近三分之一国家将在三年内规范勒索软件响应
【《个人信息跨境处理活动安全认证规范》发布,规范个人信息跨境活动】
为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求,指导个人信息处理者规范开展个人信息跨境处理活动,全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。《认证规范》从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息保护认证提供跨境处理活动认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。《认证规范》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于1、跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;2、《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证,并承担法律责任。
【优秀网络安全预测:近三分之一的国家将在三年内规范勒索软件响应】
高管绩效评估将越来越多地与管理网络风险的能力联系起来,根据Gartner透露的顶级网络安全预测,近三分之一的国家将在未来三年内规范勒索软件响应,安全平台整合将帮助组织在敌对环境中蓬勃发展。在悉尼Gartner安全与风险管理峰会的开幕主题演讲中,Gartner高级总监分析师Richard Addiscott和Gartner管理副总裁Rob McMillan讨论了Gartner网络安全专家准备的顶级预测,以帮助安全和风险管理领导者在数字时代取得成功。Gartner建议网络安全领导者在未来两年的安全战略中构建战略规划假设。到2023年,要求组织提供消费者隐私权的政府法规将覆盖50亿公民和全球GDP的70%以上;到2025年,80%的企业将采用一种策略,从单个供应商的SSE平台统一Web,云服务和私有应用程序访问;到2025年,60%的组织将把零信任作为安全的起点。超过一半的人将无法实现这些好处。到2025年,60%的组织将使用网络安全风险作为进行第三方交易和业务活动的主要决定因素;到2025年,30%的国家将通过立法来规范勒索软件支付,罚款和谈判;到2025年,威胁行为者将成功地将作战技术环境武器化,造成人员伤亡;到2026年,50%的C级高管将在雇佣合同中纳入与风险相关的绩效要求。
【《互联网用户账号信息管理规定》发布,8月1日施行】
6月27日,国家网信办发布《互联网用户账号信息管理规定》,自2022年8月1日起施行。国家网信办有关负责人表示,出台《规定》,旨在加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。近年来,各类互联网信息服务迅速发展,互联网用户账号信息体现用户个性特征,方便在线交流,成为亿万网民展示自我的重要载体。但同时,通过注册、使用账号信息,编造传播虚假信息、实施网络暴力等行为时有发生,危害国家安全和社会公共利益,侵犯公民、法人和其他组织的合法权益。制定《规定》是规范互联网用户注册、使用和互联网信息服务提供者管理账号信息行为的需要,是维护意识形态安全、社会公平公正和网民合法权益的需要,也是防范化解国家安全风险、维护网络空间良好生态的需要。国家互联网信息办公室有关负责人指出,互联网用户账号信息治理需要政府、企业、网民等多方主体共同参与,弘扬社会主义核心价值观,维护国家安全和社会公共利益,营造更加清朗的网络空间。
安全动态
【工商银行领“罚单”:收集与业务无关的消费者金融信息】
近日,中国人民银行长沙中心支行披露的行政处罚信息显示,工商银行湖南省分行存在九项违法行为,被警告并处91.8万元罚款:1.占压财政资金;2.假币收缴业务监控保存期限少于3个月;3.结算账户未按规定备案;4.错报、漏报投诉数据;5.未按要求向金融消费者披露与金融产品和服务有关的重要内容;6.收集与业务无关的消费者金融信息;7.未建立以分级授权为核心的消费者金融信息使用管理制度;8.未按规定开展持续的客户身份识别;9.未按规定对高风险客户采取强化识别措施。同时,时任工商银行湖南省分行银行卡中心总经理李克平对前述第8、9项违规负有责任,被处3.5万元罚款。未按规定开展持续的客户身份识别、未按规定重新识别客户、未按规定对高风险客户采取强化识别措施均为反洗钱领域的常见违规行为。商业银行一直是反洗钱违规处罚的重灾区,人民银行近期公布的2021年反洗钱监督管理工作总体情况显示,2021年人民银行全系统完成对401家违规机构的处罚,罚款金额共3.21亿元,对759名违规个人罚款1936万元,两项罚款合计3.41亿元。
