政策形势
1、国务院2023年度立法工作计划:制定网络数据安全管理条例等
6月6日,国务院办公厅发布《国务院2023年度立法工作计划》。在完善国家安全法治体系、维护国家安全和社会稳定方面,提请全国人大常委会审议粮食安全保障法草案、保守国家秘密法修订草案。制定网络数据安全管理条例、煤矿安全生产条例、领事保护与协助条例、无人驾驶航空器飞行管理暂行条例。预备提请全国人大常委会审议耕地保护法草案危险化学品安全法草案、国家综合性消防救援队伍和人员法草案、民用航空法修订草案。预备制定两用物项出口管制条例,预备修订对外使用国徽图案的办法。完善网络犯罪防治法律制度。
https://baijiahao.baidu.com/s?id=1768048549988865459&wfr=spider&for=pc
2、国家密码管理局关于《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》公开征求意见
为加强商用密码检测机构管理,规范商用密码检测活动和商用密码应用安全性评估工作,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》,现向社会公开征求意见。公众可以在2023年7月9日前,通过以下途径和方式提出意见:
http://www.moj.gov.cn/pub/sfbgw/lfyjzj/lflfyjzj/202306/t20230609_480402.html
3、《上海市电信和互联网行业首席数据官制度建设指南 (试行)》印发
6月6日,上海市通信管理局印发《上海市电信和互联网行业首席数据官制度建设指南 (试行)》,从企业CDO制度的建立、企业CDO的职责、企业CDO的能力要求、企业CDO备案机制4个方面提出主要任务,以落实“浦江护航”数据安全专项行动任务要求。
https://mp.weixin.qq.com/s/djM0eJxHve4-ia-8-lkGuQ
4、Verizon发布2023 DBIR数据泄露调查报告
6月6日,Verizon发布了第16份年度数据泄露调查报告DBIR(2023 Data Breach Investigations Report)。DBIR是网络安全行业最受期待的报告之一,因为它基于对大量现实世界事件的分析。在2023 DBIR中,Verizon分析了16,312起安全事件和5,199起数据泄露事件,核心发现如下:
(1)对于网络犯罪分子来说,社会工程攻击通常非常有效且利润丰厚。
(2)勒索软件持续成为数据泄露中出现最频繁的行动类型之一,尽管其实际增长并不明显,但其在统计上保持了24%的比例。勒索软件已经普遍存在于各种规模和各个行业的组织中。
(3)74%的泄露事件是人为因素造成的,包括人为错误、滥用特权、使用被盗凭证或社会工程。83%的泄露事件涉及外部行为者,攻击的主要动机仍然绝大多数是财务,占其中的95%。
(4)攻击者访问组织的三种主要方式是窃取凭据、网络钓鱼和利用漏洞。
https://www.secrss.com/articles/55432
数据安全事件
1、雁峰网警督促一企业履行网络安全义务和数据安全义务
近日,衡阳市公安局雁峰分局网安大队在对辖区某体检中心进行网络安全检查时发现该体检中心信息系统存在较大网络安全和数据安全风险。
经查,该体检中心前台电脑明文存有数十个单位体检客户姓名、电话、身份证号等敏感数据信息。同时该公司服务器存在多个高危漏洞,内外网络并未进行物理隔离,系统登录账号存在弱口令,未履行网络安全和数据安全保护义务。
6月13日,雁峰公安分局网安大队依据《中华人民共和国网络安全法》第二十一条、五十九条,《中华人民共和国数据安全法》第二十七条、第四十五条的规定,对体检中心处以警告的行政处罚。
https://baijiahao.baidu.com/s?id=1768743563399884340&wfr=spider&for=pc
2、网络黑客 水军 黑灰产你遇到过吗?上海警方高压严打!
