2024年第19周安全周报 | 本周安全要闻速览
● 我国首份自贸区数据出境管理负面清单发布
为促进中国(天津)自由贸易试验区(以下简称“天津自贸试验区”)企业数据依法有序跨境流动,推进高水平对外开放,更好服务加快构建新发展格局,天津自贸试验区管委会、天津市商务局日前联合发布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》(以下简称《负面清单》),这是国家互联网信息办公室《促进和规范数据跨境流动规定》实施以来,首个经省级网络安全和信息化委员会批准并报国家网信部门、国家数据管理部门备案的自贸试验区数据出境管理负面清单。《负面清单》列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。天津自贸试验区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。涉及国家秘密的数据、核心数据、政务数据不纳入《负面清单》管理,相关数据出境按照有关法律、法规和规定执行。
来源:天津政务网
● 新加坡批准《网络安全法》修正案,以保护关键基础设施
近日,新加坡国会批准了《网络安全法》修正案,该法案旨在加强国家不断发展的关键基础设施的防御能力,并适应技术进步,要求关键信息基础设施(CII)的所有者报告更广泛的事件,包括在其供应链中发生的事件。新加坡通信与信息部高级国务部长 Janil Puthucheary 表示,当务之急是应对恶意网络行为者不断变化的策略,他强调,需要将警惕范围扩大到外围系统和供应链。
来源:THE CYBER EXPRESS
● 美国政府正式发布新的国际网络空间和数字政策战略
美国务院5月6日正式发布《美国国际网络空间和数字政策战略:迈向创新、安全和尊重权利的数字未来》。该战略重点提出名为“数字团结”的概念,即“愿意为共同目标而共同努力、站在一起、帮助合作伙伴建设能力并提供相互支持”,而该战略提出的行动和努力旨在展示并与全球合作伙伴建立“数字团结”。该战略提出,“数字团结”认识到,在共同努力塑造国际环境并在技术前沿进行创新时,所有以尊重权利的方式使用数字技术的人都会更加安全、有弹性、自决和繁荣;“数字团结”原则的核心是努力支持盟友和合作伙伴,特别是新兴经济体,充分抓住新技术带来的机遇,可持续地追求其经济和发展目标;“数字团结”通过兼容的技术治理方法使美国国家利益与国际合作伙伴的利益保持一致,与民间社会和私营部门保持牢固的伙伴关系,并追求基于可信技术供应商提供的多样化产品和服务的网络安全弹性;“数字团结”强调了美国及其合作伙伴相互提供的支持,以打击和应对恶意网络操作、网络犯罪和其他数字危害,并促进国家和公民行为者间为捍卫和促进人权而进行的合作努力;“数字团结”的概念依赖于建设数字和网络能力的努力,以便合作伙伴不仅能够更好地长期建立防御性和弹性的数字生态系统,而且当发生威胁安全和权利的事件时,也能够迅速做出反应并恢复。
来源:奇安网情局
● 白宫正在与业界谈判建立软件责任法律框架
拜登政府最近开始与软件开发商进行讨论,努力制定框架,合法地激励私营部门采取措施制造和发布不包含可利用缺陷的软件。国家网络主任办公室负责网络政策和项目的助理主任表示白宫于3月份开始向软件制造商进行外展活动,征求他们的意见,了解如何最好地制定法律这些条款将软件责任从客户身上转移到制造商身上。相关讨论将在今年晚些时候扩展到使用软件的关键基础设施运营商。法律专家认为,软件市场并没有激励安全开发,主要制造商在合同中写入条款,让用户在安装时“按原样”接受软件,这使客户能够承担产品的全部风险,包括以下缺陷:可以实现网络利用。安全软件激励措施的支持者将其与食品安全或汽车标准进行了比较,认为软件构建的法律指令将使全社会受益。软件责任是拜登政府去年发布的国家网络战略的重要组成部分,该战略概述了旨在支撑美国网络态势的近70个目标。
来源:NEXTGOV FCW
● 堪萨斯州威奇托政府在勒索软件事件后关闭系统
