x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯 31周
发布时间:2023.07.28 浏览数量:697人

政策形势

1、中国人民银行就《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《办法》)公开征求意见

   7月24日,中国人民银行就《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《办法》)公开征求意见。《办法》旨在指导督促相关数据处理者依法依规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务。

   根据“谁管业务,谁管业务数据,谁管数据安全”基本原则,《办法》明确适用范围为中华人民共和国境内开展的,中国人民银行承担监督管理职责各类业务相关的数据处理活动。此类业务涉及的数据处理者,开展对应数据处理活动时,应当遵守《办法》提出的管理要求。当前,《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。

   《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条,主要内容包括:

一是规范数据分类分级要求。

二是提出数据安全保护总体要求。

三是压实数据处理活动全流程安全合规底线。

四是细化风险监测、评估审计、事件处置等合规要求。

五是明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。

http://www.pbc.gov.cn/tiaofasi/144941/144979/3941920/4993510/index.html


2、两部门印发《关于促进网络安全保险规范健康发展的意见》

   7月17日,工业和信息化部、国家金融监督管理总局联合印发《发布关于促进网络安全保险规范健康发展的意见》,以加快推动网络安全产业和金融服务融合创新,引导网络安全保险健康有序发展,培育网络安全保险新业态,促进企业加强网络安全风险管理,推动网络安全产业高质量发展。意见从建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态5个方面提出意见。

https://baijiahao.baidu.com/s?id=1771718296115524629&wfr=spider&for=pc


3、人社部出台《人力资源服务机构管理规定》

   6月29日,人社保出台《人力资源服务机构管理规定》,对人力资源服务机构收集个人信息的范围进行明确,并要求其应当建立个人信息保护、个人信息安全监测预警等机制,不得泄露、篡改、损毁或者非法出售、非法向他人提供所收集的个人信息,并采取必要措施防范盗取个人信息等违法行为;应当对个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。

https://baijiahao.baidu.com/s?id=1770133618268507784&wfr=spider&for=pc


4、《中国(上海)自由贸易试验区专项发展资金支持数据要素市场发展实施细则》发布

   7月11日,《中国(上海)自由贸易试验区专项发展资金支持数据要素市场发展实施细则》发布,强调支持支持浦东引领区建设国家级数据交易所,培育数据要素产业,发展高质量数字经济。实施细则鼓励数据交易场所支持企业挂牌数据产品、支持企业流通交易优质数据,对符合相关条件的予以相应的资金支持。

https://www.sh-tec.cn/ryrd/8176.html


5、《北京地区电信领域数据安全管理实施细则》发布

   《实施细则》细化明确了北京地区电信领域数据安全工作任务要求,有利于指引企业规范落实数据安全保护义务,为北京建设全球数字经济标杆城市提供基础支撑。

https://www.ciiabd.org.cn/articles/KVzXAk.html


6、袁家军:聚焦聚力 实战实效 全面推动数字重庆建设形成重点能力

袁家军在数字重庆建设推进会上强调

聚焦聚力 实战实效

全面推动数字重庆建设形成重点能力

胡衡华主持 唐方裕出席

   7月27日下午,市委召开数字重庆建设推进会,市委书记袁家军出席并讲话。他强调,要深入学习贯彻习近平总书记关于数字中国建设的重要论述,对标党的二十大战略部署和现代化新重庆建设任务,紧密结合主题教育,进一步提升思想认识、强化系统观念、明确目标任务,聚焦聚力、实战实效,体系化推进重点能力建设,全面推动发展、服务、治理不断迈向现代化。

https://mp.weixin.qq.com/s/ZeSKLA9T98gQkD9g1Fd1jw


7、刘烈宏任国家数据局局长

   据人社部7月28日消息,国务院任免国家工作人员。

   其中,任命刘烈宏为国家数据局局长,他成为国家数据局成立后首任局长。

   今年3月,中共中央、国务院印发《党和国家机构改革方案》。

   方案显示,组建国家数据局。负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。

   将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。

省级政府数据管理机构结合实际组建。

https://mp.weixin.qq.com/s/Ki2PSNclPNcvDY9_zav9yQ




数据安全事件

1、外包服务商被黑致使英国部分地区救护车系统瘫痪

   安全内参7月27日消息,医疗软件公司Ortivus遭受网络攻击,导致多家英国国民健康服务(NHS)的救护车机构难以记录患者数据,或将数据传递给其他医疗服务提供商。

