x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯 第17周
发布时间:2023.04.18 浏览数量:1222人

政策形势


1、国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》

4月11日消息,国家互联网信息办公室网站为促进生成式人工智能技术健康发展和规范应用,根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《生成式人工智能服务管理办法(征求意见稿)》。

《意见稿》中提到:(1)国家支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作,鼓励优先采用安全可信的软件、工具、计算和数据资源。(2)禁止非法获取、披露、利用个人信息和隐私、商业秘密。(3)利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(以下称“提供者”),承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。(4)用生成式人工智能产品向公众提供服务前,应当向国家网信部门申报安全评估。(5)提供者在提供服务过程中,对用户的输入信息和使用记录承担保护义务。不得非法留存能够推断出用户身份的输入信息,不得根据用户输入信息和使用情况进行画像,不得向他人提供用户输入信息。(6)提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责。

https://mp.weixin.qq.com/s/X68NJkHsubgqkjCL__ARZA


2、《广东省数据流通交易管理办法(试行)》及系列文件发布

近日,广东省政务服务数据管理局牵头起草了《广东省数据流通交易管理办法(试行)》及系列文件,涵盖了数据资产合规登记、数据流通交易监管、数据经纪人管理等规则,以及数据流通交易技术安全规范,并于4月4日至4月13日公开征求社会各界意见。《办法》指出,数据经纪人是经省数据流通交易主管部门认定,利用行业整合能力,通过开放、共享、增值服务、撮合等多种方式整合利用有关数据,促进行业数据与公共数据融合流通的中介服务机构。

https://mp.weixin.qq.com/s/NiXKRGeTDaHjlobC-G-27Q


3、《广州市公共数据开放管理办法》发布

近日,广州市政府常务会议审议通过了《广州市公共数据开放管理办法》(简称《办法》),办法明确,广州市将遵循统筹管理、需求导向、分类分级、便捷高效、安全可控的原则,依法有序开放公共数据,打造国际一流营商环境,助推经济社会高质量发展。其中,行业增值潜力显著、产业战略意义重大、民生紧密相关、社会迫切需要和广州南沙深化粤港澳全面合作相关的公共数据,优先纳入公共数据开放重点。

https://mp.weixin.qq.com/s/68zxox25pgVRYxlCw11DBA


4、英国发布《数据保护和数字信息法案》修正案

近日,英国在议会提交了新的《数据保护和数字信息法案》(Data Protec-tion and Digital Information Bill)。《数据保护和数字信息法案》被视为英国版的《通用数据保护条例》(GDPR),修改涉及减轻数据跨境义务、消除国际贸易壁垒、鼓励自动化决策等多个方面。

https://www.secrss.com/articles/53657


5、美国政府就ChatGPT等AI工具监管措施公开征求意见

4月11日,美国商务部下属国家电信和信息管理局(NTIA)发布“人工智能问责政策”征求意见稿(RFC),就是否需要对ChatGPT等人工智能工具实行审查、新的人工智能模型在发布前是否应经过认证程序等问题征求意见,期限为60日。

此次征求意见稿涉及人工智能审计、安全风险评估、认证等内容,目的是建立合法、有效、合乎道德、安全可信的人工智能系统。

https://www.secrss.com/articles/53724



数据安全事件


1、供应商惹祸!知名律所客户敏感数据被Azure云暴露超半年

4月11日消息,美国知名国际律师事务所普洛思(Proskauer Rose)因安全漏洞导致客户敏感数据暴露,持续时间超过六个月。

据称,普洛思律所将并购业务数据保存在一个不安全的微软Azure云服务器上,暴露数据集的包含约18.4万个文件。只要知晓存储位置,任何人都能通过网络浏览器访问这些文件,具体涉及私人和高权限财务及法律文件、合同、保密协议、金融交易以及知名收购相关文件。

