2023年第2周安全周报 | 本周安全要闻速览

为加强银行业保险业监管统计管理，规范监管统计行为，提升监管统计质效，中国银保监会近日发布《银行保险监管统计管理办法》。《办法》包括总则、监管统计管理机构、监管统计调查管理、银行保险机构监管统计管理、监管统计监督管理和附则等六章，共三十三条，其中重点指出：要明确数据质量责任，重视数据价值实现。强调数据安全保护。根据2021年9月实施的《中华人民共和国数据安全法》相关规定，《办法》在职责范围、统计资料管理制度、监督检查中增加了涉及数据安全保护的监管内容，明确提出监管统计工作有关保密要求。

法航和荷航已经通知“蓝天飞行”的旅客，他们的一些个人信息可能被网络犯罪分子盗取了。目前已经采取了防御措施，以防止用户数据进一步暴露。据悉，泄露的用户数据信息主要包括旅客的姓名、电子邮件地址、电话号码、最新交易和蓝天飞行的信息（例如旅客所赚取的里程余额）。

塞尔维亚政府宣布其内政部网站和 IT 基础设施遭遇了几次“大规模 ”分布式拒绝服务（DDoS）攻击。塞尔维亚首都贝尔格莱德在声明中表示，政府安全专家和塞尔维亚电信公司（Telekom Srbija）的工作人员有能力对抗此次网络攻击，旨在使内政部 IT 基础设施瘫痪的五次大型 DDoS 攻击目前已经被“击退”。此外，塞尔维亚政府补充强调，强化的安全协议已经启动，虽然此举可能会导致某些服务间歇性中断，政府工作效率降低，但这一切都是为了保护内政部的数据安全。

在被勒索软件团伙公开列入“已勒索”名单后，旧金山湾区城轨交通系统（BART）开始对这起疑似勒索事件开展调查。作为美国第五繁忙的重轨快速交通系统，BART在1月6日被列入Vice Society勒索软件团伙的泄密网站上。BART首席通讯官Alicia Trost表示，他们正在调查该团伙窃取和发布的数据。她称，“需要明确的是，BART的服务或内部业务系统并未受到影响。与其他政府机构一样，我们正采取一切必要的防范措施加以应对。”

摩尔多瓦的政府机构受到一波网络钓鱼攻击的袭击，威胁行为者向属于该国国家服务的账户发送了 1,330 多封电子邮件。

美国国家档案与记录管理局（NARA）1月11日发布更新版政府记录存储规则（GRS Transmittal 33），对联邦机构的网络安全日志及其他网络记录数据的留存时间做出新要求。一般记录时间表明确了联邦机构必须保留的记录类型，以及在多长时间后可以删除或以其他方式进行销毁的处置规定。新规则包括两类网络安全日志记录的保留要求：完整的数据包捕捉数据（PCAP）至少保留72小时；网络安全事件日志必须保存长达30个月。

因“网络事件”导致的“严重服务中断”，英国邮件递送服务巨头皇家邮政（Royal Mail）宣布暂停国际运输服务。英国本土的货物配送服务并未受到影响，但该公司已向客户建议，在此期间暂缓向海外寄送邮件，相关服务将在问题解决后恢复，并表示已在配送的邮件可能出现延误。