2023年第10周安全周报 | 本周安全要闻速览

近日，深圳市发展和改革委员会正式发布《深圳市数据交易管理暂行办法》并施行，进一步规范数据交易行为，强化数据安全意识，促进数据有序高效流动。《办法》共8章35条，针对数据要素市场“确权难”问题，率先探索数据产权结构性分置，规定数据交易主体包括数据卖方、数据买方和数据商。在保证数据安全、公共利益及数据来源合法的前提下，市场主体按照不同情形，依法享有数据资源持有权、数据加工使用权和数据产品经营权等权利。

西班牙巴塞罗那的一家医院遭遇勒索软件攻击，导致医院计算机系统故障，许多实验室、诊室和急诊室的电脑无法使用。据《国家报》报道，约 150 个非紧急手术和数千病人的预约检查被迫取消。这对医院正常运转产生了严重影响，由于无法进入电子病人数据共享系统，医疗人员只能被迫将诊断信息纸质化，一些紧急的病患也不得不转移到其它医院。

一家数据泄露市场的用户LeakBase宣称，已成功通过故障和错误获得了中资背景的美国摩托罗拉公司JIRA系统的备份控制面板访问权限。据用户透露，外泄的数据包括管理面板（即管理后台）数据，以HTML格式导出并带有截屏内容。该用户还提到，数据包含多种文件格式，总大小约为11 GB。通过对泄露网站上共享的数据进行初步分析，分析师发现信息内容真实有效。外媒Cyber Express已经就此事向摩托罗拉发出置评请求。

作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一，联邦政府开始要求各州评估其饮用水系统的网络安全能力。根据环保署的要求，如果公共供水系统在运营当中使用了工业控制系统（ICS）等运营技术，那么作为大规模卫生检查的一部分，评估工作必须涵盖对实践和控制等运营技术的网络安全保护。如果在网络安全保护中发现“重大缺陷”，例如设计/运营缺陷，水处理、贮存或分配系统故障等，则所在州必须保证公共供水系统解决它。在拜登政府的领导下，网络安全和基础设施安全局（CISA）及其他政府实体一直在努力加强16个关键基础设施领域的网络安全水平，包括化工、石油、电力、天然气和水资源等。

英国政府正再次考虑取代被采纳为本国法律的欧盟《通用数据保护条例》（GDPR），并试图向世人解释通过制定更加符合本国的法案将在未来十年内节省数十亿英镑支出。3月8日，英国技术部长 Michelle Donelan再次提出了名为《数据保护和数字信息法》的法案。这项立法曾于2022年9月被政府从审议中撤回，以进行更多必要的完善工作。2018 年，英国在正式脱欧之前将GDPR 纳入到了国内法，在 2022 年底Donelan曾表示，政府将用“真正定制的英国数据保护法”取代 GDPR。据悉，这项新法案的变化之一是政府能够“出于公认的合法利益”（例如国家安全和犯罪）授权未经许可的数据处理。目前法律已经承认“司法行政”是未经事先同意处理个人数据的合法动机。

美国国土安全部运输安全管理局公布了新的网络安全规则，以加强境内最大、最重要的机场和航空运营商的保障能力。这也是拜登政府在近一周内第二次推动关键基础设施发布网络规则。它意味着运安局将对航空业实施最新一套网络规则。新规则要求，相关机场及航空运营商制定安全计划，围绕谁有权访问网络等具体细节设计保护方案，并提交运安局进行审批。

据美国众议院领导人向全体成员发出的通报函和参议院最高安全官员公布的备忘录，国会议员及华盛顿特区居民使用的在线健康保险市场D.C. Health Link遭到黑客攻击，导致数千名立法者、其配偶、家属和雇员的个人身份信息面临泄露风险。由于此次违规行为，联邦调查员已经能够在暗网上买到关于国会议员及其家人的个人信息，包括“全名、注册日期、关系（本人、配偶、孩子）和电子邮件地址，但并不涉及其他个人身份信息。”