2022年第51周安全周报 | 本周安全要闻速览

为深入贯彻习近平总书记关于网络强国的重要思想，规范电力行业网络安全等级保护管理，提高电力行业网络安全保障能力和水平，国家能源局对《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）进行了修订。12月12日，将修订后的《电力行业网络安全等级保护管理办法》印发。

为规范工业和信息化领域数据处理活动，加强数据安全管理，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规，工业和信息化部近日印发《工业和信息化领域数据安全管理办法（试行）》。本办法共八章四十二条，主要内容包括七个方面：一是界定工业和信息化领域数据和数据处理者概念，明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据，围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节，提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。本办法自2023年1月1日起施行。

为支撑个人信息保护认证实施，指导个人信息处理者规范开展个人信息跨境处理活动，全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。《实践指南》规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。

蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告，2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元（当前约1570.5万元人民币）等额比特币。在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。不少用户表示，希望“车企配合用户及时修改信息，以防车主相关资料被利用，并影响到家人朋友”，“软件里的个人信息，能删的赶紧删掉”。

澳大利亚维多利亚州消防与救援服务局因遭受“外部第三方”的网络攻击，已关闭其运营网络并转为手动操作，紧急调度系统受到影响，为防止进一步蔓延，该部门关闭了整个网络，预计4天才能恢复。

知名新闻机构是黑客的高价值目标，英国卫报似乎是最新一家成为攻击的受害者。12月20日晚，该出版物发生了“严重的IT事件”。总编辑凯瑟琳·维纳 (Katharine Viner)和卫报媒体集团(Guardian Media Group)首席执行官安娜·贝特森(Anna Bateson)在一份报告中告诉员工，过去24小时内发生了一起严重事件，影响了IT网络和系统。他们认为这是勒索软件袭击，继续考虑所有可能性。卫报的技术团队一直在努力处理这一事件的各个方面，有大量的员工都能够像大流行期间那样在家工作。

德国跨国工业工程和钢铁生产巨头ThyssenKrupp AG宣布其材料服务部门和公司总部遭到网络攻击。目前，该公司尚未披露对其系统造成攻击的类型。