ریسک امنیت سایبری و نوآوری شرکتی

رشد تصاعدی در اتکای شرکت ها به فناوری اطلاعات در سه دهه گذشته، چشم انداز اقتصاد جهانی را متحول کرده و کل صنایع را مختل کرده است. با این حال، با افزایش اندازه و پیچیدگی فضای سایبری شرکت‌ها، تهدیدات امنیت سایبری به یک منبع خطر به سرعت در حال تکامل تبدیل شده‌اند. ¹ حملات سایبری موفق اخیر به مصرف کنندگان، سهامداران و متخصصان بازار آسیب رسانده است، ² که منجر به تصاحب غیرقانونی اسرار تجاری قابل ثبت اختراع، مانند نقشه ها و فرمول های شیمیایی می شود (رو، 2016). علیرغم تمرکز مفسران بر حملات سایبری با هدف دستیابی به اطلاعات غیرقابل ثبت اختراع، مانند شماره‌های تامین اجتماعی و داده‌های مشتریان، سرقت‌های سایبری صنعتی مالکیت معنوی به رویدادهای تکراری تبدیل شده‌اند که تا 94 درصد از کل حملات سایبری در صنعت تولید و هزینه‌یابی را شامل می‌شود. شرکت های آمریکایی سالانه 360 میلیارد دلار تخمین زده اند. (روگین، 2012؛ پرایس واترهاوس کوپرز، 2019). ³

جاسوسی اقتصادی و سرقت مالکیت معنوی از طریق حملات سایبری در طول زمان به طور فزاینده ای مکرر و تهاجمی شده است (ارنست و یانگ، 2019؛ کامیا و همکاران، 2021)، و نگرانی های جدی را در میان تنظیم کنندگان در مورد تأثیر بالقوه تهدیدات امنیت سایبری بر موقعیت شرکت های آمریکایی به عنوان جهانی ایجاد کرده است. رهبران نوآوری ⁴ علیرغم شناخت گسترده این تهدیدات نوظهور، اطلاعات کمی در مورد تأثیرات قبلی آنها بر نوآوری شرکت، محدود کردن توانایی سیاستگذاران برای ارزیابی پیامدهای اقتصادی آنها و ایجاد پاسخهای نظارتی مناسب، وجود دارد. هدف این مقاله پر کردن این شکاف با ارائه شواهد تجربی بسیار مورد نیاز است که نشان می‌دهد چگونه ریسک امنیت سایبری در حال تغییر شکل دادن به استراتژی‌های نوآوری و تخصیص شرکت در سه بعد کلیدی است: سطح سرمایه‌گذاری تحقیق و توسعه (R&D)، اتکای شرکت‌ها به اسرار تجاری، و بازده سرمایه گذاری های تحقیق و توسعه

از نظر تئوری، اثرات پیش از پیش ریسک امنیت سایبری بر استراتژی‌های نوآوری شرکت‌ها آشکار نیست. از یک طرف، شرکت‌ها ممکن است پیشگیرانه سرمایه‌گذاری‌های تحقیق و توسعه (R&D) خود را کاهش دهند تا از تبدیل شدن به هدف هکرها جلوگیری کنند، زیرا سرمایه‌گذاری‌های نوآوری بالاتر خطر هدف قرار گرفتن را افزایش می‌دهد (اتریج و همکاران، 2018). علاوه بر این، با کاهش توانایی شرکت‌ها برای محافظت از سرمایه نامشهود خود به دلیل تهدیدات امنیت سایبری، بازده سرمایه‌گذاری‌های تحقیق و توسعه احتمالاً کاهش می‌یابد (نات، 2008؛ کلاسا و همکاران، 2018؛ گورنزی و همکاران، 2022؛ گورنزی، 2022). از سوی دیگر، شرکت‌ها ممکن است با حفظ سرمایه‌گذاری‌های تحقیق و توسعه و افزایش تمایل به خروجی تحقیقات ثبت اختراع در ابتدایی‌ترین مرحله ممکن، به این خطر پاسخ دهند و از قابلیت جایگزینی جزئی بین اسرار تجاری و پتنت‌ها استفاده کنند. ⁵ با ثبت اختراع خروجی نوآوری، شرکت ها می توانند حقوق مالکیت را بر روی سرمایه نامشهود خود ایجاد کنند و تحت قوانین حق اختراع و مالکیت معنوی از حمایت قانونی برخوردار شوند (Dass et al., 2021; Png, 2017a, Png, 2017b; Glaeser, 2018; Klasa et al., 2018؛ گورنزی و همکاران، 2022).

