2024年第3周安全周报 | 本周安全要闻速览

江苏“数据二十条”——《中共江苏省委 江苏省人民政府关于推进数据基础制度建设更好发挥数据要素作用的实施意见》正式印发。提出目标：推进数据要素优质供给、高效流通、安全发展，实现数据要素市场化配置先行示范。力争到2030年，健全数据分类分级管理制度，建立标准规范、统一协调的数据运营管理机制；建成运行高效、安全有序的数据要素市场，形成有效市场和有为政府相结合的数据要素治理模式；建强特色鲜明的数据产业集群，形成主体活跃、支撑有力的数据要素生态。

英国国家图书馆，拥有数百万册书籍和手稿的档案馆,在去年10月遭受勒索软件攻击后，于今年1月15日开始恢复对其在线目录的访问。勒索软件即服务组织Rhysida团伙声称，此次袭击导致图书馆的多种服务被关闭，该团伙随后试图出售图书馆被盗的人员数据。在线目录的丢失，被图书馆首席执行官罗利·基廷爵士描述为“世界各地研究人员最重要的数据集之一”是该事件影响最大的方面之一。目前，在线系统将是查看图书馆所藏最稀有书籍、地图、期刊和乐谱的唯一途径。将这些实物带入阅览室的系统尚未再次运行。基廷表示，除此之外，“图书馆的大部分主要特殊馆藏档案、手稿和其他只有这里才能找到的独特物品”将从本周开始在现场开放。尽管如此，这位首席执行官强调“未来还有许多进一步的步骤”，并指出大英图书馆持有的一些内容尚未亲自提供或作为其数字馆藏的一部分。勒索软件攻击造成的其他干扰包括作者的支付系统。基廷在声明中感谢“许多同事最近几周一直在努力工作，使所有这些最新进展成为可能”，并感谢图书馆的用户“迄今为止所表现出的耐心和支持”。

Rosstandart已批准物联网LoRaWAN协议的国家标准。据Vedomosti报道，该协议与 NB-IoT和GSM一起被认为是无线技术领域确保物联网设备交互的关键协议之一。该标准的主要目标是统一智能电表和传感器制造商的技术要求，以及电信运营商提供的网络的技术能力。该标准于2023年12月22日获得Rosstandart批准，将于2024年7月1日生效。该部门的代表表示，由于该协议的高度普及，其进一步的分发将变得更加广泛。它可以在进行采购、编写技术文件和作业时使用。工贸部副部长瓦西里·施帕克表示，该标准的批准为国内制造商和开发商的发展奠定了基础。他指出，除了工业之外，应用该标准的主要市场将是智能家居和可穿戴设备市场。据该出版物称，该技术可用于与家用和工业设备交换数据，例如建筑、住房和公共事业部门的仪器、传感器、密封件、运输和物流以及可穿戴设备。

1月16日消息，印度制药巨头阿尔肯实验室（Alkem Laboratories）上周证实发生一起网络安全事件，导致旗下一家子公司向欺诈分子转账5.2亿卢比（约合人民币4500万元）。阿尔肯实验室没有透露安全事件的具体性质，但指出欺诈分子入侵了子公司部分员工的业务电子邮箱账号。虽然根据公司政策，被盗金额未达到强制报告的门槛，但董事会选择公开透明，向证券交易所披露了此次事件。阿尔肯实验室聘请了一家独立外部机构对此事件进行调查，并向相关当局提出投诉。该公司还强调，最近与网络安全解决方案提供商 Check Point 软件技术公司建立了合作伙伴关系，以加强对网络攻击的防御能力。

据台媒报道，富士康集团旗下半导体设备大厂京鼎遭黑客入侵，并被黑客勒索100万美元！据悉黑客在京鼎官网发布信息，表示如果京鼎不支付费用，客户数据将被公开，员工也会因而失去工作。京鼎精密针对黑客事件发布重大讯息指出，事件本身“目前初步评估对公司运作无重大影响”。京鼎精密的重讯声明证实，公司有「侦测到部份信息系统遭受黑客网络攻击，事发当下，信息部门已全面启动相关防御机制与复原作业，同时与外部资安公司技术专家协同处理。目前对所有网域(页)及相关档案做全面彻底的扫描检测，高标准确保信息安全后，即能以日常备份数据复原运作。」表示，公司后续仍将持续提升网络与信息基础架构之安全管控，以确保信息安全。

包括俄罗斯最大的科技和金融公司在内的大数据协会（BDA）向国家杜马代表提出一项澄清《刑法典》修正案文本的提案，该修正案将加重对数据泄露的处罚，甚至追究数据泄露者的刑事责任。违规者收集或存储非法获取的个人数据。《福布斯》报道了该协会2023年12月26日致国家杜马国家建设和立法委员会的信函。一群议员于2023年12月4日提出的修正案规定对个人数据泄露采取更严厉的处罚，包括刑事责任。根据拟议的修正案，建议对使用、转移、收集或存储非法获取的个人数据处以300,000至700,000卢布的罚款或4至5年监禁。如果发现有私利、重大损害、滥用职权或一群人实施的行为，罚款最高可达100万卢布，监禁最高可达6年）。对于将非法获得的数据转移到国外（这意味着从该国出口含有此类信息的电子介质）规定了特别严厉的措施 - 最高可达八年监禁和最高可达200万卢布的罚款。如果犯罪集团实施犯罪或导致严重后果，最高刑期可增至10年，罚款最高可达300万卢布。“严重后果”是指扰乱组织工作、散布个人信息，对个人和公民的生命、健康、财产、权利和合法利益造成损害，损害国防、国家安全、执法和其他利益。受联邦法律保护的价值观。”此外，国家杜马目前还在考虑修订《行政违法法》，规定对泄露个人数据的营业额罚款。DBA支持引入个人信息收集和存储责任的想法，但强调引入刑法的构成必须明确，责任必须由黑客和数据库销售者承担。还有必要排除对研究泄密或发布泄密资源的信息安全部门或专家机构的员工承担责任。数字发展部支持该法案。国家杜马信息政策委员会拒绝发表评论。国家杜马国家建设和立法委员会没有回应福布斯的要求。

1月17日消息，西班牙马略卡岛卡尔维亚市议会宣布，该市于上周各大系统遭受网络攻击，市议会被迫成立危机委员会，负责评估攻击造成的损害，并制定影响缓解计划。该市市长表示，一组IT专家正在进行取证分析，以估计未经授权访问的程度、恢复受影响的系统和服务。由于IT故障，市政府将指控、申请等所有行政服务的受理截止日期，推迟到2024年1月31日。如市民急需提交注册文件，仍可以通过西班牙国家综合行政门户网站办理业务。与此同时，市政府已向警方网络犯罪部门通报这一事件、提交初步取证分析信息，并提出了必要的投诉。

乌克兰总统泽连斯基访问瑞士达沃斯后，亲俄黑客组织声称发起了网络攻击，导致瑞士政府部分网站的访问暂时中断。瑞士政府的国家网络安全中心在其声明中强调，网络攻击已被及时发现，相关专家已经采取了必要行动，将尽快恢复对网站的访问。一些受攻击的目标网站包括：达沃斯-克洛斯特斯滑雪场网站、瑞士缆车网络服务供应商网站、瑞士内政部网站、雷蒂亚铁路网站。瑞士政府的国家网络安全中心的报告称，“这种攻击是可预见的，我们已经采取了适当的安全措施。”这些攻击并未影响到瑞士政府（www.admin.ch）的主要门户网站的可访问性。

在美国政府监管机构对政府与水务行业的合作提出批评后，三个联邦机构发布了水和卫生部门网络安全最佳实践指南。17日，环境保护局(EPA)与联邦调查局(FBI)以及网络安全和基础设施安全局(CISA)合作发布了一份手册，为水行业提供有关网络事件响应以及每个联邦机构的角色、资源和责任的更多信息。据CISA称，该指南是与数十家网络安全公司、行业组织、州政府和联邦机构共同制定的。它包括四个主要支柱，涵盖组织如何为网络攻击做好准备，包括如何检测和分析事件；如何遏制、消除攻击并从中恢复；以及事件发生后该怎么办。FBI网络部门助理主任Bryan Vorndran表示，他们网络战略的一个关键部分是“在关键基础设施的所有者和运营商受到攻击之前，与他们建立牢固的合作伙伴关系并共享威胁信息。”美国环保局水务助理署长拉迪卡·福克斯补充说，影响水务部门的网络威胁“对我们国家所依赖的安全饮用水和废水处理服务构成了真正而紧迫的风险”。