science >> Wetenschap >  >> Elektronica

Het bekendmaken van de beveiligingsniveaus van een bedrijf kan de beveiliging in de loop van de tijd versterken, studie vondsten

Krediet:CC0 Publiek Domein

Cyberaanvallen groeien elke dag in bekendheid; in feite, 2017 was het slechtste jaar tot nu toe voor datalekken, waarbij het aantal cyberincidenten gericht op bedrijven bijna verdubbelde van 2016 tot 2017.

Nutsvoorzieningen, nieuw onderzoek van de UBC Sauder School of Business heeft de beveiligingsniveaus van meer dan 1 gekwantificeerd 200 Pan-Aziatische bedrijven om te bepalen of een groter bewustzijn van iemands beveiligingsniveaus leidt tot een betere verdediging tegen cybercriminaliteit.

Uit het onderzoek bleek dat wanneer cyberaanvallen een bedrijf minder direct schade berokkenen, Het was onwaarschijnlijk dat organisaties prioriteit zouden geven aan beveiligingsverbeteringen. Bedrijven losten eerder problemen op die verband hielden met spam-e-mails die afkomstig waren van hun gecompromitteerde computers, maar verzuimden in te grijpen toen bleek dat ze phishing-websites op hun servers hosten. De meeste bedrijven met phishing-websites hosten in feite serviceproviders.

De onderzoekers voerden een gerandomiseerd veldexperiment uit bij organisaties in Hong Kong, China, Singapore, Macao, Maleisië en Taiwan - die werden gekozen vanwege hun aanzienlijke economische ontwikkeling en snelle acceptatie van technologieën. Het experiment evalueerde de paraatheid van elke organisatie tegen twee verschillende beveiligingsproblemen:spam-emissies en phishing-websitehosting. Spam bestaat meestal uit ongevraagde bulkberichten die worden verzonden door gecompromitteerde 'zombie'-computers die worden beheerd door cyberaanvallers, terwijl phishing verwijst naar het frauduleus verkrijgen van gevoelige informatie, zoals wachtwoorden en creditcardgegevens om kwaadwillende redenen.

"Voor bedrijven die phishingwebsites hosten, er waren minder prikkels om de sites aan te pakken, aangezien ze werden geëxploiteerd door betalende klanten en de sites geen negatieve impact hadden op het bedrijf zelf, " legt Gene Moo Lee uit, studeer co-auteur en assistent-professor Accounting and Information Systems aan de UBC Sauder School of Business.

De onderzoekers ontwikkelden en kenden een informatiebeveiligingsscore toe, vergelijkbaar met het idee van kredietbeoordelingen van Moody's en Standard and Poor's, aan elke organisatie. De score kan worden gebruikt als een indicator van de beveiligingsproblemen van elke organisatie.

De beveiligingsresultaten van elk bedrijf werden vervolgens online gepubliceerd. Volgens Leen, bekendmaking van de beveiligingsniveaus van bedrijven leidt niet alleen tot meer transparantie, maar het kan ook worden gebruikt om hun veiligheid in de loop van de tijd te versterken. In aanvulling, organisaties met slechte prestaties kunnen te maken krijgen met grotere druk van hun klanten en reputatieverlies.

"Het steeds toenemende aantal cyberaanvallen motiveerde mijn co-auteurs en ik om een ​​effectievere manier te onderzoeken om het beveiligingsbewustzijn van organisaties en het grote publiek te vergroten, ", legt Lee uit. "Door een ranglijst op te stellen van bedrijven tegen online oplichting, we hopen dat dit het bewustzijn van bedrijven zal vergroten om suboptimale beveiligingsproblemen aan te pakken."

Voor Leen, cybersecurity is een internationale zorg die effectiever moet worden beheerd. "Veel organisaties begrijpen de bedreigingen van opkomende, geavanceerde cyberaanvallen en nemen gewoonlijk een afwachtende houding aan bij beveiligingsinvesteringen totdat een enorm beveiligingsincident hen aanzienlijk beïnvloedt, " zei hij. "Onze hoop met dit onderzoek is dat bedrijven hun beveiligingsniveaus verbeteren om te voorkomen dat cyberaanvallen überhaupt plaatsvinden. En, uiteindelijk, het doel van ons onderzoek is om inzichten te verschaffen aan beleidsmakers op het gebied van cyberbeveiliging."

"Onthulling van informatie en beveiligingsbeleid:een grootschalig randomisatie-experiment in Pan-Azië" werd onlangs gepresenteerd tijdens de Workshop on Economics of Information Security. Het was co-auteur van Yun-Sik Choi en Andrew B. Whinston van de Universiteit van Texas in Austin, Shu He van de Universiteit van Connecticut, en Yunhui Zhuang en Alvin Chung Man Leung van de City University van Hong Kong.