Technological advances have resulted in organisations digitalizing many parts of their operations. The threat landscape of cyber-attacks is rapidly changing and the potential impact of such attacks is uncertain, because there is a lack of effective metrics, tools and frameworks to understand and assess the harm organisations face from cyber-attacks. In this paper, we reflect on the literature on harm, and how it has been conceptualised in disciplines such as criminology and economics, and investigate how other notions such as risk and impact relate to harm. Based on an extensive literature survey and on reviewing news articles and databases reporting cyber-incidents, cybercrimes, hacks and other attacks, we identify various types of harm and create a taxonomy of cyber-harms encountered by organisations. This taxonomy comprises five broad themes: physical or digital harm; economic harm; psychological harm; reputational harm; and social and societal harm. In each of these themes we present several cyber-harms that can result from cyber-attacks. To provide initial indications about how these different types of harm are connected and how cyber-harm in general may propagate, this article also analyses and draws insight from four real-world case studies, involving Sony (2011 and 2014), JPMorgan and Ashley Madison. We conclude by arguing for the need for analytical tools for organisational cyber-harm, which can be based on a taxonomy such as the one we propose here. These would allow organisations to identify corporate assets, link these to different types of cyber-harm, measure those harms and, finally, consider the security controls needed for the treatment of harm.

中文翻译：

---

网络危害分类法：定义网络攻击的影响并了解其传播方式

技术的进步导致组织将其运营的许多部分数字化。网络攻击的威胁格局正在迅速变化，此类攻击的潜在影响尚不确定，因为缺乏有效的指标，工具和框架来理解和评估组织因网络攻击而面临的危害。在本文中，我们回顾了有关伤害的文献，以及如何在犯罪学和经济学等学科中将其概念化，并研究了诸如风险和影响之类的其他观念与伤害之间的关系。在广泛的文献调查基础上，并在审查报告网络事件，网络犯罪，黑客和其他攻击的新闻报道和数据库之后，我们确定了各种类型的危害并创建了组织所遇到的网络危害的分类法。此分类法包含五个广泛的主题：身体或数字伤害；经济损害；心理伤害 名誉损害；以及社会和社会危害。在上述每个主题中，我们都提出了网络攻击可能导致的几种网络危害。为了提供有关这些不同类型的危害如何关联以及一般网络危害如何传播的初步指示，本文还分析并从四个真实的案例研究中得出了见解，这些案例研究涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊。最后，我们争论了对组织网络危害分析工具的需求，这种分析工具可以基于我们在此提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。经济损害；心理伤害 名誉损害；以及社会和社会危害。在上述每个主题中，我们都提出了网络攻击可能导致的几种网络危害。为了提供有关这些不同类型的危害如何关联以及一般网络危害如何传播的初步指示，本文还分析并从四个真实的案例研究中得出了见解，这些案例研究涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊。最后，我们争论了对组织网络危害分析工具的需求，这种分析工具可以基于我们在此提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。经济损害；心理伤害 名誉损害；以及社会和社会危害。在上述每个主题中，我们都提出了网络攻击可能导致的几种网络危害。为了提供有关这些不同类型的危害如何关联以及一般网络危害如何传播的初步指示，本文还分析并从四个真实的案例研究中得出了见解，这些案例研究涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊。最后，我们争论了对组织网络危害分析工具的需求，该工具可以基于一种分类法，例如我们在此处提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。以及社会和社会危害。在上述每个主题中，我们都提出了网络攻击可能导致的几种网络危害。为了提供有关这些不同类型的危害如何关联以及一般网络危害如何传播的初步指示，本文还分析并从四个真实的案例研究中得出了见解，这些案例研究涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊。最后，我们争论了对组织网络危害分析工具的需求，这种分析工具可以基于我们在此提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。以及社会和社会危害。在上述每个主题中，我们都提出了网络攻击可能导致的几种网络危害。为了提供有关这些不同类型的危害如何关联以及一般网络危害如何传播的初步指示，本文还分析并从四个真实的案例研究中得出了见解，这些案例研究涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊。最后，我们争论了对组织网络危害分析工具的需求，这种分析工具可以基于我们在此提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。在上述每个主题中，我们都提出了网络攻击可能导致的几种网络危害。为了提供有关这些不同类型的危害如何关联以及一般网络危害如何传播的初步指示，本文还分析并从四个真实的案例研究中得出了见解，这些案例研究涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊。最后，我们争论了对组织网络危害分析工具的需求，这种分析工具可以基于我们在此提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。在上述每个主题中，我们都提出了网络攻击可能导致的几种网络危害。为了提供有关这些不同类型的危害如何关联以及一般网络危害如何传播的初步指示，本文还分析并从四个真实的案例研究中得出了见解，这些案例研究涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊。最后，我们争论了对组织网络危害分析工具的需求，这种分析工具可以基于我们在此提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。本文还从涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊（Ashley Madison）的四个真实案例研究中分析并得出了见识。最后，我们争论了对组织网络危害分析工具的需求，这种分析工具可以基于我们在此提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。本文还从涉及索尼（2011年和2014年），摩根大通和阿什利·麦迪逊（Ashley Madison）的四个真实案例研究中分析并得出了见识。最后，我们争论了对组织网络危害分析工具的需求，这种分析工具可以基于我们在此提出的分类法。这些将使组织能够识别公司资产，将其与不同类型的网络损害联系起来，衡量这些损害，最后考虑处理损害所需的安全控制。