2023年第30周安全周报 | 本周安全要闻速

北京市通信管理局发布《北京地区电信领域数据安全管理实施细则》。《细则》分成总则、基础性数据安全保护要求、数据全生命周期安全保护要求、支持与保障、附则，共三十条。主要内容包括：电信领域数据处理者应当按要求将识别出的重要数据和核心数据进行目录填报，并报北京市通信管理局备案；电信领域数据处理者应当开展数据安全风险监测，对数据安全风险隐患进行预警，并及时开展处置；电信领域数据处理者应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施。针对不同网络安全域之间的数据传输采取访问控制、监控等安全防护技术措施。

为适应我国智能网联汽车发展新阶段的新需求，工业和信息化部、国家标准化管理委员会近日联合修订印发《国家车联网产业标准体系建设指南（智能网联汽车）（2023版）》。这是《国家车联网产业标准体系建设指南》的第二部分，是对《国家车联网产业标准体系建设指南（智能网联汽车）（2018版）》的继承、延伸与完善，是在对第一阶段标准体系建设情况进行客观总结、对智能网联汽车产业新需求和新趋势进行深入分析后，形成的框架更加完善、内容更加全面、逻辑更加清晰的标准体系建设指南，为智能网联汽车产业高质量发展奠定了坚实基础。

上海市第十六届人大常委会第四次会议对《上海市促进浦东新区数据流通交易若干规定（草案）》进行了审议。其主要内容：一是界定各方责任，明确促进数据流通交易的总体要求。二是结合落实《数据二十条》，探索细化数据产权分置机制。三是建立数据流通交易的系列规则，进一步培育壮大场内交易，并对场外交易作出适度规范引导。四是进一步培育数据市场生态，营造良好发展环境。

26日，武汉市应急管理局发布声明称，该局所属武汉市地震监测中心遭受境外组织的网络攻击。这是继2022年6月份西北工业大学遭受境外网络攻击后又一具体案例。国家计算机病毒应急处理中心和360公司组成的专家组发现，此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起，初步证据显示对武汉市地震监测中心实施网络攻击来自美国。声明表示，为进一步查明事实，依法处理相关幕后黑客组织和不法分子的网络攻击行为，武汉市地震监测中心第一时间封存相关网络设备，并将遭受网络攻击的情况向辖区公安机关报案，我单位将保留进一步追诉的权利。武汉市公安局江汉分局随即发布警情通报，证实在武汉市地震监测中心发现了源于境外的木马程序，该木马程序能非法控制并窃取地震速报前端台站采集的地震烈度数据。该行为对国家安全构成严重威胁。

挪威政府警告称，黑客利用第三方软件的零日漏洞发动网络攻击，12个部委使用的信息通信技术平台受到影响。据悉，除总理办公室、国防部、司法与公共安全部、外交部之外，挪威其他所有部委均使用该平台。挪威政府安全和服务组织（DSS）在发现网络攻击后通知了国家安全局（NSM），并协同警方进行调查。挪威数据保护局也已收到有关网络攻击的通报，表明黑客可能已经访问和/或窃取了信息通信技术系统中的敏感数据，导致数据泄露事件。尽管受到攻击的平台在政府的日常运作中扮演着关键角色，但最近的网络攻击不会导致工作活动陷入停滞。

美国证券交易委员会将采用新的规则来披露注册公司的网络安全事件，其中包括有关其风险管理策略的年度报告。在相关网络事件发生后，公司还将有一个为期四天的强制报告窗口。26日宣布的SEC规则将要求上市公司披露针对其网络的被视为“重大”的网络安全事件，并以8-K表格记录潜在攻击的性质，该表格用于向股东通报“重大”事件公司的活动”。该规则还规定，美国证券交易委员会将要求公司“定期披露”网络安全防御态势。SEC主席加里·詹斯勒在一份声明中表示，“许多上市公司向投资者提供网络安全披露。通过帮助确保公司披露重要的网络安全信息，今天的规则将使投资者、公司以及将他们联系起来的市场受益。”根据证券法中的案例，如果“合理的股东很可能认为该事件很重要”，该规则将其广义地定义为“重大”事件。短暂的、强制性的四天备案和披露期旨在帮助投资者评估事件可能造成的损害或后果，并做出明智的财务决策。值得注意的是，如果美国司法部长确定立即披露“将对国家安全或公共安全构成重大风险”，则可能会延迟披露。这一警告是对美国证券交易委员会在规则制定期间收到的公众评论的回应，其中列出了以下担忧：先发制人地披露仍在进行的网络攻击可能会进一步为恶意行为者提供帮助。

7月中旬，美国国家网络总监办公室公布《国家网络安全战略实施计划》。《计划》详细阐述了相关职能部门在确保美国网络安全方面的举措和要求，并设定具体时间节点，体现了美国抢占“第五空间”制高点的战略图谋。从内容看，《计划》重点对如何落实美国《国家网络安全战略》相关目标进行了阐释：一是强化基础设施防护。二是强化威胁实体应对。三是强化市场力量培塑。四是强化网络标准把控。五是强化国际网络合作。结合有关内容及外媒相关评述，《计划》主要有以下三大特点：其一，突出全员参与。其二，突出技术主导。其三，突出管用有效。

土耳其总统埃尔多安险胜连任的几周前，TikTok代理安全主管Kim Albarella收到一条坏消息：多达70万个土耳其TikTok账户遭到黑客攻击，攻击者能够访问用户个人信息并控制他们的账户。根据TikTok内部电子邮件、聊天记录、文件，以及其他内部、外部信息，该公司早在一年前就知道这个漏洞。该漏洞源于所谓的“灰色路由”， 即通过不安全的渠道发送短信。2022年4月，TikTok安全主管Roland Cloutier收到英国国家网络安全中心——英国情报机构“政府通信总部”（GCHQ）下属部门发来的电子邮件。邮件警告，如使用灰色路由，俄罗斯等其他国家的“SIM卡农场”可能会请求和拦截一次性密码，获取TikTok用户账户的访问权限。通俗来讲，灰色路由就是通过不安全的渠道发送短信，从而绕过国际电信协议规定的费用。使用灰色路由可以节约公司成本，避开速率限制和反垃圾邮件检测。但是，这样做可能会危及信息安全，使信息易受拦截。

参议员Andrey Turchak和Irina Rukavishnikova以及议员Alexander Khinshtein向总理Mikhail Mishustin提交了一项法案的最终版本，该法案规定对违反个人数据保护的行为进行罚款。该文件提出了《行政违法法典》(CAO) 的修正案。根据该提案，对违规行为的处罚如下：如果泄漏影响到1至1万名公民，法人实体将受到3至500万卢布的处罚；如果受影响的公民人数为10至10万，则为5至1000万卢布；如果泄漏影响超过10万人，则为10至1500万卢布。屡次违规，无论规模大小，建议处以上一年度营业额0.1%以上3%以下或者当年营业额一部分的罚款，但不少于15%万卢布。并且不超过5亿卢布。对于生物识别数据的泄露，法人实体将被处以15至2000万卢布的罚款。草案还提出对公民和官员个人数据泄露的各种罚款。目前，针对数据泄露的公司最高罚款可达100,000卢布，最多30万卢布。对于重复违规。该修正案预计将在正式发布后 30天生效。