2022年第14周安全周报 | 本周安全要闻速览

2022年数字福建工作，要以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的十九大和十九届历次全会精神以及全国“两会”精神，深入学习贯彻习近平总书记在福建考察时的重要讲话精神，全面落实省第十一次党代会、省委经济工作会议、省“两会”部署，立足新发展阶段、贯彻新发展理念、服务和融入新发展格局，围绕新时代数字福建建设，着力构建“数据+服务+治理+协同+决策”的政府运行新模式，加快国家数字经济创新发展试验区建设，强化营商环境建设信息化支撑，打造能办事、快办事、办成事的“便利福建”，为全方位推进高质量发展超越提供有力支撑。

为增强立法的公开性和透明度，提高立法质量，四川省司法厅发布关于公开征求《四川省大数据发展条例（草案征求意见稿）》意见的公告，征集时间为2022年3月23日至4月22日。据悉，《四川省大数据发展条例（草案征求意见稿）》共八章五十五条，分为总则、数据资源、发展应用、保障措施、区域协同、数据安全、法律责任以及附则。《条例（草案征求意见稿）》明确了我省大数据管理机制，规范了数据资源管理。同时，围绕培育壮大市场主体、资金支持、用地用电保障、人才引育、素养培育等方面，明确相应支持措施，并从大数据发展智库建设、标准建设、行业自律等方面加强治理。

经标准编制单位的辛勤努力，现已形成国家标准《信息安全技术 电子政务移动办公系统安全技术规范》征求意见稿。为确保标准质量，信安标委秘书处面向社会广泛征求意见。恳切希望您对该标准提出宝贵意见并将意见于 2022 年 05 月 27 日前反馈给信安标委秘书处。

2022年3月29日，全国信息安全标准化技术委员会秘书处在北京召开了2022年网络安全国家标准试点工作部署会。会议强调，试点工作是标准研制过程的关键环节，对于提升标准质量、促进标准实施应用具有重要作用。一是要高度重视标准试点工作，标准牵头单位要切实履行主体责任，工作组要发挥好引导和指导作用。二是要做好标准试点组织工作，在试点方案编制和关键环节要充分征求工作组、业界专家、技术支撑单位等相关方意见，吸纳各方积极参与。三是不断完善标准试点工作机制，及时发现并解决试点工作过程中遇到的问题。

中国信息通信研究院日前发布的《中国信息消费发展态势报告》显示，在消费群体方面，我国网民规模持续扩大突破十亿。《报告》同时也提示警惕数据安全、个人信息泄露等风险。个人信息保护法实施以来，甘肃、江苏等地公安机关就已破获多起侵犯公民个人信息犯罪的案件。中国互联网络信息中心《第49次中国互联网络发展状况统计报告》显示，截至2021年12月，有22.1%的网民遭遇个人信息泄露。公安机关提醒广大群众不要点击、使用来源不明的链接、网站、手机App，更不能将短信验证码提供给他人，严防信息泄露。工信部通过制定标准、技术检验、专项整治、行业自律等措施，大力整治违规收集使用个人信息等侵害用户权益行为。去年累计检测208万款App，通报1549款违规App，对514款拒不整改的App进行下架处理。

2022年3月30日，重庆市五届人大常委会第三十三次会议表决通过了《重庆市数据条例》（以下简称“条例”），该条例将于今年7月1日起施行。条例明确了处理涉及个人信息的数据应当遵循合法、正当、必要原则和其他相关规则，提出自然人、法人和非法人组织违反与市数据主管部门签订的开放利用协议，超出约定使用范围使用公共数据，逾期未改正的或者造成严重后果的，处1万元以上10万元以下的罚款。此外，条例提出建立数据分类分级保护制度和数据安全风险评估、报告、信息共享、监测预警、应急处置机制，按国家要求编制本地区重要数据目录，对列入目录的数据进行重点保护。处理涉及个人信息的数据应当遵循合法、正当、必要原则和其他相关规则，建立投诉举报制度，畅通个人信息保护渠道。

全国信息安全标准化技术委员会归口的《信息安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范》等4项国家标准现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站，如有意见或建议请于2022年5月29日24:00前反馈秘书处。

据悉，科洛尼尔管道运输公司遭遇网络攻击，致使美国多州进入紧急状态，美国国家运输安全管理局因此颁布了首部针对管道行业的强制性网络安全指令，以替代先前的自愿性指导文件；但这“第一把火”效果并不太好，美国管道行业表示，国家运输安全管理局的人员短缺和僵硬要求，正在削弱拜登政府保护美国管道免受黑客攻击的能力。美国政府要求管道公司达到最基本网络安全标准的首次尝试正在遭遇重重困难。对白宫来说这不是个好消息，因为他们正在设法加强对各类关键基础设施的网络安全防护。后者正是目前国外黑客的首选目标。

由 Splunk 进行的勒索软件加密速度测试涉及 10 个勒索软件家族的 10 个样本，它们在 4 个不同的模拟计算机 "受害者" 配置上运行。在总共 400 次测试中，在 Windows Server 2019 机器上运行的 LockBit 样本成为最快的勒索软件，仅用 4 分 9 秒就加密了所有 53GB 的测试数据。该测试数据由 98561 个文件组成，包括 pdf、excel 和 word 文档。同时，在一台 Windows 10 和 Windows Server 2019 机器上测试了这些勒索软件，包括来自 REvil、Darkside、Babuk、Maze、LockBit 和其他几个样本。LockBit 不仅有最快的样本，而且在中位持续时间方面也排在总体第一位。有趣的 "Babuk" 勒索软件在总体上排名第二，尽管它的名声因其最慢的单个样本（文件加密时间超过三个半小时）而受到一些打击。

乌克兰重要电信运营商Ukrtelecom遭遇“强大的”网络攻击，导致全国服务中断；专注监测互联网状态的NetBlocks公司称，Ukrtelecom可正常运行的服务“已跌至战前水平的13%，这是自俄乌冲突以来出现的最严重的网络攻击；NetBlocks监测发现，在服务中断约15小时后，Ukrtelecom开始恢复网络服务，该公司已经成功缓解了这次网络攻击。

近日，IT和软件咨询公司Globant证实，他们遭到了Lapsus$黑客组织的入侵，其中由管理员凭据和源代码组成的数据被其泄露。Lapsus$黑客组织发布了从Globant窃取的70GB数据，将其描述为“一些客户的源代码”。泄露的数据包含客户信息以及一个带有大量私钥（全链、Web 服务器SSL 证书、Globant服务器、API密钥）的代码库。其中一个存储库是为Globant在2020年底收购的金融行业咨询应用Bluecap服务的。此外，Lapsus$泄露的数据还包括了150多个用于各种客户应用程序的SQL数据库文件。这对于Globant来说，损失似乎很大。