Waarom Burgers risico's accepteren en waarom bestuurders dat niet zien

Dit essay bestrijdt de mythe dat burgers sterk risicomijdend zijn. Deze mythe heeft in de gemeenschap van politici, bestuurders en ambtenaren nog steeds de status van waarheid. Dat lokt een tragische paradox uit: juist omdat de overheid veronderstelt dat burgers risicomijdend zijn, benadrukt ze steeds de veiligheid van haar plannen, waardoor het maatschappelijke verzet zich richt op die claims van veiligheid. Denk aan de CO2-opslag in Barendrecht of de vaccinatiecampagne tegen HPV, die leidden tot reacties waarin alleszins bescheiden risico’s werden uitvergroot om de legitimiteit van deze plannen te ondermijnen. Daarin ziet de overheid op haar beurt weer een bevestiging van de mythe, hetgeen dit tragische patroon verder versterkt. Toch is dit een verkeerde interpretatie van het maatschappelijke verzet. In essentie gaat het niet om de vaststelling van de precieze omvang van het risico, maar om de morele vraag waarom het acceptabel is om een risico aan bepaalde groepen op te leggen. Over deze morele vraag zwijgt de overheid. Haar morele pleidooi is impliciet: wij mogen u dit opleggen, omdat er eigenlijk nauwelijks sprake is van een risico. Geen wonder dat het verzet dan maar op een punt kan aangrijpen: de onderbouwing van de claim dat de risico’s bescheiden en beheersbaar zijn. Die onderbouwing kent per definitie tekortkomingen en dus zien de burgers al snel hun vermoeden bevestigd dat de overheid relevant risico’s ontkent. Deze tragische interactie mondt ook uit in wat we nu de risico-regel-reflex noemen: een disproportionele overheidsreactie op veiligheidsrisico’s en –incidenten. De overheid reageert zelf disproportioneel, maar toch ziet ze zich eigenlijk vooral als slachtoffer van dit probleem, niet als medeveroorzaker. Het zijn de anderen – de politiek, de media, maar uiteindelijk de burgers – die een disproportionele reactie zouden afdwingen. Waarom? Omdat burgers risicomijdend zijn, geen tolerantie meer zouden hebben voor pech. En daarmee zijn we weer terug bij de mythe

Cybersecurity: Stakeholder incentives, externalities, and policy options

Information security breaches are increasingly motivated by fraudulent and criminal motives. Reducing their considerable costs has become a pressing issue. Although cybersecurity has strong public good characteristics, most information security decisions are made by individual stakeholders. Due to the interconnectedness of cyberspace, these decentralized decisions are afflicted with externalities that can result in sub-optimal security levels. Devising effective solutions to this problem is complicated by the global nature of cyberspace, the interdependence of stakeholders, as well as the diversity and heterogeneity of players. The paper develops a framework for studying the co-evolution of the markets for cybercrime and cybersecurity. It examines the incentives of stakeholders to provide for security and their implications for the ICT ecosystem. The findings show that market and non-market relations in the information infrastructure generate many security-enhancing incentives. However, pervasive externalities remain that can only be corrected by voluntary or government-led collective measures.Cybersecurity Cybercrime Security incentives Externalities Information security policy Regulation.

Economics of Malware: Security Decisions, Incentives and Externalities

Malicious software, or malware for short, has become a critical security threat to all who rely on the Internet for their daily business, whether they are large organisations or home users. While originating in criminal behaviour, the magnitude and impact of the malware threat are also influenced by the decisions and behaviour of legitimate market players such as Internet Service Providers (ISPs), software vendors, e-commerce companies, hardware manufacturers, registrars and, last but not least, end users. This working paper reports on qualitative empirical research into the incentives of market players when dealing with malware. The results indicate a number of market-based incentive mechanisms that contribute to enhanced security but also other instances in which decentralised actions may lead to sub-optimal outcomes - i.e. where significant externalities emerge. Economie du “Malware” : décisions de sécurité, incitations et externalités Les logiciels malveillants, ou "malware", sont devenus une menace sérieuse pour tout ceux dont les activités quotidiennes reposent sur l‘utilisation d‘Internet, qu‘il s‘agisse de grandes organisations ou de particuliers. Bien qu‘elle trouve sa source dans un comportement criminel, l‘étendue et les conséquences de cette menace sont également influencées par les décisions et les comportements d‘acteurs légitimes du marché tels que les fournisseurs d‘accès Internet, vendeurs de logiciels, entreprises de commerce électronique, fabricants de matériel informatique et registres, sans oublier les utilisateurs finals. Ce document reflète le contenu d‘une recherche qualitative et empirique concernant les incitations des acteurs du marché lorsqu‘ils sont confrontés au malware. Les résultats indiquent qu‘il existe des incitations fondées sur le marché qui contribuent à augmenter la sécurité mais également des cas dans lesquels des actions décentralisées peuvent conduire à des résultats sous-optimaux, i.e. où des externalités significatives émergent.

The role of Internet services providers in botnet mitigation

  Botnets – networks of machines infected with malicious software – are widely regarded as a critical security threat. Measures that directly address the end users who own the infected machines are useful, but have proven insufficient to reduce the overall problem. Recent studies have shifted attention to Internet Service Providers (ISPs), the providers of Internet access to end users, as possible control points for botnet activity. In the report, we set out to empirically answer the following questions: •    First, to what extent are ISPs critical control points for botnet mitigation? •    Second, to what extent do they perform differently relative to each other, in terms of the number of infected machines in their networks? •    Third, and last, to what extent can we explain the differences in performance from the characteristics of the ISPs or the environment in which they are located? We have gathered data on the location of infected machines over time by studying spam traffic. Around 80- 90 % of all spam is issued by infected machines. The origin of a spam message therefore very likely indicates the presence of an infected machine. Our raw data is a global dataset that comprises 109 billion spam messages from 170 million unique IP addresses, all of which were delivered to a ‘spam trap’ in the period 2005-2009. Our findings lend direct and indirect support to the view that ISPs are important potential control points