近期网络安全事件盘点
2023-9-1 09:51:2 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

01

国际动态/事件盘点

1

澳大利亚通信与媒体管理局就DoorDash违反垃圾邮件规定的行为对其罚款200万澳元

2023年8月16日,澳大利亚通信与媒体管理局(ACMA)宣布对DoorDash Technologies Australia Pty Ltd 开出200万澳元(约合120万美元)的罚单,原因是ACMA接到了多起消费者投诉称该公司违反了澳大利亚《2003年垃圾邮件法》。

ACMA收到的投诉称,DoorDash在未经同意或无法取消订阅的情况下向客户和潜在的独立承包商发送短信和电子邮件。ACMA特别指出,在2022年2月至10月期间,DoorDash向已退订电子邮件的客户发送了超过566,000封促销电子邮件。据ACMA称,DoorDash还向潜在的DoorDash送货司机发送了超过515,000条没有退订选项的短信。

ACMA认为DoorDash在客户退订电子邮件超过五天后仍向客户发送营销电子邮件的行为违反了《垃圾邮件法》第16(1)条的规定。此外,ACMA还认定,DoorDash向潜在送货司机发送促销短信,且未提供退订功能,违反了《垃圾邮件法》第18(1)条的规定。

鉴于上述情况,ACMA对DoorDash处以200万澳元(约合120万美元)的罚款。DoorDash还同意,除其他事项外,指定一名独立顾问审查其遵守垃圾邮件规则的情况,并对员工开展垃圾邮件法规的相关培训。

2

精密图纸被窃,知名手表品牌Seiko遭BlackCat勒索软件攻击

据BleepingComputer消息,日本著名手表制造商Seiko在7月末遭到了网络攻击,8月21日,BlackCat(又名ALPHV)勒索软件组织在其网站上宣布对这起攻击事件负责。

8 月 10 日,Seiko发布了一份数据泄露通知,称在7月末有未经授权的第三方获得了对其部分 IT 基础设施的访问权限,一些数据可能已被窃取,公司已于8月2日委托外部网络安全专家团队对情况进行调查和评估。伴随着正式承认对Seiko实施了网络攻击,一份窃取的数据样本被挂在了BlackCat网站上,其中包括看生产计划、员工护照扫描件、新品发布计划和实验室测试结果的内容。最令人担忧的是,BlackCat声称还窃取了机密技术原理图和手表设计的样本,表明 BlackCat 很可能拥有展示精密内部结构的图纸,包括专利技术,这些内容可能会因此被Seiko的竞争厂家获取。由于调查仍在进行中,Seiko正在努力采取措施防止造成更多损失,并敦促客户和业务合作伙伴警惕可能冒充公司的电子邮件或其他通信,不要盲目打开邮件或者点击其中的任何链接。

3

多国数据保护机构就数据爬取发表联合声明

2023年8月24日,包括新西兰、加拿大、澳大利亚、英国、香港特别行政区、瑞士、挪威、哥伦比亚、摩洛哥、阿根廷、墨西哥和泽西岛在内的国际数据保护机构就数据爬取和隐私保护发表了一份联合声明。联合声明特别强调,数据爬取技术从互联网上收集并处理个人信息的能力引发了重大的隐私问题,即使所收集的信息是公开的。虽然个人信息可以公开获取,但联合声明明确指出,托管可公开获取的个人信息的网站运营商也有义务保护数据,防止第三方从其网站上爬取信息。

4

欧盟数字服务法对超大型在线平台和超大型在线搜索引擎展开执法活动

于2022年11月生效的欧盟《数字服务法》(DSA)引入了法律变革,涉及内容修订、标记非法内容和定期风险评估等方面的详细新要求,以保护用户免受网络在线侵害。                                

今年2月,DSA要求网络平台公布其活跃用户数量。根据这些数据,欧盟委员会认定19个平台为“超大型在线平台”(VLOPs)或“超大型在线搜索引擎”(VLOSEs)的地位,这些平台的月活跃用户数超过4500万,或占欧盟人口的10%以上。

虽然DSA将从2024年春季开始全面适用,但从2023年8月25日开始,超大型在线平台和超大型在线搜索引擎必须向欧盟委员会提供其风险评估结果,并遵守更为严格的规则。

5

因供应商被黑,法国政府机构泄露1000万民众个人信息

Bleeping Computer 网站披露,法国政府失业登记和金融援助机构 Pôle emploi 通报一起数据泄露事件,该事件泄露了 1000 万名民众的个人数据信息。

Pôle emploi 在新闻稿中声称其一家供应商的信息系统遭到网络破坏,可能会泄露求职者的个人数据信息,主要影响 2022 年 2 月登记的求职者和就业中心的前用户。泄露的民众信息包括全名和社会安全号,但电子邮件地址、电话号码、密码和银行数据没有受到此次数据泄露事件的影响。

