Forskning visar att när ett företag upplever ett cybersäkerhetsbrott, andra företag inom samma område blir också mindre attraktiva för investerare. Dock, företag som är öppna om sin hantering av cybersäkerhetsrisk klarar sig betydligt bättre än kollegor som inte avslöjar sina cybersäkerhetsinsatser.

"Tidigare studier har hittat bevis för denna "smitteffekt" i kölvattnet av cybersäkerhetsbrott, säger Robin Pennington, medförfattare till en artikel om arbetet och en docent i redovisning vid North Carolina State Universitys Poole College of Management. "Dock, så vitt vi vet, vår är den första som testar problemet experimentellt. Vi bekräftade inte bara smitteffekten, men fann att det finns tydliga åtgärder som företag kan vidta för att minska dess påverkan. Specifikt, företag skulle göra klokt i att implementera de frivilliga rapporteringsriktlinjerna från AICPA om avslöjande av cybersäkerhetsinsatser."

För att utforska frågor som rör smitteffekten, forskare genomförde en studie med 120 icke-professionella investerare. I studien, deltagarna fick information om ett fiktivt företag, som vi kommer att kalla företag A. Några av deltagarna fick också kort information om företag A:s riskhanteringsprogram för cybersäkerhet. Deltagarna ombads sedan att ge en första bedömning av attraktiviteten av att investera i företag A, samt sannolikheten för att köpa aktier i företaget.

Studiedeltagarna fick sedan veta att en av företag A:s kamrater utsatts för ett intrång i cybersäkerheten. Deltagarna ombads sedan att ge en reviderad bedömning av företag A:s attraktivitet och sannolikheten att investera i det. Deltagarna fick sedan ett pressmeddelande från företag A. Vissa deltagare fick en version av releasen som innehöll en hänvisning till företag A:s riskhanteringsprogram för cybersäkerhet. Studiedeltagarna ombads sedan ge en slutlig bedömning av företag A:s attraktivitet och sannolikheten att köpa aktier i det.

Forskarna fann att företag som avslöjade ansträngningar för hantering av cybersäkerhetsrisk både före och efter en konkurrents intrång klarade sig bäst.

"Medan företaget lider av en viss nedgång i attraktivitet efter överträdelsen, i genomsnitt lider det minst om det avslöjar sitt riskhanteringsprogram för cybersäkerhet, på ett sätt som liknar AICPA:s frivilliga rapporteringsriktlinjer, " säger Pennington.

Forskarna analyserade också studiedata för att fastställa effekten av en annan effekt, kallad "konkurrenseffekten, " som tidigare har förknippats med cybersäkerhetsintrång i arkivforskning. I detta sammanhang Konkurrenseffekten är när investerare ser ett cybersäkerhetsbrott hos ett företag som en fördel för det företagets konkurrenter – vilket gör dessa konkurrenter mer attraktiva för investerare.

"Vi såg bevis på konkurrenseffekten med vissa investerare i vår studie, men i genomsnitt överväldigade spridningseffekten konkurrenseffekten, " säger Pennington.

"Vår studie ger experimentella bevis för både smittspridning och konkurrenseffekter, såväl som deras relativa styrkor, " säger Pennington. "Men jag tror att det här är att det finns mycket verkliga fördelar med att frivilligt avslöja riskhanteringsinsatser för cybersäkerhet, som AICPA föreslår. Det här är inte en rent teoretisk övning – det kan påverka ditt företags attraktionskraft för investerare."

Pappret, "Minskar frivilliga avslöjande smitteffekten av cybersäkerhetsbrott?" publiceras i Journal of Information Systems .