· 乘客信息泄露!网站、App瘫痪!SAS航空公司再次遭黑客入侵
· 德国军工巨头遭勒索攻击,汽车业务敏感数据或泄露· GDPR最高罚单!Meta因数据传输违规被重罚12亿欧元· 谷歌宣布:闲置的谷歌帐号将被删除!
· 深度:如何构建基于威胁情报的高效网络威胁监测架构· 《商用密码管理条例》修订助力商用密码应用步入高质量发展“快车道”
· 国家网信办发布《数字中国发展报告(2022年)》
· 共对新威胁 共议新安全 2023网络安全运营与实战大会在京开幕· 2023宿迁市网络安全大会暨第三届LINKUP+网络安全峰会圆满举办· 首期“AIGC的法律挑战与合规之道”管锥圆桌论坛成功举行
乘客信息泄露!网站、App瘫痪!SAS航空公司再次遭黑客入侵据报道,北欧航空公司今年第二次被亲俄的黑客组织 "匿名苏丹 "攻破,导致SAS网站和其航空公司的应用程序瘫痪数小时。随后,该组织提出3500美元的赎金来停止攻击。该组织告诉SAS,他们有一个小时的时间与他们在Telegram上的匿名苏丹机器人进行谈判,否则他们可能会遭到一整天的连环攻击,以及泄露一些用户信息等。德国汽车和防务公司莱茵金属(Rheinmetall)披露,近期遭受了勒索软件团伙的网络攻击,但军用业务未受到影响。日前,勒索软件团伙Black Basta在其泄密网站上列出了莱茵金属,暗示对方不愿支付赎金,导致谈判破裂或陷入僵局。恶意黑客威胁要泄露从莱茵金属内部窃取的文件,目前发布的几张屏幕截图证明,可能存在敏感数据泄露。从截图来看,黑客掌握了采购订单、护照复印件、技术方案、保密函、保密协议等企业文件。世界水果巨头都乐(Dole)公司在日前发布的第一季度财报中披露,今年2月的勒索软件攻击事件,造成了1050万美元(约合人民币7400万元)的直接成本,其中约480万美元用于保证持续运营。这次攻击对都乐公司的业务影响整体较为有限,主要受影响了公司新鲜蔬菜和智利市场的业务。都乐公司CEO Rory Byrne在上周四的财报电话会议上表示,此次攻击给其新鲜蔬菜业务造成了约570万美元的成本。GDPR最高罚单!Meta因数据传输违规被重罚12亿欧元5月22日,爱尔兰数据保护委员会(Data Protection Commission,以下称爱尔兰DPC)宣布对Meta Platforms Ireland(以下称Meta爱尔兰)采取执法行动,对其处以创纪录的12亿欧元罚款,这也是GDPR实施近五年以来的最高罚款。爱尔兰DPC同时要求Meta爱尔兰旗下的Facebook在此处罚决定发布后的五个月内停止向美国转移个人数据,六个月内停止在美国非法处理(包括存储)欧盟和欧洲经济区用户的个人数据,以使其处理个人数据的操作符合GDPR规定。日前,在上级公安机关统一部署下,赣州全南县公安局网安大队在开展网络和数据安全监督检查时,发现某公司疑似存在网络数据泄露隐患。随即,全南网警组织人员调取相关信息并约谈涉案人员。
经查,该公司相关服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。同时,未落实数据安全保护责任,未开展等级保护备案工作,相关数据安全保护规章制度形同虚设。该公司严重违反了《中华人民共和国数据安全法》第二十七条、第二十九条规定。谷歌最近更新了一项关于不活跃帐号的政策:对于超过两年未使用的帐号,谷歌计划将删除该帐号及其内容。这意味着,用户将失去其不活跃帐号的谷歌办公套件(Gmail、Docs、Drive、Meet、Calendar)及Google Photos等服务上的所有数据。对于为何要实施该政策,谷歌给出的理由是:长时间未使用的帐号更容易遭到攻击。这类帐号通常使用旧的或者重复使用的密码,这些密码很可能已经泄露。并且,谷歌注意到,闲置帐号设置两步验证的可能性比活跃帐号至少要低十倍。通过网络层面开展基于情报的威胁监测,这是一种非常高效费比的技术方案,也是建设本地威胁情报中心的核心能力之一。