只有不到一半的消费者（48%）认为公司可以通过道德方式使用他们的数据，57%的消费者在数据泄露事件发生时将责任归咎于公司，甚至比归咎于黑客的比例更高。尽管消费者更加关注其隐私，但他们仍然表现出不良的网络习惯：73%的网民承认他们在许多网站上重复使用相同的密码，这让他们更容易受到攻击。

主要收获：

所有人都担心自己的财务/银行数据，以及密码等敏感信息，但其他令人担忧的领域因代际、国籍甚至性别而有很大不同。例如，与年长的调查受访者相比，年轻人对使用和收集他们的数据更放心。

• 隐私期望是文化上的：由于各国的文化因素、时事和引人注目的数据泄露，消费者对数据隐私的反应因其国籍而有所不同。例如，在实施GDPR的几个月里，德国人的态度转变为支持更高的数据隐私期望，42%的受访者希望在2018年保护位置数据，而2017年只有29%的网民有这种期望。
• 个性化仍然是个谜：无数研究表明，个性化体验增加了用户活跃度和购买量。但是，RSA的调查结果显示，受访者不希望以牺牲隐私为代价换取个性化服务。事实上，只有17%的受访者认为定制广告是道德的，只有24%的受访者认为个性化创建定制新闻源是道德的。

PDF版本将分享到199IT交流群，支持我们发展可加入！

主要发现

1、谁是受害者？

16%的违规行为受害者是公共部门实体。

15%涉及医疗机构。

10%是针对金融业的违规行为。

43%的违法行为涉及小企业受害者。

2、违规行为使用了什么策略？

52%的漏洞以黑客攻击为特征。

33%的安全事件包括社交攻击。

28%涉及恶意软件。

21%的违规行为是触发式的。

15%的安全事件与被授权用户滥用有关。

4%的违规行为中存在肢体动作。

3、谁是幕后黑手？

69%的安全事件是外部人员所为。

34%的违规行为涉及内部参与者。

2%涉及合作伙伴参与。

5%为多方当事人。

有组织犯罪集团是39%的违法行为的幕后主使。

被确定为民族国家或国家的行为者参与了23%的违规行为。

4、其他共同点是什么？

71%的违规行为是出于经济动机。

25%的违规行为是为了获得战略优势，即与间谍活动有关的。

32%的违规行为涉及钓鱼网络。

29%的安全事件涉及使用被盗凭证。

56%的安全漏洞需要数月或更长时间才能发现。

PDF版本将分享到199IT交流群，支持我们发展可加入！

6月27日，在第三届金融科技与金融安全峰会上，中关村互联网金融研究院院长、国培机构董事长刘勇发布《开放银行发展研究报告》（下称“报告”），分析了当今开放式银行主流模式，并对开放银行的影响进行了详细的分析及阐述。

图注：英国开放银行的概念和驱动因素

报告提出，开放银行由英文Open Banking翻译而来，由英国提出，起源和推广是英国和欧盟关于银行业的数据共享和开放数据的探索。从银行服务提供方式的角度来看，银行发展至今经历了四个阶段：银行1.0，网点服务阶段；银行2.0，自助银行阶段；银行3.0，基于互联网的银行服务阶段；银行4.0，银行即服务阶段。从银行1.0时代到银行3.0时代，银行服务是割裂的。开放银行是银行4.0的起点，也是银行服务完整性的起点。开放银行就是完整服务的催化剂，它第一次使得人们通过单独一个应用程序就可以对自己所有银行账户信息了如指掌成为可能。从技术和业务两个层面出发，越来越多的银行开始关注战略与细节层面的开放合作问题。

开放银行对所有的参与者有何影响？报告指出，开放银行对消费者、传统银行、金融科技公司和新兴银行等方面均会产生影响。

对消费者而言，开放银行可以使他们获得价格更加透明公开的银行服务和产品；以较低的成本在不同银行的服务和产品之间进行切换；通过一个平台就可以了解自己的支付、理财、信贷等全景化的信息；获得个性化的财富管理建议和差异化的产品；随时随地享有银行提供的便捷、无缝式的产品和服务。