بنابراین، یک تحقیق تجربی برای شناسایی اینکه آیا افزایش تهدیدات امنیت سایبری در نهایت منجر به کاهش شدید سرمایه‌گذاری‌های نوآورانه، خروجی و بازگشت به تحقیق و توسعه شرکت‌های آمریکایی می‌شود، ضروری است. با این حال، تخمین این اثرات چالش برانگیز است، زیرا توانایی آزمایش پیامدهای اقتصادی ریسک امنیت سایبری به در دسترس بودن یک اقدام خاص شرکتی بستگی دارد که قرار گرفتن پیشین شرکت ها در معرض تهدیدات سایبری را جلب می کند . به دلیل فقدان داده‌های تفکیک‌شده در مورد اقدامات امنیت سایبری شرکت‌ها، ادبیات موجود در واقع تا کنون بر عوامل تعیین‌کننده، افشا و پیامدهای اقتصادی نقض موفقیت‌آمیز داده‌ها متمرکز بوده است.

برای غلبه بر این محدودیت، ما بر اساس مطالعات اخیر و استفاده از یک رویکرد تحلیل متنی برای ایجاد پروکسی برای قرار گرفتن شرکت‌ها در معرض خطر امنیت سایبری. به طور مشابه فلوراکیس و همکاران. (2023)، ما پرونده های 10-K شرکت ها را با استفاده از فرهنگ لغت شامل واژه نامه ای از اصطلاحات رایج امنیت سایبری توسعه یافته توسط ابتکار ملی برای مشاغل و مطالعات امنیت سایبری (NICCS) و تمام عبارات موجود در گوردون و همکاران اسکن می کنیم. (2010). امتیاز ساخته شده از روندهای مشابهی پیروی می کند که در ادبیات موجود گزارش شده است (Florackis et al., 2023; Jamilov et al., 2021) و دارای سری های زمانی معقول اقتصادی و توزیع های بین صنعتی است. علاوه بر این، ما تأیید می‌کنیم که این معیار با موفقیت نقض داده‌ها را پیش‌بینی می‌کند، حتی پس از کنترل طیف گسترده‌ای از ویژگی‌های خاص شرکت و برای زمینه نهادی و قانونی موجود از طریق استفاده از اثرات ثابت با ابعاد بالا که سال‌های ایالت، سال صنعت و سال را ثبت می‌کنند. تغییرات خاص شرکت. (کارپوف و ویتری، 2018).

در دسترس بودن یک پروکسی معتبر برای مواجهه قبلی شرکت ها در معرض خطر امنیت سایبری به ما اجازه می دهد تا مستند کنیم که در حالی که سرمایه گذاری شرکت ها در تحقیق و توسعه با ریسک امنیت سایبری ارتباطی ندارد، استراتژی های تخصیص به شدت تحت تأثیر وجود و میزان این تهدیدات قرار می گیرند. به ویژه، ما نشان می‌دهیم که مدیران با تنظیم سیاست‌های نوآورانه برای محافظت از سرمایه نامشهود تحت چتر ارائه شده توسط قوانین ثبت اختراع و مالکیت معنوی ایالات متحده در تلاش برای محافظت در برابر خطر نقض داده‌ها، به طور فعال به تغییرات در خطر امنیت سایبری واکنش نشان می‌دهند.

با این حال، این استراتژی جدید بسیار پرهزینه است. ما مستند می‌کنیم که افزایش ریسک امنیت سایبری باعث می‌شود شرکت‌ها برای تسریع چرخه‌های نوآوری برای ثبت اختراعات «ساده‌تر» ثبت نام کنند (Popp et al., 2004) و در نهایت به بازده سرمایه‌گذاری تحقیق و توسعه کمتری دست یابند (Knott، 2008). در واقع، مدیران با «بیش از حد ثبت اختراع»، اطلاعات مادی را در مورد فعالیت‌های نوآوری جاری منتشر می‌کنند و هزینه‌های شرکت‌های کم نوآوری را برای پیروی از استراتژی‌های رشد رهبران صنعت کاهش می‌دهند (جانسون و پاپ، 2001). بنابراین، نگرانی‌های تنظیم‌کننده‌ها در مورد اثرات منفی بالقوه افزایش تهدیدات امنیت سایبری بر نقش شرکت‌های آمریکایی به‌عنوان رهبران نوآوری جهانی، حداقل تا حدی قابل توجیه است، زیرا نتایج ما حداقل نشان می‌دهد که قوانین حفاظت از اسرار تجاری موجود ممکن است ناکارآمد یا ناکافی باشند. برای حفظ سودآوری سرمایه گذاری های تحقیق و توسعه شرکت های آمریکایی در عصر کنونی سایبری.

