2023年第51周安全周报 | 本周安全要闻
● 工信部等十四部门开展网络安全技术应用试点示范工作
为深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》,加强网络安全先进技术应用引导,推动网络安全产业高质量发展,现决定开展网络安全技术应用试点示范工作。试点示范内容:适应数字产业化和产业数字化发展新形势,以新型信息基础设施安全、数字化应用场景安全、安全基础能力提升为主线,面向公共通信和信息服务、人力资源社会保障、水利、卫生健康、应急管理、广播电视、金融、交通运输、邮政等重要行业领域网络和数据安全保障需求,从基础网络安全、云计算安全、人工智能安全、大数据安全、信创安全、商用密码、车联网安全、物联网安全、中小企业数字化转型安全、网络安全共性技术、网络安全创新服务、教育技术产业融合发展联合体、网络安全“高精尖”创新平台等13个重点方向,遴选一批技术先进、应用成效显著的试点示范项目。
来源:工业和信息化部
● 希腊计划设立国家网络安全局来应对不断上升的黑客威胁
12月18日北京市人民政府官网显示,为贯彻落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》和中共北京市委、北京市人民政府印发的《关于更好发挥数据要素作用进一步加快发展数字经济的实施意见》,深入实施《北京市数字经济促进条例》,立足首都功能核心区战略定位,大力发展数据要素市场,推动形成一批先行先试的数据制度、政策和标准,培育一批数据要素型领军企业,加速建设全球数字经济标杆城市示范区,结合西城区实际,北京市西城区科技和信息化局研究起草了《北京市西城区加快推进数据要素市场高质量发展的若干措施(征求意见稿)》。重在支持在数据基础设施建设、数据关键技术研发、数据资源化资产化资本化探索实践、应用场景示范与发展模式创新、数据安全与合规治理水平提升、数据要素创新创业服务,以及数据人才培育等领域作出贡献,在西城区稳定经营的独立法人企业或机构。
来源:北京市人民政府官网
● 中国工信部推出针对数据安全事件的彩色编码行动计划
中国工业和信息化部(MIIT)周五公布了提案草案,详细说明了其使用颜色编码系统解决中国数据安全事件的计划。该部门表示,这项工作旨在“提高对数据安全事件的综合反应能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失,保护个人和组织的合法权益,维护国家安全和公共利益。
来源:the hackern ews
● 英国计划为数据中心制定严格的新安全规则
英国政府提出了旨在规范数据中心行业的新规则,以提高基线网络安全和弹性。它正在就一份新的咨询文件《保护和增强英国数据基础设施的安全性和弹性》征求行业反馈意见,该文件将开放至 2024 年 2 月 22 日。根据目前的提案,数据中心提供商将有责任采取适当和相称的技术和组织措施来管理安全性和弹性风险。这可能包括风险管理,设施、网络和系统的物理和网络安全,事件管理,弹性和服务连续性,监控,检测、审核和测试,治理与人事以及供应链管理。数据中心提供商将被要求在新的监管机构注册,并提供相关的操作和事件相关信息。标准和评估框架将用于提供安全性和复原力方面的保证。数据和数字基础设施部长约翰·惠廷代尔(John Whittingdale)表示:“数据是我们经济增长日益重要的驱动力,在我们的公共服务中发挥着关键作用。”他说:“因此,确保存储数据的公司有适当的保护措施,以限制来自网络攻击和极端天气等威胁的风险,将有助于我们从中获益,并让企业安心。”
来源:infosecurity
● 非洲国家莱索托央行被黑,国家支付系统瘫痪
12月18日消息,上周早些时候,非洲南部国家莱索托的中央银行遭受网络攻击,导致严重故障。莱索托央行发表多份声明,确认最近的事件影响了多个系统。莱索托位处内陆山区,被南非环抱,这个国家人口为200余万。该行在12月12日表示,“莱索托中央银行通知公众,12月11日,央行系统发生一起网络安全事件。央行已对此展开调查,并正在全天候工作以恢复系统功能。”“央行向公众保证,尚未遭受任何财务或其他损失。但是,为防止攻击者进一步渗透,央行已暂停部分系统。因此,在系统恢复正常的过程中,某些支付可能遇到延迟。”13日,央行与莱索托银行协会联合发布了另一份声明,称国家支付系统持续停机,“导致所有本地银行无法完成本国银行间交易”。莱索托银行协会和央行表示,技术团队正在努力解决问题,但官员们“已同意采取业务连续性流程和措施作为替代方式,临时支持所有银行之间支付和交易”。但是,声明没有具体说明这些替代方案的内容。
