近三分之一國家將在三年內規范勒索軟件響應
【《個人信息跨境處理活動安全認證規范》發布,規范個人信息跨境活動】
為落實《個人信息保護法》關于建立個人信息保護認證制度的相關要求,指導個人信息處理者規范開展個人信息跨境處理活動,全國信息安全標準化技術委員會發布了《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》。《認證規范》從基本原則、個人信息處理者和境外接收方在跨境處理活動中應遵循的要求、個人信息主體權益保障等方面提出了要求,為認證機構實施個人信息保護認證提供跨境處理活動認證依據,也為個人信息處理者規范個人信息跨境處理活動提供參考。《認證規范》作為認證機構對個人信息跨境處理活動進行個人信息保護認證的基本要求,適用于1、跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動;2、《中華人民共和國個人信息保護法》第三條第二款適用的個人信息處理活動。跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動可以由境內一方申請認證,并承擔法律責任。
【優秀網絡安全預測:近三分之一的國家將在三年內規范勒索軟件響應】
高管績效評估將越來越多地與管理網絡風險的能力聯系起來,根據Gartner透露的頂級網絡安全預測,近三分之一的國家將在未來三年內規范勒索軟件響應,安全平臺整合將幫助組織在敵對環境中蓬勃發展。在悉尼Gartner安全與風險管理峰會的開幕主題演講中,Gartner高級總監分析師Richard Addiscott和Gartner管理副總裁Rob McMillan討論了Gartner網絡安全專家準備的頂級預測,以幫助安全和風險管理領導者在數字時代取得成功。Gartner建議網絡安全領導者在未來兩年的安全戰略中構建戰略規劃假設。到2023年,要求組織提供消費者隱私權的政府法規將覆蓋50億公民和全球GDP的70%以上;到2025年,80%的企業將采用一種策略,從單個供應商的SSE平臺統一Web,云服務和私有應用程序訪問;到2025年,60%的組織將把零信任作為安全的起點。超過一半的人將無法實現這些好處。到2025年,60%的組織將使用網絡安全風險作為進行第三方交易和業務活動的主要決定因素;到2025年,30%的國家將通過立法來規范勒索軟件支付,罰款和談判;到2025年,威脅行為者將成功地將作戰技術環境武器化,造成人員傷亡;到2026年,50%的C級高管將在雇傭合同中納入與風險相關的績效要求。
【《互聯網用戶賬號信息管理規定》發布,8月1日施行】
6月27日,國家網信辦發布《互聯網用戶賬號信息管理規定》,自2022年8月1日起施行。國家網信辦有關負責人表示,出臺《規定》,旨在加強對互聯網用戶賬號信息的管理,弘揚社會主義核心價值觀,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,促進互聯網信息服務健康發展。近年來,各類互聯網信息服務迅速發展,互聯網用戶賬號信息體現用戶個性特征,方便在線交流,成為億萬網民展示自我的重要載體。但同時,通過注冊、使用賬號信息,編造傳播虛假信息、實施網絡暴力等行為時有發生,危害國家安全和社會公共利益,侵犯公民、法人和其他組織的合法權益。制定《規定》是規范互聯網用戶注冊、使用和互聯網信息服務提供者管理賬號信息行為的需要,是維護意識形態安全、社會公平公正和網民合法權益的需要,也是防范化解國家安全風險、維護網絡空間良好生態的需要。國家互聯網信息辦公室有關負責人指出,互聯網用戶賬號信息治理需要政府、企業、網民等多方主體共同參與,弘揚社會主義核心價值觀,維護國家安全和社會公共利益,營造更加清朗的網絡空間。
安全動態
【工商銀行領“罰單”:收集與業務無關的消費者金融信息】
近日,中國人民銀行長沙中心支行披露的行政處罰信息顯示,工商銀行湖南省分行存在九項違法行為,被警告并處91.8萬元罰款:1.占壓財政資金;2.假幣收繳業務監控保存期限少于3個月;3.結算賬戶未按規定備案;4.錯報、漏報投訴數據;5.未按要求向金融消費者披露與金融產品和服務有關的重要內容;6.收集與業務無關的消費者金融信息;7.未建立以分級授權為核心的消費者金融信息使用管理制度;8.未按規定開展持續的客戶身份識別;9.未按規定對高風險客戶采取強化識別措施。同時,時任工商銀行湖南省分行銀行卡中心總經理李克平對前述第8、9項違規負有責任,被處3.5萬元罰款。未按規定開展持續的客戶身份識別、未按規定重新識別客戶、未按規定對高風險客戶采取強化識別措施均為反洗錢領域的常見違規行為。商業銀行一直是反洗錢違規處罰的重災區,人民銀行近期公布的2021年反洗錢監督管理工作總體情況顯示,2021年人民銀行全系統完成對401家違規機構的處罰,罰款金額共3.21億元,對759名違規個人罰款1936萬元,兩項罰款合計3.41億元。