این مقاله به چندین رشته از ادبیات کمک می کند. اولاً، به مجموعه تحقیقاتی رو به رشدی می افزاید که پیامدهای واقعی تهدیدات امنیت سایبری ناشی از دیجیتالی شدن اقتصاد ایالات متحده را ارزیابی می کند. ⁶ ثانیاً، به ادبیات مربوط به اختراعات و اسرار تجاری به عنوان ابزارهای مناسب کمک می کند. اگرچه مطالعات قبلی نشان داده است که شرکت‌ها زمانی که حفاظت از سرمایه فکری و دانشی پرهزینه‌تر می‌شود، بیشتر به حق ثبت اختراع تکیه می‌کنند (کوهن و همکاران، 2000؛ جنسن و وبستر، 2011؛ ​​فیشر و هنکل، 2013؛ هال، 2014؛ سکانولی و روتارمل، 2016؛ Png، 2017a، Png، 2017b؛ Guernsey et al.، 2022؛ Guernsey، 2022)، اکثراً بر تصویب مبهم قوانین اسرار تجاری، مانند قانون اسرار تجاری یکنواخت (مانند Png، 2017a، Png، 2017b؛ Dass et al., 2021; Guernsey et al., 2022) و دکترین افشای اجتناب ناپذیر (IDD) (Klasa و همکاران، 2018)، در حالی که این مطالعه بررسی می کند که چگونه شوک های ناشی از غیرقانونی به طراحی مجدد شیوه های نوآوری شرکت کمک می کند. .

این مقاله همچنین به طور کلی به ادبیات مستندسازی اهمیت رو به رشد دارایی های نامشهود و سرمایه گذاری های تحقیق و توسعه در اقتصاد ایالات متحده کمک می کند (کورادو و هالتن، 2010؛ کلاوزن و هیرت، 2016؛ پیترز و تیلور، 2017؛ ایونز و همکاران، 2022). به طور خاص، مطالعه ما یافته های اخیر گزارش شده در Curtis و همکاران را تایید و گسترش می دهد. (2020) با شناسایی یک تهدید نادیده گرفته شده قبلی – خطر امنیت سایبری، کاهش قابل توجه اخیر در بازده سرمایه گذاری های تحقیق و توسعه را ثبت می کند.

در نهایت، این مقاله به ادبیات رو به رشد در مورد اثرات واقعی افشای ریسک کمک می کند. افشای ریسک در پرونده‌های 10-K اطلاعات ارزشمندی را در اختیار کاربران قرار می‌دهد (کمپبل و همکاران، 2014؛ هیل و همکاران، 2021) و می‌تواند سیاست‌های عملیاتی شرکت گزارش‌دهنده را منعکس کند و در عین حال بر استراتژی تجاری شرکت‌های همتا تأثیر بگذارد (ماتسومورا و همکاران. ، 2014؛ چو و موسلو، 2021). مطالعه ما بر روی نقاط قوت مطالعات قبلی استوار است که مؤلفه خطر امنیت سایبری را از پرونده های 10-K استخراج می کند (گوردون و همکاران، 2010؛ لارنس و همکاران، 2018؛ برکمن و همکاران، 2018؛ فلوراکیس و همکاران، 2023؛ جمیلوف. و همکاران، 2021). ما تصحیح مناسبی را برای اثرات خاص سال دولت بر روی سیاست‌های افشای شرکت‌ها اعمال می‌کنیم تا شواهد جدیدی در مقیاس بزرگ در مورد اثرات واقعی ریسک‌های امنیت سایبری بر استراتژی‌های نوآوری شرکت‌ها ارائه کنیم.

ادامه این مقاله در چهار بخش تنظیم شده است. در بخش 2، اندازه‌گیری پیش‌بینی خطرات امنیت سایبری مورد بحث قرار می‌گیرد. بخش 3 پیامدهای اقتصادی و مالی قرار گرفتن شرکت ها در معرض این منبع ریسک را برای سیاست های نوآوری آنها ارائه می کند. بخش 4 طیف گسترده ای از تست های استحکام را ارائه می دهد. در نهایت، بخش 5 نتیجه گیری می کند.