   Ortivus是一家总部位于瑞典的软件供应商。该公司发表声明,表示于7月18日遭受网络攻击,攻击影响了其托管数据中心环境中的英国客户系统。

https://www.secrss.com/articles/57151


2、北约遭黑客组织袭击,敏感数据泄漏

   黑客组织SiegedSec近日攻击了北约组织,声称破坏了其COI门户,随后泄露了近1GB的数据,包括数百份供北约国家和合作伙伴使用的敏感文件。该数据还包含至少70名北约官员的全名、电子邮件地址、电话号码、办公地址和军衔。

   这不是北约第一次成为黑客攻击的目标。今年4月初,亲俄黑客组织Killnet声称其实施的网络攻击导致北约40%的电子基础设施“瘫痪”。

   KillNet黑客还声称,他们针对北约进行了DDoS攻击,窃取了纯文本登录凭据,并使用它们在基辅和摩尔多瓦的同性恋约会门户网站上创建帐户。

https://www.secrss.com/articles/57142


3、日本最大通信运营商被窃近六百万条用户数据,嫌疑人已被拘留

   近日,日本最大的移动通信运营商NTT Docomo发布一则公告,证实其承包商NTT Nexia的一名前临时员工非法窃取了该公司约596万条用户个人信息,包括用户姓名、地址、电话号码、出生日期、电子邮箱等。NTT Docomo称尚无证据显示窃取的数据已被第三方获取,其将以电子邮件或信件的方式与受影响的用户联系。目前,NTT Docomo已设立专线处理此事,该前员工已被警方拘留。

   NTT Docomo公告显示,今年3月,该公司通过查看网络监控发现,其承包商NTT Nexia的一名前临时员工利用职务之便,非法访问并窃取了约596万条用户数据,这些数据包括用户的姓名、地址、电话号码、出生日期、电子邮箱等,但不涉及信用卡、银行账户、付款信息以及各类支付密码。

   为此,NTT Docomo向日本民众公开道歉,承诺其与承包商公司今后将采取更高水平的数据保护措施,防止类似事件再发生。比如,使用更严格的访问控制系统,改进加密协议以及定期开展更多的数据安全审查工作。

https://www.secrss.com/articles/57036


4、今年最大规模网络攻击:受害机构数量逼近400家,影响人数超2千万

   安全内参7月21日消息,利用MOVEit文件传输软件漏洞实施的大规模软件供应链攻击已经进入第七周,受害者数量和损失持续攀升。

   今年5月下旬,俄罗斯勒索软件组织Clop利用美国Progress Software公司旗下产品MOVEit的一个安全漏洞,从易受攻击网络中窃取大批文件。截至目前,已有近400家组织受到影响,其中不乏美国能源部等联邦机构、能源巨头壳牌、德意志银行、普华永道、零售巨头TJX等知名公司机构。

   零日漏洞曝光近两月,受害机构逼近400家

   零售巨头TJX在7月19日确认:“在Progress通知我们该漏洞之前,一些文件已被未经授权的第三方下载。”TJX拥有TJ Maxx、Marshalls、HomeGoods、HomeSense和Sierra等多个零售品牌。

https://www.secrss.com/articles/56932


5、武汉市地震监测中心遭受网络攻击 “黑手”疑来自美国

   7月26日,武汉市应急管理局发布声明称,该局所属武汉市地震监测中心遭受境外组织的网络攻击。这是继2022年6月份西北工业大学遭受境外网络攻击后又一具体案例。国家计算机病毒应急处理中心和360公司组成的专家组发现,此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起,初步证据显示对武汉市地震监测中心实施网络攻击来自美国,本报将持续跟踪报道。

https://baijiahao.baidu.com/s?id=1772443836854854835&wfr=spider&for=pc




技术、产品与市场

1、2023网络安全技术创新与人才教育高峰论坛数据安全分论坛顺利举行

   7月24日,以“产业生态联动筑基数据安全”2023年网络安全技术创新与人才教育高峰论坛“数据安全分论坛”在长沙举行。活动邀请了来自全国范围内数据安全领域的领导、专家、学者、企业家展开深入探讨,以维护国家数据安全,实现数据安全体系化防范为目标,探索数据安全防护的新思路新模式,分享数据安全行业最佳实践。

   中国网络空间新兴技术安全创新论坛(新安盟)秘书长鲁辉在致辞时指出,发展数字经济,加快培育发展数据要素市场必须把保障数据安全放在突出位置,这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全的治理能力,数据安全需要以合法合规为基础,需要科技创新和技术革新,以及形成良好的生态和强大的合力,并充分履责和不断作为。