对传统银行而言，面对开放银行的趋势，传统银行需要主动转变经营思维适应时代发展；更加关注客户体验，以客户需求为中心；拓展银行产品和服务的品类，获得多元化的收入；从传统的金融服务收入向平台服务收入转变。

对金融科技公司和新兴银行而言，开放银行将为金融科技公司打造更大的创新空间，增加了新兴银行与其他金融科技公司、传统银行合作的动力。

对整个银行业而言，开放银行将带来银行业的深刻变革。一是，加剧银行业竞争，通过开放API，全面的分布式商业形态形成，金融科技公司会以其高效率、高创新和低成本来与银行业展开充分的竞争。二是盈利模式需要调整，内外部转型压力增加API作为产品和分销渠道之间的一个枢纽，无论银行发力产品端或渠道端，均是银行在开放时期的转型战略选择。三是平台化模式发展，银行在开放API的模式下，银行应积极搭建平台生态圈，架起客户和第三方服务商沟通的桥梁，而构建“银行即平台”模式的关键在于其接受度和用户参与的广泛性。

同时，报告指出，开放银行业存在以下四种风险。

第一，商业价值有待验证，一个开放平台的构建并非易事，需要强大的技术能力支撑，大量的技术和资金投入，开放银行如何将平台能力变现，从目前践行开放银行理念的银行实践来看，尚未形成一个清晰的模式。开放银行业将如何展开，以及最终将走向何方，存在许多不确定性，仍需要时间和市场验证。

第二，标准与开放范围尚不统一，部分地区开放银行标准与数据标准规范不统一，全球性推广尚不具备条件。

第三，存在数据泄露风险，开放银行涉及了数据和服务的提供方、第三方机构等主体，任何一方在数据保护方面存在缺陷将会导致数据泄露的风险剧增。

第四，业务开放风险和外部风险，事前，若对合作方进行严格的筛选，在处理接口使用方的请求时没有建立严格的事前准入机制，将导致资质不佳的合作方浑水摸鱼，增加欺诈等风险事件的发生比例。在事中，存在第三方超越授权范围使用API接口的情况。

值得一提的是，报告指出，开放银行的背后是数字权利的变更与保护，数字权利的确权是开放银行诞生的基础。第三方机构开始绕开银行提供“银行服务”已经彻底改变了银行竞争的格局。而数据保护的结果让银行必须开放数据，虽然对于银行短期不利，但也是银行正视竞争的开始，或许是未来银行的起点。消费者依然需要银行服务，而为消费者快速提供体验的能力非常重要，提供无摩擦和无所不在的嵌入式服务才是银行发展的终极目标。通过第一性原理重新思考银行与银行服务，数字化水平和技术驱动将是未来银行制胜的关键要素。

图注：国内外开放银行实践

此外，报告还提出，在中国，近年来金融科技的迅猛发展和民营银行对开放银行的积极探索，也使各大银行纷纷投入到开放银行的实践中来。但中国对银行业数据共享和开放的进程明显落后于英国和欧盟，中国的开放银行以功能开放为主，包括支付清结算、信贷、风控等，这是市场驱动银行的自发行为，是银行面对新的发展形势、积极开拓市场的有力探索。在国内，中国银行、华瑞银行、浦发银行、工商银行、建设银行、招商银行、众邦银行均有开放银行相关的探索和实践。

来自：凤凰网WEMONEY

电子游戏玩家平均每周花7小时7分钟玩游戏。在过去的一年里，游戏时间增长了19.3%。

26-35岁的游戏玩家每周玩8小时12分钟，同比增长25%以上。

手机是最常用于玩电子游戏的设备。

绝大多数游戏玩家都喜欢将下载作为购买电子游戏的主要手段，64%的玩家选择这种方式，比去年增长了12%。

近85%的游戏玩家发现下载游戏速度慢令人沮丧。

休闲单人游戏比任何其他类型的电子游戏更受欢迎。18-25岁的玩家更喜欢玩Fortnite等第一人称射击游戏和大逃杀游戏。

游戏玩家在电视上观看电子竞技比赛的次数多于在Twitch等网站上观看其他人玩游戏的次数。18-25岁的游戏玩家花在观看游戏直播的时间要比看体育节目多77%，而26-35岁玩家收看两种节目的时间一样多。

