新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
政策/标准/指南最新动态
01
欧盟委员会发布《数据法》指南
欧盟委员会发布了《数据法》指南,该指南强调数据共享和互操作性的重要性,旨在促进数据流通、支持创新,同时保护企业和个人权益。
详情:
https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained
02
英国成为首个禁止物联网设备默认使用弱密码的国家
PSTI 明确禁止使用 "admin "或 "12345 "等弱密码或容易被猜到的默认密码,还要求制造商公布联系方式,以便用户报告漏洞。不符合规定的产品可能会被召回,负有责任的公司可能面临最高 1000 万英镑(1253 万美元)的罚款或其全球收入的 4%,以较高者为准。
详情:
https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices
03
中国网络安全产业联盟发布《美国对全球网络空间安全与发展的威胁和破坏》
《报告》按照行为和时间脉络,共分为6篇,主要包括美国利用互联网渗透颠覆他国政权、实施无差别网络监控和窃密、对他国施行网络攻击与威慑、挑起网络空间军备竞赛、滥用政治手段扰乱全球产业链供应链、破坏网络空间规则与秩序等。
详情:
https://www.china-cia.org.cn/home/WorkDetail?id=662d929d0200330eb80a455f
04
Gartner:全球 63% 的组织已实施零信任战略
根据 Gartner的最新研究,全球 63% 的组织已在其部分或全部运营中实施了零信任战略,但对于许多组织来说,这些策略无法解决整个运营问题。
详情:
https://www.163.com/dy/article/J13JIB3O0552ZCE9.html
05
《2024年网络弹性风险指数报告》:92%的组织并未准备好应对AI安全挑战
报告指出92%的组织并未准备好应对AI安全挑战,强调了网络弹性对组织的重要性,并基于对超过500万台设备的分析,提出了三个主要风险因素:端点和网络访问安全应用程序故障、AI端点浪潮以及关键漏洞补丁延迟。报告建议组织采取包括自动修复和实时监
详情:
https://www.absolute.com/media/mzihnsao/abt-resilience-index-report.pdf
06
美国通过Tiktok剥离法案,不剥离将被禁用
4月23日晚,美国参议院通过了《保护美国人免受外国对手控制的应用程序法案》(即“Tiktok剥离法案”),并于24日由美国总统拜登签署成为法律,并正式生效。根据该法,如果字节跳动公司一年内不肯剥离其在美国的业务,将面临被禁用的命运。
详情:
https://www.thepaper.cn/newsDetail_forward_27145550
07
中央网信办宣布打击违法信息外链:聚焦账号头像 / 昵称、评论等多个环节
“网信中国”宣布,为集中整治人民群众反映强烈的违法信息外链问题,中央网信办专门印发通知,在全国范围内部署开展为期 2 个月的“清朗・打击违法信息外链”专项行动。
详情:
https://www.ithome.com/0/764/777.htm
08
两部门:加快构建数据基础制度,推动落实“数据二十条”
近日,国家发展改革委办公厅、国家数据局综合司印发《数字经济2024年工作要点》,对2024年数字经济重点工作作出部署,其中提出要全面筑牢数字安全屏障,增强网络安全防护能力,健全数据安全治理体系,切实有效防范各类风险。
详情:
https://www.thepaper.cn/newsDetail_forward_27209898
热点资讯
01
美国政府成功举办第九次网络风暴演习
美国网络安全和基础设施安全局(CISA)宣布,第九次“网络风暴”演习(Cyber Storm IX)已于 4 月 16 -18 日成功举办,来自 100 多个组织超过 2000 名参与者参与实时演练。
详情:
https://industrialcyber.co/cisa/cisa-announces-cyber-storm-ix-cybersecurity-exercise-to-strengthen-national-cyber-readiness/、https://subscriber.politicopro.com/article/2024/04/cisa-hosts-super-bowl-of-cyber-exercises-to-prepare-for-attacks-against-food-sector-00153096
02
美国联邦通信委员会对非法共享位置数据的 AT&T、Sprint、T-Mobile 和 Verizon 罚款近 2 亿美元
联邦通信委员会称,它发现这些运营商 "将客户的位置信息出售给'聚合商',后者再将这些信息转售给第三方定位服务提供商"。
详情:
https://www.theverge.com/2024/4/29/24144599/fcc-fine-att-sprint-verizon-t-mobile-location-data
03
北约将建立新的网络中心以全天时争夺网络空间