今年以来,根据公安部部署,上海市公安局深入开展“净网2023”专项行动,持续打击涉网违法犯罪,全面治理网络乱象。
行动期间,上海警方紧密结合“砺剑2023”系列专项打击整治行动,重拳出击、重点打击黑客攻击破坏、网络黑灰产、网络水军等违法犯罪,清理有害信息1.1万余条,关停违法账号320余个。
同时,强化互联网企业安全管理,整治违法有害信息突出的互联网数据中心、云平台、APP等各类网络应用服务,落实“一案双查”制度,依法查处本市互联网企业不履行安全义务的行为,累计行政处罚139(家)次,关停网站和应用5家,持续打造风清气正的网络空间,不断净化网络生态。
http://sh.people.com.cn/n2/2023/0615/c134768-40458679.html
3、本田被曝存在API漏洞,客户数据正处于高风险状态
6月7日,据外媒报道,由于允许为任何帐户重置密码的 API 缺陷,本田的电力设备、船舶、草坪和花园电子商务平台容易受到任何人未经授权的访问。
本田系统中的安全漏洞是由安全研究员 Eaton Zveare 发现的,几个月前他利用类似的漏洞入侵了丰田的供应商门户网站。Eaton Works 利用密码重置 API 来重置重要帐户的密码,然后在其网络上就能拥有不受限制的管理员级别数据访问权限。
因此,以下信息暴露给安全研究人员,并可能暴露给利用相同漏洞的威胁参与者:所有经销商的21,393份客户订单(包括客户姓名、地址、电话号码和订购的物品)、3,588个经销商用户/帐户(包括名字和姓氏、电子邮件地址,可以更改任何这些用户的密码)、内部财务报告等等。
https://mp.weixin.qq.com/s/KsEO6Tc_ZHUaxUYyB-jcUg
4、美国政府推进收敛互联网攻击面:网络设备管理必须上零信任
CISA发布强制性指令,联邦机构暴露在互联网上的网络或其他类型设备,如果无法禁止公网访问,那么必须采用零信任架构实施访问控制。
CISA将扫描互联网上的设备和管理系统,如发现暴露设备将向对应机构通报。
https://www.secrss.com/articles/55638
5、英国航空公司、BBC 和 Boots 受到 Zellis 数据泄露的影响
6月6日,据外媒报道,由于对薪酬服务提供商 Zellis 的网络攻击事件,BBC 和英国航空公司员工的个人数据已被泄露和暴露。
该事件是威胁行为者通过对Zellis的第三方供应商之一MOVEit发动攻击而发生的,Zellis 为英国数百家公司提供薪资支持服务,包括英国航空公司、BBC、Boots等。
多家安全公司报告称,威胁行为者正在利用Progress MOVEit Transfer文件传输产品中的零日漏洞来窃取组织数据。MOVEit Transfer 是一种托管文件传输,企业使用它通过 SFTP、SCP 和基于 HTTP 的上传安全地传输文件。该漏洞是一个 SQL 注入漏洞,未经授权的攻击者可利用该漏洞获取对 MOVEit Transfer 数据库的未授权访问权限。
近日,Clop 勒索软件团伙宣传他们是 MOVEit Transfer 数据盗窃攻击的幕后黑手,该攻击利用零日漏洞破坏属于“数百家公司”的服务器并窃取数据。
http://www.infosecworld.cn/index.php?m=content&c=index&a=show&catid=38&id=40886、微软为 XBOX 侵犯儿童隐私支付 2000 万美元罚款
6月6日报道,微软已同意支付 2000 万美元的罚款并更改儿童数据隐私程序,以解决联邦贸易委员会 (FTC) 对儿童在线隐私保护法 (COPPA) 违规行为的指控。
据消费者保护机构称,微软涉嫌在未征得父母同意甚至未通知父母的情况下,收集并保留注册了Xbox Live服务的儿童的个人信息。FTC 表示,在 2015 年至 2020 年间的一些确认案例中,微软将儿童数据存储在其服务器中长达数年之久,亚马逊无视家长删除孩子数据的请求,并继续使用敏感的用户信息来训练机器学习算法。
FTC近期采取密集行动来强调科技公司遵守数据隐私法规的重要性,尤其是那些处理敏感未成年用户数据的公司。
https://baijiahao.baidu.com/s?id=1767910581559798688&wfr=spider&for=pc技术、产品与市场
