

– Man kan bara spekulera i hur siffrorna ser ut i Sverige. Frågar man företag och organisationer om de blivit utsatta för intrång så är det naturliga svaret att säga nej, oavsett hur verkligheten ser ut.

Fredrik Möller menar att det är omöjligt att bedöma hur Sverige ligger till vad gäller it-brottslighetens omfattning och vilka skador den orsakar eftersom det inte finns några siffror att luta sig emot. Fredrik Möller efterlyser en större transparens och han får medhåll från Robert Malmgren, säkerhetskonsult på Romab.

– Vi behöver korrekt underlag för att inte behöva gå på gissningar. Jag tror att det behövs både en piska och en morot för att insynen ska bli bättre. Men frågan är vem som ska ta fram siffrorna, och under vilka förutsättningar, säger Robert Malmgren.

Det finns för närvarande en diskussion på EU-nivå om att inrätta ett centralt register för incidenter, som skulle innebära en rapporteringsskyldighet för företagen. Det råder dock fortfarande oklarheter kring vilka som ska få tillgång till det registret, och det skulle dessutom endast innefatta incidenter där personuppgifter är involverade. Ann-Marie Eklund Löwinder, säkerhetschef på Stiftelsen för internetinfrastruktur, menar dock att ett sådant register ändå skulle kunna få en stor slagkraft.

– Så fort ett företag har en kunddatabas så är personuppgifter på något sätt involverade, och det skulle innebära en rapporteringsskyldighet för företagen. Problemet idag är att företagen inte ens vill polisanmäla incidenter eftersom de är rädda om sitt rykte.

Hon ställer sig dock tveksam till om det kommer gå att få en helhetsbild, och tror att det kommer existera ett stort mörkertal även om ett centralt register införs.

– Vi kommer nog aldrig få den heltäckande bilden. Jag tror mer på att försöka motivera företagen på olika sätt till att anmäla incidenterna, det skulle vara väldigt värdefullt, säger Ann-Marie Eklund Löwinder.

Det återstår att se om ett kommande EU-register kan ge svaret på hur många incidenter som inträffar där personuppgifter är inblandade. Några heltäckande siffror över det totala antalet incidenter som företagen drabbas av, och vilka kostnader de innebär, tycks däremot vara långt borta.