Milliardtap på dataproblemer

Datakriminalitet har de siste årene blitt en gjenganger i norske media. Ulovlig datainntrenging koster norske bedrifter mellom 1,5 og fem milliarder kroner årlig, hevder Næringslivets sikkerhetsorganisasjon (NSO).

I tillegg kommer virus. I snitt skal i underkant av hver 150nde e-post være smittet. Over 30 prosent kan være smittet i de mest aktive virusperiodene.

Det kostet verden anslagsvis 148 milliarder kroner i fjor, og norske bedrifter minst én milliard kroner. Det hevder det norske antivirusselskapet Norman. 82 prosent av alle norske bedrifter skal ha vært utsatt for datavirus.

Så kommer alle dataproblemene. De koster bedriftene godt over 30 milliarder kroner i året, viser tall fra konsulentselskapet Cap Gemini Ernst & Young.

De selvpålagte kostnadene vokser. Dataprogrammene blir mer komplekse. Stadig mer av de ansattes tid går med til aktiviteter på nettet – hvor de i tillegg legger igjen spor for de som ønsker å følge dem.

Truslene øker fra dag til dag. En rapport fra en analysegruppe i Internet Risk Summary viser at antall sikkerhetstrusler økte med 65 prosent fra tredje kvartal 2001 til tredje kvartal 2002.

SØPPELBERGET VOKSER

Spam, eller uønsket e-post som regel i form av reklame, hagler inn på våre datamaskiner og utvikler seg nå raskt til den nye store kostnadsbølgen. Søppelberget øker i takt med utviklingen av web-services og andre integrerende tjenester.

Telenor hevder at spam er på vei til å passere virus som verstingen på nett. I en rapport skriver analysebyrået IDC at antall e-poster øker fra 3,9 milliarder daglig i 2002 til 60 milliarder i 2007. Rundt halvparten av disse vil ikke være «person til person e-post», men masseutsendelser – hovedsakelig spam.

For bedriftene betyr dette at verdifull arbeidstid går med til å rense postkassen for spam – noe som er en ren kostnad. Antall spam per mottaker ble i snitt nær doblet fra 3,7 sendinger per dag i 2001 til 6,2 sendinger i 2002, hevder Juniper Research.

I 2001 ble det sendt 140 milliarder søppelbrev i USA. Omfanget vil øke til 645 milliarder i 2007. Amerikanske bedrifters investeringer til markedsføring via e-post, eller spam, øker fra 1,4 milliarder dollar i 2002 til 8,3 milliarder i 2007.

Foreløpig er det få gode metoder for fjerning av spam. Eksisterende filtre har problemer med å skille mellom ønsket og uønsket e-post. I mens må vi leve med problemet. I Norge økte i fjor spam-mengden til den jevne e-postbruker med 70 prosent.

Analysebyrået MessageLabs sier vi bruker ti prosent av arbeidsdagen til å rense postboksene våre for spam. Det er nok en overdrivelse, men kan raskt nærme seg virkeligheten hvis utviklingen får gå videre slik den gjør nå.

HOLDER KJEFT OM PROBLEMET

Sist vinter gjennomførte NSO, Økokrim og MMI en mørketallsundersøkelse av datakriminalitet i norske bedrifter. Resultatet gir grunn til ettertanke.

Av 646 bedrifter rapporterte 33 at de hadde vært utsatt for 246 datainnbrudd. 47 bedrifter rapporterte at de hadde vært utsatt for 51.507 forsøk å innbrudd.

NSO arbeider med å få bedriftene til å bli mer oppmerksom på problemet. Men de støter på en utfordring. De fleste bedrifter holder kjeft om at de har bitt tappet for informasjon, rammet av virus eller fått andre problemer som følge av datakriminalitet.

Bedriftene er redde for å tape anseelse og få negativt omdømme hvis politiet koples inn med etterforskning og påfølgende rettssak, sier Inger Marie Sunde, som leder politiets datakrimsenter i Økokrim. Bedrifter som er utsatt for datakriminalitet kan ta uformell kontakt med politiet. Spesialetterforsker Lars Wilberg i Økokrim sier de vil gjøre sitt for å unngå at bedriften bli eksponert mot offentligheten.

Kun 75 datainnbrudd ble anmeldt i 2001. Økokrim rapporterer fem rettskraftige dommer, 11 forelegg og to påtaleunnlatelser. Det står i grell motsetning til NSO som mener det var over 7.500 vellykkede datainnbrudd i 2001. Kun fire av disse endte med politianmeldelse.

Det er på dette grunnlag NSO har regnet seg frem til at datakriminalitet påfører norske bedrifter et tap på mellom 1,5 milliarder og 5 milliarder kroner årlig. Tallet er antakelig langt høyere. Det estimerte anslaget på 7.500 innbrudd er svært forsiktig.

FIKLING KOSTER MILLIARDER

Kostnadene i forbindelse med datainnbrudd er nærmest for peanøtter å regne sammenlignet med de kostnader alle bedrifter, organisasjoner og offentlige institusjoner sliter med til daglig.

Rådgivningsselskapet Cap Gemini Ernst & Young har i flere år kartlagt hvor mye sviktende nettoppkopling, e-post som ikke fungerer, skrivere som ikke virker og programvare som henger koster.