02

国内动态/事件盘点

1

2023中国算力大会在银川举行

8月18日至19日,由工业和信息化部、宁夏回族自治区人民政府共同主办的2023中国算力大会在宁夏银川举行。工业和信息化部党组书记、部长金壮龙出席大会开幕式表示,算力已成为数字经济时代的关键生产力,要坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,以智能化、绿色化、融合化为主攻方向,一体推进基础设施建设、产业技术创新和深度融合应用,着力优化基础设施布局、加快关键技术攻关、激发融合应用潜力、营造开放合作生态,做强做优做大算力产业。

2

2023 CCS成都网络安全大会在成都举办

8月24日-26日,2023CCS成都网络安全大会在成都召开,大会由四川省互联网信息办公室指导,成都市互联网信息办公室、成都高新技术产业开发区管理委员会联合主办,四川大学、电子科技大学、成都市成华区人民政府联合协办,成都无糖信息技术有限公司承办。

2023 CCS大会以“赋能数字安全,共筑智慧城市”为主题,重点围绕数字安全最新趋势,探索数字时代下我国网络空间安全未来走向,加快构建网络空间安全防护体系,深度探索数字安全内核,为智慧蓉城安全发展保驾护航,推动成都网络安全产业建圈强链。2023 CCS大会将促进“政产学研用”融合发展,推动成都网络安全人才培养、技术创新、成果转化、产业发展等方面交流合作,打造网络安全人才高地,为产业发展营造良好环境,促进网络安全产业链、人才链、创新链、知识链的有机融合。

3

中央网信办等开展“清朗·杭州亚运会和亚残运会网络环境整治”专项行动

为做好杭州亚运会和亚残运会保障工作,中央网信办、中央宣传部版权管理局以及杭州第19届亚运会组委会办公室决定自8月28日至10月29日开展“清朗·杭州亚运会和亚残运会网络环境整治”专项行动。

详见:

http://www.cac.gov.cn/2023-08/28/c_1694881473337349.htm

4

第52次《中国互联网络发展状况统计报告》发布

8月28日,中国互联网络信息中心(CNNIC)在京发布第52次《中国互联网络发展状况统计报告》(以下简称“《报告》”)。《报告》显示,截至2023年6月,我国网民规模达10.79亿人,较2022年12月增长1109万人,互联网普及率达76.4%。

数字基础设施建设进一步加快,资源应用不断丰富工业互联网基础设施持续完善,“5G+工业互联网”快速发展各类互联网应用持续发展,网约车、在线旅行预订、网络文学等实现较快增长。

5

国家安全机关又公布一起美国中央情报局间谍案!

近日,国家安全机关破获一起美国中央情报局间谍案。

犯罪嫌疑人郝某,1984年1月生,系我某国家部委干部。郝某在日本留学期间,因办理赴美签证事宜与美驻日本使馆官员泰德结识,泰德通过请客吃饭、赠送礼品等方式与郝某逐步密切关系,并请郝某帮助撰写论文,承诺支付“稿费”,郝某答应泰德要求。泰德在美驻日使馆任期结束前,又将同事李军介绍给郝某,双方继续保持合作关系。

郝某留学期满前,李军亮明美国中央情报局东京站人员身份,对郝某实施策反,要求其回国后进入我核心要害单位工作。郝某表示同意,与美方签署了参谍协议,接受美方考核和培训。

郝某回国后,按照中情局要求设法进入我某国家部委工作,在境内与中情局人员多次秘密接头,提供情报并收取间谍经费。国家安全机关侦查发现郝某间谍活动后,依法对其开展审查。目前此案正在侦办中。

详见:

https://mp.weixin.qq.com/s/FvAiRHDOO3vPR3lMf63uFw

6

北京网警约谈第三方链接被篡改单位

2023年6月,北京市公安局网安总队发现北京某单位二级页面显示博彩网站内容。

经进一步核查,事件的起因系该单位主页上链接到其签约广告商的链接域名停用后,被一博彩网站抢注,致使通过互联网访问该域名时,显示为博彩网站页面,造成了不良影响。

针对该情况,北京公安网安部门根据《中华人民共和国网络安全法》等相关规定,对该单位相关负责人进行了约谈,并责令该单位对以上问题立即整改。

7

标准动态

1、国家标准《信息安全技术 基于个人信息的自动化决策安全要求》(征求意见稿)

本文件规定了个人信息处理者进行自动化决策处理活动时,在数据处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。

本文件适用于开展自动化决策活动的个人信息处理者规范其个人信息处理和决策活动,也适用于监管部门、第三方评估机构对自动化决策处理活动进行监督、管理、评估时参考。

详见:

https://mp.weixin.qq.com/s/PwCRJ_KT5mkEA5dHGU8TJw

2、国家标准《信息安全技术 数据安全风险评估方法》(征求意见稿)

