1.【政策法规】市场监管总局、网信办关于实施个人信息保护认证的公告
为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》实施认证。
2.【政策法规】证监会发布《证券期货业数据安全管理与保护指引》等7项金融行业标准
近日,证监会发布《证券期货业数据安全管理与保护指引》《证券期货业信息技术服务连续性管理指南》等7项金融行业标准,自公布之日起施行。《证券期货业数据安全管理与保护指引》金融行业标准从数据安全管理基本原则、组织架构、制度、技术等方面提供指引,规范行业机构开展数据安全管理和保护工作,提升行业数据安全管理水平,适用于证券期货业机构开展数据安全管理与保护工作的参考和指引。
3.【政策法规】关于征求国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》(征求意见稿)意见的通知
全国信息安全标准化技术委员会归口的国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》现已形成标准征求意见稿。本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于2023年1月16日24:00前反馈秘书处。
4.【行业分析】德勤:从战略角度看2023年网络安全发展态势
最近,德勤公司的多位资深网络安全分析师对2023年网络安全领域的发展态势进行了战略性预测。分析师们认为,针对安全威胁的长远准备和增强组织网络安全弹性,将会成为帮助组织有效防范潜在威胁的关键性因素。十大预测的目录和详情包括物联网设备的可见性和安全性将成为大多数企业关注的主要领域、新兴技术的安全性对其能否被采用至关重要、以数据为中心的安全和隐私将成为建立品牌和客户信任的必要条件、复杂的供应链安全风险将不断涌现、由于严重的网络安全人才短缺和不断增长的劳动力成本,企业安全人才整合和外包将成为趋势、制造业工控OT网络面临不断演变的威胁等。
5.【安全事件】WhatsApp发生数据泄露,涉及海外近5亿用户的电话号码
近日,一个WhatsApp用户电话号码数据库在某黑客社区论坛上挂牌出售,其中包括来自84个国家地区的约4.87亿WhatsApp用户的手机号码。据悉,WhatsApp在海外拥有约20亿用户,是全球最大的消息传递平台之一。这也意味着此次泄露的数据库中包含全球近四分之一WhatsApp用户的电话号码。目前尚不清楚这些号码是如何泄露的。值得注意的是,这类数据库可以用于垃圾邮件、网络钓鱼和其他类似的欺诈活动,建议用户通过更改隐私设置将个人信息隐藏。
6.【安全事件】印度证券业关键机构遭恶意软件入侵,部分设备已隔离
近日,总部位于孟买的印度领先中央证券存管机构Central Depository Services Limited(CDSL)表示,其系统已遭恶意软件入侵。该证券存管机构向印度国家证券交易所提交一份文件,称其检测到“一些内部设备”已遭恶意软件影响。文件指出,“出于谨慎考量,我公司立即隔离了这些设备,并脱离资产交易市场以避免影响其他部分。”CDSL表示将继续开展调查,但截至目前,“尚无迹象表明有任何机密信息或投资者数据因此事件而遭泄露。”
7.【安全事件】疑遭网络攻击,太平洋岛国瓦努阿图政府网站已瘫痪多日
据报道,瓦努阿图的多个政府网站已瘫痪多日,其服务器疑似遭到网络攻击。瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外,该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。这些网站或网络服务的瘫痪,导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。当地政府工作人员不得不采取人工方式处理业务,这导致许多业务延期或被迫暂停。一些工作人员使用个人邮箱和个人网络热点处理业务。另据报道,疑似有网络黑客要求瓦努阿图政府支付赎金,但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问,目前仍然没有答案。
8.【安全技术】了解你的敌人,像黑客一样去思考
为了了解攻击者如何思考,国际安全培训与研究机构SANS日前发布了《2022年道德黑客调查报告》,报告认为,尽管组织已经投资各种安全技术,以缓解各种类型的网络安全威胁,但攻击者仍然能够找到选择阻力最小或最熟悉的路径,原因在于很多安全团队对于黑客如何攻击组织的信息化系统始终存在误解。在商业化社会里,非法黑客团伙的运营也像一个企业组织,旨在寻求资源最小化和回报最大化。他们通常希望尽可能少地付出努力来获取最大的收益。因此,现代黑客攻击活动通常遵循一定的行动路径。该文从了解黑客的思维模式和动机、如何操作和利用黑客思维两个角度阐述了如何从黑客的角度而非他们自己的角度来评估企业安全。