2024年第39周安全周报 | 本周安全要闻速览
● 中证协发布《证券公司网络安全事件舆情处置示范案例》
近日,为引导行业机构提升网络安全事件舆情处置能力,中国证券业协会向券商下发了《证券公司网络安全事件舆情处置示范案例》(简称《示范案例》),总结网络安全事件实践案例,提出应对建议和最佳实践,供行业内部参考借鉴。据了解,《示范案例》旨在聚焦网络安全事件、舆情的日常监控、监管报告流程、舆情处置流程、公众应对措施等主要环节突出重点。同时注重舆情应对的覆盖性和可操作性,以指导证券公司如何及时发现报告处置类似事件,保持事态的良性发展,减少事件对业务运营和市场的影响。网络安全事件舆情分级方面,《示范案例》通过设立网络安全事件舆情等级判定指标,包括网络安全事件等级指标、舆情影响范围指标、舆情传播指标、舆情态势指标等四项具体指标,综合研判网络安全事件严重程度并就以上四项指标赋分,最终判定网络安全事件舆情级别为轻度、中度、严重、特别严重等四项网络安全事件舆情级别。
来源:澎湃新闻
● 美国商务部拟借口“国家安全”禁用我国网联汽车软硬件系统
美国商务部工业安全局(BIS)近日发布一项拟议规则,旨在禁止在网联汽车中使用来自我国生产的硬件和软件组件系统。这一举措主要针对车辆连接系统(VCS)和自动驾驶系统(ADS),其宣称是为了保护美国国家安全和驾驶员安全,防范网络威胁。VCS是使车辆能与外部通信的硬件和软件系统,包括远程信息处理控制单元、蓝牙、蜂窝、卫星和Wi-Fi模块。ADS则是允许高度自主车辆无人驾驶的软件系统。如果该规则通过,将禁止进口和销售在VCS或ADS中整合了我国制造组件的车辆。此外,与我国有关联的制造商将被禁止在美国销售包含VCS硬件或软件或ADS软件的连接车辆,即使车辆是在美国制造的。该禁令计划分阶段实施:软件禁令将于2027车型年生效,硬件禁令将于2030车型年或2029年1月1日起(对于没有车型年的单元)开始生效。目前,BIS正在对这一拟议规则征求公众意见。
来源:安全牛
● 优化网络事件报告流程,美国CISA启用新的安全事件报告平台
美国网络安全和基础设施安全局(CISA)近日宣布推出新的服务门户网站,旨在优化网络事件报告流程,提高网络安全防护能力。这一举措是CISA持续改进网络事件报告工作的重要一环。新门户网站具有多项先进功能:支持login.gov凭据集成,允许用户保存和更新报告,支持与同事或客户共享提交的报告,并提供搜索和筛选报告的功能。此外,该平台还设有协作功能,使用户能够与CISA进行非正式交流。此外,CISA还与国家安全局(NSA)、联邦调查局等机构联合发布了新的事件记录和威胁检测最佳实践指南。该指南建议网络安全服务提供者优先进行常规系统更新,修复已知漏洞,对网络进行分段以防止恶意活动扩散,并为所有面向外部的账户服务启用多因素身份验证。指南还强调了有效事件记录解决方案的重要性,建议组织制定企业批准的事件记录政策,包括要记录的事件详情、使用的事件记录设施、监控方法以及定期评估日志收集的必要性。
来源:Renal+Urology NEWS
● 俄亥俄州网络安全标准不一导致城市易受网络攻击
由于俄亥俄州实行地方自治制度,缺乏统一的网络安全标准,导致城市容易受到网络犯罪分子的攻击。俄亥俄州网络安全战略顾问Kirk Herath指出,这种自治制度导致无法统一管理网络安全措施。例如,克利夫兰在遭受勒索软件攻击后立即向俄亥俄州网络储备局寻求帮助,而哥伦布市则在一个月后遭受类似攻击时延迟三周才响应州政府的帮助。此外,代顿郊区Huber Heights在去年11月遭受网络攻击,泄露了近6000名居民的个人信息,凸显了分散的网络安全措施可能带来的后果。尽管俄亥俄州正在采取培训和风险评估等主动措施加强网络安全,但改善网络安全的资金和资源仍然是一个重大挑战。
来源:The Cyber Express
● 联合国发布人工智能治理报告,提出全球治理框架
联合国秘书长人工智能高级咨询机构(HLAB-AI)发布了一份名为“为人类治理人工智能”的报告,提出了全球人工智能治理机制。报告指出,目前只有7个联合国成员国参与重要的人工智能治理计划,缺乏全球统一框架,导致人工智能的利益和风险分配不均。为弥补治理缺口,报告提出了七项核心建议:建立国际科学小组、启动政策对话、创建标准交易所、发展全球网络、建立全球基金、实施数据框架、在联合国设立人工智能办公室。这些建议旨在确保人工智能的全球合作和公平发展,同时解决其风险。报告强调了采取紧急行动的必要性,以建立一个服务于全人类的治理框架。