北约将在位于比利时蒙斯的军事总部建立北约综合网络中心(NICC),该中心标志着该军事联盟在网络空间行动方式方面发生重大理论转变的成果。
详情:
https://therecord.media/nato-new-military-civilian-cyber-center-mons-belgium
04
欧洲刑警组织就重大犯罪案件中访问加密数据寻求解决方案
欧洲刑警组织指出,当前推行的隐私措施,如端到端加密,将阻止科技公司看到其平台上发生的任何违法行为。这也将剥夺执法部门获取和运用这些证据以阻止和起诉最严重的犯罪行为,包括儿童性虐待、人口贩卖、毒品走私、凶杀案、经济犯罪和恐怖主义罪行。
详情:
https://thehackernews.com/2024/04/police-chiefs-call-for-solutions-to.html
05
因生成错误信息,ChatGPT 在奥地利遭投诉
总部位于维也纳的隐私权倡导组织 NOYB (None of Your Business) 表示,将针对聊天机器人 ChatGPT 在奥地利提起投诉。他们指控这款由 OpenAI 开发的人工智能工具会“编造错误信息”,而 OpenAI 公司也无法纠正这些错误答案。
详情:
https://www.ithome.com/0/764/996.htm
06
Thoma Bravo以 53亿美元收购网络安全AI公司Darktrace
4月26日,总部位于美国芝加哥的私募股权巨头 Thoma Bravo 宣布同意以 53.2 亿美元的价格收购英国网络安全AI公司DarktraceDarktrace。
详情:
https://www.inforisktoday.com/thoma-bravo-to-buy-cybersecurity-ai-firm-darktrace-for-53b-a-24950
07
Avast 因违反 GDPR 而被罚款近 1500 万美元
捷克共和国个人数据保护办公室 (ÚOOÚ) 在调查了 Avast Software 的捷克分公司 Jumpshot, INC. 后,根据通用数据保护规则 (GDPR) 对该公司处以约 1480 万美元的罚款。据 ÚOOÚ 称,该公司在 2019 年未经授权处理了来自 Avast 防病毒软件和浏览器扩展程序的个人数据。
详情:
https://cybernews.com/news/avast-fined-nearly-15m-for-gdpr-violations/
安全事件
01
美国知名电信运营商遭网络攻击,部分系统关停致使运营中断
美国一家主要电信运营商遭受网络攻击,部分系统关闭,运营受影响。攻击细节未完全公开,但已引起广泛关注,可能危及用户个人信息安全。网络安全专家正在处理事件,以减轻影响。此攻击突显了网络安全对基础设施的重要性。
详情:
https://www.bleepingcomputer.com/news/security/frontier-communications-shuts-down-systems-after-cyberattack/
02
全球最大“风控数据库”落入犯罪分子手中
指出全球最大的风险控制数据库被犯罪分子获取。这个数据库包含了大量的个人信息和企业数据,其落入犯罪分子手中可能引发严重的数据泄露和欺诈行为。
详情:
http://www.theregister.com/2024/04/19/cybercriminals_threaten_to_leak_all/
03
美国医疗保险巨头承认:支付赎金后再发生数据泄露
发生勒索攻击事件两个月后,联合健康集团终于承认,已发生数据泄露;该公司原本希望通过支付巨额赎金(超1.5亿元)来“掩盖”数据泄露,但攻击团伙内讧导致部分数据后续被公开,该公司不得不声明承认。
详情:
https://techcrunch.com/2024/04/22/unitedhealth-change-healthcare-hackers-substantial-proportion-americans/
04
云输入法的漏洞会暴露输入的内容
加拿大多伦多大学公民实验室的研究人员分析了百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商的云输入法,发现八家输入法软件包含严重漏洞,允许研究人员完整破解厂商设计用于保护用户输入内容的加密法。
详情:
https://www.ithome.com/0/764/189.htm
05
全球最大“风控数据库”落入犯罪分子手中
近日,一个被全球主流银行和超过300个政府情报机构使用的“风控数据库”(又称恐怖分子数据库)发生数据泄露,530万条高风险个人信息落入犯罪分子手中并在网上泄露。
详情:
https://www.theregister.com/2024/04/19/cybercriminals_threaten_to_leak_all/
06
SpaceX 泄露近 150GB 数据,以及三千份图纸
航空航天制造商和太空运输服务公司 SpaceX 据称遭遇了一起网络安全事件。据报道,该事件与黑客组织 Hunters International 有关,该组织发布了 SpaceX 数据泄露的样本。
详情:
https://thecyberexpress.com/spacex-data-breach-resurfaces/