来源:khaleejtimes
● 云被黑,上千个政府机构服务中断、数据丢失
12月20日消息,意大利云服务提供商Westpole在12月8日遭受网络攻击,此次事件殃及Westpole的客户、政务服务商PA Digitale。后者通过旗下Urbi平台为各地地方政府机构和组织提供服务。服务对象包括1300家公共管理机构,其中有540家为市政机构。Westpole通知了意大利个人数据保护局(隐私监管机构)和意大利警方。二者正在调查这次网络攻击事件。Lockbit勒索软件攻击导致PA Digitale公司中断服务,这起安全事件导致很多公共管理部门和市政机构的服务瘫痪。为了继续提供服务,数家市政机构被迫回归人工模式。这次勒索软件攻击造成的损害程度难以评估。据意大利媒体《共和国报》报道,Westpole仅成功恢复了其系统的50%。意大利国家网络安全局表示,鉴于恢复过程缓慢且充满挑战,无法确定该公司能否完全恢复受影响系统。
来源:securityaffairs
● 微软与网络空间日光浴室委员会提出加强水务部门网络安全的措施
微软和网络空间日光浴室委员会(CSC)最近发布了一份报告,解决供水和废水处理系统领域的网络安全漏洞。报告指出,供水和废水处理系统的脆弱性和重要性使其成为追求利润的网络犯罪分子和利用新冲突领域的地缘政治对手的突出目标,因此需要公共和私营部门在各个层面上进行强有力的沟通与合作。为了支持多方利益相关者的参与,微软和CSC 2.0在去年底和2023年联合举办了一系列关于水和废水处理领域网络安全的圆桌讨论。在四次虚拟聚会上,来自联邦机构和美国国会以及水和技术领域的专家参与了围绕该行业面临的威胁的讨论;降低网络风险的标准、最佳实践和新兴法规;保护水部门免受网络攻击的国际义务以及如何在整个部门建立网络弹性。该报告题为“推进水和废水基础设施网络安全的多利益相关方见解”,指出了该行业面临网络安全风险管理差距以及严重缺乏解决这些问题的资源的挑战。报告建议联邦和州立法者向美国环境保护局(EPA)提供资源,因为解决水关键基础设施的网络安全和弹性需求需要国家协调和投资。政府需要向EPA提供足够的资金,国会也需要支持,以履行其作为水和废水部门风险管理机构的义务。
来源:industrialcyber
● 美国CISA寻求有关安全设计软件实践的意见
美国网络安全和基础设施安全局(CISA)12月20日发布了一份有关安全设计软件实 践的信息请求,包括该机构关于“改变网络安全风险平衡:安全设计软件的原则和方法”的最新文件。该机构的举措是正在进行的全球推广安全设计实践活动的一部分。它敦促软件制造商立即采取行动,确保其产品的设计安全。此外,该活动还推动制造商改进其设计和开发计划,只允许将设计安全的产品运送给客户。RFI发布在《联邦公报》上,旨在加强CISA的“安全设计”活动。CISA及其合作伙伴正在积极寻求有关各种主题的信息,例如将安全性尽早纳入软件开发生命周期(SDLC)、教育的作用、反复出现的漏洞、人工智能(AI)、运营技术(OT) 以及解决“设计安全”概念的经济学。CISA局长Jen Easterly在一份媒体声明中表示:“虽然我们已经收到了有关安全设计活动的广泛反馈,但我们需要吸收尽可能广泛的观点。” “我们的目标是推动技术在设计上安全可靠的未来,这需要每个技术制造商采取行动,每个客户都有明确的需求,这反过来又要求我们严格寻求和整合输入。” CISA最近的安全设计指南由18个美国和国际机构联合发布,鼓励每个软件制造商以减轻客户网络安全负担的方式构建产品。
来源:网空闲话plus
● 新加坡正在制定新立法,将数据中心视为关键基础设施
新加坡已经对关键技术基础设施实施严格的政府监督。市政府现在的目标是将这种监督范围扩大到其他“重要”信息技术提供商。新加坡正在努力修订2018年批准的国家网络安全法案,以强制执行提供关键技术服务的第三方公司的新义务。拟议的《网络安全法案》修正案将与CII服务一起引入“基础数字基础设施”这一新类别。这一新类别预计将涵盖在新加坡境内运营的数据中心和云计算服务。这个亚洲国家已就该修正案启动了公众咨询,在为期一个月的时间内征求反馈意见,持续到2024年1月15日。《网络安全法案》明确将能源、水、银行和金融、医疗保健、陆路运输、海事、航空、政府、信息通信、媒体以及安全和紧急服务确定为关键信息基础设施服务的提供商。
来源:techspot