这台暴露云服务器由GrayHatWarfare发现。GrayHatWarfare是一个可搜索的数据库,能够索引公开可见的云存储及文件。据了解,这些文件已在网上公开至少六个月之久。

https://www.secrss.com/articles/53620


2、加拿大云计算独角兽泄露WordPress管理员凭据

4月12日,据外媒报道,一家拥有超过 3000万用户的流行会计软件提供商FreshBooks泄露了他们的 WordPress 管理员的凭据、源代码和服务器备份。

任何人都能通过互联网访问到该公司的数据,包括 WordPress 网站的用户凭证、网站的源代码和服务器备份。该数据泄露事件带来了各种风险,包括劫持网站、更改其内容、安装恶意软件或窃取敏感信息。

https://cybernews.com/security/freshbooks-leaks-wordpress-credentials/


3、肯德基、必胜客母公司百胜集团报告数据泄露事件

4月11日报道,旗下拥有肯德基、必胜客和Taco Bell快餐连锁品牌的百胜集团近日发布通告,披露在今年1月13日遭遇的勒索软件攻击中失窃的个人信息被泄露。

在上周四开始发送给信息遭泄露的个人的数据泄露通知信中,百胜集团透露已经发现攻击者窃取了一些个人隐私信息,包括姓名、驾驶执照号码和其他身份证号码。

但是,百胜集团并未透露被盗个人信息属于员工还是客户,以及受此数据泄露影响的确切人数。

https://www.secrss.com/articles/53617


4、三星员工使用 ChatGPT 无意中泄露了公司机密数据

4月10日,据外媒报道,三星员工将公司绝密数据提供给了流行的聊天机器人服务 ChatGPT,包括会议记录和源代码,从而无意中泄露了绝密数据。

据称,三星工程师使用ChatGPT了来评估公司源代码,他们要求聊天机器人优化测试序列,以识别他们设计的芯片中的故障。据 Techradar 网站报道,在不到一个月的时间里,该公司已经因员工使用 ChatGPT而导致了三起数据泄露事件。

“在另一个案例中,一名员工使用 ChatGPT 将会议记录转换为演示文稿,其中的内容显然不是三星希望外部第三方知道的内容。”TechRadar报道称。

https://securityaffairs.com/144597/security/samsung-data-leak-chatgpt.html?web_view=true


5、Kodi 证实数据泄露:40 万用户记录和私人信息被盗

4月14日,据外媒报道,开源媒体播放器软件提供商 Kodi 证实,在威胁攻击者窃取了该公司包含用户数据和私人信息的 MyBB 论坛数据库后,数据被泄露。未知的威胁行为者试图在的BreachForums网络犯罪市场上出售包含 400,635 名 Kodi 用户的数据转储。

“MyBB 管理日志显示,论坛管理团队中一个受信任的成员帐户曾两次被用来访问基于 Web 的 MyBB 管理控制台。”Kodi 在一份公告中表示。威胁行为者滥用该帐户创建了数据库备份,然后下载并删除这些备份。

作为额外的安全措施,Kodi 正在加强对 MyBB 管理控制台的访问,修改管理员角色以限制权限,并改进审计日志记录和备份流程。

https://thehackernews.com/2023/04/kodi-confirms-data-breach-400k-user.html


6、网络攻击致使德国药物研发巨头生产延误

4月14日报道,德国药物研发巨头Evotec遭受网络攻击,目前正努力恢复被迫离线的IT系统。

Evotec公司拥有4200多名员工,2021年通过开发治疗阿尔茨海默症、亨廷顿舞蹈症等疾病的药物实现了近7亿美元收入。

这起网络攻击发生在上周四(4月6日),导致Evotec公司断开了与互联网的连接,旨在“保护[其系统]免遭数据损坏或入侵。” 该公司在上周五表示,“目前正在检查IT系统并审查影响范围,将尽最大努力对数据完整性开展调查。”

https://www.secrss.com/articles/53733


7、现代汽车遭受数据泄露,影响了法国和意大利的客户

4月12日消息,现代汽车披露了一起数据泄露事件,影响了意大利和法国的车主以及预订试驾的客户。

据数据泄露通知信显示,未经授权的第三方可以访问客户数据库,泄露的信息包括电子邮件地址、实际地址、电话号码和车辆底盘号码。现代意大利已通知隐私监管机构,并聘请了外部网络安全专家来确定事件的范围。信中称,财务数据并未公开,受影响的人数尚不清楚。