【被曝高危漏洞,威胁行为者可获取Amazon Photos文件访问权限】
近期,Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos应用程序严重漏洞,如果该漏洞被行为威胁者利用的话,就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。从技术角度来看,当各种Amazon应用程序接口(API)对用户进行身份验证时,就需要Amazon访问令牌,其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口,像Amazon Drive API,可能允许威胁参与者获得对用户文件的完全访问权限。根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。每当启动此应用时,它会触发一个带有客户访问令牌的HTTP请求,而接收该请求的服务器就能被其控制。研究人员表示,在掌握这一点后,安装在受害者手机上的恶意应用程序可能会发送一个指令,并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间,勒索软件就很容易成为可能的攻击载体,恶意操作人员可以读取、加密和重写客户的文件,同时还能删除他们的历史记录。在发现这组漏洞后,Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大,并且在实际攻击场景中成功的可能性很高,亚马逊认为这是一个严重程度很高的问题,并在报告后不久就发布了修复程序。”
【MITRE发布最危险软件漏洞TOP25榜单】
MITRE近日发布了最常见和最危险的25个软件漏洞列表(CWE Top25),这些漏洞很容易被发现和利用,潜在破坏力很大,而且在过去两年中发布的软件中很常见。软件漏洞指在软件解决方案的代码、架构、实现或设计中发现的缺陷、错误、漏洞或各种其他错误。他们可能会将正在运行的系统暴露在攻击之下,从而使攻击者能够控制受影响的设备、访问敏感信息或触发拒绝服务条件。创建CWE Top25列表时,MITRE分析了NIST的国家漏洞数据库(NVD)和CISA的已知利用漏洞(KEV)目录中的37,899个CVE的数据后,根据其普遍性和严重程度对每个漏洞进行了评分。
【伊朗最大的钢铁生产商遭遇网络攻击】
据外媒报道,伊朗最大的钢铁生产商Khouzestan Steel Company(KSC)已承认遭遇严重网络攻击而被迫停产,这也是近年来针对该国战略工业部门的最大规模此类攻击之一。KSC对此表示,由于在“网络攻击”后“存在技术问题”,该工厂必须停工直至接到进一步的通知。6月27日,该公司网站也因此关闭。不过,KSC公司CEO称,已经有效挫败了这一次网络攻击,生产线并未受到结构性损害,也不会影响供应链和客户。KSC公司隶属于政府下辖的伊朗矿业发展和改革组织(IMIDRO),是伊朗三大钢铁巨头公司之一,大量出口钢铁加工产品。在遭遇网络攻击之后,KSC网站无法访问,公司随即停止运营。针对这一事件,KSC首席执行官Amin Ebrahimi表示,公司已经有效阻止了这一次网络攻击,并能够避免对制造部门造成内部损害,从而防止供应链中断。Ebrahimi还强调“足够高的意识和较短的应急响应时间”,使得这次攻击被挫败。目前,尚未有网络攻击组织对该攻击负责,KSC也没有指出任何可疑的袭击组织。在美国对伊朗实施制裁后,该公司被迫减少对进口零部件的依赖,从而影响了其业务。
【沃尔玛遭美监管机构起诉:涉嫌为诈骗提供转账服务】
据报道,当地时间周二,美国联邦贸易委员会(FTC)表示已起诉沃尔玛,称该公司在防止诈骗犯利用其转账服务实施诈骗方面做得太少,导致消费者每年损失数千万美元。沃尔玛公司提供一些金融服务,是速汇金(MoneyGram)和西联汇款(Western Union)等转账服务的代理。FTC表示,多年来,沃尔玛即使在有欺诈嫌疑的情况下也会支付汇款,而未能采取其它措施防止消费者被欺诈。“消费者报告称,沃尔玛员工每年经手有欺诈倾向的转账金额高达数千万美元,”FTC在向美国伊利诺斯州北部地区法院提交的诉状中称。起诉书称,沃尔玛非常清楚,欺诈者伪装手段多样,利用沃尔玛的转账服务向诈骗团伙转移现金。尽管如此,沃尔玛仍在继续处理由欺诈引发的资金转移——为电话营销和其他骗局提供资金——而没有采取措施有效检测和阻止这些转账。”沃尔玛在一份声明中表示,将迎战这场所谓的“有事实缺陷和没有法律依据”的诉讼。FTC表示,它正在要求法院命令沃尔玛将损失的资金返还给消费者,并支付民事罚款。委员会对提起诉讼的投票结果为3比2,委员会中三名民主党议员对此表示赞成,两名共和党议员反对。
来源:
原文链接:https://baijiahao.baidu.com/s?id=1737120354180133945
