2024年第26周安全周报 | 本周安全要闻速览

全国网络安全标准化技术委员会发布了国家标准《数据安全技术 数据安全和个人信息保护社会责任指南》征求意见稿，为组织理解数据安全和个人信息保护社会责任以及实施相关活动提供指南，适用于处理数据的组织，还适用于评价数据处理组织履行数据安全和个人信息保护社会责任程度的第三方机构。并提出了组织治理，合规性、创新性和价值体现，公平运行、竞争与合作，用户权益保护，公益参与和社会发展等五大主题。所有主题相互关联且相互补充，但由于有效的组织治理可确保组织能够针对其他主题和议题采取行动，因此，组织治理是所有主题的中心。同时，社会责任披露是对组织社会责任履行情况进行社会监督的通行做法和有效手段，也能帮助组织提升声誉、获得更大范围认可。

全国网络安全标准化技术委员会发布了国家标准《网络安全技术 关键信息基础设施安全保护能力指标体系》征求意见稿，规定了关键信息基础设施安全保护能力指标体系，包括基本保护级、强化保护级、战略保护级的安全保护能力指标，适用于指导关键信息基础设施运营者对关键信息基础设施安全保护能力的建设,也可为保护工作部门、国家监管部门以及第三方评估机构等提供参考。还对关键信息基础设施安全保护能力分为 3 级，由低到高分别为：基本保护级、强化保护级、战略保护级。基本保护级侧重于满足相关法律法规要求，系统能够常态化安全稳定运行；强化保护级侧重于关键信息基础设施运营者与保护工作部门形成安全防御共同体，保障业务稳定运行，形成综合防御和协同防御的能力；战略保护级侧重于关键信息基础设施运营者、保护工作部门和国家层面三级协同，保障极限情况下关键业务最小化运行。

为促进车外数据安全的收集与使用，指导汽车数据安全相关单位探索便捷的停止收集车外数据方法，全国网络安全标准化技术委员会组织编制了《网络安全标准实践指南— 一键停止收集车外数据指引（征求意见稿）》，给出了在装有车载摄像头、雷达等传感器的汽车上设置一键停止收集车外数据功能的指引，适用于汽车制造企业以及相关零部件或服务提供商设计、开发、制造具有车外数据收集功能的汽车，不适用于主驾无人的高级别自动驾驶汽车。明确提出停止收集车外数据流程，通过设定按键便捷地使车外数据收集装置处于关闭状态，一键停止收集车外数据功能通过关闭各类车载摄像头、雷达等传感器，实现停止收集车外数据的管控。还对汽车的摄像头和雷达做出了严格要求，提出汽车处于停止收集车外数据状态时，应使所有收集车外数据的摄像头处于关闭状态，并提出汽车处于停止收集车外数据状态时，应使所有雷达处于关闭状态，但不能精确进行障碍物形状分析且不能精确测距的雷达可以不关闭。

印度尼西亚通信部长24日向路透社透露，一名网络攻击者入侵了该国国家数据中心，并勒索800万美元赎金。攻击干扰了多项政府服务。机场受到的影响最为显著，出入境柜台排起了长队。印尼通信部表示，数字取证调查正在进行中，自助签注机目前正在运行。据当地媒体消息，至少有210家中央和地方政府机构受到此次网络攻击波及。

美国联邦调查局(FBI)和卫生与公众服务部(HHS)发布了一份联合网络安全咨询，针对医疗保健行业面临的社会工程威胁分享了攻击指标和相关策略、技术和程序。警告指出，医疗组织由于规模大、技术依赖度高、能访问个人健康信息，且患者护理中断会造成严重后果，成为黑客的主要目标。自2023年8月以来，黑客使用VoIP号码进行鱼叉式网络钓鱼，获取医疗保健网络的登录凭据。攻击者利用社交工程或网络钓鱼技术获取凭证，进而访问网络，并通过电话确认身份，使用落地攻击技术(LOTL)进行隐蔽的恶意网络攻击，修改ACH付款路径，将资金转移到威胁者控制的账户。FBI-HHS的公告建议各组织采取多因素身份验证(MFA)、审计远程访问工具、培训IT帮助台员工等措施，以提高网络安全防护。

加州隐私保护局（CPPA）与法国国家信息与自由委员会（CNIL）签署了合作协议，旨在加强数据隐私保护方面的国际合作。根据协议，双方将共同开展与新技术和数据保护相关的研究，分享最佳实践，并定期举行会议。CPPA强调隐私权是全球经济的商业现实，通过国际合作可以推进执法重点。此外，CPPA还与亚太隐私机构（APPA）、全球隐私大会和全球隐私执法网络（GPEN）等国际组织合作。CNIL主席表示，期待在共同研究项目上展开合作，交流良好做法或分享经验，以应对全球数据流通的挑战。

6月25日，美国国防部发布《支点：美国防部信息技术推进战略》，旨在利用技术力量推动变革并催化作战人员数字化现代化，为更好地协调信息技术运用以推进美国防部优先事项提供路线图。该战略提出概述了由四条努力方向指导的愿景，以确保美国防部能够继续为国家的作战人员及其支持人员提供联系、保护并执行任务。美国防部副部长表示：该战略提供了一份路线图，以便更好地协调信息技术使用，以推进国防事务中的优先事项。为了获胜，军队需要能够适应动态作战环境和现代战场复杂需求的信息技术，并提供功能性、快速和安全支持的技术。该战略提出了四方面的重点发展方向，对于满足美国的国家安全需求至关重要。

美国众议院近日提出一项跨党派法案名为《关键基础设施应急计划法案》，由得州共和党国会议员、众议院常设情报委员会成员Dan Crenshaw以及众议院国土安全委员会成员Seth Magaziner共同提出。法案要求政府向国会议员提供一份公开报告，评估网络攻击期间关键基础设施的手动操作。随着来自俄罗斯、伊朗和朝鲜等敌对国家以及国家关联团体的威胁不断增加，网络攻击对电网、水务系统和管道等关键基础设施的潜在破坏性日益增强，这一措施的紧迫性也随之增加。这些网络对手严重威胁到美国的国家安全和经济安全。法案已被送交国土安全委员会，并额外送交交通和基础设施委员会。议长将根据相关委员会的管辖范围确定的时间内进行审议。

俄罗斯数字发展部正在制定针对具有社会重要意义的设施（SSO）的网络和IT基础设施的统一标准。这一举措旨在规范教育机构、急救站、政府机构等关键场所的电信系统建设。6月18日，成立了一个工作组，包括电信运营商在内，负责为新建、改建和维修的NWO电信系统设计提出建议。自2019年至2022年，作为联邦信息基础设施项目的一部分，电信运营商已将SZO连接到宽带互联网，项目预算达1020亿卢布。Rostelecom通常是赢家，但也存在ER-Telecom和MTS等公司在某些地区实施项目的情况。目前，对于SZO的电信建设尚无统一规则，而新草案将规定至少安装两台自供电摄像头和每两个房间至少一个Wi-Fi接入点。所有安装的设备必须是国产的，除非没有国外产品的替代品。