1.【政策法规】《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》公开征求意见
为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展,工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全行政处罚裁量指引(试行)》。现向社会公开征求意见,如有意见或建议,请于2023年12月23日前反馈。
2.【政策法规】中国互联网金融协会正式发布《金融数据资产管理指南》等9项团体标准
经中国互联网金融协会第二届常务理事会2023年第一次会议审议通过,于2023年11月10日正式发布《金融数据资产管理指南》等9项团体标准。本次发布的9项标准的主题聚焦金融数据治理、数字化转型、数字征信,以及金融科技应用和自律管理等领域,标准规划设计的主要依据为《金融标准化“十四五”发展规划》《金融科技发展规划(2022-2025年)》和金融管理部门发布的相关政策规定和监管要求。
3.【安全事件】巴黎水务机构遭网络攻击,谁在干扰近千万人的污水处理?
近日,负责巴黎及周边九百万人污水处理工作的机构遭到网络攻击。巴黎都市区省际净水联合会(SIAAP)负责管理法国四个省,总长约275英里的污水管道。该机构表示,发现遭受网络攻击后已向司法警察和国家信息与自由委员会(CNIL)提出申诉。目前IT团队一直在努力保护工业系统,切断所有外部连接,以防攻击蔓延。官员们表示,他们已经优先采取措施,确保“法兰西岛居民享受的公共卫生服务不会中断。”
4.【安全事件】美国网络安全实验室遭遇重大数据泄露事件
据报道,美国一家以网络安全、核能和清洁能源研究而闻名实验室爱达荷国家实验室(INL)发生了员工数据泄露的重大事件,影响了支持其 Oracle HCM 系统的服务器,该系统支持其人力资源应用程序。INL 已立即采取行动保护员工数据。INL 已与联邦执法机构取得联系,包括联邦调查局、国土安全部网络安全和基础设施安全局,以调查此次事件中受影响数据的范围。一个未具名的黑客组织在社交媒体上声称对此次事件负责,并声称从 INL 获取了 "数十万 "个数据点。据报道,这些数据包括出生日期、电子邮件地址、电话号码、社会保险号、实际地址和就业信息。
5.【安全事件】勒索软件攻击导致加拿大政府发生大规模数据泄露
近日,加拿大政府宣布,其两家承包商遭到黑客攻击,导致数量不明的政府雇员敏感信息泄露。两家加拿大政府雇员提供搬家服务的承包商——Brookfield Global Relocation Services(BGRS)和SIRVA Worldwide Relocation&Moving Services遭到勒索软件攻击。据悉,被公开泄露的加拿大政府雇员信息存储在BGRS和SIRVA Canada的系统中,数据可追溯至1999年,涉及多个部门,包括加拿大皇家骑警(RCMP)、加拿大武装部队人员和加拿大政府雇员。尽管加拿大政府尚未公布攻击者信息,但勒索软件组织LockBit声称对SIRVA的系统进行了攻击,并在谈判破裂后公开泄漏了所窃取的数据。
6.【安全事件】大英图书馆确认遭受勒索攻击,业务完全恢复需要数周时间
大英图书馆是英国国家图书馆,也是世界上最大的图书馆之一,近期,大英图书馆对外披露,它正在经历一场未具体说明的网络安全事件,导致其位于伦敦和约克郡的网站出现“重大技术中断”,进而导致其网站、电话线路和现场服务(例如访客 Wi-Fi)瘫痪,部分中断的服务至今仍没有完全恢复。近日,大英图书馆正式确认了此次中断是由“以此类犯罪活动闻名的组织”发起的勒索软件攻击造成的。该组织表示,目前已发现一些内部数据被非法窃取并泄露,这些数据“可能来自图书馆的内部人力资源档案系统”。
7.【安全事件】年度最大安全事件:MOVEit黑客攻击波及2600多家企业
根据新西兰网络安全公司Emsisoft的最新报告,今年5月以来,文件传输服务MOVEit遭黑客攻击后波及了约2620家企业用户和7720万人。俄罗斯勒索软件团伙Cl0p声称对此次攻击负责。美国组织受到的冲击最大,受影响组织中有78.1%来自美国。加拿大受影响比例为14%,德国占1.4%,英国占0.8%。Emsisoft的调查结果基于公开披露信息,包括SEC文件、州级泄露通知以及Clop网站的数据。行业统计结果显示,受影响组织主要集中在教育领域,占比高达40.6%,其次是卫生(19.2%)和金融与专业服务(12.1%)。这次网络攻击波及范围之广极为罕见,甚至杀毒软件巨头Gen Digital(诺顿和Avast的母公司)也发生大规模数据泄漏,Avast泄漏了约300万个人用户数据。
8.【安全技术】2024年网络访问控制技术应用的6个趋势
实现网络安全访问控制是现代企业网络安全能力体系建设的一个关键概念,尤其是在企业数字化转型发展的时代背景下。通过有选择地限制和允许资源使用者进入某地方或访问某资源,可以为企业数据资产实现更好的保护,并对数据资源的使用情况进行审计。目前,常用的网络安全访问控制有多种类型,从简单的账号、密码组合到复杂的多因素身份验证不一而足,其覆盖的控制范围也各不相同。随着网络威胁不断发展,企业组织对新一代网络安全访问控制技术提出了新的应用要求。该文列举了2024年网络访问控制技术应用的6个趋势,包括用于身份管理的区块链、统一访问控制平台、无密码身份验证、增强型的隐私控制、智能化的访问控制、支持零信任架构。