2023年第33周安全周报 | 本周安全要闻速

由北京网络空间安全协会、广东省网络空间安全协会联合批准《网络安全合规咨询服务规范》T/BJCSA 03—2023团体标准发布，自2023年8月5日实施。标准规定了网络安全合规咨询服务机构的咨询服务类型、咨询服务机构等级划分以及通用评价要求等内容。标准明确了数据安全合规咨询、个人信息保护合规咨询等网络安全合规咨询服务应具备的基本能力、专业能力和服务过程能力要求，对相关服务专业机构及服务行为的规范化管理，推进网络安全社会化服务体系构建，切实提升企事业单位网络安全、数据安全及个人信息保护能力具有重要意义。

美国纽约州州长Kathy Hochul推出一项广泛的网络安全战略，拨款6亿美元（约合人民币43.53亿元）用于保护该州数字和关键基础设施免受网络威胁。这是纽约州“有史以来首次”制定全州性网络安全战略。Kathy Hochul表示，新战略在网络安全和弹性方面设定了高目标。根据战略概要，纽约州将统一全州范围的网络安全服务，以保证关键基础设施、个人信息和数字资产免受恶意行为者攻击；同时提供框架，以协调公共部门和非营利组织的行动与资源。

印度总统批准了《数字个人数据保护法案》(DPDPB)，该法案上周在议会两院一致通过，标志着印度在保护个人信息方面迈出了重要一步。该法案的目的是规范数字个人数据的处理，以保护公民的隐私。它还旨在使公民能够更好地控制他们在网上分享的信息。该法案还要求赋予用户审查和更正他们提供的数据以及删除此类数据的权利。在死亡或丧失行为能力的情况下，他们应该能够提名其他人。他们应该有权让数据受托人处理他们的不满。

美国最大的转辙和枢纽铁路正在调查勒索软件组织窃取数据的事件。Akira勒索软件团伙将该公司添加到其泄露网站，声称窃取了85GB的数据。贝尔特铁路总法律顾问克里斯托弗·施坦威表示“该事件没有影响我们的运营。我们已聘请一家领先的网络安全公司来调查这一事件，并正在与联邦执法部门合作。”此次所谓的袭击发生之际，美国运输安全管理局正试图对铁路等重要基础设施采取更强硬的立场。要求运营者现在必须制定网络分段策略和控制措施，将运营技术系统与其他IT系统分开，以防受到威胁。新指令还要求运营商制定访问控制措施，制定网络威胁检测策略，并及时对操作系统、应用程序、驱动程序和固件进行修补或更新流程。

美国矿业巨头自由港·麦克莫兰铜金公司近期宣布，正在调查一起影响其信息系统的网络安全事件。公司表示，正在评估事件影响，积极采取解决措施，并与“第三方专家和执法部门密切合作”。自由港·麦克莫兰铜金公司总部位于美国亚利桑那州凤凰城的自由港·麦克莫兰中心，通常被称为自由港公司。该公司在网络安全动态通报中称：“事件对生产影响有限。”正在计划和实施过渡性解决方案，以尽快保护信息系统的安全。公司将继续将安全和负责任的生产实践放在首位。

全球最大的家用化学品和清洁产品制造商之一的美国公司高乐氏成为大规模网络攻击的一个受害者。该公司2022年净利润超过70亿美元，被迫紧急禁用多个关键信息系统，并向执法部门通报此次违规事件。据Clorox代表称，在检测到公司网络上未经授权的活动后，该公司立即启动了紧急程序来定位网络威胁。一些服务器和数据库被紧急停止服务，以阻止恶意软件的传播并防止机密文件的泄露。该事件严重扰乱了高乐氏的关键业务流程，包括生产和物流。国际领先的网络安全公司已经参与了基础设施可运营性的快速恢复。对这一事件的全面调查刚刚开始。大型化工企业的设备被迫停机和供应中断造成的损失可能高达数百亿美元。

美国加州一家房源挂牌服务提供商遭遇网络攻击，导致全国各地房屋买家、卖家、房地产经纪人和房源网站业务受阻。该公司提供一项关键在线工具，帮助房地产专业人士挂牌房源、查看待售房源、追踪挂牌房源。该公司在遭受黑客攻击后，持续多天后服务器仍然处于离线状态。这次攻击影响了全美数十万名多重房源挂牌服务会员经纪人。到目前为止，尚未公布关闭事件的具体类型或其他细节，也没有说明个人信息是否遭到了泄露。这次系统中断明确提醒大家，一旦重要服务被黑，大批依赖这项服务的人员或企业将面临现实干扰。