堪萨斯州威奇托市的政府在一份警报中表示,其多个系统被恶意软件加密,迫使官员断开并关闭一些系统,以防止病毒传播。居民应该预料到在线服务会中断,但该市没有具体说明哪些服务将受到影响或持续多久。官员们指出,急救人员已“在适当的情况下采取业务连续性措施,以继续提供卓越的服务。”该市表示,关闭服务的决定不是轻易做出的,但有必要确保系统在恢复服务之前经过安全审查。市政府正在酌情采取业务连续性措施,以尽量减少干扰,并与第三方专家合作,安全可靠地恢复计算机网络。联邦执法机构和地方部门都参与了对这一事件的响应。
来源:The Record
● 美国政府更新国家网络安全战略实施计划
美国政府5月7日发布了更新后的国家网络安全战略实施计划(NCSIP)第2版,概述了100项旨在增强数字安全和系统弹性的高影响力举措。这些举措以之前的NCSIP为基础,并与国家网络安全战略的目标保持一致。该路线图反映了《2024年国家网络安全态势报告》中确定的挑战和机遇。总统国家网络安全战略概述的五个支柱均包含新举措,该战略旨在围绕五个支柱建立和加强合作——保卫关键基础设施、扰乱和摧毁威胁行为者、塑造市场力量以推动安全和弹性、投资打造富有弹性的未来,并建立国际伙伴关系以追求共同目标。这些举措包括协调网络法规、倡导创建“设计安全和默认安全”技术、在关键基础设施部门制定网络安全要求以及打击勒索软件犯罪分子。
来源:网空闲话plus
● 美国主要医疗健康系统遭网络攻击,导致临床服务中断
美国最大的天主教医疗卫生系统之一Ascension在昨天检测到网络攻击,目前正在处理临床运营中断情况。该组织发布通知称,发现网络系统异常活动后,立即聘请了Mandiant公司展开调查,并在不久之后通知了执法部门。并声明:“随着事态发展,部分系统访问已中断。我们的护理团队接受过此类中断的培训,并已启动程序以确保患者护理服务安全,并尽可能降低事件影响。”该组织指出,仍在评估事件影响以及中断可能持续的时间。声明补充道,该组织正在努力确认是否有数据被攻击者窃取。Ascension敦促业务伙伴暂时中断与其技术环境的连接,等待后续通知。该组织声明:“我们会在合适时通知伙伴们重新连接到我们的环境。事件正在持续发展,我们将在了解更多信息后提供更新。”
来源:The Record
● 美国CISA:近70家软件公司同意“设计安全”承诺
美国最高网络安全机构表示,全球68家领先的软件制造商已签署自愿承诺,承诺设计从一开始就内置安全性的产品。网络安全和基础设施安全局(CISA)在8日的RSA会议上宣布了第一轮承诺。伊斯特利在会议上发表讲话时表示,政府和私营部门对美国公众有责任更好地保护支撑社会的工具。我们可以通过根本上更安全的软件共同实现长期安全。”该承诺称,在一年内,所有相关公司将:增加跨产品多因素身份验证的使用。减少产品中默认密码的使用。减少整类漏洞的发生率。努力增加客户的补丁安装。发布漏洞披露政策。对常见漏洞和暴露 (CVE) 更加透明和及时。提高客户“收集影响制造商产品的网络安全入侵证据的能力”。签约方包括微软、谷歌、亚马逊网络服务、思科、GitHub、IBM、惠普、Okta、Ivanti、Netgear等。伊斯特利表示,自愿承诺是她最重要的优先事项之一,因为她相信这是“促进更安全的关键基础设施的唯一途径”,也是“使勒索软件成为令人震惊的异常现象”的唯一途径。她说,人们所依赖的技术必须“构建、测试、设计、部署和交付,以保证安全”。她补充道,“安全性必须高于其他一切,高于炫酷的功能和上市速度。”她呼吁更多的软件制造商做出承诺,确保他们的产品“开箱即用”。
来源:The Record
● 加拿大一省的网络受到“复杂的网络安全事件”的打击
加拿大最西部的省份不列颠哥伦比亚省表示,已发现涉及政府网络的“复杂网络安全事件”。该省省长在一份声明中强调,目前没有证据表明敏感信息已被泄露。他周三晚间表示,调查仍在进行中,需要开展更多工作“以确定哪些信息可能已被访问”。尽管此次攻击的具体性质尚未明确,但将其描述为“复杂”,并宣布其涉及政府网络,这与国家资助的行为者寻求政治情报的间谍活动相一致。省长说:“我知道公众会对这些事件有很多疑问,我们将在不影响调查的情况下尽可能保持透明。”省政府的调查包括加拿大网络安全中心和其他机构,并已通知信息和隐私专员办公室。“随着这项复杂工作的进展,政府将尽我们所能向不列颠哥伦比亚省人民提供最新情况和信息,”。
来源:The Record
