2024年第22周安全周报 | 本周安全要闻速览

近日，为继续推进我国网络安全国际标准化工作，鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出，网安标委秘书处现组织开展SC27国际标准提案（以下简称“提案”）征集工作，面向网络安全领域产学研用等相关单位征集提案，提案优先但不限人工智能安全、数据安全、个人信息保护、密码算法、物联网安全、关键信息基础设施安全、供应链安全等我国具有技术优势和丰富实践应用经验等领域，具体申报要求如下：（一）提案申报单位应在相关领域具有较强研究能力和丰富实践经验；（二）提案应有标准化相关基础，提案研究内容、范围和拟解决的问题清晰明确；（三）提案应具有通用性，并充分论证其技术成果与国内外同类技术比较的优势特点和推广价值，与现有该领域国际标准间的关系，以及提案提出后对国内外技术发展和行业带来的预期影响和效益；（四）提案标准文本内容应完整规范，具有一定成熟度。

5月27日消息，加拿大连锁药店伦敦药房已确认，勒索软件团伙窃取了一些包含员工信息的公司文件，并表示“不愿意也无力向这些网络罪犯支付赎金。”这家总部位于加拿大不列颠哥伦比亚省的企业在声明中称，4月28日的入侵事件是一场“由一帮组织严密的全球网络罪犯策划的攻击”，此前它将此称为一起“网络安全事件”。数字入侵迫使伦敦药房关闭位于不列颠哥伦比亚省、阿尔伯塔省、萨斯喀彻温省和曼尼托巴省的79家门店，直到5月7日。闭店期间，药房员工被迫在店外填写重要处方。声明继续表示：“正如先前所述，我们迄今为止没有发现任何病人或顾客数据库被泄露的迹象；我们的主要员工专有数据库似乎也没有遭到泄露。如果进一步调查发现泄露情况，我们将按照隐私法律要求，通知受影响者。”

近日，俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击负责，这次攻击导致该公司的服务中断数日。事件发生后，有一些自称「Head Mare」的俄语黑客声称对此次攻击负责，他们用勒索软件加密了该公司的服务器，并销毁了公司系统的备份副本。不过，该公司将此次服务中断归咎于「大规模技术故障」，该故障影响了其网站和移动应用程序的功能。CDEK 还暂停了包裹运输，以避免人工处理过程中出现错误。该公司表示：公司在恢复全面运营方面取得了重大进展，但遗憾的是，我们还没有做好恢复服务的准备。您的所有包裹都是安全的，我们正在尽一切必要的努力确保它们尽快到达您的手中。虽然 CDEK 公司并没有公开表示此次中断是因网络攻击而起，但据该公司内部的一位匿名人士透露给俄罗斯媒体 的消息称，这的确是一起勒索软件攻击事件。俄罗斯国家杜马信息政策委员会主席证实 CDEK 的中断是由网络攻击造成的。

欧盟近日发布了首部针对电力行业的《欧盟网络安全网络守则》，标志着在增强重要能源基础设施和服务网络弹性方面取得了重大进展。该守则是对《欧洲议会和理事会条例(EU)2019/943》的重要补充，旨在通过制定共同规则来进行网络安全风险评估、报告网络攻击、威胁和漏洞，并建立网络安全风险管理，为跨境电力流动提供统一的网络安全标准。守则应对国家电力系统日益增长的数字化和互联互通需求，确保系统的安全和可靠性。其开发是欧洲输电系统运营商网络(ENTSO-E)和欧洲配电系统运营商实体(DSO实体)的合作成果，得到了欧盟委员会、ACER和ENISA的支持。法规强调跨境合作的重要性，以提高透明度、信任和效率，并提出详细规则以降低供应链相关的网络安全风险。该守则还包含网络安全风险管理的结构化过程和跨境电力流动的预防和管理措施，旨在提升整个行业的网络安全水平并减少风险。

美国国防部已向管理和预算办公室(OMB)提交一项提案，根据《文书工作减少法案》评估承包商对网络安全要求的遵守情况。这项计划符合《2020 财年国防授权法案》第1648条的规定，旨在为国防工业基础(DIB)部门建立基于风险的网络安全框架。通过收集信息，国防部将评估供应链中的漏洞，并确保未完全实施NIST SP 800-171安全要求的承包商立即采取纠正措施。该要求已在国防联邦采购条例补充(DFARS)中实施，通过招标条款和合同条款强化承包商对NIST SP 800-171的遵守。计划的实施涉及每年对11,686名受访者进行评估，预计每份回复的平均负担时间为4.92小时。该条款要求承包商提供其设施、系统和人员的访问权限，以便进行必要的中级或高级评估。中级评估由项目管理办公室和国防合同管理局(DCMA)进行，高级评估则由DCMA进行或与其联合进行。NIST发布了最新的SP 800-171r3和SP 800-171Ar3，涵盖保护受控非机密信息(CUI)的最新安全要求和评估程序，提供了更清晰的指导和实施支持。

艾伦图灵研究所呼吁英国政府在即将于7月4日举行的全国大选前发布人工智能使用指南，以防止虚假和误导性信息的传播。研究人员警告，尽管人工智能对特定选举结果的直接影响有限，但其在竞选环境中的应用可能带来严重的二阶风险，如两极分化和对网络消息来源的信任破坏。报告建议政府发布指导意见，明确要求政党标记人工智能生成的内容，提供深度伪造检测工具列表，并建立实时存储库供选民识别。艾伦图灵研究所强调，随着选举临近，监管机构必须迅速行动，确保选举公正性，并帮助公众区分事实与虚构。此前，英国议会科学、创新和技术委员会已就人工智能发展提出警示，强调了人工智能系统的多项风险，并呼吁政府在必要时出台专门的人工智能法律。

俄罗斯国家杜马即将审议一项新法案，旨在对非法使用公民的图像、声音和生物识别数据的行为追究刑事责任。这项由劳工、社会政策和退伍军人事务委员会主席雅罗斯拉夫·尼洛夫发起的法案，将对深度伪造技术（包括数字面具）的使用建立更严格的惩罚措施。法案涉及俄罗斯联邦刑法中的“诽谤”、“盗窃”、“欺诈”、“勒索”和“造成财产损失”等条款。法案指出，随着计算机技术的发展，特别是现代软件、硬件系统、神经网络和人工智能的使用，基于图像和声音样本创建难以与现实区分的视频和音频材料变得可能。这导致了深度伪造技术被用于欺诈活动，需要加强法律监管。根据法案规定，非法使用深度伪造技术的肇事者将面临最高150万卢布的罚款或最高两年的其他收入罚款，或最高七年监禁。

网络安全和基础设施安全局（CISA）制定了2025年国家基础设施风险管理计划（国家计划），作为关键基础设施安全和弹性的国家协调员。该计划旨在利用联邦资源减轻国家层面的风险，特别是针对关键基础设施部门的威胁。CISA局长强调，新计划基于NSM-22的优先事项，将展示美国政府如何与合作伙伴共同识别和管理国家风险。NSM-22提出了新的风险管理周期，要求行业风险管理机构（SRMA）识别、评估并优先考虑风险，并制定应对计划。CISA将通过跨部门风险评估确定并排序系统性风险，并与联邦、州、地方以及私人和国际合作伙伴合作实施降低风险的措施。该计划认识到政府无法使所有关键基础设施免受所有威胁，而将侧重于根据行业风险评估和CISA的跨行业风险评估，使关键基础设施能够抵御优先风险。CISA还发布了《加密域名系统（DNS）实施指南》，以增强联邦民事行政部门机构IT网络的网络安全弹性，与零信任网络安全原则一致。