Gli attacchi informatici crescono in importanza ogni giorno; infatti, Il 2017 è stato l'anno peggiore fino ad oggi per le violazioni dei dati, con il numero di incidenti informatici che colpiscono le aziende quasi raddoppiando dal 2016 al 2017.

Ora, una nuova ricerca della UBC Sauder School of Business ha quantificato i livelli di sicurezza di oltre 1, 200 aziende panasiatiche al fine di determinare se una maggiore consapevolezza dei propri livelli di sicurezza porta a migliori livelli di difesa contro la criminalità informatica.

Lo studio ha scoperto che quando gli attacchi informatici avevano meno probabilità di danneggiare direttamente un'azienda, era improbabile che le organizzazioni attribuissero priorità ai miglioramenti della sicurezza. Le aziende avevano maggiori probabilità di risolvere i problemi relativi alle e-mail di spam provenienti dai loro computer compromessi, ma non hanno agito quando è stato scoperto che ospitavano siti Web di phishing sui loro server. La maggior parte delle aziende con siti Web di phishing sono in realtà fornitori di servizi di hosting.

I ricercatori hanno condotto un esperimento sul campo randomizzato su organizzazioni di Hong Kong, Cina, Singapore, Macao, Malesia e Taiwan, scelte per il loro significativo sviluppo economico e per la rapida adozione di tecnologie. L'esperimento ha valutato la preparazione di ciascuna organizzazione rispetto a due distinti problemi di sicurezza:emissioni di spam e hosting di siti Web di phishing. Lo spam di solito consiste in messaggi di massa non richiesti inviati da computer "zombie" compromessi controllati da aggressori informatici, mentre il phishing si riferisce all'ottenimento fraudolento di informazioni sensibili, come password e dettagli della carta di credito per motivi dannosi.

"Per le aziende che ospitano siti Web di phishing, c'erano meno incentivi a reprimere i siti poiché erano gestiti da clienti paganti e i siti non hanno avuto un impatto negativo sull'azienda stessa, " spiega Gene Moo Lee, coautore dello studio e assistente professore di Contabilità e Sistemi Informativi presso la UBC Sauder School of Business.

I ricercatori hanno sviluppato e assegnato un punteggio di sicurezza delle informazioni, simile all'idea dei rating creditizi di Moody's e Standard and Poor's, a ciascuna organizzazione. Il punteggio può essere utilizzato come indicatore delle vulnerabilità di sicurezza di ciascuna organizzazione.

I risultati sulla sicurezza di ciascuna società sono stati quindi pubblicati online. Secondo Lee, pubblicizzare i livelli di sicurezza delle imprese non solo porta a una maggiore trasparenza, ma potrebbe anche essere utilizzato per rafforzare la loro sicurezza nel tempo. Inoltre, le organizzazioni con scarse prestazioni potrebbero dover affrontare una maggiore pressione da parte dei propri clienti e una perdita di reputazione.

"Il numero sempre crescente di attacchi informatici ha motivato me e i miei coautori a esplorare un modo più efficace per aumentare la consapevolezza della sicurezza delle organizzazioni e del pubblico in generale, " spiega Lee. "Stabilendo uno schema di classificazione delle aziende contro le truffe online, speriamo che questo aumenti la consapevolezza delle aziende nell'affrontare problemi di sicurezza non ottimali".

Per Lee, La sicurezza informatica è una preoccupazione internazionale che deve essere gestita in modo più efficace. "Molte organizzazioni non comprendono le minacce poste dall'emersione, attacchi informatici sofisticati e di solito adottano un approccio attendista negli investimenti in sicurezza fino a quando un enorme incidente di sicurezza non li colpisce in modo significativo, " ha detto. "La nostra speranza con questa ricerca è che le aziende migliorino i loro livelli di sicurezza per prevenire il potenziale degli attacchi informatici in primo luogo. E, in definitiva, l'obiettivo della nostra ricerca è fornire approfondimenti per i responsabili delle politiche di sicurezza informatica".

"Information Disclosure and Security Policy Design:A Large Scale Randomization Experiment in Pan-Asia" è stato recentemente presentato al Workshop on Economics of Information Security. È stato scritto da Yun-Sik Choi e Andrew B. Whinston dell'Università del Texas ad Austin, Shu He dell'Università del Connecticut, e Yunhui Zhuang e Alvin Chung Man Leung della City University di Hong Kong.