然而,研究过不少落地案例后发现,结果往往非常不尽如人意:要么检测不完全,数据能力没有充分利用;要么安全运营人员被淹没在一堆堆的垃圾告警中,连去看一下的兴趣都没有。为什么会造成这种结果?这源于尽管实现思路简单——无外乎数据的碰撞,但其中还是存在一些误区的:缺乏对威胁情报的深入了解和检测分析活动的实践,甚至有些从最初的架构设计上就决定了不太可能会有满意的效果。下面就实践和理解,剖析一下检测系统成功设计和运营的要素。网络安全行业从来不缺少创新,很多新技术会不断涌现。不过,虽然这些技术可能会带来令人难以置信的变革,但并不是所有的企业都能够感受到其应用效果和价值。在不久前举办的2023 RSAC大会上,网络安全厂商ThreatBlockr首席执行官、总裁Brian McMahon表示:现代企业的安全领导者应该知道如何将梦想与现实分割开来,不能“为了技术而技术”。面对不断出现的新兴网络安全技术概念时,企业需要理性评估对这些技术的应用期望,并努力从以下5个关键因素去评估每项技术的真面目,包括其可能存在的应用陷阱和不足。良好的数据资产管理是释放数据要素价值、推动数据要素市场发展的前提与基础。数据资产管理包括数据资源化、数据资产化两阶段。数据资源化通过将原始数据转变数据资源,使数据具备一定的潜在价值,是数据的“开采和提纯”阶段也是数据资产化的必要前提;数据资产化通过将数据资源转变为数据资产,使数据资源的潜在价值得以充分释放,是数据的“蒸馏”阶段。在当前环境下数据安全、网络安全的重要性逐步提升。在网络安全法和个人信息保护法中也明确提出,企业需要针对敏感数据加强安全措施,敏感数据需要加密存储。针对数据加密已经有了非常成熟的技术,比如在应用侧加密,各个语言中也都有现成的加密函数,可以直接引用。但在实施数据加密过程中,我们发现面临成百上千的服务以及过亿的数据,加密的事情不仅仅是调用加密函数这样简单,而需要考虑,安全性、稳定性,以及投入成本等等。货拉拉在推动数据加密落地过程中分为三个主要阶段,分别是数据调研、方案选型、加密改造。当前网络环境的大背景下,中台类应用架构设计愈加复杂。云原生技术的引入,使得单纯的安全测试和扫描,已经无法满足对中台类应用的检查需求。故而我们根据组织内部的研发现状,以及过往的审计经验,为这类应用定制了架构安全评审的标准流程。2021年落地的《中华人民共和国个人信息保护法》中第五十一条中明确提到,对于个人信息处理者的义务:采取相应的加密、去标识化等安全技术措施。2016年颁布的《中华人民共和国网络安全法》中第二十一条也对加密处理有所提及:采取数据分类、重要数据备份和加密等措施。除去法律在广义上提出的加密要求,常见的数据安全标准如ISO/IEC 27002、GB/T 22239-2019 网络安全等级保护、PCI DSS中均对于数据传输以及数据存储有具体的加密要求。本文将分别罗列出上述数据安全标准对于存储加密与传输加密的要求原文,以及在笔者过去的审计工作中,对于不同场景下的审计要点总结。数字化转型时代数据已成为与土地、劳动力、资本、技术等传统要素同等重要的生产要素,数据不仅是信息资产,更是需要流转并产生价值的生产资料。在价值的驱动下数据使用场景日益复杂,数据流转路径呈多样化,随之而来的数据泄漏风险也与日俱增,如何有效开展数据安全建设已成为各行各业共同焦点。本文简要分析当前兴业证券数据安全建设面临的风险挑战,简述数据安全建设整体思路,解析数据安全两类常见的具体实践场景,目标是让数据能够安全、有序流通,保障数据在流通中创造的价值。
