2022年第21周安全周报 | 本周安全要闻速览

为进一步推进药品监管信息化建设，加快以信息化引领监管现代化进程，依据《国务院办公厅关于全面加强药品监管能力建设的实施意见》《“十四五”国家药品安全及促进高质量发展规划》《“十四五”推进国家政务信息化规划》等文件，制定《药品监管网络安全与信息化建设“十四五”规划》。《规划》从现状和形势、总体要求、重点任务、保障措施等四个部分介绍了药品监管信息化建设的内容。

为深入贯彻习近平总书记关于网络安全的系列重要讲话精神，进一步提升北京地区电信和互联网行业网络与数据安全防护水平，切实做好党的二十大网络安全保障工作，针对提供公共互联网网络信息服务的基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等（以下统称“网络运行单位”）。重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统，包括但不限于：通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。

工业和信息化部肖亚庆出席济南、青岛国家级互联网骨干直联点建成开通仪式并致辞，并表示党中央、国务院高度重视信息基础设施建设。习近平总书记强调要加强信息、科技、物流等产业升级基础设施建设，布局建设新一代超算、云计算、人工智能平台、宽带基础网络等设施，这为我们工作指明了方向、提供了根本遵循。我们要认真抓好贯彻落实，立足当前、适度超前、科学规划、注重效益，统筹推进信息基础设施技术创新和建设布局，促进建设、应用、安全、产业协同发展，加快构建“一张网、全互联、超高速、强赋能”的国家信息基础设施体系，筑牢数字经济发展底座。

意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无法访问至少1个小时；意大利CERT发布预警称，此次攻击使用了“慢速HTTP”的新型DDoS手法，传统防御措施较难抵御，需要针对性处置；亲俄黑客团伙Killnet声称对本次攻击负责。

因受到的损失很少，赞比亚银行拒绝向Hive勒索软件团伙支付赎金，这是近几年少有的针对勒索软件的强硬派；银行的部分信息技术应用中断服务，包括外汇管理局监控系统和网站，部分测试数据也可能被泄露；自2021年6月首次亮相以来，Hive勒索软件的攻击态势凶猛，已成为头部团伙之一。

据悉，美国众议院正式通过了《促进数字隐私技术法案》（Promoting Digital Privacy Technologies Act，HR847），现在将由美国参议院进行下一步审议。《促进数字隐私技术法案》是一项支持隐私增强技术研究和促进负责任数据使用的拟议法案。其中，隐私增强技术作为一种广泛的技术，允许组织收集、共享和使用数据，同时减轻这些活动产生的隐私风险。

5月，英国政府为该国的民用核部门制定了网络安全计划，发布《民用核网络安全战略》。该战略得到了英国民用核组织、核管制办公室和国家网络安全中心的共同制定和认可，该战略为民用核部门制定了发展愿景和五年活动路线图，战略目标是以协作和成熟的方式有效管理和减轻英国民用核部门的网络风险，在应对和防范事件方面具有弹性，并确保所有人都有具有包容的文化。

据外媒Vice报道，美国司法部公布一项政策调整，将不再对违反美国联邦黑客法《计算机欺诈与滥用法》（CFAA）的善意安全研究提起诉讼。这项举措意义重大。长期以来，出于漏洞发现和修复等目的，安全研究人员往往需要探测甚至入侵目标系统。《计算机欺诈与滥用法》无疑对这部分研究者构成了威胁。此次政策修订，意味着善意安全研究不应面临指控。

日前，美国总统拜登签署了《国家网络安全防范联盟法案》。该法案将使国土安全部能够与非营利实体合作，开发、更新和主办网络安全培训，以支持防御和应对网络安全风险。参议员约翰·科尔尼和帕特里克·莱希在周四发表的一份声明中说，新法律的目的是确保关键基础设施免受网络攻击，网络准备就绪。

网络空间不是无法无天的灰色地带，英国可以合法地对敌对国家发动网络攻击。英国司法部长Suella Braverman在查塔姆研究所外交事务智囊团发表讲话，阐述英国在网络安全和国际法方面的立场，以及它如何帮助就构成非法行为的决定提供信息。

近日，爱尔兰公民自由委员会（Irish Council for Civil Liberties，ICCL）公布了一份报告，对其认定的一起“史上最大规模数据泄露事件”进行了披露。报告显示，如谷歌、微软等公司会利用实时竞价系统将用户的网络浏览记录和地理位置信息提供给广告商，美国用户每天被分享747次，欧洲用户376次。谷歌回应称，其一直对与广告商共享用户数据进行严格限制，并要求在投放个性化广告前取得用户同意。