本文件给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。

详见:

https://mp.weixin.qq.com/s/rWD6OPvIxXBoroYtoPYHPw

3、信安标委 关于下达4项网络安全推荐性国家标准计划的通知

国家标准《信息安全技术 网络弹性评价准则》(征求意见稿)

本文件给出了网络弹性评价模型,提出了对象系统分析、网络弹性功能和网络弹性架构的评价指标和评价方法。

本文件适用于组织对系统网络弹性能力的自评价,网络安全服务机构对系统弹性能力的第三方评价,也适用于系统网络弹性能力的设计、建设和提升。

详见:

https://std.samr.gov.cn/gb/search/gbDetailed?id=02DDA0845942A80BE06397BE0A0AE3ED

国家标准《信息安全技术 重要数据处理安全要求》(征求意见稿)

本文件规定了数据处理者处理重要数据的安全要求。

本文件适用于数据处理者对重要数据开展处理活动,也可供监管部门、评估机构或其他有关组织对重要数据处理活动实施安全监管、评估等活动时参考。

详见:

https://std.samr.gov.cn/gb/search/gbDetailed?id=02DDAC680647AD4CE06397BE0A0A1546

国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》(征求意见稿)

本文件规定了大型互联网企业建立和运行个人信息保护监督机构的要求,包括个人信息保护监督机构的设置、职责、工作规则,以及个人信息保护监督机构的成员等要求。

本文件适用于大型互联网企业建立和运行个人信息保护监督机构,也可为监管、检查、评估等活动提供参考。

详见:

https://std.samr.gov.cn/gb/search/gbDetailed?id=02DDB68A4C28AFA9E06397BE0A0A5C73

国家标准《信息安全技术 网络安全保险应用指南》(正在起草)

详见:

https://www.tc260.org.cn/front/postDetail.html?id=20230824092831

4、《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布

本《实践指南》围绕文本、图片、音频、视频四类生成内容给出了内容标识方法,可用于指导生成式人工智能服务提供者提高安全管理水平。

详见:

https://www.tc260.org.cn/front/postDetail.html?id=20230825190345

5、关于征求《信息安全技术 网络攻击和网络攻击事件判定准则》(征求意见稿)等3项国家标准意见的通知

国家标准《息安全技术 网络攻击和网络攻击事件判定准则》(征求意见稿)

本文件给出了网络攻击和网络攻击事件的描述信息要素、判定指标和计数标准。

本文件适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。

详见:

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=2023082609032374273&norm_id=20230424103821&recode_id=52846

国家标准《信息安全技术 消息鉴别码 第2部分:采用专用杂凑函数的机制》(征求意见稿)

本文件规定了采用专用杂凑函数的消息鉴别码(MAC)的用户使用要求,提供了3种采用专用杂凑函数的消息鉴别码算法。这些消息鉴别码算法可用于数据完整性检验,检验数据是否被非授权地改变。

本文件适用于安全体系结构、过程及应用的安全服务。

注:本文件定义的第一个MAC算法通常被称作MDx-MAC。它调用一次完整的杂凑函数,但对其中的轮函数做了细微的修改,把一个密钥加到了轮函数的附加常数上。第二个MAC算法通常被称作HMAC,它调用两次完整的杂凑函数。第三个MAC算法是MDx-MAC的一个变种,它限制输入长度不大于256比特。在只处理较短输入的情况下,它有更好的性能。

详见:

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230825183500&norm_id=20221102150344&recode_id=52782

国家标准《信息安全技术 数据交易服务安全要求》(征求意见稿)

本文件规定了数据交易服务安全要求,包括数据交易参与方、交易对象、交易平台及交易过程的安全要求。

本文件适用于数据供方、数据需方、数据交易场所、数据商、第三方专业服务机构规范其数据交易活动,也适用于监管部门、评估机构对数据交易服务安全进行监督、管理、评估。

详见:

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=2023082521552739858&norm_id=20221102144231&recode_id=52802

6、国家标准《信息安全技术 基于个人信息的自动化决策安全要求》(征求意见稿)公开征求意见

本文件规定了个人信息处理者进行自动化决策处理活动时,在数据处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。