快速和性能是玩电子游戏时最重要的考虑因素。

游戏玩家平均每次花1小时22分钟玩游戏。玩家连续游戏的平均时间最长为4小时19分钟。10%的人连续玩了10个小时或更长的时间。

超过35%的游戏玩家在工作时至少每月玩一次电子游戏。

36%的游戏玩家表示，如果能以职业电子游戏玩家的身份维持生计，他们就会辞掉工作。在18-35岁的男性玩家中，超过57%的人希望成为职业玩家。

超过一半的游戏玩家在玩游戏时会失眠，超过1/3的人错过了一餐。

超过一半的游戏玩家不会继续在经历过数据泄露等安全事故的网站上购买或玩游戏。

PDF版本将分享到199IT交流群，支持我们发展可加入！

年长的美国人更可能认为自己手机上的个人信息有些或非常脆弱。将近79%的美国老年人（55岁及以上）认为他们的数据容易受到黑客的攻击，相比之下，只有59%的年轻人（18-24岁）这么说。45-54岁的美国人（84%）最有可能认为他们的数据是脆弱的。

根据YouGov的数据，美国人对可穿戴设备追踪个人数据也同样持怀疑态度。6/10的人（60%）同意以下表述：我担心公司会用可穿戴设备收集的数据来了解我的生活方式。

2/3的人（66%）不同意以下表述：只有那些需要隐藏什么东西的人才担心在互联网上的个人数据。婴儿潮一代（77%）更可能不同意这一说法。

Cambridge Analytica使用Facebook的数据导致社交媒体平台将面临更多的审查，YouGov的民意调查显示，最让用户困扰的是销售用户的私人数据。越来越多的用户担心这个问题，而不是平台向执法机构提供个人信息或将其用于有针对性的广告。

每周至少访问Facebook一次的用户中有6/10非常担心其出售他们的数据。

Cambridge Analytica/Facebook的新闻已经被大多数美国人所知晓。那些使用Facebook的用户并不满意Facebook对这一事件的回应。

这不是一个党派问题。民主党和共和党支持者都不满意Facebook的回应。

有些用户可能会比其他人更担心，例如参与Facebook测验的用户和下载Facebook应用的用户。这两种方式都会收集有关个人朋友的信息和个人信息。1/4的用户使用Facebook应用，40%的用户至少参加了一次测验。这些数字在每天访问Facebook的用户中更高。

大多数美国人都很确定他们在大选期间看到了假新闻，更多的人至少每周在Facebook上看到假消息。

Facebook显然不是唯一有争议的社交媒体，但是今年显然对社交媒体来说不太好过。

199IT.com原创编译自：YouGov 非授权请勿转载

Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示：“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加，因为现在企业仍然没有投资合适的安全策略来打击勒索软件，这意味着他们在面对勒索攻击时别无选择，只能向网络犯罪分子支付赎金”。

Verizon 在分析了 53,000 多起安全事件（其中包括 2,215 起违规事件）后表示，勒索软件攻击占特定恶意软件事件的 39％。

推动勒索软件攻击的一个趋势是针对关键业务系统（非台式机）的能力，这些系统可能对公司造成更多损害，并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移，勒索软件事件中的资产类别已经从用户设备走向服务器，Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。

Verizon 表示，横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力，因为黑客本身几乎不需要承担任何风险或成本，并且也不需要违反保密条款来实现其目标。

Verizon 在其报告中称，目前许多黑客已将钱财视为其首要任务，根据调查，有 76％ 的违规行为都是出于财务动机。

例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统，要求支付 300 美元的赎金才能解密密钥。与此同时，NotPetya 加密了主引导记录，并要求以比特币作为赎金支付的主要形式。

10 月份，另一宗勒索软件活动 BadRabbit 震动了安全行业 ，这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中，攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害，其中乌克兰遭受了关键网络资产和基础设施的最大破坏。