【被曝高危漏洞,威脅行為者可獲取Amazon Photos文件訪問權限】
近期,Checkmarx的網絡安全研究人員發現了一個影響安卓上的Amazon Photos應用程序嚴重漏洞,如果該漏洞被行為威脅者利用的話,就可能導致被安裝在手機上的惡意應用程序竊取用戶的亞馬遜訪問令牌。從技術角度來看,當各種Amazon應用程序接口(API)對用戶進行身份驗證時,就需要Amazon訪問令牌,其中一些接口在攻擊期間可能會暴露用戶的個人身份信息(PII)。其他一些應用程序接口,像Amazon Drive API,可能允許威脅參與者獲得對用戶文件的完全訪問權限。根據Checkmarx的說法,該漏洞源于照片應用程序組件之一的錯誤配置,這將允許外部應用程序訪問它。每當啟動此應用時,它會觸發一個帶有客戶訪問令牌的HTTP請求,而接收該請求的服務器就能被其控制。研究人員表示,在掌握這一點后,安裝在受害者手機上的惡意應用程序可能會發送一個指令,并發送請求到攻擊者控制的服務器上。當攻擊者有足夠的操作空間,勒索軟件就很容易成為可能的攻擊載體,惡意操作人員可以讀取、加密和重寫客戶的文件,同時還能刪除他們的歷史記錄。在發現這組漏洞后,Checkmarx第一時間聯系了Amazon Photos開發團隊。“由于該漏洞的潛在影響很大,并且在實際攻擊場景中成功的可能性很高,亞馬遜認為這是一個嚴重程度很高的問題,并在報告后不久就發布了修復程序。”
【MITRE發布最危險軟件漏洞TOP25榜單】
MITRE近日發布了最常見和最危險的25個軟件漏洞列表(CWE Top25),這些漏洞很容易被發現和利用,潛在破壞力很大,而且在過去兩年中發布的軟件中很常見。軟件漏洞指在軟件解決方案的代碼、架構、實現或設計中發現的缺陷、錯誤、漏洞或各種其他錯誤。他們可能會將正在運行的系統暴露在攻擊之下,從而使攻擊者能夠控制受影響的設備、訪問敏感信息或觸發拒絕服務條件。創建CWE Top25列表時,MITRE分析了NIST的國家漏洞數據庫(NVD)和CISA的已知利用漏洞(KEV)目錄中的37,899個CVE的數據后,根據其普遍性和嚴重程度對每個漏洞進行了評分。
【伊朗最大的鋼鐵生產商遭遇網絡攻擊】
據外媒報道,伊朗最大的鋼鐵生產商Khouzestan Steel Company(KSC)已承認遭遇嚴重網絡攻擊而被迫停產,這也是近年來針對該國戰略工業部門的最大規模此類攻擊之一。KSC對此表示,由于在“網絡攻擊”后“存在技術問題”,該工廠必須停工直至接到進一步的通知。6月27日,該公司網站也因此關閉。不過,KSC公司CEO稱,已經有效挫敗了這一次網絡攻擊,生產線并未受到結構性損害,也不會影響供應鏈和客戶。KSC公司隸屬于政府下轄的伊朗礦業發展和改革組織(IMIDRO),是伊朗三大鋼鐵巨頭公司之一,大量出口鋼鐵加工產品。在遭遇網絡攻擊之后,KSC網站無法訪問,公司隨即停止運營。針對這一事件,KSC首席執行官Amin Ebrahimi表示,公司已經有效阻止了這一次網絡攻擊,并能夠避免對制造部門造成內部損害,從而防止供應鏈中斷。Ebrahimi還強調“足夠高的意識和較短的應急響應時間”,使得這次攻擊被挫敗。目前,尚未有網絡攻擊組織對該攻擊負責,KSC也沒有指出任何可疑的襲擊組織。在美國對伊朗實施制裁后,該公司被迫減少對進口零部件的依賴,從而影響了其業務。
【沃爾瑪遭美監管機構起訴:涉嫌為詐騙提供轉賬服務】
據報道,當地時間周二,美國聯邦貿易委員會(FTC)表示已起訴沃爾瑪,稱該公司在防止詐騙犯利用其轉賬服務實施詐騙方面做得太少,導致消費者每年損失數千萬美元。沃爾瑪公司提供一些金融服務,是速匯金(MoneyGram)和西聯匯款(Western Union)等轉賬服務的代理。FTC表示,多年來,沃爾瑪即使在有欺詐嫌疑的情況下也會支付匯款,而未能采取其它措施防止消費者被欺詐。“消費者報告稱,沃爾瑪員工每年經手有欺詐傾向的轉賬金額高達數千萬美元,”FTC在向美國伊利諾斯州北部地區法院提交的訴狀中稱。起訴書稱,沃爾瑪非常清楚,欺詐者偽裝手段多樣,利用沃爾瑪的轉賬服務向詐騙團伙轉移現金。盡管如此,沃爾瑪仍在繼續處理由欺詐引發的資金轉移——為電話營銷和其他騙局提供資金——而沒有采取措施有效檢測和阻止這些轉賬。”沃爾瑪在一份聲明中表示,將迎戰這場所謂的“有事實缺陷和沒有法律依據”的訴訟。FTC表示,它正在要求法院命令沃爾瑪將損失的資金返還給消費者,并支付民事罰款。委員會對提起訴訟的投票結果為3比2,委員會中三名民主黨議員對此表示贊成,兩名共和黨議員反對。
來源:
原文鏈接:https://baijiahao.baidu.com/s?id=1737120354180133945
