Då släppte Intel (och därmed Intel-ägda McAfee) en ny siffra för hur mycket it-brottsligheten i världen kostar. Den nya uppskattningen visade sig vara blott en tredjedel så stor som de man slängt sig med tidigare.

Pinsamt? Ja, verkligen. Inte minst då det handlar om statistik som till och med Obama-administrationen lutat sig mot när man argumenterat för hårdare lagar mot it-brottslighet.

Så här gick det till: År 2009 skrev McAfee i ett pressmeddelande att den samlade kostnaden för it-brottslighet i världen uppgick till en biljon dollar. Tusen miljarder dollar, alltså. (Vad som räknas som en kostnad är inte helt enkelt att förklara, men det inbegriper allt från pengar som tas från stulna kontokort till förlusten för ett företag som råkar ut för industrispionage och får sin produkt kopierad.)

Siffran var resultatet av en vågad räkneövning. McAfee hade utgått från en enkätundersökning (med sedvanligt begränsat antal svarande) och extrapolerat siffrorna för att gälla hela det kända universum. Uträkningen fick, föga oväntat, kritik. Men den passade som handen i handsken för politiker som just då var på väg att driva igenom hårdare lagar för att skydda amerikanska intressen mot it-baserat industrispionage.

Det fick bland andra Barack Obama att lyfta siffran i sin argumentation. Något som kostar så mycket pengar måste väl vara värt några nya lagar? Kanske även lagar som ger myndigheter befogenheter man normalt sett skulle uppleva som obehagliga?

Kom ihåg att det här var långt innan PRISM avslöjades. Att prata om hårdare tag på nätet var inte i närheten av lika kontroversiellt då som det är nu.

Igår fick de mest högljudda anledning att äta upp sina uttalanden. Då släpptes som sagt en ny rapport, där den totala kostnaden sattes till en tredjedel av den biljon man tidigare pratat om. Den här gången har vi räknat ordentligt, uppger en McAfee-chef för Reuters.

När siffrorna svajar som de uppenbarligen gör blir det svårt att ta McAfee på allvar. I grunden är det klokt att inte göra det. Alla säkerhetsföretag lever på vår rädsla. Ju mer vi tänker på trojaner och dataintrång desto mer pengar tjänar de. Allra helst ska det gå att sätta en siffra på förlusterna. Då blir det enkelt att motivera investeringar i dyra säkerhetssystem. Det är värt att ha i åtanke när deras anställda framträder som experter.

Än mer anmärkningsvärt är att företaget, som Reuters noterar, drog till med ytterligare en överdrift, om än mindre än den från 2009. I ett tillhörande pressmeddelande talades det om förluster på mellan 100 och 500 miljarder dollar, siffror som visserligen figurerar i rapporten men där är beskrivna som en högt räknad spekulation.

Även överdriften från 2009 kom i form av ett pressmeddelande, vilket får mig att tro att det är där någonstans förklaringen ligger. Alla säkerhetsföretag har anledning att överdriva risker, men det är pr-folket, inte de tekniska experterna, som skruvar uppgifterna hårdast, ibland till rena lögner.

För några år sedan hade jag för vana att läsa igenom rapporter från Symantec med statistik över skadlig kod, intrångsförsök och andra it-brott. De var i regel fylliga, intressanta och – vad jag kan bedöma – trovärdiga. Som journalist är rapporter som dessa ofta de enda man har för att uppskatta omfattningen av till exempel spam, trojaner och maskar.

Men det gällde att direkt kasta bort pressmeddelandet som följde med. Där var det samma tongångar varje gång: Brottsligheten ökar! Sverige är ett näste för kriminella! VÄRLDEN GÅR UNDER OH MY GAHD RÄDDA SIG DEN SOM KAN.

Att själva rapporterna är mindre uppblåsta kan vara ett tecken på att de tekniker som sammanställer dem är mer intresserade av säkerställda fakta än pr-folket. Men då är det också rimligt att Barack Obama lyssnar på dem istället för en marknadsförare med oljad käft.

Linus (@LinusLarsson)