数据模型就是数据组织和存储方法,它强调从业务、数据存取和使用角度合理存储数据。Linux的创始人Torvalds有一段关于“什么才是优秀程序员”的话:“烂程序员关心的是代码,好程序员关心的是数据结构和它们之间的关系”,最能够说明数据模型的重要性。在互联网发展的早期阶段,黑客攻击是一门精密的艺术。由于拥有电脑的人较少,黑客可以在攻击之前轻松找到潜在的受害者。而且,攻击过程也相当简单,可以在窃取数据的同时不被发现,然后出售这些数据或让受害者支付被盗数据的赎金。但这种精密的技艺如今已经演变成了“拖网捕鱼”。对大多数黑客来说,对潜在的受害者进行侦察根本不值得花费时间和精力。现代的黑客更像是精打细算的商人。《商用密码管理条例》修订助力商用密码应用步入高质量发展“快车道”5月24日,《商用密码管理条例》((以下简称《条例》)经2023年4月14日国务院第4次常务会议修订通过,现予公布,自2023年7月1日起施行。这是《条例》自1999年10月7日发布和施行以来,首次迎来修订,也是贯彻实施2020年1月1日起施行的密码法的重要举措。本次修订进行了较大幅度的修改,凸显促进商用密码应用与保障安全相统一的价值导向,进一步完善了商用密码科技创新的体制机制,为加强商用密码科技自主创新、促进商用密码与新兴技术融合、推动商用密码产业发展和人才培养等提供了有力制度保障,将极大促进商用密码科技蓬勃发展。工信部发布《指南》:建立健全工业领域数据安全标准体系5月22日,为深入贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规要求,建立健全工业领域数据安全标准体系,工业和信息化部科技司组织编制完成了《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿)(以下简称“《指南》”),现公开征求社会各界意见。《指南》包括总体要求、主要内容和组织实施三大板块,分别介绍了工业领域数据安全标准体系的基本原则和建设目标、体系框架和重点领域,以及组织实施方向,并附有“工业领域数据安全已发布和制定中标准明细”和“工业领域数据安全拟研制标准重点方向”两个附件提供参考。为贯彻落实党中央、国务院关于建设数字中国的重要部署,深入实施《数字中国建设整体布局规划》,国家互联网信息办公室会同有关方面系统总结2022年各地区、各部门推进数字中国建设取得的主要成效,开展数字中国发展地区评价,展望2023年数字中国发展工作,编制形成《数字中国发展报告(2022年)》(以下简称《报告》)。共对新威胁 共议新安全 2023网络安全运营与实战大会在京开幕5月25日,2023网络安全运营与实战大会(原网络安全分析与情报大会)在北京拉开序幕。本次大会以“新威胁·新安全”为主题,聚焦前沿技术,把脉安全趋势,吸引了来自政府部门、科研机构、高校以及网络安全从业者超过600人出席。据悉,此次全新的网络安全运营与实战大会在北京站结束之后,将分别于5月31日和6月8日在上海、深圳两地继续进行,拓宽时间空间跨度,汇聚更多观点碰撞,全力打造一届高水准、专业化的网络安全运营年度盛会。2023宿迁市网络安全大会暨第三届LINKUP+网络安全峰会圆满举办5月14日,2023宿迁市网络安全大会暨第三届LINKUP+网络安全峰会在宿迁召开,大会由宿迁市委网信办、宿城区人民政府主办,中国移动通信集团江苏有限公司宿迁分公司与江苏易安联网络技术有限公司承办,中国信通院云计算开源产业联盟零信任实验室、宿迁市数字安全协会协办。新一轮科技革命和产业变革加速演进,对网络安全工作提出新要求。本届大会融合行业政策深度解读、技术专家经验分享、合作项目签约以及各专项活动的开启,为宿迁及网络安全行业的高质量发展带来新理念、提供新动能、注入新动力,未来,各界将继续在网络强国战略的引领下,用创新思路和务实举措为数字经济发展保驾护航。首期“AIGC的法律挑战与合规之道”管锥圆桌论坛成功举行2023年5月24日,中伦律师事务所联合美国信息产业机构(USITO)共同举办的2023年第一期管锥圆桌论坛在线下成功举行。本次管锥圆桌论坛以“AIGC的法律挑战与合规之道”为主题,紧跟国内外生成式人工智能(以下或称“AIGC”)技术迅猛发展的态势以及我国率先发布《生成式人工智能服务管理办法(征求意见稿)》等一系列重大科技及监管动向,深入讨论新技术带来的新风险、新机遇。
还没有评论,来说两句吧...