2023年第13周安全周报 | 本周安全要闻速览
● 市场监管总局等四部门:关于开展网络安全服务认证工作的实施意见
3月28日消息,为贯彻落实《网络安全法》等法律法规要求,充分发挥质量认证工作在加强网络安全服务机构管理、提升网络安全服务质量等方面的重要支撑作用,市场监管总局、中央网信办、工业和信息化部、公安部发布关于开展网络安全服务认证工作的9条实施意见。
来源:市场监管总局
● 国家发改委主任会见苹果CEO,提出加强数据安全和个人隐私保护
3月27日,国家发展改革委主任郑栅洁会见美国苹果公司首席执行官库克一行。郑栅洁主任表示,中国政府坚定不移实施对外开放的基本国策,国家发展改革委将一如既往支持包括苹果公司在内的外资企业在华业务。中国的产业数字化和数字产业化进程、超大规模市场、庞大的中等收入群体等都将为包括苹果在内的跨国企业带来广阔市场。希望苹果公司继续积极承担企业社会责任,加强数据安全和个人隐私保护。库克介绍了苹果公司在华投资发展情况。双方围绕中国市场前景、稳定产业链供应链等议题进行了交流。
来源:国家发展改革委
● 拜登发布行政令,禁止美国政府使用商业间谍软件
TikTok听证会后美国总统拜登周一签署了一项行政命令,限制联邦政府机构使用商业间谍软件。以确保政府使用的软件符合对法治、人权和民主价值观的尊重。该政令指出,“间谍软件生态系统”对美国政府构成了重大的安全风险,同时也存在被外国政府或外国人士不当使用的重大风险。为此,该命令列出了商业间谍软件可能被禁止美国政府机构使用资格的各种标准。其中包括:1、外国政府或个人购买商业间谍软件以针对美国政府;2、商业间谍软件供应商未经授权使用或披露从网络监控工具获得的敏感数据,并在外国政府控制下运作;3、外国网络攻击者使用商业间谍软件来对付活动家和持不同政见者,目的是限制言论自由或实施侵犯人权行为;4、外国网络攻击者在没有法律授权、保障措施和监督的情况下使用商业间谍软件监视美国公民,以及向有从事系统性政治镇压和其他侵犯人权行为记录的政府出售商业间谍软件。
来源:thehackernews
● 全球领先的矿业企业力拓集团遭遇网络攻击导致大量数据泄露
全球领先的矿业集团力拓 (Rio Tinto) 证实了一次可能影响公司机密信息的网络攻击。数据泄露与GoAnywhere 黑客攻击有关。在一份员工备忘录中,该公司透露,黑客侵入了第三方应用程序GoAnywhere,力拓正在使用该应用程序来管理其文件传输。罪犯从力拓网络攻击中窃取了大量敏感数据。数据包括现任和前任员工,包括工资单和多付信等工资单信息。网络攻击并未影响力拓自己的网络,因为GoAnywhere是由网络安全奇才Fortra提供的基于云的服务。然而,黑客威胁要将窃取的数据发布到暗网上,这可能会使力拓的员工面临身份盗用和金融欺诈的风险。
来源:thecyberexpress
● 柯尼卡美能达网络攻击使大规模信息面临风险
日本跨国科技公司柯尼卡美能达成为臭名昭著的STORMOUS勒索软件集团的最新受害者,该组织声称已经公布了该公司14%的数据。Konica Minolta Co Ltd.是一家打印解决方案和IT服务公司,总部位于东京。该公司由美能达和柯尼卡合并而成,在大约五十个国家设有子公司。拥有43,299名员工,其产品和服务分布在150个国家/地区。因数据泄露可能导致业务损失、声誉受损和法律诉讼。柯尼卡美能达尚未透露此次攻击造成的损失程度,但该公司14%的数据已被公开这一事实表明,此次违规可能相当严重。
来源:thecyberexpress
● 国土安全部负责人表示新兴技术对国家安全造成“新威胁”
