安全热点周报（2023.8.14-2023.8.20）

国家标准《信息安全技术 基于个人信息的自动化决策安全要求》公开征求意见

原文链接：

https://www.tc260.org.cn/file/2023-08-16/f0f0b865-d4fc-4a80-bccf-1c2d00294f17.docx

美国纽约州发布首个网络安全战略

原文链接：

https://www.governor.ny.gov/sites/default/files/2023-08/2023-NewYork-CybersecurityStrategy.pdf

南昌某高校发生大量数据泄露案件，当地警方处以85万元罚款

8月17日南昌网警公众号消息，南昌公安网安部门工作发现，南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。南昌公安网安部门立即开展一案双查。经查，涉案高校在开展数据处理活动中，未建立全流程数据安全管理制度，未采取技术措施保障数据安全，未履行数据安全保护义务，导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵，其中3万余条教职工、学生个人敏感信息数据被非法兜售。南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定，对该学校作出责令改正、警告并处80万元人民币罚款的处罚，对主要责任人作出人民币5万元罚款的处罚。

江西一IT公司疑发生数据泄露，当地通管局依据数据安全法罚款15万元

8月15日江西信息通信业公众号消息，根据上级部门通报，赣州某信息技术公司业务系统疑似遭受黑客攻击，存在数据泄露风险。江西省通信管理局立即依法组织开展案件调查，查明该公司在开展网络营销代理业务中未有效落实网络和数据安全保护主体责任，未依法采取相应的技术措施保障业务系统数据安全，该行为违反了《中华人民共和国数据安全法》相关规定，省通信管理局对赣州某信息技术公司给予警告、罚款15万元，对直接负责的主管人员和直接责任人各罚款1万元。

房源数据服务商遭勒索软件攻击，美国房地产市场陷入混乱

8月15日Ars Technica消息，美国主要房源挂牌服务商Rapottoni在9日遭遇勒索软件攻击，持续多天后服务器仍然处于离线状态，导致全国各地房屋买家、卖家、房地产经纪人和房源网站业务受阻。Rapottoni公司提供的多重房源挂牌服务，可以帮助房地产专业人士挂牌房源、查看待售房源、追踪挂牌房源等。这次攻击影响了全美数十万名多重房源挂牌服务会员经纪人。此次事件明确提醒大家，一旦重要服务被黑，大批依赖这项服务的人员或企业将面临现实干扰。Rapattoni尚未公布关闭事件的具体类型或其他细节，也没有说明个人信息是否遭到了泄露。

全球最大金矿和钼矿厂遭网络攻击，生产受到部分影响

8月14日Industrial Cyber消息，美国矿业巨头自由港·麦克莫兰铜金公司在11日披露，正在调查一起影响其信息系统的网络安全事件。一位匿名的公司员工表示，攻击发生在10日夜间，导致公司计算机系统关闭。公司表示，正在评估事件影响，积极采取解决措施，并与“第三方专家和执法部门密切合作”。公司称，“事件对生产影响有限。”正在计划和实施过渡性解决方案，以尽快保护信息系统的安全。自由港是全球最大金矿、最大钼生产商、主要铜生产商。

广西一公司泄露22万个人信息，当地公安依据网络安全法罚款20万元

8月11日公安部网安局公众号消息，广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现，北海某网站存在数据泄露问题，网站约22万个人信息数据被挂在境外论坛售卖。经查，涉案公司主要提供网上咨询服务，建设有一网站，在日常工作中收集了个人和企业等大量公民信息，但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。公司网站服务器安全防护措施不足，网站存在被多个境外IP攻击入侵的情况。公司未采取数据加密等有效的技术保护措施，且在发现公司发生个人信息泄露的情况下，未及时告知用户和主动向公安机关报告。该公司还存在网站日志只存储30日，网络日志留存不足六个月及相关安全管理制度缺失等问题。

对此，广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定，对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。同时，北海网安部门应用网络与信息安全信息通报机制，将该案例通报各党政机关单位，监督指导其落实主体责任，提升网络安全保护能力和水平。