最近，在 2018 年 3 月，亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门，并瘫痪了处理付款和传递法院信息的政府网站。随后，亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。

为减轻勒索软件攻击的可能性，Verizon 在其报告中建议用户应确保有常规备份，并且隔离那些很重要的资产，以及将其放在业务连续性的优先级上。

Verizon 发现，总体而言，黑客、恶意软件和社交攻击（如网络钓鱼）等是过去一年中最多的安全违规事件。

除此之外，分布式拒绝服务（DDoS）攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示：“ DDoS 攻击可能会对任何人造成影响，因为它经常会被用作伪装启动或者停止后重新启动，以隐藏正在进行的其他违规行为。

目前来说，大多数网络犯罪分子具有经济动机，因此，他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100％ 正常运行的在线公司而言，实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。

HackerNews.cc编译：http://hackernews.cc/archives/22435

PDF版本将分享到199IT交流群，支持我们发展可加入！

你肯定读过这条新闻 。在特朗普竞选期间，剑桥分析公司获取了Facebook3000万至5000万用户的个人信息，以创建深层心理信息模型，从而影响选民行为。其数据涉及年龄、性别等人口统计信息，也包括政治观点、工作、智商，以及他们是否可能持军国主义甚至是神秘主义。

剑桥分析公司获得这些秘密数据信息的逻辑非常典型。这是一个基于“应用程序”的问题。根据剑桥大学研究员亚历山大·科根所发布的信息，它通过与Facebook账号相关联，并承诺为填答调查者支付1至2美元的费用。在详细版本中，其透露出它将“下载有关你及其网络的一些信息……基于你和你的朋友，收集基本人口统计信息，喜欢的类别、地点、名人等。”科根使用了一种卑鄙却也极其普通的数据收集方式，而Facebook称其为“应用程序”。

我们仍然身处这则信息的余波中。思维继续滚动，意见将继续被引导至某个方向。马克·扎克伯格已经为此提出道歉。然而，我们不能忽视的是，罪魁祸首不仅是一家独立运作的分析公司。Facebook请求人们不假思索地签署让渡众多权利的条款。

Facebook的遭遇是整个行业的映照。这个行业盲目崇拜无缝式链接，认为用户友好比隐私与透明度更重要。通过将这些链接描述为“应用程序”，Facebook鼓励我们通过点击无缝授权来让渡我们的数据，并且极少给我们一个反对的机会。这种做法正在以灾难性的方式上演。

说到底，“应用程序”是什么？

在普通消费者的理解中，一款“应用程序”就是能在电脑或手机中上传及下载的东西。这款软件为你所使用。这款应用程序就像一只被锁在笼子里的狼蛛，我们可以时不时把它拿出来。但是当我们想把它放回去时，就能把它放在一边，没有人想在半夜醒来时看到一只巨大蜘蛛。

2007年，Facebook开始允许其应用程序链接至其他服务以扩展用户在社交网络上的使用功能，这一模式一夜之间被摧毁殆尽。人们不再拥有或是不能离开你所下载的软件。你连接上的是一个服务器上的服务，一个无处不在的实体。即便你已经许久不回来料理这片地方，或是在朋友的请求下面回复，它总是在那里，并且一直注视着你，。

这已经不符合任何关于“应用”的定义。它们更像是数据寄生虫，通过Facebook而依附于我们。事实上，研究人员已经发现，手机游戏和教育应用，尽管听起来很无害，却分别代表着最能挖掘我们个人数据的两个应用程序类别。

“用户友好”的局限性

一方面，这种设置为用户体验提供方便。当我们可以在Facebook上通过云端链接所有应用程序时，为什么我们还想在自己的屏幕上进行操作呢？如果我们的大部分时间都花费在类似Facebook这样的平台上，为什么其他软件不能同时存在这里呢？

问题在于，这些“应用”会与那些经常不了解，甚至是不知道这些术语的用户签订契约。实际上，用户会通过代理的方式让自己的朋友参与到这些契约中来。我们仅仅通过Facebook上的弹出窗口看到这些条款。你知道弹窗这种东西吧。它们一般写道“快公司希望获得看到你及你朋友状态更新的允许。”

