2024年第48周安全周报 | 本周安全要闻速览

日前，公安部会同国家发展和改革委员会、工业和信息化部、中国人民银行联合印发了《电信网络诈骗及其关联违法犯罪联合惩戒办法》，将于2024年12月1日起正式施行。《惩戒办法》是保障《反电信网络诈骗法》贯彻实施的重要配套文件，也是在《反电信网络诈骗法》颁布实施2周年之际，进一步推动电信网络诈骗犯罪打击治理工作向纵深发展的重要举措。《惩戒办法》共18条，主要包括6个方面内容：

一是明确依据原则。《惩戒办法》第一条明确了制定依据，第二条明确应当遵循依法认定、过惩相当、动态管理原则；

二是确定惩戒对象。《惩戒办法》第三条至第四条确定惩戒对象范围和认定标准；

三是细化惩戒措施。《惩戒办法》第五条至第八条规定了金融、电信网络和信用惩戒的具体措施，明确了适用信用惩戒、纳入金融信用信息基础数据库的条件，对《反电信网络诈骗法》第三十一条规定的相关惩戒措施进行细化；

四是采取分级惩戒。《惩戒办法》第九条至第十条明确，对不同惩戒对象分别设置2年或3年的惩戒时限，对惩戒期限内多次纳入惩戒名单的，连续执行惩戒期限不得超过5年，同时对不同惩戒对象适用的惩戒措施作出区分，充分体现惩戒的适度性；

五是规范惩戒程序。第十一条至第十三条规范审核认定、惩戒告知、惩戒执行的具体程序，健全完善了联合惩戒工作机制；

六是设置申诉程序。第十四条至第十六条，明确申诉、受理、核查、反馈、解除的程序和时限，充分保障被惩戒对象的合法权益。

为深入贯彻党的二十届三中全会和中央金融工作会议精神，做好数字金融大文章，近日，中国人民银行、国家发展改革委、工业和信息化部、金融监管总局、中国证监会、国家数据局、国家外汇局等七部门联合印发《推动数字金融高质量发展行动方案》。提出，系统推进金融机构数字化转型，加强战略规划和组织管理，强化数字技术支撑能力，夯实数据治理与融合应用能力基础，建设数字金融服务生态，提升数字化经营管理能力。推动数字技术在科技金融、绿色金融、普惠金融、养老金融、数实融合等“五篇大文章”服务领域的应用，创新金融产品和服务模式，提升重点领域金融服务质效。夯实数字金融发展基础，营造高效安全的支付环境，培育高质量金融数据市场，加强数字金融相关新兴基础设施建设。完善数字金融治理体系，强化数字金融风险防范，加强数据和网络安全防护，加强数字金融业务监管，提升金融监管数字化水平，健全金融消费者保护机制。

据新华社11月28日消息，中共中央办公厅、国务院办公厅近日印发的关于数字贸易改革创新发展的意见提出，推进数字贸易制度型开放，包括放宽数字领域市场准入，完善准入前国民待遇加负面清单管理模式，推动电信、互联网、文化等领域有序扩大开放，鼓励外商扩大数字领域投资等。意见要求，加强多渠道支持保障。加强数字技术研发支持，促进成果转化及与其他行业的融合创新发展。充分发挥服务贸易创新发展引导基金作用，带动社会资本投资数字贸易领域。

美国启动了一个名为Franklin的项目，旨在通过黑客的帮助加强关键基础设施的网络安全。六家不同州的水务公司允许专家访问其IT系统，以识别漏洞并提出解决方案。该项目在DEF CON会议上启动，由芝加哥大学和国家农村水协会(NRWA)合作实施。专家们审查了多个州的水务公司的防御措施，找出弱点并向这些公司传授知识。项目总监Paul Chang指出，水务行业因供应商众多而复杂，全国约有50,000家供应商，每个供应商都使用自己的IT解决方案。该项目的志愿者与公司技术专家合作，帮助调整系统以应对网络威胁。NRWA指出，美国约91%的供水系统为人口不足10,000人的小型社区提供服务，这使得它们特别容易受到网络攻击。新计划将为此类公司提供评估和预防威胁的工具。

