2022年第12周安全周报 | 本周安全要闻速览

工业和信息化部高度重视用户权益保护工作，持续开展APP侵害用户权益专项整治行动。“3·15”国际消费者权益日来临前夕，为巩固治理成效，营造共同维护消费者权益的良好环境，我部开展APP侵害用户权益整治“回头看”，组织第三方检测机构对前期用户反映问题较多的内存清理类、手机优化类APP进行重点检测，并对去年发现问题的APP进行抽测，共发现14款APP（详见附件）仍然存在问题。上述APP应在3月21日前完成整改，逾期不整改或整改不到位的，我部将依法依规严厉处置。

3月15日，信安标委印发《全国信息安全标准化技术委员会2022年度工作要点》的通知。文件指出，信安标委将加快研制急需关键标准，着力提升标准实施应用效果，努力推动网络安全国家标准由数量规模型向质量效益型转变。2022年工作要点有以下五点：

(一) 聚焦中心工作，加快研制网络安全急需重点标准；

(二) 加强前瞻研究，做好网络安全标准规划工作；

(三) 创新形式举措，提升网络安全标准宣传效果；

(四) 拓展全球视野，促进国内国际标准协同发展；

(五) 强化能力建设，提升标准高质量发展保障能力。

工业和信息化部高度重视用户权益保护工作，针对3月15日央视播出“3·15”晚会报道的以免费Wi-Fi为名诱骗用户下载恶意APP、应用软件平台强迫捆绑下载、骚扰电话、儿童手表安全防护等问题，立即组织认真核查，依据《个人信息保护法》《网络安全法》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等有关法律法规要求，进行严厉查处。

经中央编委批准，国务院国资委成立科技创新局、社会责任局，并于近日召开成立大会。会议强调，要突出抓好重大科技专项任务落地，着力推动国有企业打造原创技术策源地；突出抓好强化企业创新主体地位，加快推动中央企业建设创新型领军企业；突出抓好科技生态优化，更好激发中央企业创新创造潜能；突出抓好中央企业两化融合和数字化转型，大力推进中央企业创新链产业链深度融合。

推动银行业保险业落实《个人信息保护法》，提升个人信息使用的规范性，保护消费者信息安全权，重点开展四个方面工作：

一是根据今年政府工作报告要求，组织开展银行违规涉企收费专项治理，特别是针对中小微企业和个体工商户。

二是开展银行业保险业个人信息保护专项整治，推动银行业保险业落实《个人信息保护法》，提升个人信息使用的规范性，保护消费者信息安全权。

三是出台制度，包括《银行保险机构消费者权益保护管理办法》，规范金融消费者八项权益，制定《银行保险机构消费者适当性管理办法》。

四是继续加强消费者宣传教育。保护好金融消费者权益，从供给侧看，要压实金融机构的责任，实现“卖者尽责”。从需求侧看，就是要加强消费者宣传教育，提高金融素养，力争做到“买者自负”。

在日前美国国家安全局（NSA）组织针对全球数亿公民及行业龙头企业长达十余年的网络攻击被曝光后，美国国安局网络攻击武器库中的又一种主力装备露出马脚。国家计算机病毒应急处理中心14日正式发布了美国国家安全局专用“NOPEN”远程木马技术分析报告，将美国情治部门的网络间谍手段揭露在世人面前。《环球时报》记者注意到，根据报告描述，“NOPEN”远程木马一旦被植入受害者计算机，就会成为“潜伏者”，随时向攻击者敞开“金库大门”，各种机密数据、敏感信息“一览无余”。有证据显示，该款木马已经控制全球各地海量的互联网设备，窃取了规模庞大的用户隐私数据。

近日，以色列政府网站遭到大规模DDoS 攻击，瞬时涌入的流量让以色列当地电信运营商网络都出现中断。受攻击的包括以色列卫生部网站、内政部网站、司法部网站、福利部网站，以色列总理办公室网站也受影响。作为紧急应对方法以色列直接切断这些网站的国际访问，即国际互联网无法访问但以色列国内依然可以访问。数据显示当地时间昨天下午4点以色列运营商网络连通性从100%突然暴跌到5% ，但在数小时后可用性恢复。

近日，“匿名者”声称入侵了俄罗斯能源巨头Rosneft德国子公司的系统，并窃取了20TB的数据。这一入侵的消息也得到了德国联邦信息安全局BSI的证实，BSI表示支持调查安全漏洞，且已经向石油行业的其他利益相关者发出了安全警告。

乌克兰总统泽连斯基宣布投降的“深度伪造”视频3月16日出现在社交媒体平台，随后被疯传。该虚假视频显示，泽连斯基号召士兵放下武器并放弃战斗。除在社交媒体传播外，有黑客还攻击了乌克兰广播新闻媒体Ukraine 24，在其电视直播中播放了关于泽连斯基的虚假消息，并在其网站在发布了上述“深度伪造”视频。泽连斯基随后发布自拍视频澄清称，乌克兰不会向俄罗斯投降。研究人员表示，虽然该“深度伪造”视频造假技术相对低劣，难以达到以假乱真的效果，但仍然会产生严重负面后果；该视频对信息生态系统造成了污染，给所有内容蒙上了“阴影”，从而会产生所谓“骗子红利”，让人们对未来泽连斯基的视频真实性产生怀疑。

3月16日，美国国家标准与技术研究所(NIST)的国家网络安全卓越中心 (NCCoE)与NIST 的工程实验室(EL)和网络安全技术提供商合作推出了一份文件，以解决制造业面临的网络安全挑战。该文档提供了以数据为驱动的见解，并基于对几个基本制造系统测试平台的实验室测试分析。NIST联合MITRE以及Microsoft、Dispel、Forescout、Dragos、OSIsoft、TDi Technologies、GreenTec、Tenable和VMware共同合作，制定了题为《NIST 特别出版物 (SP) 1800-10，保护工业控制系统环境中的信息和系统完整性》的指南。该文件就制造商如何加强运营技术(OT)系统以降低ICS完整性风险并保护这些系统处理的数据提供经过审查的信息和指导。这份369页的指南文档分为三大部分，以适用于不同的网络安全角色。文档的实用性在于其描述了常见的攻击场景，并提供了制造商可以实施的实用解决方案示例，以保护ICS免受破坏性恶意软件、内部威胁、未经授权的软件、未经授权的远程访问、异常网络流量、历史数据丢失和未经授权的系统修改。