Erweiterte Suche

Cyber risk information sharing with authorities

Cyber-Risikomanagement ist durch einen Wettlauf um sicherheitsrelevante Informationen zwischen Angreifern und Verteidigern von IKT-Systemen geprägt. Verteidiger können sich dabei einen Vorteil verschaffen, indem sie solche Informationen austauschen. Sie tauschen jedoch oft weniger Informationen aus, als es gesellschaftlich wünschenswert wäre, weil ihre Entscheidungen von egoistischen Motiven getrieben werden. Dies kann Staaten dazu motivieren, Informationsaustausch gesetzlich vorzuschreiben. Insbesondere in Europa verpflichten viele Gesetze Verteidiger zur Meldung von Informationen an Behörden, die wiederum andere Verteidiger beraten und dadurch die Sicherheit von IKT-Systemen in der Gesellschaft erhöhen können. Diese Dissertation behandelt ökonomische Aspekte des Austauschs sicherheitsrelevanter Informationen mit Behörden.

Cyber risk management largely reduces to a race for information between attackers and defenders of ICT systems. Defenders can gain advantage in this race by sharing cyber risk information with each other. Yet, defenders often exchange less information than is socially desirable, as their decisions are guided by selfish reasons. This can motivate regulators to enact laws mandating defenders' information exchange. In particular in Europe, many laws oblige defenders' information sharing with authorities, who in turn can advise others to strengthen the overall defense in the economy. This dissertation sheds first light into the economics of cyber risk information sharing with authorities.

Titel: Cyber risk information sharing with authorities
Verfasser: Laube, Stefan GND
Gutachter: Böhme, Rainer GND
Organisation: FB 04: Wirtschaftswissenschaftliche Fakultät
Dokumenttyp: Dissertation/Habilitation
Medientyp: Text
Erscheinungsdatum: 2017
Publikation in MIAMI: 08.01.2018
Datum der letzten Änderung: 08.01.2018
Schlagwörter: Cyber-Risikomanagement; Informationsaustausch; Politik; Spieltheorie
Cyber risk management; information sharing; policy; game-theory
Fachgebiete: Wirtschaft; Informatik, Wissen, Systeme; Politikwissenschaft
Sprache: Englisch
Format: PDF-Dokument
URN: urn:nbn:de:hbz:6-29199597421
Permalink: https://nbn-resolving.org/urn:nbn:de:hbz:6-29199597421
Onlinezugriff:
Inhalt:
List of figures 13
List of tables 15
1 Introduction 17
1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.2 Classification and scope . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.3 Prerequisites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.4 Dissertation outline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.5 Publications and collaboration . . . . . . . . . . . . . . . . . . . . . . . 22
I Systematization of knowledge 25
2 Framework 27
2.1 Actors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.2 Cyber risk information . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.3 Timing model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.4 Unified formal model . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3 Voluntary private cyber risk information sharing 37
3.1 Channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.2 Theoretical literature . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.3 Empirical literature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.4 Trends and research directions . . . . . . . . . . . . . . . . . . . . . . . 48
4 Voluntary public cyber risk information sharing 53
4.1 Channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4.2 Theoretical literature . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.3 Empirical literature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.4 Trends and research directions . . . . . . . . . . . . . . . . . . . . . . . 67
5 Mandatory cyber risk information sharing 71
5.1 Context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
5.2 Theoretical literature . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.3 Empirical literature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
5.4 Trends and research directions . . . . . . . . . . . . . . . . . . . . . . . 79
II New results 83
6 Mandatory breach information sharing with authorities 85
6.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
6.2 Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
6.3 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
6.4 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
7 Effects of mandatory information sharing on investment decisions 105
7.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
7.2 Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
7.3 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
7.4 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
III Summary 127
8 Conclusion 129
8.1 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
8.2 Outlook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Bibliography 133
Glossary 145
A Proof sketches for Chapter 6 149
A.1 Social optima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
A.2 Nash equilibria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
B Proof sketches for Chapter 7 155
B.1 Social optima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
B.2 Nash equilibria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156