Konklusjonene er oppsiktvekkende. Slike dataproblemer kostet norske bedrifter den nette sum av 33,6 milliarder kroner i 2001. Det var en økning på fem milliarder kroner fra året før.

I 1996 brukte norske arbeidstakere i snitt 125 timer årlig på å løse egne og andre dataproblemer. I 2001 brukte de 136 timer. Cap Gemini Ernst & Young mener at «skjulte datakostnader» koster en tenkt bedrift med 200 PC-brukere 6,4 millioner kroner i året.

Rådgivningsselskapet har regnet ut at norske bedrifter og offentlig virksomhet bruker 32.000 kroner per ansatt per år i dataplunder og -heft. Per uke forsvinner nesten tre arbeidstimer i tapsbringende dataproblemer.

Problemene skyldes manglende innsikt, feilforståelse og opplæring, fravær av enkle manualer og for svakt støtteapparat. Mange ansatte aksepterer at problemer og plunder hører til de daglige jobbtrivialiteter.

Januar var ikke over før en stor data-bombe slo ned i den norske offentlighet. Norges kanskje viktigste database, den offentlige Odin-siden, lå nede for telling.

Nærmest all tilgang til landets sentrale offentlige informasjonsdatabaser var utilgjengelig i flere dager. Telenor drifter systemet og fikk skylden for problemene. Byråkratene i Finans, som det så fint kalles, reagerte med det nærmeste vi kan komme et departementalt raseri.

Hadde dette skjedd i oktober, da statsbudsjettet ble lagt frem, ville det ha kunnet utviklet seg til en statsfinansiell krise. Det skjedde heldigvis ikke.

Hva skyldes den fatale feilen som førte til at Odin lå nede i tre hele dager til ende, pluss sporadiske nedturer i en hel uke? Først krasjet en disk i Telenor. Trafikken ble automatisk overført til en annen server, som også krasjet.

Hundre og ett var ute. Telenor brukte ti dager på å gjenfinne 2,5 millioner filer med 45 gigabyte informasjon. Uhellet skyldtes en serie med tilfeldigheter, forklarte selskapet.

Tilfeldigheter kostet dyrt, og kunne ha kostet enda dyrere. Tapet i kroner og øre er ikke målt, men Finansdepartementet var opprørt. De reagerte sterkt på det de oppfattet som Telenors bagatellisering av det inntrufne.

Statens forvaltningstjeneste som håndterer Odin-avtalen har truet Telenor med at de kan miste en for dem lukrativ avtale verdt ti-talls millioner kroner årlig.

KOSTBARE PROMILLER

Sammenbruddet i Odin viser hvor sårbart samfunnet har blitt for dataproblemer, hvor lett de kan oppstå, og hvilke enorme konsekvenser det kan få for vitale samfunnsinteresser.

Det private næringsliv er svært utsatt hvis sentrale driftssentraler bryter sammen. Selv med en garantert oppetid på 99,99 prosent som holdes gir store tap.

En årlig driftsstans på 0,01 prosent i døgnkontinuerlig virksomhet tilsvarer en nedetid på oppunder ni timer. Omsatt i kroner og ganget opp med antall enheter snakker vi om betydelige beløp.

Telenors håndtering av driftsstansen i Odin kan kalles en skandale. Den store driftstansen i EDB Teamco fra 2. august i 2001 var kanskje trinnet verre. Med et enkelt håndgrep ble datasystemene til 114 forretnings- og sparebanker satt ut av drift.

Historien endte med at selskapets administrerende direktør Bjørn Carlsen gikk på dagen etter at millioner av norske bankkontoer ikke hadde vært à jour på en uke. Kredittilsynet var kritisk til flere forhold vedrørende driftssikkerheten. EDB Teamco hadde en garantert oppetid på 99,97 prosent. Den glapp.

It-ekspertene trodde de hadde jobbet mot et nyopprettet lagringssystem som skulle inneholde kopier av produksjonsdata eller speiling. Isteden jobbet de mot 288 fullastede disker, hvor all informasjon ble slettet.

Flere hundre eksperter jobbet døgnkontinuerlig med å rette opp feilen.

Bak lå det mangehodede trollet «menneskelig svikt». Tidligere på sommeren var et nytt sett med fiberkabler blitt feilmontert. De gikk til det gamle systemet istedenfor til det nye. Katastrofen lå latent og ble et faktum.

En ulykke kommer sjelden alene. En drøy måned senere falt en del av systemet ned igjen. Alle kunder i Skandiabanken var uten kontakt med sin nettbank i 12 timer.

UKJENT BELØP

Hvor mye slike driftstanser koster norske bank- og andre forretningsmiljøer og deres kunder er ukjent. I etterkant av EDB Teamco-fadesen ble det antydet erstatningsbeløp i flere hundre millioner kroners-klassen.

Konsulentselskapet KPMG utga i fjor høst en rapport som viser at en uønsket hendelse eller sikkerhetsbrist som får negative konsekvenser i snitt koster den enkelte bedrift én million kroner.

Rapporten omfattet 641 bedrifter med en årlig omsetning på over 50 millioner dollar. 98 prosent av de spurte mente de hadde et tilstrekkelig sikkerhetsnivå.

Den opplysningen står i grell kontrast til at 87 prosent av de samme bedriftene opplyste at de hadde blitt rammet av sikkerhetsproblemer.