ABSTRACT

Evidence shows that it is paramount for stakeholders to understand the cybersecurity of relevant organizations. However, the secrecy surrounding cyber attacks and how organizations manage their cyber resilience make it impossible for stakeholders to develop this understanding. This paper analyzes organizational cyber resilience, its contextual factors and its impact on the outcomes of cyber attacks based on publicly available data. Using the PRISMA methodology, we collated and analyzed a dataset of 1,145 publicly known cyber attacks. We conceptualize and operationalize cyber resilience from a governance perspective. Our findings indicate that organizations that suffered cyber attacks had the following cyber resilience characteristics: a relatively low level of cyber resilience reflected in the low frequency of cybersecurity roles, low reliance on cybersecurity frameworks, and relatively low strength of prevention, detection, and recovery controls. Cyber resilience is found to be associated with the sector, size, and digital intensity. Linear regression indicates that, expectedly, stronger prevention, detection, and recovery processes are related to lower breach severity and occurrence of investigations or penalties, but contrary to expectations, cybersecurity roles and frameworks are not. Furthermore, better organizational responses are associated with higher breach severity but they are not found to have an impact on the level of investigations, fines, and penalties imposed. We discuss our findings and their implications for cyber resilience regulation, future research, and sector cooperation.

摘要

证据表明，利益相关者了解相关组织的网络安全至关重要。然而，围绕网络攻击的保密性以及组织如何管理其网络弹性使得利益相关者无法形成这种理解。本文基于公开数据分析了组织的网络弹性、其背景因素及其对网络攻击结果的影响。使用 PRISMA 方法，我们整理和分析了 1,145 次公开网络攻击的数据集。我们从治理的角度来概念化和实施网络弹性。我们的研究结果表明，遭受网络攻击的组织具有以下网络弹性特征：网络安全角色的频率较低，反映的网络弹性水平相对较低，对网络安全框架的依赖程度较低，预防、检测和恢复控制的强度相对较低。发现网络弹性与行业、规模和数字强度有关。线性回归表明，正如预期的那样，更强的预防、检测和恢复过程与较低的违规严重性和调查或处罚的发生有关，但与预期相反，网络安全角色和框架则不然。此外，更好的组织响应与更高的违规严重性相关，但并未发现它们对调查、罚款和处罚的水平有影响。我们讨论了我们的发现及其对网络弹性监管、未来研究和部门合作的影响。和恢复控制。发现网络弹性与行业、规模和数字强度有关。线性回归表明，正如预期的那样，更强的预防、检测和恢复过程与较低的违规严重性和调查或处罚的发生有关，但与预期相反，网络安全角色和框架则不然。此外，更好的组织响应与更高的违规严重性相关，但并未发现它们对调查、罚款和处罚的水平有影响。我们讨论了我们的发现及其对网络弹性监管、未来研究和部门合作的影响。和恢复控制。发现网络弹性与行业、规模和数字强度有关。线性回归表明，正如预期的那样，更强的预防、检测和恢复过程与较低的违规严重性和调查或处罚的发生有关，但与预期相反，网络安全角色和框架则不然。此外，更好的组织响应与更高的违规严重性相关，但并未发现它们对调查、罚款和处罚的水平有影响。我们讨论了我们的发现及其对网络弹性监管、未来研究和部门合作的影响。检测和恢复过程与较低的违规严重性和调查或处罚的发生有关，但与预期相反，网络安全角色和框架并非如此。此外，更好的组织响应与更高的违规严重性相关，但并未发现它们对调查、罚款和处罚的水平有影响。我们讨论了我们的发现及其对网络弹性监管、未来研究和部门合作的影响。检测和恢复过程与较低的违规严重性和调查或处罚的发生有关，但与预期相反，网络安全角色和框架并非如此。此外，更好的组织响应与更高的违规严重性相关，但并未发现它们对调查、罚款和处罚的水平有影响。我们讨论了我们的发现及其对网络弹性监管、未来研究和部门合作的影响。罚款，并处以罚款。我们讨论了我们的发现及其对网络弹性监管、未来研究和部门合作的影响。罚款，并处以罚款。我们讨论了我们的发现及其对网络弹性监管、未来研究和部门合作的影响。