   奇安信集团数据安全事业部总经理刘洪亮在主题演讲中表示,在数据安全建设体系当中需要完整的生态链,其中涉及技术和产品供应商、运营和监控服务提供商,企业组织,创新公司和创新者,研究和学术机构等等重要参与者。在生态建设过程中,奇安信也通过政企合作、产业合作、校企合作、企业生态合作等方式,突破生态合作难题。

   数世咨询总经理李少鹏在数据安全新思路时提出,数据安全保护需要转变思路,其核心不再是死守数据资产,而应转向在一定范围内保障数据的有限开放与流动。他强调,数据的价值主要体现在流动上,越流动价值越高,这才是保护数据的根本性落地方法。

   中南大学湘雅二医院信息网络中心主任朱洪涛分享了医院数据安全现状及建设思考。医疗数据价值巨大,也成为了一些人眼中的“金矿”,且随着医疗数据与互联网的链接和多方流转,也面临着更多风险和更大挑战。他总结了医院数据安全建设的三个步骤:一是抓住重点业务,聚焦场景风险;二是基于业务场景化的数据分级保护策略;三是结合业务场景的数据安全能力建设。

http://science.china.com.cn/2023-07/26/content_42460656.htm


2、重庆网络与数据安全产业大会在璧山举行

   7月24日,重庆网络与数据安全产业大会在重庆市璧山区开幕,活动邀请到数字领域政、产、学、研、用等领域专家和嘉宾出席,共话数字领域的网络与数据安全。

   本次大会由重庆市委网信办、市发展改革委、市经济信息委、市大数据发展局指导,璧山区人民政府、重庆广播电视集团(总台)、奇安信科技集团股份有限公司主办。

   大会以“构建网络与数据安全产业大生态 打造成渝地区数字经济新名片”为主题,由大会主会及“数据安全”“网络与数据安全产业生态合作”“软件供应链安全”三场主题分会组成。

   当天,会上发布了《2023中国软件供应链安全分析报告》,中国工程院院士沈昌祥、中科院网络空间地理学实验室主任郭启全、国家信息中心信息化和产业发展部主任单志广、奇安信集团总裁吴云坤分别围绕网络数据安全作了主题演讲。

   为共同构建更加完整的数字经济产业生态,打造更具竞争力的网络数据安全产业集群,璧山区还联合奇安信集团与浪潮云、超图软件、西部智数、中科网威等18家知名企业进行了产业生态战略合作签约。

http://ex.chinadaily.com.cn/exchange/partners/82/rss/channel/cn/columns/j3u3t6/stories/WS64c0ef93a3109d7585e469cd.html


3、研究:目前只有 45% 的云数据经过加密

   据泰雷兹最近发布的一份研究报告称,去年有 39% 的企业在其云环境中遭遇过数据泄露,这一比例较 2022 年的 35% 有所增加。此外,55% 的受访者表示人为错误是云数据泄露的主要原因。

   与此同时,该报告称,云中存储的敏感数据数量急剧增加。75% 的企业表示,存储在云中的超过 40% 的数据被归类为敏感数据。38% 的受访者将软件即服务 (SaaS) 应用程序视为黑客的主要目标,紧随其后的是基于云的存储 (36%)。

   尽管据报道云中的敏感数据有所增加,但研究发现所使用的加密级别较低。只有 22% 的 IT 专业人员表示,他们在云中的敏感数据有超过 60% 是加密的。调查结果显示,目前平均只有 45% 的云数据经过加密。

   该研究还发现企业缺乏对加密密钥的控制,只有 14% 的受访者表示他们控制着云环境中加密数据的所有密钥。此外,近 62% 的受访者表示他们拥有五个或更多密钥管理系统,这在保护敏感数据时增加了复杂性。

https://www.helpnetsecurity.com/2023/07/13/cloud-environments-security/?web_view=true


4、赎金高达4.5亿美元!2023年上半年勒索总金额暴增64%

   根据区块链分析公司Chainaanalysis的一份报告,勒索软件是今年唯一出现增长的加密货币犯罪类别,而其他所有犯罪类别,包括黑客、诈骗、恶意软件、违禁品销售、欺诈商店和暗网市场收入,均大幅下降。

   报告称:“勒索软件是2023年迄今为止唯一呈上升趋势的基于加密货币的犯罪形式。勒索赎金有望创下新的纪录。截至6月份,勒索软件攻击者已勒索至少4.491亿美元。”

