1.【政策法规】《数据安全技术 小型个人信息处理者个人信息保护指南》等5项国家标准公开征求意见
点击标题可查看详情链接
全国网络安全标准化技术委员会归口的《数据安全技术 小型个人信息处理者个人信息保护指南》等5项国家标准现已形成标准征求意见稿。近日,全国网络安全标准化技术委员会秘书处根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,将该5项标准征求意见稿面向社会公开征求意见。
根据2026年4月30日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2026年第21号),全国网络安全标准化技术委员会归口的10项国家标准正式发布。具体清单如下:
近日,网络犯罪分子入侵亚洲岛国斯里兰卡财政部,窃取了原本用于偿还对澳大利亚债务的数百万澳元资金。斯里兰卡政府确认,犯罪分子在入侵该部门的计算机系统和电子邮件服务器后,造成超过370万澳元(约合人民币1810万元)的损失。这是斯里兰卡国家机构遭黑客窃取金额最大的一起案件,对这个负债累累的国家而言构成了沉重打击。财政部秘书表示,当局在发现财政部电子邮件服务器被入侵后收到告警,随即发现一笔原本应支付给澳大利亚的款项已经消失。他说:“刑事调查人员正在对此展开调查,我们目前无法提供更多细节。”斯里兰卡当局已寻求包括澳大利亚在内的外国执法机构提供协助。
朝鲜政府支持的黑客组织Kimsuky近期针对处方药制药企业发起定向攻击,使用名为"White Life Science ERP Specification"的精心伪装恶意文件。攻击者通过伪造Excel文档诱骗员工运行恶意代码,从而悄无声息地获取受害者系统访问权限。此次攻击表明,高级威胁行为体仍在依赖简单但有效的欺骗手段入侵敏感行业。该恶意软件以名为White Life Science ERP Specification.lnk的Windows快捷方式文件形式出现,其图标被伪装成Excel表格。当用户打开这份看似普通的业务文档时,一系列隐藏脚本将在后台悄然运行,不留下任何可见感染痕迹。
近日,欧洲数据保护机构对打车应用Yango的运营公司MLU B.V.处以1亿欧元(约合人民币8.01亿元)罚款。此前调查发现,该公司在未采取欧盟法律规定保护措施的情况下,将出租车用户的个人数据传输至俄罗斯。监管机构还要求该公司立即停止向俄罗斯传输欧洲用户数据。这是欧洲首次针对向俄罗斯传输数据作出的联合裁决。这项决定源于一项联合调查,由荷兰数据保护局牵头,芬兰和挪威监管机构共同参与。由于外界对Yango如何处理芬兰和挪威出租车平台乘客及司机的个人信息提出担忧,监管机构于2023年启动调查。总部位于荷兰的MLU B.V.负责管理Yango在欧洲的数据业务。该公司隶属于Yandex集团,后者在多个市场运营科技和交通运输服务。
点击标题可查看详情链接
近日,网络安全研究人员发现,Ollama框架中存在一个被追踪为(CVE-2026-7482)的关键漏洞,可能导致超过30万台暴露在互联网上的服务器面临敏感信息泄露风险。该漏洞由Cyera研究团队发现并命名为"Bleeding Llama",源于Ollama模型量化管道中的堆越界读取缺陷。Ollama作为在本地硬件上运行AI模型的最流行框架之一,其漏洞不仅影响互联网暴露的服务器,如果未实施访问限制,本地局域网中的服务器同样面临泄露风险。未经身份验证的攻击者可通过向Ollama API端点上传特制文件,导致应用程序泄露其进程内存,包括系统提示、用户消息、环境变量等敏感数据。
根据国际研究公司Gartner的数据,2025年美国各州因隐私违规对企业开出的罚款总额达到34.5亿美元(约合人民币235.61亿元),超过过去五年的总和。这一巨大的增长幅度,主要是由于加利福尼亚等州更加完善且执行力度更强的隐私法律,也源于跨州执法新型合作机制的建立,以及对AI和自动化如何影响隐私问题的再次关注。数据显示,“监管机构的工作重点正从提升认知转向全面执法”,这表明与过去几年相比,各州在调查和惩处违反隐私法律的企业方面力度明显加大。Gartner在分析中指出,“这一趋势将在2026年及随后两年愈发常态化。”
AI已经在改变网络风险的经济逻辑,攻击者正在扩大攻击规模,缩短从漏洞发现到漏洞利用的时间,并增加企业每天面对的威胁数量。补丁和修复周期也在加速,常常超过组织自身的变更承受能力,使企业暴露在网络攻击者的自动化发现和利用之下。该文整理了目前应该重点关注的十项最有价值的任务,旨在为漏洞被发现和利用的速度和数量不断提升的环境做好准备,包括运行最新软件版本、用参考数据管理资产和软件组件、建立并运行稳健的漏洞管理计划、压力测试事件响应和韧性计划、了解主要SaaS和外包依赖、优化变更管理以提升速度、严格过滤生产系统的出站流量、移除员工权限中的常驻特权、管理远程访问并尽可能进行分段、将安全嵌入 AI 开发和部署生命周期。