2023年第45周安全周报 | 本周安全要闻速
● 文旅部印发《互联网上网服务行业上云行动工作方案》
为加快推动互联网上网服务营业场所数字化转型,创新发展“存储上云”“算力上云”等上网服务行业云服务新模式,助力行业转型升级,日前,文化和旅游部印发《互联网上网服务行业上云行动工作方案》。以总体要求、主要任务、组织实施三方面内容,明确要推进云服务试点工作,在前期试点工作基础上,不断巩固和扩大上网服务行业云服务试点,积极探索上网服务行业云服务发展方法路径、市场机制,培育云服务发展生态。打造上云创新场所,鼓励各地积极探索上网服务场所云服务发展新模式,打造一批降本增效强、环境品质优、用户体验好、数字化转型成效明显的上网服务行业云服务创新场所——上云创新场所,发挥典型示范和创新引领作用。鼓励云服务技术和产品研发。探索云服务向多元场景应用推广。支持云服务标准建设。指导和支持行业协会制定上网服务行业云服务相关标准并加强应用,引导上网服务行业云服务标准化、规范化发展。
来源: 文化和旅游部办公厅
● 《浙江省汽车数据处理管理规定》公布
为进一步规范浙江省汽车数据处理活动,促进汽车数据合理开发利用和汽车行业健康有序发展,省委网信办、省发展改革委、省经信厅、省公安厅、省交通运输厅联合印发《浙江省汽车数据处理管理规定》,共26条,自2023年11月1日起施行。
来源:网信浙江
● 美国国防部数据、分析和人工智能采用战略旨在增强现代人工智能支持的能力
美国国防部(DOD)最近发布了2023年国防部数据、分析和人工智能采用战略。这份综合性文件由首席数字和人工智能办公室(CDAO)制定,汇集了之前的战略指导,以扩展整个企业的先进能力。该文件的主要目标是以一致和可重复的方式加速所有国防部部门对数据、分析和人工智能的采用。该战略文件由国防部副部长凯瑟琳·希克斯 (Kathleen Hicks) 发布,以2018年第一个国防部人工智能战略和 2020年修订的国防部数据战略为基础。这些基础文件增强了国防部以数据为中心的结构,以改善现代人工智能的实施。启用的功能。自这些战略发布以来,该行业开发了各种工具、平台和服务,以促进去中心化数据管理、分析和人工智能开发。国防战略还描述了美国维持和加强对战略竞争对手的威慑的必要性。加速数据、分析和人工智能的采用将带来持久的决策优势,使国防部领导人能够优先考虑投资以加强威慑;将对抗竞争对手强制措施的跨领域活动成果联系起来;并部署不断进步的技术能力,以应对这个决定性十年中复杂的国家安全挑战。
来源: industrialcyber
● 电信行业协会发布智能建筑网络安全评估标准新版SPIRE 2.0
电信行业协会(TIA)和UL解决方案发布了一份白皮书,概述了影响当今智能建筑的网络安全市场变化、趋势以及全球法规和举措。它还概述了新的SPIRE网络安全评估标准2.0版如何解决这些影响,并提供了改进的以建筑为中心和简化的方法,以促进更有效和高效的网络安全评估过程。白皮书题为“SPIRE 2.0网络安全评估标准:跟上不断变化的网络安全格局”,确定,虽然对IT系统的攻击主要针对敏感数据,并可能导致重大财务损失和声誉受损,但对OT(运营技术)建筑系统的网络攻击可能会产生物理后果,如建筑物关闭、停电、泄漏甚至爆炸。它们甚至会影响建筑物居住者的安全和生活,这对建筑物所有者和运营商来说是一个巨大的责任。该文件指出:“虽然对OT系统的威胁主要是2020年前的理论,但随之而来的攻击每年翻了一番多。”“当设施被视为关键基础设施部门的一部分时,攻击智能建筑中的OT系统可能会产生更有害的后果,该部门的资产、系统和网络对国家安全、经济或公共卫生和安全至关重要。”
来源:industrialcyber
● 美国数据交易产业失控引发国家安全漏洞
11月7日消息,杜克大学周一发布的一项研究显示,现役美军的个人信息十分廉价、极易购买,并且还被售卖美国人数据的数据经纪人们疯狂地打广告宣传。研究人员表示,他们购买了各种数据,包括姓名、电话号码、地址,有时甚至能买到军人子女的姓名、婚姻状况、净资产和信用评级等信息。购买单价一般仅有12美分/人。研究人员一共花了1万美元出头,就买到将近5万名军人的记录。这项研究引发担忧,数据经纪业缺乏重大监管可能对国家安全带来风险。部分美国参议员提前查看了杜克大学的研究结果。他们通过电子邮件发表声明称,研究说明了有必要采取应对行动。共和党参议员Bill Cassidy表示:“研究报告进一步说明美国军人保护工作存在巨大漏洞,急需加以解决。我们必须维护国家安全,保护守卫国家的军人。”民主党参议员Ron Wyden称,研究结果“为政策制定者敲响了警钟。数据经纪业已经失控,对美国国家安全构成了严重威胁。”
