1、网信办《数据出境安全评估办法 (征求意见稿)》
为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。
数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。
数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
来源:网信中国(公众号)
2、工业控制系统信息安全与功能安全研究
我国是工业大国,自“十三五”以来,工业总量规模稳步提升。随着工业化和信息化融合加速,工控系统接口越来越开放,解决外部对系统恶意入侵的工业信息安全问题日益严重,国家出台大量举措,大力加强工业信息安全保障能力建设。除工业信息安全,功能安全也同为重要,早期人们对电子技术和计算机系统的可靠性、安全性没有信心,而功能安全保证电气、电子、计算机、现场总线技术构成的安全相关系统安全,现今通过外部网络攻击也可能会影响功能安全。
2008年,伊拉克向土耳其输送原油的输油管道发生爆炸,土耳其为监控1099英里石油管道,在这条管道内安装了大量探测器和摄像头。然而在爆炸将管道破坏前,却没有引发遇险信号。根据事故调查,缘由黑客关闭了警报、切断了通信联系、给管道内的原油大幅增压。可以看出工业控制系统的信息安全可能直接影响功能安全问题,轻则造成财产损失,重则造成人身伤害危害国家安全,于是早期为保障安全相关系统的功能安全再次进入人们的视线。
功能安全是依赖自动保护的系统或设备整体安全的一部分,该自动保护系统需要对其输入做出正确响应,对失败有可预测的反应这包括人为错误、硬件故障和操作/环境压力。工业信息安全影响功能安全的三种情况:1. 网络攻击导致功能安全的失效,继而影响系统安全;2、工业信息安全产品影响功能安全;3、工业信息安全加强功能安全,继而提升工业安全。
来源:关键基础设施安全应急响应中心
3、三部门发布《“十四五”电子商务发展规划》
为深入贯彻落实党中央、国务院关于发展数字经济、建设数字中国的总体要求,进一步推动“十四五”时期电子商务高质量发展,根据《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》和《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,商务部、中央网信办和发展改革委研究编制了《“十四五”电子商务发展规划》。
来源:网信中国(公众号)
4、Gartner:2021-2022年8大网络安全预测
Gartner分析师预测,未来几年将出现更多的权利下放、监管措施和安全问题。您应当将这些战略规划设想纳入未来一年的路线规划。
1、到2023年底,现代隐私法案将涵盖全球75%人口的个人信息。2、到2024年,采用网络安全网格(cybersecurity mesh) 架构的组织,将把安全事件对财务造成的影响平均降低90%。3、到2024年,30%的企业将采用来自同一供应商的云交付安全Web网关(SWG)、云访问安全代理(CASB)、零信任网络访问(ZTNA)和防火墙即服务(FWaaS)功能。4、到2025年,60%的组织将把网络安全风险作为进行第三方交易和业务往来的主要决定因素。5、到2025年底,通过立法来规范勒索软件的赎金支付、罚款和谈判的民族国家比例将上升至30%,而2021年这一比例还不到1%。6、到2025年,40%的董事会将会设立专门的网络安全委员会,并由一名具备资质的董事会成员监督。7、到2025年,70%的首席执行官将要求建立组织弹性文化,以应对同时来自网络犯罪、恶劣天气事件、国内动乱和政治动荡的威胁。8、到2025年,威胁行为者会成功地将运营技术环境武器化,足以造成人员伤亡。
来源:secrss.com
5、BEC过去一年让英国公司损失1.38亿英镑
根据英国国家经济犯罪中心(NECC)的最新数据,在过去12个月中,报告的商业电子邮件欺诈(BEC)事件已达到4600起,给个人和企业造成了1.38亿英镑的损失。
该政府机构正与国家犯罪局(NCA)、伦敦市警察局、英国金融和欺诈预防银行集团(UK Finance and fraud prevention)非营利性Cifas合作开展一项新的活动,以提高人们对犯罪的认识,也称为“强制欺诈”或“支付转移欺诈”。
在这4600起案件中,平均损失金额为30000英镑,犯罪分子通常冒充他人,伪造或修改发票,诱骗受害者将钱转入他们控制的账户。通常,合法的电子邮件帐户会通过网络钓鱼劫持或使用域名抢注等技术进行冒充以增加汇款请求的合法性。
来源:GoUpSec(公众号)
6、英国最大零售商乐购公司网站遭攻击
当地时间23日,英国最大零售商乐购公司的网站和App遭到攻击,客户无法浏览商品和下单,查询订单也出现故障。据英国媒体报道,乐购公司的网站和App在周末两天都受到干扰。乐购公司一名发言人称,有人试图干扰网络系统,导致网站搜索功能出现问题。公司在其社交媒体账号上承认公司的网站出现了技术问题,并表示团队正在努力修复,客户数据目前处于安全状态。
截至当地时间24日18时,乐购通过其社交媒体账号表示,网站和App已经恢复正常。
来源:互联网安全内参(公众号)
7、美国糖果巨头遭受勒索软件袭击
美国伊利诺伊州的糖果巨头费拉拉(Ferrara)公司在准备迎接其最大假期之一“万圣节”的前几周遭到勒索软件攻击。该公司在一份声明中告诉 ZDNet,“在 10 月 9 日他们遭受了一次勒索软件攻击,该攻击对他们的一些系统进行了加密。”
“一经发现,我们立即对所有系统进行安全防护,并开始调查这起事件的性质和范围。Ferrara正在与执法部门合作,我们的技术团队正在与第三方专家密切合作,以尽可能快速、全面、安全地恢复受影响的系统。”费拉拉在给ZDNet的一份声明中说。
费拉拉没有说明是否支付了赎金或哪个勒索软件组织攻击了他们的系统。网络安全公司 Glasswall 的首席执行官Danny Lopez表示,攻击者在万圣节前夕袭击一家糖果公司的供应链可能并非巧合——因为他完全清楚每年这个时候生产商的紧迫性和用户需求量会增加他们能大概率获得所需付款的可能性。
来源:secrss.com