并没有为用户留下协商的空间，因为Facebook不允许应用程序去与那些希望开放更少个人信息的用户进行协商。一般情况下，我们不能说：“同意获取我的状态更新，但是不允许获取朋友的状态更新，就此打住。”每一款应用程序都有一个终极目标，它能看到它想看到，想什么时候看就什么时候看，永远被允许。你还想玩《部落冲突》吗？

即使是在苹果iOS和谷歌安卓平台上下载的传统类应用程序，也有类似“要么接受要么拒绝”的潜台词。而当我们谈到那些过分热情的应用程序时，Facebook也绝非唯一一个冒犯者。我们的安卓和苹果账户为无数应用与服务提供数字护照，这些应用程序与服务都是基于隐私和数据所安全和精心设计的。它们可以直接从我们手机中提取数据，或者通过允许Facebook和谷歌账号登陆来吸引更多用户的数据。苹果公司的收益来自其设备，而不是数据，通常它在保护用户隐私方面做得好一些。但是即便如此，它也在广告与个人监控技术上占有一席之地。《纽约时报》去年的一篇报道称，苹果旗下的Shazam公司为一家名为Alphonso的广告分析公司设定电视上的播放歌曲。Alphonso利用苹果公司及谷歌应用商店里的麦克风进入应用程序来记录这些片段。

现在，我们将见到藏在后台这个卖酒的家伙，他利用Facebook的许可而去卖酒。为了在之后卖给我们更多啤酒，除了迅速记录下我们的生日，他还记录下其他个人信息。然后他会进入我们的手机里，只是想知道我们的通讯录里有哪些人。之后，他会在手机上置入跟踪装置和窃听装置，这样就可以监控我们所说的关于啤酒的一切，并且在我们可能会喝酒的时候发现这一情况。

这个场景听起来很荒谬，因为它绝对真实。但这也的确是这些数字应用服务的工作逻辑，因为Facebook授权他们向用户发出最后通牒，使其告诉用户自己如何收集用户的数据。如果用户获得了更多的细微信息，并控制了这些“应用程序”使用我们数字凭证的方式，Facebook和它的同伴就可以减轻许多非常严重的犯罪行为。然而相反，应用程序的生态系统仍然存在引人注目的设计问题，一直等待着修复。

缺陷之于用户，特性之于平台

2016年，Uber在安卓和iOS上更新了它的应用程序权限以追踪用户的位置，不仅要求用户在打开Uber的时候进行定位，在乘坐5分钟之后也要进行定位。在安卓机上，说“不”相当于要求你完全不再使用该应用。在iOS系统上，说“不”相当于需要你手动输入地址。尽管我经历过那个时候的iOS系统，但是我甚至不相信说“不”是其中一种选择。

Uber的问题甚至不在于有些条款和条件被隐藏在法律或细则里，这个问题更多是关于成为社会生活一部分的实际要求。有多少人能够为了保护自己的隐私而放弃世界最大拼车服务呢？

在遭到公众的强烈反对之后，Uber在2017年推出了新的追踪策略，但是为什么我们要等待Uber来自己监管自己呢？为什么谷歌和苹果公司没有代表用户率先表态？鉴于平台管理者对我们的亲密了解，以及对应用程序开发人员的影响力，我们需要它们来建立起相应的编程接口和针对用户权限的要求选择，至少允许我们选择复选框，或者至少不存在那些阴险至极的隐私要求。

也许取消检查某个板块意味着Uber不会通过GPS找到我，或者它甚至会浪费我更长的时间才能打车成功。这会使我变得不方便吗？但至少以我的条件来看，这是一种折中选择，尤其是当考虑到这是我为之付费的一种服务。这些不是免费的。为什么估值10亿美元的公司会在我们已经购买的所有产品上增加一项隐私税呢？

仅仅使用用户数据，Facebook和谷歌就已经垄断了全球1070亿美元广告市场的一半以上。事实上，大多数在线数据实际上最终是由一些公司所有，比如Alphabet、Facebook和Verizon。然而，即使从资本角度来看，这也是一个糟糕的商业决定，因为它保护了20亿人的个人数据，却把钥匙丢给了一家名为“全球科学研究”的公司。