来源:安全内参
● 新加坡豪华酒店遭到网络攻击,665000 名客户受到影响
新加坡滨海湾金沙(MBS)豪华度假村和赌场遭遇了一起数据泄露事件,预估将影响到 665000 名客户的个人数据信息。数据泄露事件中暴露的客户信息类型包括:姓名、电子邮件地址、手机号码、电话号码、居住国家、会员号和级别等。MBS 数据泄露事件可能会给其带来很大的负面影响,网络攻击者可以轻松利用被盗数据,在各种诈骗以及网络钓鱼和社交工程攻击中锁定 MBS 客户。此外,MBS 公司强调已经通知了受影响客户并告之其个人数据信息泄露可能带来的影响。同时,发现这一网络安全事件后,MBS 也立刻向新加坡和其他相关国家的当局进行了通告。
来源:BleepingComputer
● 日本航空电子公司称服务器遭到网络攻击
制造巨头日本航空电子公司证实,其系统正面临网络攻击,迫使该公司关闭其网站。11月6日晚上,这家电子和航空航天产品制造商用一条静态消息替换了其网站,表明其部分服务器被黑客访问。该公司营收超过10亿美元,表示:“我们目前正在调查受损情况并恢复运营,但一些系统已暂停,电子邮件的发送和接收也出现了一些延迟。”“迄今为止尚未确认任何信息泄露。对于给客户和其他相关方造成的任何不便,我们深表歉意。进一步调查发现有新的举报事项,我们会立即告知您。”该公司的网站仅限于一页,其中包含英语和日语信息。
来源:The Record
● 美国抵押贷巨头遭网络攻击:数百万用户无法还款 或影响信用评级
11月9日消息,作为美国最大的非银行抵押贷款服务商之一,库珀集团(Mr. Cooper)近期遭受了一次网络攻击,导致数百万用户的贷款支付和其他交易中断。库珀集团官网通告称,公司已经“立即采取措施锁定我们的系统”,禁止用户在线支付贷款或访问个人账户信息。一天后表示已经恢复了在线支付系统。通告还向用户提供了通过电话、邮件、西联或速汇金进行支付的选项。库珀集团发言人发表书面声明:“我们正在努力彻底解决问题。在此期间,如果我们的用户以及我们受客户委托服务的贷款用户尝试付款,或者未能按期付款,都不会产生费用、罚款或负面信用报告。”库珀集团前身是Nationstar,为430万用户提供抵押贷款服务。
来源:安全内参
● 美国NIST发布修订后的受控非机密信息网络要求
美国国家标准与技术研究所11月9日发布了保护敏感非机密信息的指南草案,概述了联邦机构和政府承包商在保护政府数据时应采取的修订后的网络安全要求。拟议的指南是NIST用于保护受控非机密信息(或CUI)的标准和实践的第三次迭代,CUI是指政府拥有或创建的未分类但仍需要安全控制的数据。周四发布的NIST特别出版物800-171的更新包括安全要求草案和用于评估CUI威胁的评估程序。这两份草案的公众评议期将持续到2024年1月12日,该机构计划在2024年初的某个时候发布其最终规则。NIST在其最终公开草案中指出,“这些要求适用于处理、存储或传输CUI或为此类组件提供保护的非联邦系统的组件。”修订后的指南发布是在NIST今年早些时候就其提议的800-171更新的先前草案版本征求公众反馈之后发布的。NIST表示,针对初始草案的公众反馈导致了对800-171最新版本的一些重大更改,其中部分包括将安全要求与“一致性和易用性”的其他要求相结合,并消除了控制定制类别对于非联邦组织。
来源:网空闲话plus
● 英国Ofcom正在采取前所未有的措施来监管在线内容
英国互联网内容监管机构最近发布了《在线安全法案》(OSA)下的第一套行为准则草案,该法案于10月底生效。监管机构Ofcom的主要任务是确保儿童上网的安全。根据建议,大型高风险平台应采取措施保护儿童:不要向他们提供自动生成的潜在好友列表、排除成人用户的联系人列表中出现儿童的个人资料、隐藏成人用户的联系人列表。Ofcom还提议阻止联系人以外的用户向儿童发送私人消息,并使儿童的位置信息对其他用户不可见。这些措施旨在提高儿童在互联网上的安全。OSA对数字服务规定了法律责任,以保护用户免受与非法内容相关的风险,例如儿童性虐待材料、恐怖主义和欺诈。尽管立法中没有概述具体步骤,但预计公司将需要采取适当的措施来遵守这些要求。
来源:securitylab