1、报告:企业应以数据为安全防御重点
腾讯安全联合国际数据公司(IDC)近日发布的《加强企业数字安全免疫力,助力数字时代下的韧性发展》报告认为,企业应当以数据和业务为锚点针对性建立纵深的防御体系,具体为建立数据安全治理和业务风险控制两座免疫“堡垒”。
根据IDC预测,2026年全球数据量将达到221.2ZB,年复合增长率达到21.2%。数据价值的显露无疑引发大批黑色产业的觊觎。这份报告认为,新技术的加持下,黑灰产攻击将率先冲击企业业务风险防线。
腾讯安全副总裁周斌认为,AGI(人工通用智能)引发的“仿真人”行为,会让以往“基于过去行为预测未来行为”的风控策略局部失效,业务风控正在由“规则对抗”进入“模型对抗”的时代,MaaS(模型即服务)理念将成为企业筑牢风控免疫力的关键。
腾讯安全云鼎实验室负责人董志强认为,数据安全不只是安全问题,也是业务问题。企业数据安全治理需要从数据默认安全内生业务、数据可见、可管可控和智能化运营四大关键步骤促进闭环。
https://baijiahao.baidu.com/s?id=1768662855482060174&wfr=spider&for=pc
2、新疆网信办:网络数据安全和个人信息保护专题举报通道正式开通
https://m.thepaper.cn/baijiahao_23481834
3、IDC 中国工控防火墙市场份额统计:2022年市场的规模约为13.5亿人民币
近年来,全球工业安全事件频发,电力、水利、石油石化、汽车制造等多个领域都受到了不同程度的安全攻击,这些攻击事件给企业造成了巨大的经济损失和社会声誉损失。也正是在威胁形势愈发严峻的大背景下,全球各国对于工业安全的重视程度不断提升,工业安全市场也进入了蓬勃发展期。IDC 2022年全球工业安全市场报告预测,到2026年,全球工业安全市场规模将达到67亿美元,五年复合增长率高达28.4%。
与此同时,中国的工业安全建设力度也在进一步加强。近几年,“等保 2.0”、《关键信息基础设施安全保护条例》以及《工业控制系统信息安全防护指南》等工业互联网安全相关法律法规的落地进一步加速,其都从政策合规角度提升了工业网络安全建设的重要性,中国的工业安全产业正式进入发展的快车道。
https://www.chinastor.com/market/168620935229977.html
业界观点
1、韦莎:可信数据空间助力数据安全可信流通
2023工业互联网大会在江苏省苏州市召开,本次大会以“数实融合 数智赋能——高质量推进新型工业化”为主题,聚焦工业互联网规模化应用和高质量发展。会上,中国信息通信研究院信息化与工业化融合研究所副总工程师韦莎在接受人民网记者专访时表示,可信数据空间在法律法规的约束下,成为系统解决数据共享流通瓶颈问题、安全可信类问题和数据内容保护问题的技术手段,助力数据要素实现安全可信的流通。
韦莎介绍称,可信数据空间是在现有信息网络上搭建数据集聚、共享、流通和应用的分布式关键数据基础设施,通过体系化的技术安排确保数据流通协议的确认、履行和维护,解决数据要素提供方、使用方、服务方、监管方等主体间的安全与信任问题。根据合约需求,数据提供方、数据使用方、多个数据服务提供方组成可信数据空间。
谈及当前可信数据空间的具体应用实践和发展情况,韦莎告诉记者,当前,江苏省、重庆市、北京市、浙江省等多省市都已推进开展可信数据空间行业试点工作,可信数据空间在家纺、电子、家电、装备等行业也已开展了测试床建设。
http://finance.people.com.cn/n1/2023/0615/c1004-40014174.html
2、左晓栋:当前我国数据安全工作面临的形势与任务
数据安全已成为事关国家安全与经济社会发展的重大问题。当前数据安全形势十分严峻,维护数据安全的责任重大。将数据安全纳入总体国家安全观,这是由国家安全斗争形势和国家发展战略所决定的。当前,我国已初步完成数据安全顶层设计,基本建立政策法规体系。要通过探索党管数据体制机制,引领平台监管正确方向,创新数据安全执法手段,将数据要素开发利用工作与数据安全基本制度紧密结合等方式,进一步加强数据安全相关工作。
