Hver sommer de siste fire årene har Computer Security Institute (CSI), i samarbeid med FBI, undersøkt hvor mye medlemsbedriftene har tapt på datakriminalitet det siste året. Årets undersøkelse ble lagt fram i går på CSIs sikkerhetskonferanse i Scottsdale i Arizona. Den er ennå ikke tilgjengelig fra CSIs nettsted – den skal finpusses og legges ut om en måneds tid – men har vært utførlig referert av flere fagpublikasjoner som er til stede på konferansen.
Det er 615 respondenter på årets undersøkelse. Alle oppgir å ha oppdaterte sikkerhetsløsninger med brannmur og antivirus, i år som i fjor. 80 prosent har sentralt styrte løsninger mot spionvare, en kategori som ikke var med på fjorårets undersøkelse. Respondentene er med andre ord ingen tverrsnitt av amerikanske bedrifter: De representerer den gruppen som er mest sikkerhetsbevisst.
Et viktig spørsmål som CSI stiller i undersøkelsen, er hva slags kostnader respondentene er påført som følge av datainnbrudd, virus og andre former for IT-relatert kriminalitet.
Helt siden den andre undersøkelsen i 2004, har disse kostnadene falt, år for år.
Den siste undersøkelsen bekrefter denne trenden: Respondentene oppgir gjennomsnittlig 168 000 dollar i årlige tap til datakriminelle. Det er 18 prosent mindre enn i 2005, og hele 68 prosent mindre enn i 2004.
De viktigste tapskategoriene er som i fjor, det vil si virus, stjålne bærbare PC-er og intern misbruk av internettilgang. Men i alle disse kategoriene er tapene redusert. CSI tror trusselen fra egne rekker er noe overdrevet: om lag en tredel av respondentene mente de ikke hadde lidd noe tap som følge av intern misbruk, og ytterligere 29 prosent anslo at færre enn 20 prosent av tapene kunne tilskrives utro tjenere.
En interessant observasjon er at utgiftene til sikkerhet ser ut til å falle hos respondentene. CSI oppgir at nærmere halvparten av dem bruker mindre enn to prosent av IT-budsjettet på sikkerhet. Andelen i fjor var 35 prosent.
Moralen synes klar: Sikkerhet koster ikke spesielt mye, men lønner seg desto mer.