来源:Information Security Buzz
● 加州州长否决加强网络隐私保护法案
加利福尼亚州州长加文·纽瑟姆否决了一项旨在加强用户网络隐私保护的法案。该法案要求网络浏览器和移动操作系统简化用户控制个人信息在不同网站间使用和共享的流程,并实施名为“选择退出偏好信号”(OOPS)的在线保护工具。纽瑟姆认为,目前没有主流移动操作系统包含OOPS功能,且此类问题应由开发商而非监管机构解决。尽管如此,他指出大多数浏览器已提供退出追踪功能或隐私保护插件。该法案的否决意味着加州未能进一步加强其已严格的隐私规则,也反映了谷歌、微软和苹果等大型科技公司的游说成功,它们担心法案会影响其基于用户追踪的商业模式。
来源:Security Lab
● 欧盟发布《数据治理法案》指导文件,含非个人数据跨境与收费利用原则解读
9月24日,欧盟委员会发布了一份关于实施《数据治理法案》(Data Governance Act, DGA)(欧盟第2022/868号条例)的指导文件。作为欧盟数据战略的重要组成部分,DGA于2022年4月6日通过,旨在促进数据共享和再利用,增强欧盟在数字经济中的竞争力。文件按照DGA的结构分为九个章节,涵盖了以下内容:1. 公共部门特定类别受保护数据的再利用、2. 数据中介服务提供商的要求、3. 数据利他主义、4. 主管机构和程序规定、5. 欧洲数据创新委员会、6. 国际访问和转移、7. 授权和委员会程序、8. 最终条款。明确指出:DGA的适用范围包括个人数据和非个人数据。对于个人数据,《通用数据保护条例》(General Data Protection Regulation, GDPR)和《电子隐私条例》将同时适用。《指导文件》重申,DGA不会修改GDPR,也不涉及GDPR中监管机构的作用。如果DGA的规定与GDPR或《电子隐私条例》之间存在任何法律冲突,应以后者为准。
来源:安全内参
● 美国国会大厦数据泄露事件及MoneyGram勒索软件攻击
美国国会大厦发生了一起严重的数据泄露事件,涉及3000多名国会工作人员的电子邮件账户被未经授权访问,被盗信息已在暗网出售。调查显示,约1800名国会工作人员的密码被窃取,可能导致敏感政治数据的大规模泄露。网络安全公司Proton发现,许多工作人员使用官方邮箱进行个人活动,增加了数据泄露的风险。此外,MoneyGram公司也遭受了网络攻击,疑似勒索软件攻击导致其IT系统严重中断。攻击者可能要求支付赎金以解锁加密数据库,公司IT团队正与专家合作恢复运营。这两起事件凸显了网络安全的重要性和迫切性。
来源:Cybersecurity-insiders
● 新法案加强医疗行业网络安全标准
一项由俄勒冈州参议员罗恩·怀登和弗吉尼亚州参议员马克·沃纳共同发起的新法案提议,赋予美国卫生与公众服务部(HHS)制定医疗行业网络安全最低标准的权力。法案特别关注对国家安全至关重要的医疗设施,并要求对这些机构进行年度网络安全审计。该法案还提议为医院提供13亿美元的拨款用于改善网络安全,取消大公司罚款上限,并允许HHS在网络攻击期间加速支付医疗保险。法案是在Change Healthcare遭受勒索软件攻击、导致美国医疗体系大规模中断后提出。该攻击影响了三分之一的美国人,并引发了处方延迟和诊所资金短缺等问题。黑客利用未受多因素认证保护的服务器入侵了系统。参议员沃纳表示,该法案旨在推动医疗机构从自愿标准转向强制性网络安全措施,保障患者安全。
来源:Nextgov
● 全球汇款巨头遭网络攻击,支付服务中断约5天
近日消息,美国汇款巨头速汇金(MoneyGram)日前确认,自上周五以来,该公司一直在处理系统故障和客户因服务缺失的投诉,是因为遭受了网络攻击。尽管外界早有猜测认为速汇金遭遇了网络攻击,但直到9月23日早晨,该公司才正式证实,一次网络安全事件是这次系统故障的根本原因。公告中指出:“速汇金近期发现了一个影响我们部分系统的网络安全问题。我们在发现问题后,立即展开调查,并采取了保护措施应对此次事件,其中包括主动下线部分系统,这对网络连接产生了影响。”速汇金在解释中表示:“我们深知此事件对我们的客户和合作伙伴的重要性与紧迫性。我们正全力恢复系统上线,并努力使业务回归正常运作。”9月25日下午,公司在X平台上称,许多代理合作伙伴的汇款和收款服务已经恢复,待处理的交易正在陆续完成,公司将继续恢复剩余的其他服务,包括官方网站。
来源:BLEEPINGCOMPUTER
