23 research outputs found
Waarom Burgers risico's accepteren en waarom bestuurders dat niet zien
Dit essay bestrijdt de mythe dat burgers sterk risicomijdend zijn. Deze mythe heeft in de gemeenschap
van politici, bestuurders en ambtenaren nog steeds de status van waarheid. Dat lokt een
tragische paradox uit: juist omdat de overheid veronderstelt dat burgers risicomijdend zijn, benadrukt
ze steeds de veiligheid van haar plannen, waardoor het maatschappelijke verzet zich richt op
die claims van veiligheid. Denk aan de CO2-opslag in Barendrecht of de vaccinatiecampagne tegen
HPV, die leidden tot reacties waarin alleszins bescheiden risicoâs werden uitvergroot om de legitimiteit
van deze plannen te ondermijnen. Daarin ziet de overheid op haar beurt weer een bevestiging
van de mythe, hetgeen dit tragische patroon verder versterkt.
Toch is dit een verkeerde interpretatie van het maatschappelijke verzet. In essentie gaat het niet
om de vaststelling van de precieze omvang van het risico, maar om de morele vraag waarom het
acceptabel is om een risico aan bepaalde groepen op te leggen. Over deze morele vraag zwijgt de
overheid. Haar morele pleidooi is impliciet: wij mogen u dit opleggen, omdat er eigenlijk nauwelijks
sprake is van een risico. Geen wonder dat het verzet dan maar op een punt kan aangrijpen: de
onderbouwing van de claim dat de risicoâs bescheiden en beheersbaar zijn. Die onderbouwing kent
per definitie tekortkomingen en dus zien de burgers al snel hun vermoeden bevestigd dat de overheid
relevant risicoâs ontkent.
Deze tragische interactie mondt ook uit in wat we nu de risico-regel-reflex noemen: een disproportionele
overheidsreactie op veiligheidsrisicoâs en âincidenten. De overheid reageert zelf disproportioneel,
maar toch ziet ze zich eigenlijk vooral als slachtoffer van dit probleem, niet als medeveroorzaker.
Het zijn de anderen â de politiek, de media, maar uiteindelijk de burgers â die een
disproportionele reactie zouden afdwingen. Waarom? Omdat burgers risicomijdend zijn, geen
tolerantie meer zouden hebben voor pech. En daarmee zijn we weer terug bij de mythe
Cybersecurity: Stakeholder incentives, externalities, and policy options
Information security breaches are increasingly motivated by fraudulent and criminal motives. Reducing their considerable costs has become a pressing issue. Although cybersecurity has strong public good characteristics, most information security decisions are made by individual stakeholders. Due to the interconnectedness of cyberspace, these decentralized decisions are afflicted with externalities that can result in sub-optimal security levels. Devising effective solutions to this problem is complicated by the global nature of cyberspace, the interdependence of stakeholders, as well as the diversity and heterogeneity of players. The paper develops a framework for studying the co-evolution of the markets for cybercrime and cybersecurity. It examines the incentives of stakeholders to provide for security and their implications for the ICT ecosystem. The findings show that market and non-market relations in the information infrastructure generate many security-enhancing incentives. However, pervasive externalities remain that can only be corrected by voluntary or government-led collective measures.Cybersecurity Cybercrime Security incentives Externalities Information security policy Regulation.
Economics of Malware: Security Decisions, Incentives and Externalities
Malicious software, or malware for short, has become a critical security threat to all who rely on the Internet for their daily business, whether they are large organisations or home users. While originating in criminal behaviour, the magnitude and impact of the malware threat are also influenced by the decisions and behaviour of legitimate market players such as Internet Service Providers (ISPs), software vendors, e-commerce companies, hardware manufacturers, registrars and, last but not least, end users. This working paper reports on qualitative empirical research into the incentives of market players when dealing with malware. The results indicate a number of market-based incentive mechanisms that contribute to enhanced security but also other instances in which decentralised actions may lead to sub-optimal outcomes - i.e. where significant externalities emerge. Economie du âMalwareâ : dĂ©cisions de sĂ©curitĂ©, incitations et externalitĂ©s Les logiciels malveillants, ou "malware", sont devenus une menace sĂ©rieuse pour tout ceux dont les activitĂ©s quotidiennes reposent sur lâutilisation dâInternet, quâil sâagisse de grandes organisations ou de particuliers. Bien quâelle trouve sa source dans un comportement criminel, lâĂ©tendue et les consĂ©quences de cette menace sont Ă©galement influencĂ©es par les dĂ©cisions et les comportements dâacteurs lĂ©gitimes du marchĂ© tels que les fournisseurs dâaccĂšs Internet, vendeurs de logiciels, entreprises de commerce Ă©lectronique, fabricants de matĂ©riel informatique et registres, sans oublier les utilisateurs finals. Ce document reflĂšte le contenu dâune recherche qualitative et empirique concernant les incitations des acteurs du marchĂ© lorsquâils sont confrontĂ©s au malware. Les rĂ©sultats indiquent quâil existe des incitations fondĂ©es sur le marchĂ© qui contribuent Ă augmenter la sĂ©curitĂ© mais Ă©galement des cas dans lesquels des actions dĂ©centralisĂ©es peuvent conduire Ă des rĂ©sultats sous-optimaux, i.e. oĂč des externalitĂ©s significatives Ă©mergent.
The role of Internet services providers in botnet mitigation
Botnets â networks of machines infected with malicious software â are widely regarded as a critical security threat. Measures that directly address the end users who own the infected machines are useful, but have proven insufficient to reduce the overall problem. Recent studies have shifted attention to Internet Service Providers (ISPs), the providers of Internet access to end users, as possible control points for botnet activity.
In the report, we set out to empirically answer the following questions:
âą First, to what extent are ISPs critical control points for botnet mitigation?
âą Second, to what extent do they perform differently relative to each other, in terms of the number of infected machines in their networks?
âą Third, and last, to what extent can we explain the differences in performance from the characteristics of the ISPs or the environment in which they are located?
We have gathered data on the location of infected machines over time by studying spam traffic. Around 80- 90 % of all spam is issued by infected machines. The origin of a spam message therefore very likely indicates the presence of an infected machine. Our raw data is a global dataset that comprises 109 billion spam messages from 170 million unique IP addresses, all of which were delivered to a âspam trapâ in the period 2005-2009.
Our findings lend direct and indirect support to the view that ISPs are important potential control points