http://www.rmlt.com.cn/2023/0601/674635.shtml
3、王钦敏:以数字政府建设全面引领驱动数字化发展
党的十八大以来,以习近平同志为核心的党中央从推进国家治理体系和治理能力现代化全局出发,准确把握全球数字化发展趋势,围绕数字中国、网络强国、数字政府建设等作出了一系列重大部署,连续发布了多项重大举措。2023年,党中央、国务院印发了《数字中国建设整体布局规划》,从党和国家事业发展的战略高度,提出了新时代数字中国建设的整体战略;2022年,国务院印发了《关于加强数字政府建设的指导意见》,提出加强数字政府建设是适应新一轮科技革命和产业变革趋势、引领驱动数字经济发展和数字社会建设、营造良好数字生态、加快数字化发展的必然要求,是建设网络强国、数字中国的基础性和先导性工程,是创新政府治理理念和方式、形成数字治理新格局、推进国家治理体系和治理能力现代化的重要举措;2022年,国务院办公厅印发了《全国一体化政务大数据体系建设指南》,整合构建标准统一、布局合理、管理协同、安全可靠的全国一体化政务大数据体系,加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动。这一系列重大决策部署将全面赋能创新驱动的数字经济、高效协同的数字政务、普惠便捷的数字社会、自信繁荣的数字文化、绿色智慧的数字生态文明,提升国家治理体系和治理能力现代化水平。
https://mp.weixin.qq.com/s/Ly4JrSSp_RjJ5ZVFc_taXQ
4、张震宇:强化数字要素世界的保障能力,全面构筑安全堡垒
随着产业数字化与数字产业化所带来的场景和需求日益复杂和深化,数字安全已经成为影响企业数字化建设的最主要安全问题。数字安全除了关注内部信息和操作技术外,还关注整个数据流转所带来的风险以及场景化的痛点、难点。
领信数科CEO张震宇表示,数字安全要匹配数字化全流程、场景化发展的系统化顶层设计,更好统筹安全和发展。数字安全时代,有两类新技术将引领时代的发展。一类是围绕数据的授权使用,另一类是数据的可用不可见。其中,“数字身份”的概念将越来越趋向于脱虚入实,未来社会的公民既是实体自然人,也是映射到数字世界的“数字人”。如今,数字身份已经拥有非常广泛的范围,可以是个人的身份信息,如用户名、密码、指纹、面部识别等,也可以是组织的身份信息,如数字证书、访问令牌等。通过身份认证,系统可以确认用户的身份,并基于其数字身份进行适当的授权和访问控制,以保护数字资源的安全性和完整性。另一方面数据可用不可见,目前世界上主流采用的技术就是隐私计算技术,其中隐私求交、匿踪查询和联邦学习是隐私计算的关键概念。随着中央提倡数据经济,探索数据交易。数据可用不可见逐渐成为刚需。
随着 ChatGPT等给人工智能新技术的快速落地,数字安全面临的挑战愈加多元。随之而来的数字安全需求具有场景化、流动性、更泛化的业务原生安全需求,市场呼唤更具创新实力、与时俱进的数字安全企业。张震宇认为,数字安全企业不仅要能应对人工智能带来的安全威胁,更应该利用人工智能来解决数字安全问题。
https://www.youxia.org/2023/06/107961.html5、李振华:数据要素流通与数字技术支撑
当前,在数据要素流通过程中面临很多挑战。第一是数据不敢流通,即数据在流通、共享时是否安全合规。第二是数据不会流通,即在数据流通中使用技术的门槛非常高。第三是数据流通成本高,即现有数据流通技术使用成本较高。
要想破解前述三大挑战,让数据安全、合规、高效地流通起来,一方面需要制度创新,另一方面需要数字技术行业的发展。在制度创新方面,已经推出的“数据20条”是一个非常好的起点,数据20条中提出了数据的三权分立原则,即把持有权、加工使用权和经营权进行分离,淡化所有权问题,这为制度性解决数据相关难题奠定了非常好的基础。接下来,很重要的,就是通过数字技术行业的发展,支撑相关制度的落地和数据要素安全、合规、高效地流通起来。
在数据流通相关的数字技术中,数据密态和跨域管控技术体系发展是关键。数据流通,核心不是自己使用,而是对外开放提供和利用,那么如何有效保障提供方的权益,消除安全隐患,从而让数据持有者愿意把数据开放出来让外部使用,就极为关键。
