Abstract

Cyber-attacks pose a growing threat to global commerce that is increasingly reliant on digital technology to conduct business. Traditional risk assessment and underwriting practices face serious shortcomings when encountered with cyber threats. Conventional assessment frameworks rate risk based on historical frequency and severity of losses incurred, this method is effective for known risks; however, due to the absence of historical data, prove ineffective for assessing cyber risk. This paper proposes a conceptual cyber risk classification and assessment framework, designed to demonstrate the significance of proactive and reactive barriers in reducing companies’ exposure to cyber risk and quantify the risk. This method combines a bow-tie model with a risk matrix to produce a rating based on the likelihood of a cyber-threat occurring and the potential severity of the resulting consequences. The model can accommodate both historical data and expert opinion and previously known frameworks to score the Threats, Barriers and Escalators for the framework. The resultant framework is applied to a large city hospital in Europe. The results highlighted both cyber weaknesses and actions that should be taken to bolster cyber defences. The results provide a quick visual guide that is assessable to both experts and management. It also provides a practical framework that allows insurers to assess risks, visualise areas of concern and record the effectiveness of implementing control barriers.

摘要

网络攻击对越来越依赖数字技术开展业务的全球商业构成越来越大的威胁。遇到网络威胁时，传统的风险评估和承保做法面临严重缺陷。传统的评估框架根据历史发生的频率和损失的严重程度对风险进行评级，这种方法对已知风险有效；然而，由于缺乏历史数据，证明对评估网络风险无效。本文提出了一个概念性的网络风险分类和评估框架，旨在证明主动和被动障碍在减少公司面临的网络风险和量化风险方面的重要性。该方法将领结模型与风险矩阵相结合，以根据网络威胁发生的可能性和由此产生的后果的潜在严重程度产生评级。该模型可以容纳历史数据和专家意见以及先前已知的框架，以对该框架的威胁、障碍和自动扶梯进行评分。由此产生的框架应用于欧洲的一家大型城市医院。结果突出了网络弱点和应采取的行动来加强网络防御。结果提供了一个快速的视觉指南，可供专家和管理人员评估。它还提供了一个实用的框架，使保险公司能够评估风险、可视化关注领域并记录实施控制障碍的有效性。该模型可以容纳历史数据和专家意见以及先前已知的框架，以对该框架的威胁、障碍和自动扶梯进行评分。由此产生的框架应用于欧洲的一家大型城市医院。结果突出了网络弱点和应采取的行动来加强网络防御。结果提供了一个快速的视觉指南，可供专家和管理人员评估。它还提供了一个实用的框架，使保险公司能够评估风险、可视化关注领域并记录实施控制障碍的有效性。该模型可以容纳历史数据和专家意见以及先前已知的框架，以对该框架的威胁、障碍和自动扶梯进行评分。由此产生的框架应用于欧洲的一家大型城市医院。结果突出了网络弱点和应采取的行动来加强网络防御。结果提供了一个快速的视觉指南，可供专家和管理人员评估。它还提供了一个实用的框架，使保险公司能够评估风险、可视化关注领域并记录实施控制障碍的有效性。结果突出了网络弱点和应采取的行动来加强网络防御。结果提供了一个快速的视觉指南，可供专家和管理人员评估。它还提供了一个实用的框架，使保险公司能够评估风险、可视化关注领域并记录实施控制障碍的有效性。结果突出了网络弱点和应采取的行动来加强网络防御。结果提供了一个快速的视觉指南，可供专家和管理人员评估。它还提供了一个实用的框架，使保险公司能够评估风险、可视化关注领域并记录实施控制障碍的有效性。