2024年第16周安全周报 | 本周安全要闻速览
● 《网络安全技术 网络安全运维实施指南》等3项国家标准公开征求意见
全国网络安全标准化技术委员会归口的《网络安全技术 网络安全运维实施指南》等3项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该3项标准征求意见稿面向社会公开征求意见,截止时间为2024年6月14日24:00前。《指南》提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评估模型,给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容,适用于网络安全运维提供方、网络安全运维需求方。可为网络安全运维的实施提供指导,也可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。
来源:全国信息安全标准化技术委员会
● 江苏省数据局发布《江苏省数据条例(草案)》 (征求意见稿)
根据有关立法计划,省数据局起草了《江苏省数据条例(草案)》并公开征求意见。4月28日前,有关单位和各界人士可通过电子邮件或信函提出意见。《条例(草案)》(征求意见稿)共九章七十四条,包括总则、数据权益、数据资源、数据流通交易、数据产业、数据应用、安全与保障等内容。“总则”主要明确公共数据、企业数据和个人信息数据等三类数据的定义、管理机制、部门职责等内容。
来源:江苏省人民政府
● 中国代工巨头旗下芯片公司遭网络攻击,大量数据外泄并被勒索
中国智能手机代工巨头闻泰科技旗下荷兰芯片制造商安世半导体(Nexperia)遭到了黑客攻击。实施这次攻击的网络犯罪分子威胁称,如果公司拒绝支付赎金,他们将公开高度敏感的数据。荷兰媒体RTL Nieuws首家报道了这一事件。安世半导体在接受采访时未透露具体细节,仅表示仍在对事件进行调查。犯罪分子声称,已窃取了数百GB敏感材料。实施这次攻击的团伙相对较新,名为“屎山”(Dunghill)。这个犯罪团队自称是一群研究人员,要求安世半导体对他们(未经请求的非法)渗透行动支付一笔赎金。其实,数据泄露已经开始,数十份机密文件已在暗网上发布。据RTL News报道,这些信息是真实的。
来源:TECHZINE
● 《水风险和复原力组织建立法案》将创建一个水系统网络标准管理机构
由两名众议院共和党人牵头的一项措施将使环境保护局能够认证一个管理机构,以制定和推荐水处理和废水系统的网络安全要求。《水风险和复原力组织建立法案》,旨在创建一个实体,与美国环保局合作制定执法措施。这项拟议的法案是在近几个月发生了几起涉及水务部门的数字安全事件之后提出的。水务部门的具体网络要求由机构制定和执行。EPA管理员对批准或将拟议的网络要求发回WRRO拥有最终决定权,然后WRRO负责对所覆盖的水系统进行定期评估。新的立法措施主要遵循了美国水务协会(水务行业和游说团体)的反馈,该协会表示,类似WRRO的机构是制定和维持水系统网络标准的最佳实体。
来源:The A Register
● 光学仪器巨头遭勒索攻击,被索要超7000万元巨额赎金
日本豪雅株式会社遭到“国际猎手”(Hunters International)团伙的勒索软件攻击,该团伙要求豪雅支付1000万美元赎金(约合人民币7240万元)以获取文件解密工具,否则他们将公开在攻击期间窃取的文件。豪雅是一家专注于光学仪器、医疗设备和电子组件的日本公司。该公司在30多个国家设有160家办事处和子公司,并拥有43个遍布全球的实验室。一周前,该公司公开了一起影响生产和订单处理的网络攻击事件,表示多个业务部门的IT系统遭到了中断。公司当时表示正在调查黑客是否已经访问或窃取了其系统中的敏感信息,并指出确定文件是否被盗可能需要一些时间。据报道,“国际猎手”要求支付1000万美元的赎金,否则将公开他们声称窃取到的1700万份文件,总数据量约为2TB。这一赎金要求也得到了其他媒体二次确认。
来源:BLEEPINGCOMPUTER
● 美国众议院委员会为内部人工智能使用引入了5个护栏
众议院管理委员会在其正在进行的系列中提供了最新信息,旨在帮助指导美国众议院和其他立法部门实体内人工智能的使用。17日上午发布的2024年4月人工智能快报包括5个正式的人工智能护栏,以促进众议院内部负责任地使用该技术:纳入人类监督和决策;实施明确和全面的政策;稳健的测试和评估;透明度和披露协议;促进立法人员的教育和技能提高。根据该报告,委员会批准了某些员工使用ChatGPT Plus,目的是为此类工具的未来最佳实践提供信息。其他政府实体,包括史密森学会、国会大厦建筑师和美国国会警察局,也与该委员会合作开发人工智能实施和治理框架,以帮助规划人工智能产品的未来使用。
来源:NEXTGOV FCW
● 北约将建立新的网络中心“随时”争夺网络空间
北约将在其位于比利时蒙斯的军事总部建立一个新的网络中心。该新设施的详细信息此前尚未报道过,它标志着联盟在网络空间行动方式方面发生重大理论转变的成果。正如北约《战略概念(2022)》中正式阐述的那样,这一转变指出“网络空间在任何时候都存在争议”,这意味着它不能只是在危机或冲突时刻成为军事联盟的担忧。北约需要不断地在计算机网络上与对手接触——而不仅仅是在盟友触发第四条或第五条时。尽管盟国去年在柏林网络防御会议期间支持建立北约网络中心,但当时具体计划尚不清楚。
来源:The Record
● 欧盟网络机构不会创建主动漏洞数据库
欧盟网络安全局首席网络安全和运营官表示,该机构不会像一些人担心的新欧洲网络安全立法所提议的那样创建漏洞数据库。这样的数据库是2022年9月提出的《网络弹性法案》中提出的最具争议的想法之一,该法案的目的是与物联网产品的一系列安全标准一起,迫使制造商向ENISA报告影响其产品的任何被主动利用的漏洞。欧洲议会网络安全报告员此前表示,该提案可能会使ENISA成为敌对国家和犯罪分子的目标。ENISA的最终立法要求尚不清楚,因为《网络弹性法案》的最终谈判文本尚未公布,尽管德弗里斯的评论似乎支持拟议的修正案,要求制造商向所在国家/地区的CSIRT(国家计算机安全事件响应组织)披露漏洞。然后,CSIRT将使用由ENISA运营和维护的新情报共享平台来传播此警告。
来源:The Record
● 联合国开发计划署证实遭遇网络勒索攻击
近日,联合国开发计划署(UNDP)对外证实遭遇网络勒索攻击。本次攻击活动发生在3月底,一名攻击者成功侵入了UNDP总部位于哥本哈根的服务器系统,并窃取了包括人力资源和采购信息在内的敏感数据。攻击事件发生后,UNDP相关安全部门已经立即采取紧急措施以应对网络攻击的后果,隔离了受影响的服务器,并展开了详细的调查工作,以确定泄露数据的具体性质和范围。同时,UNDP目前正在与可能受影响的人员进行了充分沟通,帮助他们采取措施以防止进一步的攻击危害。此外,UNDP还展开了全面的外联计划,向联合国系统内的合作伙伴通报了这一事件,并强调了会在事件中保持透明和问责的承诺。这次网络攻击对UNDP的影响超出了其数字基础设施的范畴。泄露的人力资源和采购信息可能破坏关键业务的机密性和完整性,影响UNDP向全球社区提供基本服务和支持的能力。此外,这也可能削弱人们对UNDP保护信息数据能力的信任,危及其与各国政府、民间社会组织和其他利益相关者的合作关系。
来源:CYBER EXPRESS
