TOP5 | 头条：美国政府推进收敛互联网攻击面：网络设备管理必须上零信任

美国政府推进收敛互联网攻击面：网络设备管理必须上零信任；

标签：美国，攻击面

美国网络安全与基础设施安全局（CISA）发布了今年首个约束性操作指令（BOD），要求联邦民事部门发现问题后14天内，确保配置错误或暴露在互联网上的网络设备的安全性。

CISA此次发布的指令（BOD 23-02），适用于管理界面暴露在互联网上的网络设备（如路由器、防火墙、代理服务器和负载均衡器）。这些网络设备的用户可以获得进行网络管理所需的访问权限。

CISA表示，“该指令要求联邦民事行政部门（FCEB）采取措施，减少不安全或配置错误的管理界面在某些设备类别上创建攻击面。各部门必须准备将已识别的网络管理界面从互联网中移除，或者通过实施零信任功能保护它们。零信任功能实施的策略执行点与界面本身分离。

信源：https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-secure-internet-exposed-network-devices/

美国将31家中国实体纳入商务部实体清单；

标签：美国，商务部实体清单

2023年6月13日，美国商务部产业与安全局（BIS）将10个国家（地区）的共计50个实体纳入“实体清单”，包括31个中国实体，以及肯尼亚（1个）、老挝（1个）、马来西亚（1个）、巴基斯坦（4个）、新加坡（1个）、南非（3个）、泰国（1个）、阿联酋（5个）和英国（2个）。清单于2023年6月12日生效。

信源：机工情报

印度CoWIN疫苗平台暴露公民数据，10亿人面临个人信息泄露风险；

标签：印度，CoWIN，公民数据

CoWIN门户网站是印度COVID-19疫苗接种登记的中央平台。据外媒报道，CoWIN近期发生了一起极为严重的数据泄露事件，在CoWIN门户网站注册的每个印度公民的个人信息已经完全公开在Telegram消息应用程序上。

在这个泄露的数据库中，能够轻易地免费获取几乎所有接种了 Covid-19 疫苗的印度公民的个人详细信息，连印度政治领袖也未能幸免。崔纳木国大党领导人Saket Gokhale对此泄露事件发推谴责莫迪政府的数据保护不力以及无作为。

Saket Gokhale说，当在Telegram机器人中输入注册了CoWIN门户网站的手机号码时，它会自动披露印度公民用于接种疫苗的Aadhaar号码（基于印度公民和居住在印度的外国公民的生物识别和人口统计数据发放的12位唯一身份号码），以及诸如性别、出生年份和个人接种疫苗的中心等详细信息。据悉，除此之外还暴露了成千上万印度公民的选民ID、护照号码、PAN号码等。

据各方新闻报道证实，如果多个人使用的是同一个手机号码注册，Telegram机器人将一次性提供所有这些人的详细信息。这意味着，如果一个家庭使用同一个手机号码预订多个成员的疫苗接种时间，他们的个人信息将被集体曝光。

CoWIN门户网站据称配置有一次性密码（OTP）安全系统，目前尚不清楚本次数据泄露是如何发生的。

信源：左右里

日本智库：认知战是“混合战”的关键领域；

标签：日本，认知战，关键领域

近几年，日本安保政策正在发生重大转变，自2022年底通过的日本新版《国家安全保障战略》，确立了其“主动防御”的转型方向。现阶段，日本又开始针对“混合战”进行积极研究与部署，从体制建设、尖端技术以及跨域作战/防卫等方面出台应对混合战的方式体制。

2023年3月29日，日本著名智库中曾根和平研究所发布报告《印太地区的稳定与日本应对危机》提出，运用多种手段的“认知领域”的战斗，是“混合作战”的决定性特征，并从体制建设、应对尖端技术、以及跨域防卫作战三个方面具体提出相关发展路径与策略。

信源：

https://www.npi.or.jp/research/data/npi_policy_maritime_security_final_20230329.pdf

美英将联合建立“数据桥梁”；

标签：美国，英国，数据桥梁

近日，美国和英国达成协议，发布联合声明承诺建立“数据桥梁”，以实现两个地区之间的数据自由流动。

该声明称，英国计划为“英国对美国-欧盟数据隐私框架的扩展”建立一个数据桥，这项工作取决于两个条件：一个是英国的数据桥评估和进一步的技术工作；另一个是美国将为英国指定符合美14086号行政令的美属地区。美商务部表示“美英数据桥”将维护数据主体的权利，促进负责任的创新，并为两国个人提供更多适合的服务，同时减轻企业的负担。

“原则上的承诺”代表英国对欧盟和美国于 2022 年达成的数据隐私框架的扩展。这意味着获准加入该框架的美国公司将能够接收英国的个人数据。

初步的数据隐私框架旨在修改美国和欧盟之间之前的隐私保护协议，该协议在 2020 年的 Schrems II 案中根据 GDPR 规则被裁定为非法。

根据英国政府的一份声明，新的英美协议是在两国政府进行了两年的技术讨论之后，进一步的工作将在未来几个月内完成。

双方强调，该安排旨在促进经济增长并促进科学研究等领域的创新。

英国科学、创新和技术大臣克洛伊·史密斯评论说：“数据桥不仅为国家间个人数据的安全传输提供了更简单的途径，而且还为各种规模的企业消除了繁文缛节，使他们能够进入新市场。

她补充说：“国际合作是我们实现科技超级大国雄心的关键，与美国等全球伙伴合作确保我们能够开辟新的机会来发展我们的创新经济。”

白宫在一份声明中说：“数据的可信和安全跨境流动是进一步创新努力的基础。为此，我们原则上承诺建立一个美英数据桥，以促进我们两国之间的数据流动，同时确保强有力和有效的隐私保护。我们正在努力尽快完成各自的评估，以实施该框架。”

Hunton Andrews Kurth 的合伙人 Sarah Pearce 在评论这一消息时说：“这是一个非常受欢迎的消息：它不仅促进了从英国到美国的转移，而且还表明英国和欧盟的立场一致，尊重向美国传输数据。”

“这个想法是，获准加入该框架的美国公司将能够接收个人数据，而无需当前所需的额外合同条款。”Pearce 补充道。

在品诚梅森律师事务所的一篇博文中，高级业务发展律师 Rosie Nance 对这一声明表示欢迎，并指出延长欧盟-美国协议的方法而不是单独的安排“可能是达成政治协议的最顺利方法。”

她补充说：“这也是最不可能对英国自身的欧盟充分地位造成问题的，因为英国的做法可能会与欧盟的做法保持一致。”

2023 年 3 月，英国政府向议会提交了数据保护和数字信息 ( DPDI ) 法案，该法案将修改当前的 GDPR 规则。主要目的是降低企业在传输和使用数据方面的成本和复杂性。

然而，专家警告说，这些规定可能会损害消费者的隐私权，并危及英国与欧盟的充分安排。

信源：E安全