2024年第30周安全周报 | 本周安全要闻速览

根据《中华人民共和国密码法》、《商用密码管理条例》及相关商用密码管理规章，现发布《国家密码管理局商用密码随机抽查事项清单（2024年版）》，自发布之日起施行，2018年7月7日发布的《国家密码管理局关于印发商用密码随机抽查事项清单的通知》（国密局字〔2018〕268号）同时废止。 

美国洛杉矶县高等法院（LASC）近日遭受了一次严重的勒索软件攻击，被迫关闭该县36个法院。洛杉矶高法是美国最大的初审法院，拥有4800多名员工，为洛杉矶县超过1000万人提供司法服务。这次攻击影响了洛杉矶高等法院的整个网络系统，包括MyJuryDuty门户和网站等外部系统，以及案件管理系统等内部系统。在发现攻击后，LASC被迫立即禁用所有网络系统、关停所有法院来遏制入侵。据悉，目前尚无勒索软件组织宣称对此次事件负责，但洛杉矶高等法院已经协同加州州急救办公室和联邦执法机构等组织，对此次事件进行调查并评估其影响。洛杉矶高等法院的发言人表示，目前尚无证据表明入侵系统上的数据受到了损害。法院的专家团队正在全力修复并确保未来的网络稳定性和安全性。

英国政府计划提交《网络安全和弹性法案》，旨在强化国家网络防御，保护关键基础设施。法案将更新现有网络安全法规，扩大监管范围，增加报告要求，提供更好的网络威胁数据，以应对敌对分子对关键服务的攻击。法案将要求数字服务和供应链采取更严格的网络安全措施，增加企业的网络安全责任和行政负担。政府将提供资源，特别是对小型企业，以支持网络安全实践的提升。新法案亦将填补国家防御空白，防止关键公共服务遭受攻击，如近期伦敦医院所遭受的勒索软件攻击。同时，法案的实施可能提高网络保险的采用率和风险管理服务的使用率，保险公司可能需要调整政策以适应更高的监管要求和经济处罚。

瑞士通过电子政务活动法案（EMBAG），在开源软件（OSS）领域取得重大进展。该法律强制公共部门使用开源软件，以增强政府的透明度、安全性和效率，并要求政府机构公开其开发的软件源代码，除非受到第三方限制或涉及安全问题。这一"公共资金、公共代码"的方法自2011年瑞士最高法院发布Open Justitia司法应用程序起便开始酝酿，经过长期的政治和法律斗争，最终得以实现。EMBAG还要求将非个人和非机密信息作为开放政府数据（OGD）公开，标志着软件和数据向更大开放性和实际重用的重大转变。

英国通信监管机构Ofcom宣布计划引入更严格的规则，以打击移动网络上使用的全球标题的滥用。全球标题在连接移动电话用户至网络中扮演关键角色，但若被恶意用户利用，可能导致通话和短信被拦截、网络中断及用户位置被追踪。为防止这些威胁，Ofcom提出了一系列措施，包括禁止向第三方出租英国移动电话号码的权利、禁止第三方利用重新分发的数字创建标题、加强运营商使用标题的规则，以及禁止使用未分配使用的号码创建标题。这些措施旨在减少恶意信号，为英国公民和全球提供额外保护。新规则将分两个阶段实施，部分规则立即生效，而关于租赁和创建游戏的禁令将于2026年1月1日生效。Ofcom已开始对提案进行磋商，将持续至2024年10月15日，并在磋商结束后公布最终决定。这些变化预计将提高运营商的透明度和责任，为所有移动网络用户提供更多保护。

欧盟成员国在欧盟委员会和ENISA支持下发布了一份评估欧洲电信和电力行业网络安全的报告。报告指出供应链安全风险、网络安全专业人员短缺，以及来自网络犯罪分子和国家支持行为者的威胁。报告强调，对第三国关键零部件的依赖和供应链脆弱性对电信和电力行业构成特别风险。电信行业面临勒索软件、间谍活动和物理破坏等威胁，而电力行业则面临内部人员渗透和外部网络攻击风险。报告还强调了5G网络和物联网设备的安全性问题，以及欧盟减少碳排放对可再生能源技术的需求增加带来的新挑战。最后，报告提出了17项建议，旨在提高民用电力和电信部门的整体网络安全态势和恢复力，包括改进集体网络态势感知、加强供应链安全等措施。

英国政府通信总部国家网络安全中心（NCSC）的国家复原力主管将《网络安全与恢复力法案》的出台称为国家基础设施保护的“里程碑时刻”。该法案目的在于加强英国关键国家基础设施（CNI）的保护，以应对日益严峻的网络威胁。并在博客中指出，CNI面临的威胁规模、速度和复杂性正在上升，且除了勒索软件外，国家和国家结盟团体的攻击也在增加。法案将扩大监管机构的职权范围，强化基础并增加报告要求，以更好地了解网络威胁。此外，法案还将更新传统监管框架，扩大保护范围，以覆盖更多数字服务和供应链，填补国家防御的直接空白。这标志着英国在网络安全领域迈出关键一步，与欧盟即将实施的“NIS 2”制度相呼应。