本文件适用于开展自动化决策活动的个人信息处理者规范其个人信息处理和决策活动,也适用于监管部门、第三方评估机构对自动化决策处理活动进行监督、管理、评估时参考。

详见:

https://std.samr.gov.cn/gb/search/gbDetailed?id=F7EFE1C8787724CDE05397BE0A0A7080

7、2023年第一批27项网络安全国家标准项目立项启动

详见:

https://mp.weixin.qq.com/s/ay06IRCIE9IGSMpVWEDqgA

8、中国互联网协会关于《跨境数据流通技术要求》(征求意见稿)公开征求意见的通知

本文件规定了数据跨境的模式、基本原则、基本流程,以及跨境过程中相关方的行为准则与信息安全保障措施。

本文件适用于开展数据跨境活动的相关机构参考使用,并为数据跨境活动的相关机构信息安全控制措施的部署提供指导。

详见:

https://www.isc.org.cn/article/17675451357720576.html

8

最新政策法规动态

1、《北京市互联网诊疗监管实施办法(试行)》(征求意见稿)公开征求意见

为进一步规范本市互联网诊疗活动,加强互联网诊疗监管,根据《基本医疗卫生与健康促进法》《医师法》《中医药法》《医疗机构管理条例》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》《互联网诊疗监管细则(试行)》等法律法规和规定要求,结合北京市实际情况,北京市卫生健康委起草了《北京市互联网诊疗监管实施办法(试行)》(征求意见稿)(下称“《实施办法》”)。现向社会公开征求意见,公开征求意见时间:2023年8月17日至9月16日。

第五部分为质量安全监管。明确了互联网诊疗活动的医疗质量、患者安全、网络安全、信息反馈渠道、不良事件报告、发布内容等监管责任要求。

详见:

http://wjw.beijing.gov.cn/hudong/zhengji/wjw/detail.html?id=64dd8d32bc96b613ff7625bd

2、《人工智能法示范法1.0(专家建议稿)》发布 提出负面管理清单等多项创新措施

8月15日,中国社会科学院国情调研重大项目《我国人工智能伦理审查和监管制度建设状况调研》起草组发布《人工智能法示范法1.0(专家建议稿)》。强调以国家机关的先行先试促进人工智能的推广应用。采用负面清单管理制度对人工智能进行风险管理,负面清单内的研发、提供活动采取许可机制,实行事前监管;负面清单外的研发、提供活动则采取备案机制,事后监管机制。创设性提出设置国家人工智能主管机关,负责统筹人工智能发展和管理。坚持发展导向,设计了尽职免责等相应条款,以为人工智能创新活动提供宽松政策环境。

3、国家金融监管总局等五部门联合发布《关于规范货币经纪公司数据服务有关事项的通知》

8月30日,国家金融监督管理总局、中国人民银行、中国证券监督管理委员会、国家互联网信息办公室、国家外汇管理局联合发布《关于规范货币经纪公司数据服务有关事项的通知》,从“加强数据治理、确保数据安全”,“规范提供数据标准、提高数据服务质量”,“明确可接受服务的机构范围,加强合作管理”,“签订服务协议,规范数据使用”等四方面对货币经纪公司提出要求,旨在规范货币经纪公司提供数据服务,鼓励数据依法合理利用,确保数据安全。

详见:

http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1124968&itemId=928

4、财政部印发《企业数据资源相关会计处理暂行规定》

为规范企业数据资源相关会计处理,强化相关会计信息披露,近日,财政部制定印发了《企业数据资源相关会计处理暂行规定》(以下简称《暂行规定》),自2024年1月1日起施行。

财政部相关负责人指出,目前,有关各方积极推动数据要素市场建设,对数据资源是否可以作为资产确认、作为哪类资产确认和计量,以及如何进行相关信息披露等相关会计问题较为关注,制定《暂行规定》将有助于进一步推动和规范数据相关企业执行会计准则,准确反映数据相关业务和经济实质。同时,将推进会计领域创新研究,进一步强化数据资源相关信息披露,有助于为有关监管部门完善数字经济治理体系、加强宏观管理提供会计信息支撑。

《暂行规定》明确了适用范围和数据资源会计处理适用的准则,以及列示和披露要求。要求企业应当根据重要性原则并结合实际情况增设报表子项目,通过表格方式细化披露,并规定企业可根据实际情况自愿披露数据资源(含未作为无形资产或存货确认的数据资源)的应用场景,引导企业主动加强数据资源相关信息披露。

为推动《暂行规定》有效贯彻实施,财政部将组织开展对省级财政部门等的师资培训,规范企业数据资源相关会计处理;跟踪关注数据资源实务发展和《暂行规定》执行情况,会同有关各方进一步就实务中关注的重点问题深入研究;持续加强数据资源相关会计问题研究,持续发挥会计在服务数据资源业务和数字经济发展方面的基础性作用。

详见:

http://kjs.mof.gov.cn/zhengcefabu/202308/t20230821_3903354.htm


文章来源: https://mp.weixin.qq.com/s?__biz=MzU5OTQ0NzY3Ng==&mid=2247494820&idx=2&sn=8d66eca96c933bd3a04b307875688f13&chksm=feb66db7c9c1e4a1f3be4805bb5ede3e535c80fa47263e4f962f9924805c59b5023cb9c3b20e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh