2024年第12周安全周报 | 本周安全要闻速览

3月20日，全国信息技术标准化技术委员会发布9项“安全可靠行业标准”的征求意见稿。这是继2023年7月28日《安全可靠测评工作指南》、2023年12月26日《安全可靠测评结果公告（2023年第1号）》、财政部会同工业和信息化部7项基础软硬件政府采购需求标准、2024年3月11日中央政府采购网要求乡镇及以上单位采购台式机/便携式需符合信创标准之后的又一个事关信创产品优化升级乃至信创产业规范化、标准化发展的大动作！此次发布的9项标准与财政部7项基础软硬件采购标准一脉相承，均要求CPU、OS通过安全可靠测评。

法国政府负责登记和协助失业者的法国劳动局（France Travail）成为大规模数据泄露事件的最新受害者，高达4300万公民的信息遭到窃取。法国劳动局近期，已向法国数据保护监管机构（CNIL）报告这起事件，其导致大量个人信息被暴露，被泄信息的时间跨度长达20年。该部门发表声明，泄露的信息包括姓名、出生日期、社会保障号码、法国劳动局标识符、电子邮件地址、邮政地址和电话号码。目前尚未发现用户密码和银行支付信息受到影响。尽管如此，CNIL警告称，在此次事件中窃取的数据可能与其他入侵事件中被窃数据相关联，可以用来构建关于任何具体个人的更大信息库。声明表示：“被非法提取的数据库包含大量个人身份数据，包括当前注册用户、过去20年内曾经注册过的用户，以及未在求职者名单上但在法国劳动局官网（francetravail.fr）拥有候选人空间的用户。”因此，可能有4300万人的个人数据已被外泄。

澳大利亚网络和基础设施安全中心(CISC)18日推出了增强型自我评估工具，即组织弹性健康检查工具。该工具是根据现代组织弹性方法论设计的，旨在增强组织针对各种威胁的弹性。用户可以使用此工具根据13个弹性指标评估和评级其组织。此外，该机构还推出了更新的“组织弹性：良好实践指南”，以补充更新的健康检查工具的使用，为用户提供使用现实世界示例的当代指南。该指南介绍了组织弹性成熟度框架。这是联合国组织复原力成熟度模型的修改版本，该模型具有从发展到生成的四个组织成熟度级别。组织复原力之旅的四个阶段包括发展、建立、推进和生成。

传统上，SCADA系统一直是云的对立面：高度本地化、气隙和单一。英国国家网络安全中心表示，但现在不再了。该网络安全机构18日表示：“在与行业接触过程中，NCSC注意到人们对将云用于工业应用的态度发生了明显转变。”该机构表示，云托管的SCADA为OT组织带来了机遇和挑战。虽然云平台提供的灵活性和可扩展性可以增强弹性并支持新技术的采用，但NCSC警告称，向云的转变从根本上改变了传统的管理和安全边界，因此需要仔细考虑连接模型和访问控制机制。NCSC表示，网络安全应该是一个主要考虑因素，并敦促组织审查其云安全指南。云SCADA指南还解决了有关数据敏感性的问题，并强调实施适当安全控制的重要性，包括静态和传输数据的加密措施。NCSC建议OT组织与云服务提供商和SCADA供应商密切合作，以确保有效满足安全需求。组织准备情况是该指南的重点，NCSC强调了评估支持向云迁移所需的技能、政策和流程的可用性的重要性。该指南建议OT组织投资建设内部专业知识，或考虑聘请具有云特定技能的托管服务提供商来支持其迁移策略。

白宫高级官员敦促联合健康集团在从网络攻击中恢复后为其客户提供详细的第三方网络安全评估。针对UnitedHealth子公司 Change Healthcare的勒索软件攻击引发了多年来最大的医疗危机之一。这次攻击切断了医疗服务提供者和保险公司之间的关键联系，导致药剂师在数周内忙于促进急需药物的分发，而医疗机构则难以获得护理报销。18日，拜登政府高级官员（包括美国卫生与公众服务部（HHS）部长泽维尔·贝塞拉和白宫副国家安全顾问安妮·纽伯格）与公司高管、保险公司和医疗保健提供者举行了第二次会议，讨论这一情况。根据会议记录，纽伯格“指出了国内医疗保健生态系统的相互关联性以及加强整个行业网络安全弹性的紧迫性。联合健康保险18日发布了自己的声明，解释说，未来几天，它将开始向数千名客户发布医疗索赔准备软件，作为恢复服务的重要一步。

美国环境保护署（EPA）表示，计划成立一个新的工作组，旨在帮助水务部门应对来自伊朗等国家日益增多的网络攻击。美国环保署于21日与各州环境、卫生和国土安全部长举行会议，讨论“保护水务部门关键基础设施免受网络威胁的迫切需要”。作为会议的一部分，美国环保署表示，计划成立一个“水部门网络安全工作组”，确定“降低全国水系统遭受网络攻击的风险的近期行动和战略”。美国环保署表示，该工作组将在现有行业合作的基础上，重点关注供水系统普遍存在的网络攻击漏洞，以及一些系统在采用最佳实践时遇到的挑战。国家安全顾问杰克·沙利文表示：工作组将确定供水系统面临网络攻击的最重大漏洞、供水系统在采用网络安全最佳实践方面面临的挑战，以及降低全国供水系统遭受网络攻击的风险的近期行动和长期战略。水务行业官员和共和党立法者目前正在制定一项计划，该计划将使该行业在美国环保局的“指导”下进行有效的自我监管。

据美国“动力”网站“战区”栏目17日报道，英国表示，英国国防大臣格兰特·沙普斯乘坐的皇家空军达索900LX公务机最近在俄罗斯的加里宁格勒附近飞行时GPS导航系统遭干扰，持续大约30分钟。目前尚不清楚英国空军飞机是否是专门的预定目标，或者它是否恰好经过了一个广泛的GPS干扰行动集中的区域。中国专家认为，欧洲部分地区卫星导航定位系统遭干扰是俄乌冲突外溢风险之一，也再次凸显导航战在现代战争中的作用。

美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心近期发布了更新的联合指南，涵盖组织面临的具体需求和挑战防御DDoS攻击。该文档题为“理解和响应分布式拒绝服务攻击”，为关键基础设施组织提供了对三种不同类型的DDoS（分布式拒绝服务）技术的详细见解，包括旨在消耗可用带宽的流量攻击；利用网络协议中的漏洞进行协议攻击；针对特定应用程序或正在运行的服务中的漏洞的应用程序攻击。指南概述了拒绝服务(DoS)和DDoS情况，包括攻击类型、动机和对政府运营的潜在影响，以及实施预防措施的实际步骤以及针对每种定义的事件响应DDoS和DoS技术类型。

联合国投票通过了一项关于如何安全管理和减轻人工智能技术带来的风险的历史性决议，这是美国政府为建立人工智能使用国际共识而牵头的长达数月谈判努力的一部分。拜登政府官员在周三的新闻发布会上证实，这项题为“抓住安全、可靠和值得信赖的人工智能系统促进可持续发展的机会”的决议反映了乔·拜登总统2023年10月关于人工智能的行政命令，该命令优先考虑以人为中心和人工智能软件开发和部署的权利驱动方法。它建立了一套全球规范，概述了如何在保护人权的同时最好地采用人工智能。除了对公开部署的复杂人工智能软件采取缓解措施外，该决议还特别希望利用该技术的能力来推进可持续发展、经济赋权、健康和能源解决方案等领域的发展。至关重要的是，该决议中的条款优先考虑了具有文化包容性的人工智能监管协议的多样化方法。