   2023年上半年勒索软件的年度累计收入已达到2022年总收入的90%。如果收入增长速度保持在这一水平,到2023年底,勒索软件攻击者将从受害者身上获利约9亿美元,有可能打破2022年创纪录的9.4亿美元。

   分析人士认为,所谓的“大型狩猎”是勒索软件收入大幅增长背后的推动力,因为网络犯罪分子已重新瞄准可勒索大笔赎金的大型企业和机构。

http://www.anquan419.com/knews/24/5526.html


5、IBM报告:2023年数据泄露平均成本高达445万美元,51%企业计划增加安全投资

   该报告所研究的数据泄露事件发生在16个国家和地区,涉及17个不同行业。整个报告中探讨了数据泄露的根本原因以及短期和长期后果,还探讨了能够使公司减少数据泄露损失的要素和技术。

   本文基于对《2023年数据泄露成本报告》研究数据的分析,主要介绍该报告的11个关键发现点。

   445万美元-数据泄露的平均总成本

   数据泄露的平均成本在2023年达到历史新高,为445万美元。这比2022年的435万美元增加了2.3%。从长期来看,平均成本比2020年报告中的386万美元增加了15.3%。

图片

   51%-因数据泄露而计划增加安全投资的组织所占百分比

   虽然数据泄露成本持续上升,但受访者对于是否计划因数据泄露而增加安全投资的意见几乎各占一半。需要增加投资的首要领域包括事件响应 (IR) 规划和测试、员工培训以及威胁检测和响应技术。

   176万美元-广泛使用人工智能和自动化技术对安全成本的影响

   安全的人工智能和自动化技术是降低成本、最大限度缩短识别和遏制漏洞时间的重要投资。广泛使用这些技术的组织平均缩短了108天的时间来识别和控制安全漏洞。与未使用安全人工智能和自动化功能的组织相比,它们还报告称数据泄露损失成本降低了176万美元。

   1/3-企业自身安全团队或工具发现泄露的次数

   只有三分之一的公司是通过自己的安全团队发现数据泄露的,这说明组织需要配备更完善的威胁检测技术。67%的数据泄露事件是由良性第三方或攻击者自己报告的。与内部检测相比,当攻击者披露漏洞时,企业要多付出近100万美元的代价。

https://www.secrss.com/articles/57128




业界观点

1、向东:以数据安全为第一要务、“零事故”为目标 助力聚数算数产业

   7月26日,2023全国工商联主席高端峰会在郑州召开。全国工商联副主席、奇安信集团董事长齐向东在 “数聚中原 算好未来”平行专题活动上发表主题演讲时表示,数字经济全球竞争的下一个赛道已然聚焦于“数据”和“算力”,网络安全已成为聚数算数产业的底板工程。

   数据变化引发三大安全难题 影响聚数算数发展

   算力是数字化转型的重要抓手,数据则是重要生产要素。但在数字经济时代,数据发生了从“死”到“活”、从虚到实、从贱到贵的变化,在复杂流动过程中,攻击暴露面越来越大,不仅产生更大风险,一旦被破坏或泄露,带来的损失也更难以承受。威瑞森的调查报告显示,95%的数据泄露都是经济利益驱动。

   齐向东总结了算力产业发展过程中,数据安全面临的三大难题。

一是数据大流通,“三员”行为难控制。

二是算力一张网,身份真假难辨。

三是枢纽一体化,后门漏洞难防。

   三个转变 破解数据安全难题

   想要破解数据变化所带来的安全难题,安全建设也需要做出改变。

首先,从“关注IT”转变为“关注业务”。

其次,从关注设备转变成关注“人”。

再次,从关注建设转变成关注运营。

   以“零事故”为标准 建设内生数据安全

首先要建设纵深防御的内生安全体系。

二是建设全链条的数据安全防护体系。

三是建设三级态势感知体系。

四是建设一体化的网络安全运营中心。

   齐向东表示,数字经济全球竞争的下一个赛道已然聚焦于“数据”和“算力”,数据安全是第一要务。

https://baijiahao.baidu.com/s?id=1772473284240934806&wfr=spider&for=pc


2、任子行:目前在人工智能技术领域布局主要是数据安全自动化识别和针对人工智能应用的安全检测分析

   任子行7月27日在投资者互动平台表示,公司目前在人工智能技术领域的布局主要包括两方面:一方面是数据安全自动化识别,用计算机视觉、自然语言处理等人工智能技术识别各类互联网违规内容等,应用在反诈骗、反赌等领域;另一方面是针对人工智能应用的安全检测分析

