Offentliggørelse af virksomheds sikkerhedsniveauer kan styrke sikkerheden over tid, undersøgelse finder

Cyberangreb vokser i fremtrædende grad hver dag; faktisk, 2017 var det værste år til dato for brud på data, med antallet af cyberhændelser rettet mod virksomheder, der næsten er fordoblet fra 2016 til 2017.

Nu, ny forskning fra UBC Sauder School of Business har kvantificeret sikkerhedsniveauerne på mere end 1, 200 pan-asiatiske virksomheder med henblik på at afgøre, om øget bevidsthed om ens sikkerhedsniveau fører til forbedrede forsvarsniveauer mod cyberkriminalitet.

Undersøgelsen viste, at når cyberangreb var mindre tilbøjelige til direkte at skade en virksomhed, organisationer var usandsynligt at prioritere sikkerhedsforbedringer. Virksomheder var mere tilbøjelige til at løse problemer i forbindelse med spam -e -mails, der stammer fra deres kompromitterede computere, men undlod at handle, da de blev fundet til at være vært for phishing -websteder på deres servere. De fleste virksomheder med phishing -websteder er faktisk hostingtjenesteudbydere.

Forskerne gennemførte et randomiseret feltforsøg på organisationer i Hong Kong, Kina, Singapore, Macau, Malaysia og Taiwan - som blev valgt for deres betydelige økonomiske udvikling samt hurtige anvendelse af teknologier. Eksperimentet evaluerede hver organisations beredskab mod to forskellige sikkerhedsspørgsmål:spamemissioner og phishing -webstedshosting. Spam består normalt af uopfordrede bulk -meddelelser sendt ud af kompromitterede "zombie" -computere kontrolleret af cyberangribere, mens phishing refererer til bedragerisk indhentning af følsomme oplysninger, f.eks. adgangskoder og kreditkortoplysninger af ondsindede årsager.

"For virksomheder, der hoster phishing -websteder, der var færre incitamenter til at slå ned på webstederne, da de blev betjent af betalende kunder, og webstederne ikke påvirkede virksomheden selv negativt, "forklarer Gene Moo Lee, studere medforfatter og assisterende professor i regnskabs- og informationssystemer ved UBC Sauder School of Business.

Forskerne udviklede og tildelte en informationssikkerhedsscore, ligner tanken om Moody's og Standard and Poor's kreditvurderinger, til hver organisation. Scoren kan bruges som en indikator for hver organisations sikkerhedsrisici.

Sikkerhedsresultaterne fra hvert selskab blev derefter offentliggjort online. Ifølge Lee, offentliggørelse af virksomheders sikkerhedsniveauer fører ikke kun til større gennemsigtighed, men det kan også bruges til at styrke deres sikkerhed over tid. Ud over, organisationer med dårlig præstation kan stå over for større pres fra deres kunder og tab af omdømme.

"Det stadigt stigende antal cyberangreb motiverede mine medforfattere og jeg til at undersøge en mere effektiv måde at øge sikkerhedsbevidstheden hos organisationer og offentligheden, "forklarer Lee." Ved at etablere en rangordning af virksomheder mod online -svindel, vi håber, at dette vil øge virksomhedernes bevidsthed om at løse suboptimale sikkerhedsproblemer. "

For Lee, cybersikkerhed er en international bekymring, der skal håndteres mere effektivt. "Mange organisationer forstår ikke truslerne ved at dukke op, sofistikerede cyberangreb og anvender normalt en vent-og-se-tilgang i sikkerhedsinvesteringer, indtil en enorm sikkerhedshændelse påvirker dem betydeligt, "sagde han." Vores håb med denne forskning er, at virksomheder forbedrer deres sikkerhedsniveauer for at forhindre, at der i første omgang sker cyberangreb. Og, ultimativt, målet med vores forskning er at give indsigt til beslutningstagere inden for cybersikkerhed. "

"Information Disclosure and Security Policy Design:A Large-Randomization Experiment in Pan-Asia" blev for nylig præsenteret på Workshop om økonomi i informationssikkerhed. Det blev medforfatter af Yun-Sik Choi og Andrew B. Whinston fra University of Texas i Austin, Shu He fra University of Connecticut, og Yunhui Zhuang og Alvin Chung Man Leung fra City University i Hong Kong.