Cyberattacker växer fram för varje dag; faktiskt, 2017 var det värsta året hittills för dataintrång, med antalet cyberincidenter som riktar sig mot företag nästan fördubblades från 2016 till 2017.

Nu, ny forskning från UBC Sauder School of Business har kvantifierat säkerhetsnivåerna för mer än 1, 200 panasiatiska företag för att avgöra om ökad medvetenhet om ens säkerhetsnivåer leder till förbättrade försvarsnivåer mot cyberbrottslighet.

Studien fann att när cyberattacker var mindre benägna att direkt skada ett företag, Det var osannolikt att organisationer skulle prioritera säkerhetsförbättringar. Företag var mer benägna att åtgärda problem relaterade till spam-e-postmeddelanden som härrörde från deras inträngda datorer, men misslyckades med att agera när de befanns vara värd för nätfiskewebbplatser på sina servrar. De flesta företag med nätfiskewebbplatser är faktiskt värdtjänstleverantörer.

Forskarna genomförde ett randomiserat fältexperiment på organisationer i Hong Kong, Kina, Singapore, Macau, Malaysia och Taiwan – som valdes för sin betydande ekonomiska utveckling samt snabba införande av teknik. Experimentet utvärderade varje organisations beredskap mot två distinkta säkerhetsfrågor:skräppost och webbhotell för nätfiske. Spam består vanligtvis av oönskade massmeddelanden som skickas ut av komprometterade "zombie"-datorer som kontrolleras av cyberangripare, medan nätfiske syftar på att bedrägligt skaffa känslig information, lösenord och kreditkortsuppgifter av skadliga skäl.

"För företag som är värd för nätfiskewebbplatser, det fanns färre incitament att slå ner på sajterna eftersom de drevs av betalande kunder och sajterna inte påverkade företaget självt negativt, " förklarar Gene Moo Lee, studie medförfattare och biträdande professor i redovisning och informationssystem vid UBC Sauder School of Business.

Forskarna utvecklade och tilldelade en informationssäkerhetspoäng, liknande idén med Moody's och Standard and Poor's kreditbetyg, till varje organisation. Poängen kan användas som en indikator på varje organisations säkerhetsbrister.

Säkerhetsresultaten från respektive företag publicerades sedan online. Enligt Lee, Att offentliggöra företagens säkerhetsnivåer leder inte bara till större transparens, men det skulle också kunna användas för att stärka deras säkerhet över tid. Dessutom, organisationer med dåliga resultat kan möta större press från sina kunder och ett förlust av rykte.

"Det ständigt ökande antalet cyberattacker motiverade mina medförfattare och jag att utforska ett mer effektivt sätt att öka säkerhetsmedvetenheten hos organisationer och allmänheten, " förklarar Lee. "Genom att upprätta ett rangordningssystem för företag mot onlinebedrägerier, Vi hoppas att detta kommer att öka företagens medvetenhet om att hantera suboptimala säkerhetsproblem."

För Lee, cybersäkerhet är en internationell angelägenhet som måste hanteras mer effektivt. "Många organisationer förstår inte de hot som uppstår, sofistikerade cyberattacker och antar vanligtvis ett avvaktande tillvägagångssätt i säkerhetsinvesteringar tills en stor säkerhetsincident påverkar dem avsevärt, ", sa han. "Vår förhoppning med denna forskning är att företag förbättrar sina säkerhetsnivåer för att förhindra att potentialen för cyberattacker inträffar i första hand. Och, i sista hand, Målet med vår forskning är att ge insikter för beslutsfattare inom cybersäkerhet."

"Information Disclosure and Security Policy Design:A Large-Scale Randomization Experiment in Pan-Asia" presenterades nyligen vid workshopen om ekonomi för informationssäkerhet. Den var medförfattare av Yun-Sik Choi och Andrew B. Whinston från University i Texas i Austin, Shu He från University of Connecticut, och Yunhui Zhuang och Alvin Chung Man Leung från City University of Hong Kong.