国土安全部部长亚历杭Alejandro Mayorkas在参议院委员会的一次司法听证会上表示,新兴技术在加剧和减轻对美国安全的威胁方面发挥着作用。他引用了DHS为更好地监管该国数字边界的威胁所做的努力。强调了现有的努力,例如CISA的Shields Up计划以及公私合作伙伴关系,例如联合网络防御协作以“强化”关键领域的数字网络基础设施和企业。“新兴技术正在制造新的威胁,”他说。Mayorkas随后主张国会继续其监督和监管工作,特别是授予国土安全部更多监督的权力。人工智能等其他新兴技术也被认为对国家安全既有积极影响,也有消极影响。Mayorkas承认人工智能作为一种有用的软件功能的潜力,但也评论了它的破坏性潜力。
来源:nextgov.com
● 白宫希望保护太空免受网络威胁
根据由ONCD主办的论坛的讨论,国家网络主任办公室、国家空间委员会和私营部门正在寻求加强空间网络安全工作。针对以空间政策指令5“空间系统网络安全原则”等现有政策为基础以减少网络安全漏洞和减轻威胁的建议,政府官员指出“需要为政府和商业空间系统开发商和运营商提供切实、全面的指导,以可衡量的方式在当前的威胁环境中改善其空间系统的网络安全。” 此外,政府官员还提到了新的国家网络安全战略,该战略概述了建立更具防御性和弹性的数字和空间生态系统的步骤。然而,所有人都强调了政府应关注投资空间系统网络安全以确保其弹性的重要性和及时性。政府和私营部门的参与者都做出了4项致力于改善空间网络安全的承诺。
来源:nextgov.com
● 网络空间日光浴室委员会向国会提出四项建议以加强海上网络安全
网络空间日光浴室委员发布了一份报告,对针对海上运输系统(MTS)的网络攻击进行了额外分析,并向美国国会提出建议,以更充分地为该子行业的网络安全提供资源。它还强调需要加强政府与行业的网络安全合作,并为政府支持私营部门的工作提供更好的资源。网络空间日光浴室委员会报告中提出的四项建议包括要求美国海岸警卫队增加资源以支持其作为部门风险管理机构(SRMA)的职责,以及在CISA内建立运营技术(OT)测试台) 来识别MTS中使用的关键系统的潜在网络安全漏洞。它还要求美国海岸警卫队参与拨款计划,以确保有足够的资金用于减轻MTS网络风险并指导美国海岸警卫队开展网络安全教育和劳动力计划。
来源:industrialcyber
● 英国网络安全委员会宣布成立思想领袖工作组
英国网络安全委员会宣布成立首个思想领袖工作组。该委员会(英国网络安全行业的自我监管机构)表示,该工作组将在帮助其塑造行业方向方面发挥关键作用,并将贡献关键行业知识,促进创新和思想领导。申请现已开放。该工作组的目标是:使委员会成为英国网络安全专业的代言人;推动进步和创新思维,以帮助应对行业的主要挑战;放大个人和企业面临的问题;与核心理事会工作组合作;与英国和国际上的主要利益相关者建立关系;通知政府相关政策和活动的发展。
来源:网空闲话
● 美国FDA提高了医疗设备网络安全的标准
美国卫生与公众服务部(HHS)食品和药物管理局(FDA)机构发布了最终指南,为网络设备制定了新的网络安全要求,其中包括网络设备上市前提交的赞助商必须提供的信息。该文件还要求医疗保健利益相关者将涵盖软件物料清单(SBOM)和漏洞披露报告的网络安全规定纳入其基础设施。法律规定,FD&C法案的修正案将于2023年3月29日该法案颁布90天后生效。FDA表示,医疗设备越来越多地连接到互联网、医院网络和其他医疗设备,以提供改善医疗保健和提高医疗保健提供者治疗患者能力的功能。这些相同的功能也会增加潜在的网络安全风险。与其他计算机系统一样,医疗设备可能容易受到安全漏洞的攻击,从而可能影响设备的安全性和有效性。威胁和漏洞无法消除,降低网络安全风险尤其具有挑战性。医疗保健环境复杂,制造商、医院和设施必须共同努力来管理网络安全风险。
来源:industrialcyber
