1.【政策法规】国家互联网信息办公室发布《数字中国发展报告(2022年)》
为贯彻落实党中央、国务院关于建设数字中国的重要部署,深入实施《数字中国建设整体布局规划》,国家互联网信息办公室会同有关方面系统总结2022年各地区、各部门推进数字中国建设取得的主要成效,开展数字中国发展地区评价,展望2023年数字中国发展工作,编制形成《数字中国发展报告(2022年)》。
2.【政策法规】李强签署国务院令 公布修订后的《商用密码管理条例》
国务院总理李强日前签署国务院令,公布修订后的《商用密码管理条例》,自2023年7月1日起施行。党中央、国务院高度重视商用密码工作。近年来,随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,2020年施行的密码法对商用密码管理制度进行了结构性重塑。为了贯彻落实行政审批制度改革精神,细化密码法相关制度,对1999年公布的《条例》进行了全面修订。
3.【政策法规】关于征求《信息安全技术 网络和终端隔离产品技术规范》(征求意见稿)等2项国家标准意见的通知
全国信息安全标准化技术委员会归口的《信息安全技术 网络和终端隔离产品技术规范》、《信息安全技术 人工智能计算平台安全框架》等2项国家标准现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该2项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于2023年7月14日24:00前反馈秘书处。
4.【行业分析】ChatGPT的六大合规风险
ChatGPT在全球科技行业掀起了生成式人工智能的“军备竞赛”,但是人们对生成式人工智能(AIGC)的合规风险普遍认识不足。Gartner最近撰文指出,企业法务和合规负责人应该认知并解决企业面临的六种ChatGPT合规风险,并开始建立护栏确保企业能安全且负责任地使用生成式人工智能工具。这些风险包括捏造的或失实信息、数据隐私和机密性、模型和输出偏差、知识产权(IP)和版权风险、网络欺诈风险、消费者保护风险。
5.【行业分析】大多数勒索软件都是这三种攻击途径
近期,老牌网络安全供应商卡巴斯基发布了其2022年事件响应报告。报告题为《网络事件的本质》,其中数据揭示,2022年成功勒索软件攻击中用到的主要攻击途径包括利用公开应用中的漏洞(占所有事件的43%)、运用被盗账户(24%)和通过恶意电子邮件(12%)。相比上一年,应用漏洞利用和恶意电子邮件在所有攻击中的占比有所下降;而被盗账户运用则从2021年的18%增加到了24%。大多数勒索软件攻击者通过漏洞利用、被盗凭证、网络钓鱼三个主要攻击途径之一入侵网络和染指企业的关键系统及数据。
6.【安全事件】军工巨头莱茵金属遭勒索软件攻击
德国军工巨头莱茵金属(Rheinmetall)近日证实遭受了BlackBasta勒索软件攻击,影响了其民用业务。莱茵金属的制造业务覆盖汽车、军用车辆、武器、防空系统、发动机和各种钢铁产品,拥有超过2.5万名员工,年收入超过70亿美元。BlackBasta在其勒索网站上发布了从莱茵金属窃取的数据样本。公布的数据样本包括保密协议、技术原理图、护照扫描件和采购订单。
7.【安全事件】超100GB!特斯拉曝数据泄露丑闻,自动驾驶安全问题超乎想象
近日,有知情人士向《德国商报》泄露了一组数据,且数据经专家证实均为真实数据。特斯拉曾试图阻止《德国商报》将这些数据报道出来,甚至威胁称将对其采取法律行动。据悉,这些数据来自特斯拉 IT 系统,覆盖了美国、欧洲和亚洲特斯拉车主报告的投诉,时间跨度从2015年至2022年3月。《德国商报》称,在此期间特斯拉车主报告了2400多起自动加速问题和1500多起制动问题,其中包括 139起“意外紧急制动”报告和383起错误碰撞警告导致的“幽灵刹车”报告,客户纷纷表达了对安全的担忧。目前,特斯拉方面的律师透露称,该公司怀疑前员工为告密者。
8.【安全事件】勒索软件黑客采用BYOVD攻击手法,使用AuKill工具禁用EDR软件
威胁分子如今正在使用一种名为AuKill的以前未正式记录的“防御逃避工具”,该工具旨在通过自带易受攻击的驱动程序(BYOVD)攻击来禁用端点检测和响应(EDR)软件。研究人员在一份报告中声称:“AuKill工具滥用了微软实用程序Process Explorer版本16.32所使用的过时驱动程序,在目标系统上部署后门或勒索软件之前禁用了EDR进程。”自2023年初以来,AuKill被用于部署各个勒索软件变种,比如Medusa Locker和LockBit。到目前为止,已经确定了六个不同的恶意软件变种。BYOVD技术依赖威胁分子滥用由微软签名的合法但过时且可利用的驱动程序,以获得提升的特权,并关闭安全机制。
9.【安全事件】GDPR最高罚单!Meta因数据传输违规被重罚12亿欧元
近日,爱尔兰数据保护委员会(以下称爱尔兰DPC)宣布对Meta Platforms Ireland(以下称Meta爱尔兰)采取执法行动,对其处以创纪录的12亿欧元罚款,这也是GDPR实施近五年以来的最高罚款。爱尔兰DPC同时要求Meta爱尔兰旗下的Facebook在此处罚决定发布后的五个月内停止向美国转移个人数据,六个月内停止在美国非法处理(包括存储)欧盟和欧洲经济区用户的个人数据,以使其处理个人数据的操作符合GDPR规定。欧洲数据保护委员会(EDPB)主席表示:“EDPB发现Meta的侵权行为非常严重,因为它涉及到系统地、重复地和连续地个人数据转移。Facebook在欧洲拥有数百万用户,因此传输的个人数据量是巨大的。这笔史无前例的罚款向企业发出了一个强烈信号,即严重的侵权行为会产生深远的后果。”