澳大利亚议会颁布了一项重要网络安全法案，旨在增强国家网络防御和恢复能力，保护关键基础设施。该法案包括《2024年网络安全法》、《2024年情报服务和其他立法修正案（网络安全）法》及《2024年关键基础设施安全和其他立法修正案（增强响应和预防）法》。法案强制执行智能设备的安全标准，并要求企业报告勒索软件和网络勒索事件，以增强政府对网络威胁的应对能力。网络事件报告义务适用于关键基础设施组织和年营业额超过300万澳元的私营部门，未按规定报告的将面临高额罚款。此外，法案通过“有限使用”义务保护信息共享，确保向政府机构提供的网络事件数据不会用于监管或执法行动，减少企业披露信息时的法律风险。此举将提升澳大利亚应对网络安全威胁的整体能力，促进国内外合作应对新兴网络风险。

英国政府宣布将启动新的网络事件响应能力（CIRC），旨在帮助遭受网络攻击的伙伴国家，特别是那些面临关键基础设施攻击的国家。该能力通过北约虚拟网络事件支持能力向盟国提供服务，最初是在应对伊朗对阿尔巴尼亚的网络攻击后启动的，并将扩展到非北约国家。英国政府将与中国保监会合作，联合英国公共与私营部门，为相关国家提供技术援助。该项目的预算为100万英镑（约130万美元），资金来自英国的综合安全基金。CIRC项目的核心目标是为遭受重大网络攻击的国家提供快速响应，帮助他们进行取证分析、清除攻击者并修复系统。英国外交部指出，俄罗斯的网络攻击已对西方国家的关键基础设施构成严重威胁。英国政府部长帕特·麦克法登在伦敦的北约网络防御会议上强调，俄罗斯的网络行动可能会影响数百万人的日常生活。

澳大利亚公司董事协会（AICD）和网络安全合作研究中心（CSCRC）对《网络安全治理原则》进行了重要更新，以应对新兴的网络威胁和监管需求。新版原则涵盖了数字供应链风险、数据治理以及有效的网络事件响应和恢复等新问题，反映了自2022年首次发布以来网络安全治理和新兴网络威胁的发展。更新内容包括建议组织制定全面的网络安全战略、评估外部服务提供商、识别关键数据和访问控制、定期进行网络安全培训等。此外，强调了建立网络弹性文化、实施强制性培训和网络钓鱼测试的重要性。更新的原则还强调了在复杂的数字生态系统中，第三方关系可能带来的网络风险，以及数据治理的重要性。这些更新旨在帮助澳大利亚组织和社区在数字世界中更安全。

俄罗斯JSC GLONASS宣布，将于2025年1月启动汽车网络安全试点项目，合作方包括FSUE NAMI和NPP Gamma，得到工贸部与交通运输部支持。项目目标是识别并消除汽车中的网络安全漏洞，验证最新应对机制的有效性。德米特洛夫斯基测试场将作为主要测试平台，初期将使用配备GLONASS SIM卡的四辆汽车进行数据传输测试，预计实施周期为七个月。JSC GLONASS总经理阿列克谢·雷克维奇指出，现代汽车如同“车轮上的计算机”，亟需应对网络威胁。此外，进口车辆的远程信息处理控制单元（TCU）使用外国运营商网络配置，存在跨境数据传输风险，数据类型和数量缺乏透明性。数字发展部副部长德米特里·乌格尼文科强调，远程信息单元的不透明接入可能带来严重安全后果，需加强法律监管。目前，俄罗斯市场汽车网络安全保护不足，而西方制造商已在操作系统层面提供全方位防护。网络安全系统的成本将使汽车价格上升3%至6%。预计高科技汽车如Evolute电动车等将率先采用，占市场份额5%-7%。市场预测2024年销量可达150万辆。

国际游戏科技公司（IGT）近期遭遇到一起网络攻击事件，并立即启动了事件响应程序。IGT是全球领先的博彩技术供应商，主要生产老虎机等博彩设备。根据IGT向美国证券交易委员会（SEC）提交的说明，未经授权的第三方获取了该公司部分系统的访问权限，导致其内部信息技术系统和应用程序出现中断。公司在发现问题后迅速激活了网络安全事件响应计划，并在外部顾问的支持下展开调查，以评估和修复未经授权的活动。同时，公司主动使部分受影响系统离线以加强保护。虽然IGT尚未确定此次网络攻击的完整影响范围，但已开始与利益相关者沟通并实施业务连续性计划，以减轻服务中断带来的影响。