剑客
关注科技互联网

[译]网络攻击的成本小于你可能会认为

从 Sasha Romanosky 在兰德的有趣研究︰

摘要︰ 在 2013 年,美国总统签署一项行政命令旨在帮助保护国家关键基础设施免遭网络攻击。作为该命令的一部分,他指示国立标准与技术研究院 (NIST) 制定一个框架,它将成为信息安全最佳做法的权威性来源。通过框架是自愿的因为它面临的挑战激励公司跟着。将框架等,提出了由 NIST 真的诱使公司采取更好的安全控制吗?如果没有,为什么?本研究旨在调查成分和成本的网络事件,并试图去地址存在的奖励,公司以提高其安全做法和减少攻击的风险。具体来说,我们检查了超过 12 000 名包括数据泄露、 安全事件、 侵犯个人隐私,网络钓鱼犯罪的网络事件示例。首先,我们分析了这些违规行为 (如原因和类型的信息泄露) 的特点。通过行业,检查的违反和诉讼的速率,然后确定的行业,承担了从网络事件的最大成本。然后,我们比较这些费用为坏账和其他行业中的欺诈现象。调查结果显示,公众关注增长率的违法行为和法律行动可能过度相比对遭受这些事件的公司的财务影响相对温和。增长率的违法行为和法律行为,公众关注与发生冲突,然而,我们的研究结果表明多小财务影响到遭受这些事件的公司。具体来说,我们发现我们样本中的典型网络事件的成本少于 200 000 美元 (约相同公司年度 IT 安全预算),而且是,这只占 0.4%; 他们估计的年收入。

结果是,通常的商业意义及其在网络安全上,只需支付的费用违反︰

Romanosky 分析了 12,000 的事件报告,发现,通常他们只占公司年收入的 0.4%。这一比率为计费的欺诈,平均为 5%或零售收缩 (即,入店行窃和内幕交易被盗),占收入的 1.3%。

至于名誉受损,Romanosky 发现几乎无法量化。他说话很多高管,他们都不能给如何衡量它的公开的失败的公关成本的一个可靠指标的安全系统。

他还指出,数据事件的影响通常不会很多产生影响对一家公司的股票价格在长期来看。情况下,它并不使很有意义,投资太多的网络安全。

什么被排除出这些费用是外部性。是的到一家公司的网络攻击成本很低,但经常有庞大的额外费用由其他人承担。方法来看看这不是结束,网络安全并不是真的问题,而是各国政府需要解决的重大市场失败。

标签︰ 学术论文、 成本效益分析、 网络攻击、 网络安全、 数据泄露、 外部性、 国家安全策略,NIST,信誉、 安全工程、 安全标准

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址