2025年第10周安全周报 | 本周安全要闻速览

为规范个人信息保护合规审计专业机构提供个人信息保护合规审计的服务能力，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求（征求意见稿）》。根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，全国网络安全标准化技术委员会现组织对《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求（征求意见稿）》面向社会公开征求意见。截止时间为2025年3月17日前。

因违反《健康保险流通与问责法案》（HIPAA），美国联邦监管机构对眼镜制造商兼零售商Warby Parker处以150万美元（约合人民币1092万元）的民事罚款。该公司此前遭遇凭证填充攻击，影响了约20万人。这是自第二届唐纳德·特朗普政府以来，美国卫生与公众服务部（HHS）民权办公室（OCR）首次公布的HIPAA执法行动。不过民权办公室表示，该罚款实际上是拜登政府在2024年12月的最后几周内对Warby Parker作出的裁决。民权办公室的调查发现，Warby Parker违反了HIPAA安全规则的三项规定：1.未能进行准确且彻底的风险分析；2.未能实施足够的安全措施，以降低ePHI的风险和漏洞；3.未能建立定期审查信息系统活动记录的程序。民权办公室代理主任表示：“识别并解决电子受保护健康信息的潜在风险和漏洞，对于有效的网络安全防护以及遵守HIPAA安全规则至关重要。”他补充道：“保护个人电子健康信息意味着受监管实体需要在发生数据泄露之前，就严格执行并遵守安全规则要求。”

美国众议院通过了一项名为《联邦承包商网络安全漏洞削减法案》的立法，要求联邦承包商实施符合美国国家标准与技术研究所（NIST）指南的漏洞披露政策（VDP）。该法案由众议员南希·梅斯（Nancy Mace）和肖特尔·布朗（Shontel Brown）共同提出，旨在加强联邦网络安全，防止恶意行为者利用承包商系统中的漏洞。梅斯指出，联邦政府每年授予超过1100万份合同，承包商能够访问大量敏感信息，包括美国公民的个人身份信息。她强调，要求承包商遵守NIST最佳实践将有助于保护这些数据及国家安全。众议院监督委员会资深成员Gerry Connolly也表示，VDP是保护系统免受网络威胁的有效工具，该法案为保护联邦信息系统和数据开辟了新战线。该法案得到了微软、Tenable、趋势科技和施耐德电气等科技公司的支持。HackerOne等机构呼吁参议院尽快通过该法案，以加强对敏感政府信息和个人数据的保护。

波兰航天局(POLSA)在上周末遭遇网络安全事件，切断其系统与互联网的连接以遏制其IT基础设施遭到入侵后，目前仍处于离线状态。在发现攻击后，航天局向相关部门报告了此次事件，并启动调查以评估其影响。为确保数据安全，POLSA网络立即与互联网断开连接。航天局将持续更新事态进展。POLSA尚未披露此次安全事件的性质，也未将攻击归咎于任何特定的威胁来源。但是根据内部人员消息，在攻击者入侵了 POLSA 的电子邮件系统后，工作人员被要求使用电话。目前，航天局正在与波兰计算机安全事件应急响应中心(CSIRT NASK)和波兰军队计算机安全事件应急响应中心(CSIRT MON)合作，以恢复受影响的服务。

美国国防创新部门（DIU）宣布，印度太平洋司令部和欧洲司令部将率先通过Thunderforge计划获得由Scale AI及其行业合作伙伴提供的生成式人工智能技术。该技术将整合Scale AI的代理应用程序、Anduril的Lattice软件平台和微软的大型语言模型（LLM），旨在增强军事规划人员的决策支持和自动化工作流程能力。Thunderforge计划将利用先进的大型语言模型、AI驱动的模拟和基于代理的交互式战争游戏，帮助军事规划人员在复杂多变的作战环境中快速制定作战计划、进行战争模拟并分析行动方案的优劣。DIU表示，该技术将显著提升联合部队的规划效率，同时保持严谨性和人为判断。该技术将首先支持印太司令部和欧洲司令部的关键任务规划活动，如战役发展、战区资源分配和战略评估。如果效果显著，未来将推广至美军其他作战司令部。

美国多家金融机构敦促网络安全与基础设施安全局(CISA)撤回一项拟议规则，该规则将要求关键基础设施实体在72小时内报告网络安全事件，因为该规则在现状下将给网络安全团队带来过重负担，并背离了美国国会《关键基础设施网络事件报告法案》(CIRCIA)的初衷。CISA于2024年4月发布的这项拟议规则旨在落实CIRCIA，要求金融服务、医疗保健、能源等关键基础设施部门的组织在72小时内报告"重大网络事件"，并在24小时内报告赎金支付情况。美国银行家协会、银行政策研究所、国际银行家协会和证券业与金融市场协会等机构在一封公开信中表示，拟议规则中对报告门槛的宽泛定义将导致无关紧要的服务中断也需报告，而要求报告的大量数据元素将消耗关键人员的有限时间。即使拟议规则豁免了与其他联邦机构，如证券交易委员会(SEC)报告的信息"基本相似"的内容，但实际上这一豁免被广泛的数据元素要求所抵消。如果拟议规则未被撤回，CISA将在2025年10月前根据CIRCIA发布最终规则。不过，特朗普政府上台后发布的一项监管冻结备忘录可能会影响该规则的最终通过。

俄罗斯调查委员会主席亚历山大·巴斯特雷金在与总统普京的会议上提议修改刑法，将使用人工智能实施犯罪列为加重情节。巴斯特雷金指出，现行刑法第63条未充分考虑现代信息技术和人工智能的影响，并举例说明了人工智能干预金融系统的案例。普京对此提议表示兴趣。此前，联邦委员会成员阿列克谢·普什科夫和伊琳娜·鲁卡维什尼科娃也曾提出类似建议，强调人工智能在网络欺诈等犯罪中的使用日益增多，并提及一起因AI错误识别导致的误捕案件。这一提议旨在应对人工智能技术带来的新型犯罪挑战。

欧盟网络安全局(ENISA)本周发布了其首份NIS360报告，该报告确定了需要改进的领域，并跟踪了跨NIS2指令部门。NIS360评估NIS2行业的成熟度和重要性，提供比较和更深入的分析。它提供了对被评估部门的关键程度和成熟度的跨部门概述和详细的逐部门分析。基于所收集的见解，NIS360文档突出被评估的每个部门的优势和面临的挑战，确定成熟度认知的差异，以及提供清楚地了解网络安全政策的实施对整个欧盟的部门成熟度和弹性的影响。NIS360报告是基于具有横向或部门授权的国家机构的数据，基于公司在NIS2扇区，以及欧盟统计局等欧盟数据来源。在ENISA NIS360报告中，确定了优势、行业挑战和差距，并提出了提高整个联盟行业成熟度和弹性的建议。NIS360文件的目标是帮助负责实施NIS2的成员国的国家当局和网络安全机构了解整体情况，帮助他们确定优先顺序，突出需要改进的领域，并促进对部门进展的监控。NIS360还旨在支持国家和欧盟层面的政策制定者，为政策和战略制定提供意见，并提供增强网络弹性的举措。