Facebook现在正在解决上面罗列的众多问题。昨天，该公司宣布将自动关闭用户三个月内没有用过的应用程序的数据访问。它承诺将“减少”注册过程中传递给其他应用程序信息，并致力于禁止开发人员“滥用”个人可识别信息。而值得注意的是，究竟是什么造成了这种误用，目前仍不清楚。此外，禁用是一个被动的解决方案，而不是主动行为，它仍然可以让任何开发人员一次性获取数据。

在某种程度上，这些发行数字许可的公司始终拥有我们的深度数据，因为我们每天都会把手机带在身边，并将我们的状态分享在社会媒体上面。尽管，我们需要的是让它们像承诺的那样保护我们的数据，停止通过收集数据来操纵民主，使“蜘蛛”安全地呆在笼子里。

原文链接：https://www.fastcodesign.com/90164921/facebook-has-an-app-problem

IBM Security和Ponemon Institute发布了“2017年数据泄露成本”报告。

调查覆盖了全球13个国家的419家企业，2017年，平均每家企业数据泄露成本是362万美元，这个数字比去年增长10%。

而平均每次数据泄露或记录被盗的成本是141美元，和去年比增长11.4%。

未来两年内再次发生数据泄露的可能性是27.7%，可能性增长了2.1%。

PDF版本将同步到199IT交流群，199IT感谢您的支持！

9成参加调查的企业都承认曾经出现过安全漏洞，其中有46%的企业甚至表示，他们已经丢失了关键和敏感信息。这里的直接成本指聘请IT顾问公司（69%公司的做法），聘请风险管理顾问公司（43%），律师及律师（37%），物理安全顾问（36%），审计师和会计师（35%），管理顾问（ 35%），以及公关和企业形象顾问公司（24%）。

间接费用为第三方供应商工作失误，员工诈骗，网络间谍行动，网络入侵，黑客攻击，故意泄露，网络钓鱼，意外泄漏，恶意感染，DDOS攻击破坏，还包括软件漏洞造成的损失。

调查显示，和几年前相比，参与调查的公司大都更加重视安全漏洞，50%的公司IT专业人士和管理层都担心，因为数据泄露或者安全漏洞，他们会失去访问关键业务信息的能力。

根据IBM和Ponemon研究所近日发布的报告显示，今年数据泄露事故每条记录的成本达到154美元，这比2014年的145美元增长了12%。

此外，单起数据泄露事故的平均总成本上升了23%，达到379万美元。

而在上个月Verizon的研究结果则显示数据泄露每条记录平均仅为58美分，这两个调查结果简直是天壤之别。

Verizon的计算结果是基于191个保险索赔，这也是其年度数据泄露事故调查报告的一部分。

但是Ponemon研究所主席兼创始人Larry Ponemon称，保险理赔并不能显示完整的情况。

有的公司没有购买足够的保险来涵盖数据泄露事故的总成本，这些保险不包括间接费用或业务损失。

他举例说，Target遭遇的数据泄露事故估计给该公司带来超过10亿美元的损失，但该公司仅投保1亿美元。

在一般情况下，企业会购买足够的保险来涵盖其50%的固定资产价值，但只有12%数字资产的价值。

业务损失也是数据泄露总成本的很大一部分。客户流失、声誉和商誉受损等，这总共会给每家公司带来157万美元的损失，上年这个数字还是133万美元。

“我们花了很多时间来基于真正的成本构建分析模型，”他补充说，Ponemon十年来一直在收集这种数据。今年，Ponemon对11个国家的350个公司的数据进行了分析，这些公司都遭受了数据泄露事故。

最后，他表示，Verizon的回归分析是基于非常少量的数据点，这些并不一定具有代表性。

“但Verizon数据泄露事故调查报告的主体部分非常有趣，其中表明该公司专注于未来，他们应该继续其研究。”