未来,数据技术行业的发展,应该是“三步走”战略,逐步突破相应卡点:第一步是让大家“敢用”数字技术,消除合规不确定性;第二步是让技术“好用、易用”,降低使用门槛,丰富整个技术行业生态;第三步是让更多的人用得起,不断降低成本,最终实现全行业“会用易用,渐进普惠”。
https://mp.weixin.qq.com/s/UTGQzX11mX-5A3XDrABZ7A
6、王丹阳、侯宁:数据要素市场建设中的企业数据合规分析
随着立法的不断完善,我国数据合规监管越来越深入和细致,覆盖范围也越来越广泛,整体呈现趋严态势。
APP监管呈现深入细致的趋势。各部委公开的通报体现了以下特点:监管主体增加,从统一通报到专项通报,监管重点逐渐深入细致。
数据出境监管体系初步形成。2021年,《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》正式实施,加上2022年生效的《数据出境安全评估办法》以及一系列配套规范等,初步形成了我国数据出境监管体系。
企业合规不起诉制度在数据领域落地实施,极大地提升了企业主动提高自身数据合规能力的积极性,强化了数据合规工作在减轻刑事责任风险方面的重要性。
然而,由于立法更新迅速、实施细则缺失等原因,企业数据合规工作面临着一系列挑战。主要包括以下方面:
(1)监管指引不足,合规要求难以落实。
(2)企业整改被动盲目,合规成本难以负担。
(3)企业内部权责难定,合规工作难以推进。
“数据二十条”的出台为企业提升数据合规能力释放了更强烈的信号。企业若想提升自身的商业竞争能力,充分参与数据要素市场建设,借数据要素市场建设之东风促进自身发展,可以参考以下思路尽快提升自身的数据合规能力。
(1)抓紧落实数据分类分级。
数据的分类分级不仅对数据安全保护策略的制定和实施具有重大意义,在企业数据合规的其他方面也具有基础性作用,企业亟需探索和实施符合本企业经营特点和需求的数据分类分级制度。企业可以先依据现有指引做好自身的数据分类分级,对所掌握的数据类型、体量、使用目的等有清楚的认知,以便能够在未来相关规则和制度明确之时快速调整和匹配合规要求,缩短合规整改窗口期。
(2)加强数据来源合法合规审查。
若数据来源的合法性无法保证,则后续的数据处理和使用就如同食用“毒树之果”,将带来重大的合规隐患。“数据二十条”提出的建立合规高效、场内外结合的数据要素流通和交易制度,进一步凸显了数据源合规的重要性。
参考《可信数据服务 金融机构外部可信数据源评估要求》,企业可以从数据本身和数据提供方两个方面重点判断。首先,针对数据本身,企业应当判断数据获取来源是否真实、合规、可追溯,数据获取方式是否为合法渠道,尤其关注爬取数据的合法性;同时,数据通过授权获取的,应当判断授权是否完整,尤其针对个人信息的授权应当根据相应的法律要求判断授权是否充分知情、自愿,是否取得单独或书面同意等。其次,通过数据提供方的一些基本情况,也可以辅助判断数据来源是否存在潜在风险,如数据提供方业务资质、经营资质、经营实力、经营状况、企业信誉、过往项目经历等;此外,对数据提供方的数据供应能力的审查也至关重要,如相关业务流程、内部管理制度、技术能力、硬件设备、配套服务、合规安全保障能力等。若企业对数据本身的判断较为模棱两可,那么结合数据提供方自身情况进行综合判断,可以帮助企业更加准确地判断数据来源的合法、合规性,最大程度避免合规风险。
(3)培养企业数据合规能力常态化提升意识。
将企业数据合规能力至少可以进一步分为数据合规基础能力、数据合规通用能力和数据全生命周期合规能力。其中,数据合规基础能力可以从数据合规的机构设置和人员安排、企业层面整体的工作规划和方案、数据合规技术工具的使用等方面进行完善和提升,从企业管理的角度为数据合规工作的开展奠定基础;数据合规通用能力建设则包括数据合规风险识别、数据分类分级、个人信息主体权利保障、网络安全和数据安全、合作方管理以及员工个人信息保护等方面,要基本涵盖法律法规对于企业数据合规的通用要求;数据全生命周期合规能力则要结合企业相关业务开展的情况,从数据的收集、存储、使用、加工、传输、提供等各个环节匹配相关合规要求,并对每个环节进行监督和管理,同时与数据合规基础能力和通用能力相结合,共同构成企业数据合规能力体系。
https://mp.weixin.qq.com/s/F8T87jV5YGFvcR_ngT0xjg
