2024年第37周安全周报 | 本周安全要闻速览

密歇根州环境、大湖和能源部（EGLE）近日推出了一项针对饮用水和废水处理厂运营商的全面网络安全战略，以强化其网络安全准备和响应能力。EGLE与美国环境保护署（EPA）合作，提供资源帮助运营商审查内部流程和系统，应对线上线下威胁。EGLE还与密歇根州网络指挥中心（MC3）、密歇根州警察局和密歇根州技术、管理和预算部（DTMB）合作，提供安全意识培训、教育资源和在线技术指南库。运营商被要求制定包括网络安全最佳实践在内的应急响应计划，更改默认密码为复杂独特的16字符密码，实施多因素身份验证，应用最新安全补丁，持续监控网络流量和系统日志，以及教育员工防范网络钓鱼和社会工程攻击。此外，EGLE建议定期进行网络安全培训和聘请专家进行全面评估，以识别潜在漏洞。这一战略的推出，是在EPA发现超过70%的饮用水系统违反了《安全饮用水法案》基本要求的背景下进行的，旨在提高水务设施的网络安全防护水平。

欧洲委员会人权组织宣布，首个具有法律约束力的国际人工智能协议将于9月5日开放签署，参与国包括欧盟成员国、美国和英国。这份经过多年筹备的人工智能公约旨在应对人工智能可能带来的风险，同时促进负责任的创新。该公约由独立于欧盟的国际组织——欧洲委员会主导制定，于今年5月在57个国家的讨论中通过，主要关注保护受人工智能系统影响的人的人权。英国司法部长沙巴娜·马哈茂德强调，这一公约是确保新技术在不侵蚀人权和法治等核心价值观的前提下得以利用的重要一步。签署国可以选择采取立法、行政或其他措施来实施条款。值得注意的是，这份人工智能公约与上个月生效的欧盟人工智能法案有所不同。欧盟的法案对人工智能系统在欧盟内部市场的开发、部署和使用进行了全面规定，而此次的国际公约更侧重于人权保护。这份国际人工智能协议的签署标志着全球在人工智能治理方面迈出了重要一步，但其实际效果还有待观察。

印度尼西亚政府计划建立一个专门负责网络防御的第四军种。总统佐科·维多多下令启动该计划，国家武装部队指挥官阿古斯·苏比扬托将军在与众议院的一次会议中确认了这一消息。新军种将补充现有的高度依赖人力资源的网络单位。新网络安全机构的框架将涉及整合每个军种的中心以及所有主要武装部队总部。招募对象将包括平民，主要来自高中毕业生和大学毕业生。这一举措是在2024年7月印度尼西亚遭受最大规模网络攻击后，政府官员和网络安全专家评估后做出的，目的是使印尼的防御资产适应不断演变的“网络战争”，进一步保护国家经济。此前，印尼与美国国防部签署了一项双边国防协议，以提高该国在网络领域的竞争力。该合作伙伴关系允许进行与网络空间相关的持续能力提升项目，并探索未来工具和目标的额外应用。

美国商务部工业与安全局宣布实施新的出口管制措施，以保护国家安全和外交政策利益。根据新发布的临时最终规则，量子计算产品、先进半导体制造设备、栅极全场效应晶体管技术以及增材制造产品等关键和新兴技术将受到全球出口管制。这些措施旨在防止这些技术被美国对手用于军事目的，威胁美国及其盟友的安全。美国商务部强调，这些控制措施是在与国际合作伙伴达成广泛技术协议的基础上实施的。此外，为了促进与合作伙伴的技术合作，局方在规则中设立了例外情况，允许在无需出口许可证的情况下向特定国家出口和再出口相关产品。目前，符合条件的目的地包括意大利、英国、澳大利亚和法国等已实施同等技术管制的国家。

澳洲工业、科学和资源部（DISR）发布了自愿性AI安全标准。DISR强调，该标准为组织建立了一套统一的实践，以确保安全和负责任地开发和部署人工智能。该标准为政府考虑强制性护栏选项时的未来立法设定了预期，它还为组织提供了AI治理和道德实践的最佳范本，从而为他们提供了竞争优势。数据显示，采用AI和自动化预计将为澳大利亚带来1700亿至6000亿美元的GDP。首个自愿性AI安全标准将为澳大利亚提高AI的安全性、质量和可靠性带来长期利益。它将支持更广泛地使用AI产品和服务、增加市场竞争和技术创新机会。一个坚实的监管框架对确保澳大利亚为AI带来的转型做好准备至关重要，这可以通过紧急引入拟议的强制性护栏来实现。该标准由10个自愿性护栏组成，适用于整个AI供应链中的所有组织。还包含了实例，以演示组织如何在不同的AI使用案例中应用防护机制。

南欧国家马耳他总理Robert Abela宣布，计划对现有法律进行更新，以保护并规范“白帽”道德黑客的行为。马耳他数字创新局已经起草了相关的法规草案。内阁将于9月10日进行讨论，若获通过，将公开征求公众意见。Abela表示，这些新法规将明确界定道德黑客的行为标准，确保此类行为不会演变为“随心所欲的行为”。同时，法规还将明确白帽黑客在发现漏洞后可以要求并获得的奖励标准。