IBM安全部门副总裁Caleb Barlow称，在企业遭遇数据泄露事故后，至少应该发送邮件告知客户他们遭受攻击。“Verizon做了很不错的工作，但我们不得不说，58美分并没有涵盖企业的总损失。”

对于数据泄露事故，医疗保健行业的成本最高

根据Ponemon的报告显示，在不同行业和地域，数据泄露事故的成本都各有不同。

美国的每记录成本最高，为217美元，其次是德国，为211美元，印度最低，为56美元。

从行业来看，最高成本是在医疗保健行业，平均每条记录为363美元。

这是因为医疗记录中的信息比信用卡号有着更长的使用期。

“对于信用卡，信用卡公司可以取消原有的信用卡号码，再启用新的号码，”他表示，“但医疗记录可以用来建立永久访问。”医疗记录包含了丰富的个人信息，包括社保号和保险号。

他说道：“这些号码可以用来建立信用或者用于在10年或15年内窃取你的身份信息。”这还不包括医疗欺诈的成本。

影响数据泄露成本的因素

Ponemon报告还分析了可能影响数据泄露事故成本的其他因素，与行业或地域因素不同(+本站微信networkworldweixin)，很多这些因素正受到管理控制。

例如，提前部署事件响应小组可以将每记录成本降低12.6美元，利用加密可降低12美元的成本，员工培训则可降低8美元。如果业务连续性管理人员是事件响应小组的成员，成本可降低7.1美元。CISO领导层可降低5.6美元，董事会参与可降低5.5美元，网络保险可降低4.4美元。

“如果提前做好准备，让董事会参与进来，并具有保险保障，也已经做了应该做的工作，他们面临的数据泄露成本会更低，”Barlow称，“我们有确凿的证据证明，这样做的企业的损失要低得多。你没有几天来作出响应，你甚至没有几小时的时间，你只有几分钟。”

增加成本的因素是聘请外部顾问，这会增加4.5美元的成本。如果出现设备丢失或被盗，成本平均增加9美元。而最大的因素是，在数据泄露事故中，涉及第三方。这将给每条记录的成本增加了16美元，从154美元到170美元。

成本随时间增长

Ponemon发现，数据泄露事故发现的时间与数据泄露事故的总成本之间，还有缓解数据泄露事故的时间与成本之间，都存在正比的关系。

平均而言，企业要花256天发现由恶意攻击者造成的数据泄露事故，并花82天来遏制它。

系统故障造成的数据泄露事故要花173天来发现，60天来遏制。而由人为错误造成的事故需要158天才会被发现，以及57天来缓解事故。

Via:51cto

最近几年，许多公司都感受到了数据窃取产生的影响，但直到现在，数据泄露的问题也没有得到缓解。据Privacy Rights和Breach Level Index网站统计，自2005年以来，全球重大的数据泄露事故约有2500次，仅2013年至今，泄露的数据总量就达到27亿条，许多大型公司、机构都未能幸免于难。

令人惊讶的是，最易发生数据泄露的并非金融或零售网站，而是政府部门网站。在2500次重大的数据泄露事件中，有402次发生在政府部门网站，其次是金融服务业（306次），零售业以247次居于第三。

各国政府部门网站遭受的数据泄露中，最严重的一次发生在土耳其。2013年12月，土耳其最高选举委员会网站遭俄罗斯黑客攻击，选民数据库中5400万土耳其人包括姓名、身分证号码、地址等在内的个人资料被盗。据称泄露的原因是土耳其最高选举委员会把选民的个人资料与所有政党分享，部分政党的信息安全知识十分贫乏，他们的系统甚至连防毒软件也没有，黑客只需两小时便可以把所有选民资料复制。

政府机构网站数据泄露的事在中国也并不罕见。上个月，多家媒体报道教育部旗下研究生招生信息网130万用户数据发生泄露，数据包括考研者姓名、性别，还有电话号码、身份证号、家庭住址、邮编、学校、报考专业等敏感信息。因这些信息已经被多次转卖，卖家的打包价是1万5000元，不少考生曾多次接到骚扰电话，但数据泄露原因目前尚未确定。

via：网易数读

via:BI