http://app.myzaker.com/news/article.php?pk=64c249ef8e9f090dd9416bc9


3、张宝翠:统筹发展和安全,更好发挥数据要素作用

   数据正成为驱动经济社会发展的关键生产要素。2021年我国数据要素市场规模达到815亿元,2022年市场规模接近千亿元,并且在“十四五”期间有望保持25%的复合增速。习近平总书记指出,“要构建以数据为关键要素的数字经济”;“要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系”。相关重要讲话深刻揭示了统筹发展和安全、更好发挥数据要素作用的实践路径和重要抓手。

以制度为抓手,保障数据要素价值释放

以产业为依托,促进数据安全产业发展

以需求为导向,加大数据安全人才培养

   在建设数字中国的时代背景下,只有构建数据基础制度体系、促进数据安全产业发展、加大数据安全人才培养,才能更好地维护国家数据安全、推动经济高质量发展。

https://baijiahao.baidu.com/s?id=1764020791278495471&wfr=spider&for=pc


4、高艳东:跨境数据流动,须坚持主权至上

   近年来,数据跨境流动日益受到关注。欧盟和美国刚刚达成“欧盟-美国数据隐私框架”协议,英国《金融时报》就发文称,“在美中关系恶化的背景下,跨国公司纷纷加快脱钩中国数据”。事实上,在美国倡导的“数据自由流动”的口号下,多国数据源源不断流向美国,美国对他国的控制力日益加强。

   第一,数据正在成为国家的核心竞争力之一,任何跨境数据问题都需要我们谨慎对待。

   第二,应当坚决反对美国数据政策的两面性。美国利用其技术和数据优势,在全球推行两面性的数据政策。在有利于自己时主张数据自由流动,在不利于自己时则提倡监管主义。

   第三,在数据安全问题上,中国需要做好防守反击。虽然中国数字产业近年来取得了长足发展,但与美国相比,我国有全球影响力的互联网巨头数量仍然很少。这决定了我国只能稳扎稳打。

   概而言之,数据无小事。在全球数据单向流动的大背景之下,我国应当在维护好自身数据安全和主权后,再进一步推动共享、共治、共利的数据国际规则体系。(作者是浙江省新型重点专业智库浙江数字化发展与治理研究中心研究员)

https://baijiahao.baidu.com/s?id=1771706372114753116&wfr=spider&for=pc


5、李健:中小银行外部数据安全应用的探索与研究

   银行在数字化转型的开展过程中,将为跨机构、跨领域的数据流动共享提供创新驱动,在深化使用外部数据,不断推进内、外部数据融合应用的同时,也为数据要素市场化配置注入充沛活力。对于中小银行而言,随着外部数据的需求越来越大,应用场景越来越多,如何进行外部数据的精细化管理,如何做好外部数据的安全应用,已经成为数据应用面临的重要挑战。主要包括:

(1)外部数据管理难度凸显。

(2)外部数据应用面临的合规性风险。

(3)外部数据应用面临的连续性风险。

(4)外部数据应用面临的可靠性风险。

(5)外部数据价值有待全面释放。

   对此,应从以下几点着手应对:

(1)明确外部数据管理机制,为安全应用夯实制度基础。通过制度明确外部数据管理的职责归属,确定数据归口管理部门,整合分散重复的需求,节约成本,对外部数据进行全流程集约化管理,满足合法、稳定、准确、完整的准入要求,实现安全应用和共享,充分发挥价值。

(2)搭建外部数据管理平台,为安全应用提供标准服务。通过科学的管理和手段,将外部数据进行整合、标准化,建设符合“统一出口、统一采集、统一服务”的外部数据服务平台十分必要。

(3)制定外部数据管理策略,为安全应用化解潜在风险。为尽可能地防范外部数据风险,确保安全可控,建议遵循以下策略实现安全应用。一是由商用数据向政务数据转变。二是由单源依赖向多源服务转变。三是由单一数据引用向交叉验证转变。四是由粗放管理向分级分类管理转变。

(4)丰富外部数据应用场景,为价值释放营造创新环境。随着接入外部数据的质量不断提升,首先是做好内外部数据的融合应用,其次是注重挖掘更多的应用场景,同时充分借鉴行业内优秀实践,不断收集整理使用外部数据的新场景及创新产品。

https://www.secrss.com/articles/56884