2023年第37周安全周报 | 本周安全要闻速

为营造安商惠企法治化的营商环境，深圳市人民检察院联合深圳市互联网信息办公室、深圳市司法局、深圳市发展和改革委员会、深圳数据交易所、宝安区检察院，以及吉林大学、香港中文大学、深圳市腾讯计算机系统有限公司、中兴通讯股份有限公司、深圳市和讯华谷信息技术有限公司、中国电子系统技术有限公司、深圳市北鹏前沿科技法律研究所、深圳优钱信息技术有限公司等多方力量，历时八个月，编撰完成《深圳市企业数据合规指引》。9月11日，《指引》在“2023年深圳市网络安全宣传周”启动活动上公开发布，《指引》共分为六章、77条，包括：总则、数据安全合规管理组织体系建设、数据合规管理制度体系建设、数据全生命周期合规、数据出境合规和附则。《指引》立足企业数据法治需求，引导企业开展数据合规管理，提高企业数据合规意识与数据保护水平，对涉及数据各场景制定了全面详细的规范指引。

加拿大联邦法院已经核准一项针对该国联邦政府的集体诉讼，指控政府在“保护加拿大人机密信息方面存在疏忽，导致广泛的隐私侵犯”。这项诉讼之所以被提起，是因为2020年加拿大税务局账户和其他政府服务遭受了网络攻击。原告认为加拿大政府网站“未采取足够的保护措施”，将敏感信息置于危险之中，使“不良行为者”能未经同意即访问加拿大人的在线账户。

斯里兰卡政府云系统“兰卡政府云”（LGC）遭受一次大规模勒索软件攻击。该国已经启动调查程序。这次调查由斯里兰卡计算机网络应急技术处理协调中心（CERT|CC）负责。斯里兰卡信息与通信技术局（ICTA）于9月11日向多家本地新闻媒体确认了这次攻击。这次攻击很可能从8月26日开始，当时，一个gov.lk域名用户表示他们在过去几周里收到了可疑的链接，有人可能点击了其中一条链接。“兰卡政府云”的服务和备份系统迅速被加密。斯里兰卡信息与通信技术局首席执行官Mahesh Perera估计，所有使用“gov.lk”电子邮件域名的电子邮件地址（5000个），包括内阁办公室使用的地址，都受到了影响。系统和备份在遭受攻击后12小时内得以恢复。然而，由于系统在5月17日至8月26日之间的数据没有可用备份，所有受影响的账户在这段时间内的数据都已永久丢失。

9月11日米高梅度假村发现网络攻击，之后关闭了部分在线系统。该公司位于拉斯维加斯的赌场的老虎机和自动取款机无法运行。该公司的网站已关闭，临时页面为客户提供底特律、拉斯维加斯、纽约和其他城市办事处的电话号码。“米高梅度假村最近发现了一个影响公司部分系统的网络安全问题。发现问题后，我们在领先的外部网络安全专家的协助下迅速开始调查，”该公司在Twitter上的一份声明中表示。“我们还通知了执法部门，并立即采取行动保护我们的系统和数据，包括关闭某些系统。我们的调查正在进行中，我们正在努力确定此事的性质和范围。”拉斯维加斯当地新闻媒体报道称，米高梅旗下酒店（包括贝拉吉奥酒店）的计算机系统也出现故障，无法接受信用卡。拉斯维加斯以外酒店的客人在社交媒体上报告了类似的问题。

国际联合委员会(IJC)以美加两国签署的1909年《边界水域条约》为指导，批准影响跨境水位和流量的项目，调查跨界问题并提供解决方案。该组织周三宣布，在有报道称勒索软件黑客声称窃取了大量数据后，该组织遭遇了网络攻击。NoEscape勒索软件团伙声称攻击了该组织并窃取了80GB的合同、地质文件、利益冲突表格等。该团伙给了IJC 10天的时间来回应他们的赎金要求。该组织没有透露解锁这些文件需要多少钱。IJC发言人证实其正在处理网络安全问题，但拒绝详细说明是否已联系执法部门或该组织是否面临运营问题。“国际联合委员会经历了一次网络安全事件，”一位发言人表示。“该组织正在采取措施调查并解决这一情况。”他们没有回应有关是否支付赎金的置评请求。

英国国家网络安全中心（NCSC）与英国信息专员办公室（ICO）在9月12日达成一项新协议。协议规定，发生数据泄露事件的英国企业，只要不隐瞒事件，而是主动向NCSC报告，与NCSC合作处理事件，就有可能享受罚款减免政策。国家网络安全中心是英国的网络安全监管机构，承担编制安全指南、事件响应、能力培养、保护公私部门等职能，隶属于情报机构政府通信总部。信息专员办公室则是英国的数据保护监管机构。双方签署的谅解备忘录中显示，信息专员办公室承诺，将研究“如何透明地落实‘只要与NCSC进行有意义的合作，就有可能减少监管处罚’这一决定。”谅解备忘录规定了两家机构将如何合作，以提高全国网络安全标准、防止数据泄露，并要求二者必须对收到的报告内容保密。谅解备忘录强调，两家机构收取报告，不代表它们可以分享有关事件信息。国家网络安全中心指出，这样做会违反1994年出台的《情报机构法》。

奥克兰交通局（AT）的HOP卡系统遭遇重大网络事件，导致充值和其他服务中断。该事件似乎是勒索软件攻击，但调查仍在进行中。奥克兰交通局已启动安全协议，并正在与专家合作伙伴合作，尽快解决该问题。不过，预计可能要到下周初才能完全恢复受影响的服务。AT HOP卡是一种方便且经济高效的电子智能卡，由法国跨国公司泰雷兹集团设计、开发和实施，专为无缝支付票价而设计，可让人们轻松乘坐公共汽车、火车和渡轮。奥克兰交通局 (AT) 发布了一份官方声明，承认严重的技术中断影响了AT HOP服务（集成票务和票价系统）。

美国加州立法者颁布了史无前例的立法，允许该州居民按下按钮即可迫使数据经纪人删除他们的个人信息。隐私倡导者密切关注这项名为《删除法案》的立法，并认为这项首创的法案意义重大。他们表示，这可能会推动其他州通过类似的法律。尽管来自数据经纪人和广告行业的激烈游说，新法还是通过了。根据该法律，加州居民将能够访问一个网站，要求该州500多家注册数据经纪人从庞大的数据库中删除他们的个人信息，并在今后每45天继续删除这些居民的数据。加州隐私保护局将负责建立一个网站，居民可以快速、轻松地迫使公司删除他们的数据，而不必联系除了该州注册的数据经纪人以外他们曾经访问过的每个网站。业界为阻止该法案进行了如此激烈的斗争，这一事实凸显了其重要性。这项法案提供了一项真正有意义的消费者权利，但许多数据经纪人不想提供，因为他们知道这将打击他们业务的核心。