2023年第8周安全周报 | 本周安全要闻速览

根据《工业和信息化部全面推行行政执法公示制度执法全过程记录制度重大执法决定法制审核制度暂行实施方案》的相关要求，结合有关法律法规依据的制修订情况及行政执法工作实际，工业和信息化部编制了《工业和信息化部行政执法事项清单（2022年版）》，现对外公布。其中，新增数据安全相关工业和信息化部行政执法事项清单共计15条（第247-261条）。

为贯彻落实中共中央、国务院关于构建更加完善的要素市场化配置体制机制和新时代加快完善社会主义市场经济体制的有关文件精神，加快公共数据有序开发利用，培育数据要素市场，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《浙江省公共数据条例》《杭州市服务业扩大开放综合试点总体方案》《杭州市国家营商环境创新试点实施方案》等有关法律法规，结合杭州实际，杭州市数据资源管理局起草了《杭州市公共数据授权运营实施方案（试行）》（征求意见稿），本文件从2023年2月17日至2023年3月18日公开向社会征求意见。

作为全球最大的半导体制造设备和服务供应商，美国应用材料公司（Applied Materials）在上周的财报电话会议中表示，有一家上游供应商遭到勒索软件攻击，由此产生的关联影响预计将给下季度造成2.5亿美元（约合人民币17.17亿元）的损失。应用材料没有透露供应商的具体信息，但多位行业分析师表示，这里指的应该是美国技术与工程公司MKS Instruments。MKS在上周一宣布，受勒索软件攻击影响，其第四季度财报电话会议已经被迫延后。

印度流行的火车票预订平台RailYatri遭遇大规模数据泄露，暴露了超过 3100 万 (31,062,673) 名用户/旅客的个人信息。据信，敏感信息数据库现已在线泄露。泄露的数据包括电子邮件地址、全名、性别、电话号码和位置，这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。

联合国大数据和数据科学专家委员（UNCEBD）会发布《隐私增强技术指南》（The PET Guide）。指南重点关注隐私增强技术在官方统计数据中的应用，旨在帮助各国的国家统计局更好地理解和运用隐私增强技术处理敏感数据，提升数据的准确性和安全性，进而助力政府科学合理决策。隐私增强技术是用于安全处理和共享敏感数据的技术，旨在平衡隐私保护和数据可用性，可以分为输入端和输出端两大类。指南的主体部分包含五个章节：第一章是背景简介，第二章是方法分类，第三章是各国案例研究，第四章是技术标准，第五章是法律和监管。

乌克兰黑客声称对俄罗斯国家媒体发动了网络攻击，该攻击导致普京总统在向俄罗斯议会发表国情咨文期间出现断电。21日，普京在向俄罗斯议会两院发表现场直播讲话时，多个地方的记者都表示，在讲话期间无法进入直播间。随后，俄新闻社首先报道了这次中断是黑客通过分布式拒绝服务（DDoS）攻击导致的。乌克兰IT军很快在Twitter和Telegram账户上庆贺。据《新闻周刊》报道，另一个亲乌克兰的黑客组织，也在推特上声称他们帮助IT军团成功完成了这次攻击。乌克兰IT军是一个由乌克兰政府号召的黑客志愿者组成的联合体，旨在开展网络进攻行动，并帮助国家抵御俄罗斯的网络攻击。

俄罗斯多个城市商业广播电台突然响起空袭和导弹袭击警报。俄罗斯紧急情况部表示，这是黑客攻击导致卫星受到恶意行为影响，电台开始播报未经授权的消息，并强调警报内容与事实不符。

据英国卫报报道，近日，来自法国《世界报》、德国《明镜》杂志和西班牙《国家报》等30余家新闻媒体的记者联合对一个神秘的网络团队进行了暗访式调查，发现这家公司涉嫌使用黑客入侵、蓄意破坏、在社交网络上散布虚假信息等手段，对全球30多场选举及若干政治人物的形象进行了干预、破坏和操纵。被曝光的神秘网络团体代号“乔治小组”，组建至今已超过20年时间，组建者塔尔·哈南据称是一名前以色列特种部队特工人员，其团队可提供被外界称为“黑暗行动”的服务，主要客户包括情报机构、政治活动家以及企图对公众意见进行秘密操控的私人公司等，“工作”区域涉及非洲、南美洲、中美洲、欧洲以及美国等地区和国家，核心业务是通过自己控制的私人服务公司，在不被人察觉的情况下利用散布虚假信息、抹黑人物形象、劫持重要目标邮箱等手段，对全球各地举办的选举等活动进行秘密干预，或者为找上门来的公司客户提供类似服务。