2024年第50周安全周报 | 本周安全要闻速览

参议员罗恩·怀登（Ron Wyden）近日提出一项法案，要求美国联邦通信委员会（FCC）为电信公司制定更严格的网络安全标准。这项法案的出台是在参议员收到有关中国黑客组织“盐台风”（Salt Typhoon）的大规模网络攻击简报之后。该攻击组织成功入侵并未被清除的美国电信系统，造成广泛的安全隐患。怀登的法案提议，FCC应与国家网络安全和基础设施安全局、国家情报总监等部门合作，制定具体的数字安全标准，防止未经授权的拦截。此外，电信公司将被要求每年对安全措施进行测试，并对发现的漏洞进行修补，同时提交年度报告和相关证明文件，确保遵守安全规定。法案还提出，外部审计师将负责审查这些公司的网络安全规则遵守情况。怀登强调，自FCC允许电信公司自行制定网络安全标准以来，美国的通信系统一直面临外国黑客的威胁。为了确保电信系统免受攻击，他呼吁国会采取强制性措施，推进此类安全法规的实施。由于国会可能于下周休会，具体行动可能要等到明年。

美国参议院民主党人提出了一项法案，旨在禁止数据经纪人出售或转让个人的位置和健康数据，并计划向联邦贸易委员会（FTC）提供10亿美元的执法资金。法案还授权FTC、州检察长以及数据滥用行为的受害者对违法经纪人提起诉讼。由于本届国会即将结束，若法案未能及时通过，则将失效，提案人可能在2025年重新提出。数据经纪人因缺乏联邦监管而日益受到国会关注。今年4月，众议院提出了《美国隐私权法案》（APRA），旨在改革数据经纪人行业，但目前进展缓慢。此外，参议院提出的法案强调了数据经纪人通过出售手机位置数据，可能侵犯个人隐私，例如曝光前往堕胎诊所的女性位置信息，该行业目前价值高达2000亿美元，基本上不受联邦法律监管。

欧盟《网络弹性法案》（Cyber Resilience Act, CRA）12月10日正式生效，作为欧盟首部对包含数字元素产品提出强制性网络安全要求的立法文件，标志着欧盟在增强网络安全保护、抵御网络威胁方面迈出了重要步伐。CRA共计8章71条，全面规定具有数字元素的硬软件产品（笔记本电脑、交换机、移动设备、手机、路由器、防火墙、移动应用程序、计算机处理单元等）在网络安全方面的各项要求。该法案涵盖数字元素产品从设计、开发到销售的整个生命周期，明确了制造商、进口商、经销商等相关市场主体的责任与义务，强调建立有效监管执行机制的重要性，以避免欧盟成员国在不同法律法规之间可能产生的重叠要求。据悉，制造商的安全事件报告义务将于2026年9月11日起实施，合格评估机构的通知义务将于2026年6月11日起生效，而其他所有规定则将从2027年12月11日起开始执行。需要注意的是，某些已经受到现有产品安全法规监管的产品（医疗设备、民用航空器、机动车辆以及为国家安全和防御目的开发的产品），已被排除在该法案适用范围之外。

近日，克罗地亚最大港口里耶卡港的运营商Luka Rijeka遭受8Base勒索软件组织攻击。据报道，8Base组织在其暗网数据泄露网站上声称已获取该公司的发票、收据、雇佣合同、个人数据和文件、会计文件等大量机密信息。攻击者威胁称，如果公司不支付赎金，将于12月10日公开这些被盗文件。Luka Rijeka公司已向当地媒体证实，该公司于11月30日发现遭受攻击，IT部门随即采取预防措施，关闭了整个IT系统，并已向相关部门报告这一情况。该公司已备份所有数据，IT系统已于12月2日恢复并完全正常运行。Luka Rijeka主要在克罗地亚里耶卡市提供海运、港口、货物仓储和货运代理等服务。该公司强调，作为一家上市公司，该公司所有财务报告和港务局制定的客户收费标准都是公开的，所以并没有特别的机密。目前尚难以确定攻击者是否窃取了个人电脑中的个人数据，但目前公司并未遭受实质性损失。据介绍，五年前该公司曾遭受过黑客攻击，此后已将数据保护级别提升至最高水平，这也是此次攻击未造成损失的重要原因。

美国非营利组织人权观察（Human Rights Watch）发表声明，对萨尔瓦多新通过的网络安全和数据保护法表示担忧，认为该法律可能威胁到媒体自由和隐私权。新法成立了一个由总统任命官员领导的国家网络安全机构，拥有广泛的权力，包括下令删除个人网上信息。人权观察担心，这些法律可能被用来删除批评政府的在线出版物，加剧审查和不透明。此外，萨尔瓦多政府曾被指控滥用权力监视媒体和民间社会，2022年发现数十名记者和活动人士的手机遭到Pegasus间谍软件攻击。新法中的“被遗忘权”允许个人要求从互联网上删除其数据，包括搜索引擎和媒体渠道，如果信息被视为不充分或过时。违反数据保护要求的媒体和搜索引擎可能面临高达40个月最低工资的罚款。人权观察强调，“被遗忘权”应严格限制在从搜索结果中删除内容，并且不能凌驾于公众获取有关政府官员或公共利益事务的信息的权利之上。