https://securityaffairs.com/144732/data-breach/hyundai-suffered-data-breach.html


8、沃尔沃零售商泄露敏感文件

4月13日报道,Cybernews 研究团队发现,汽车制造巨头沃尔沃的巴西零售商 Dimas Volvo 通过其网站泄露了敏感文件。

该零售商公开了其数据库的身份验证信息,包括MySQL和Redis数据库主机、开放端口和凭据。恶意行为者可以进一步利用这些凭据来访问可能存储了私人用户数据的数据库的内容。研究人员还发现了该网站的 Laravel 应用程序密钥,其可能已被用于解密用户的凭据或会话 ID。

泄露的文件可能以各种方式为提供服务,包括劫持官方通信渠道和渗透公司系统。Cybernews 联系了Dimas Volvo以及沃尔沃总部的数据保护官,解决了一系列安全问题。

https://cybernews.com/security/volvo-retailer-leaks-sensitive-files/


9、西部数据遭窃,攻击者索要巨额赎金威胁

4月14日消息,攻击者日前成功入侵数据存储巨头西部数据(Western Digital),窃取了包括大量客户信息在内的大约 10TB 重要数据。

攻击者正敦促西部数据展开谈判,要求支付至少 8 位数美元赎金,否则将公开这些被窃取的数据。

西部数据此前于4月3日发布公告,其于3月26日发现有未经授权的第三方访问了其多个系统,这意味着该公司面临安全漏洞。

该公司表示,这一事件可能会对其业务运营造成进一步破坏,并正在采取措施确保运营安全,需要下线 WD My Cloud Home 等系统和服务。西部数据也正在努力恢复受影响的基础设施和服务,且数据泄露可能会继续对其部分业务运营造成干扰。

https://mp.weixin.qq.com/s/pk_7ZAGq48U-RfdoJUnpjQ


10、金融科技公司NorthOne Bank的数据泄露事件暴露了超过一百万的财务记录

4月12日报道,网络安全研究员 Jeremiah Fowler 发现并报告了一个不受密码保护的数据库,其中包含大量 PDF 文档。

公开的 PDF 文件包括使用应用程序支付产品和服务的个人和企业的发票。发票包含姓名、电子邮件地址和实际地址、电话号码等。此外,这些文件还包括有关付款用途、总金额、到期日的注释,有些甚至包含税号等税务信息。

经过进一步研究,发现该数据库属于 NorthOne Bank,这是一家被超过 320,000 家美国企业使用的金融科技公司。目前尚不清楚这些记录暴露了多长时间,也不清楚还有谁可以访问数据库(如果有人访问过)。

https://www.websiteplanet.com/news/northone-leak-report/?&web_view=true



技术、产品与市场


1、美国政府更新零信任成熟度模型,将零信任转型作为长期目标

4月12日消息,美国网络安全和基础设施安全局(CISA)发布《零信任成熟度模型》第二版,对跨多个关键支柱(包括身份、网络、工作负载及数据等)的联邦机构实施指南进行了更新。

第二版更新了政府范围内采用零信任安全架构的关键定义和指标。这套模型是联邦机构在设计并实施零信任架构时可以采取的几种途径之一。其距离CISA发布首版零信任成熟度模型已经一年有余。

新版本的成熟度阶段分为四级,除了首版提出的传统、高级、最佳三个阶段外,还增加了初级阶段。CISA修订了每个阶段的指导标准。此外,新版本不再只是临时文件,其更新了长期目标——支持联邦机构设计和实施零信任架构转型计划,并与白宫管理与预算办公室(OMB)M-22-09“推动美国政府迈向零信任网络安全原则”备忘录保持一致。

https://www.secrss.com/articles/53658


2、数据交易互认推广新模式推出!湖南数交所与深圳数交所签约合作

4月14日,湖南大数据交易所与深圳数据交易所在在湖南大数据交易所交易举行战略合作签约仪式。后续双方将在交易制度规则体系衔接和流程互通、重点行业数据产品开发和流通交易试点、数据要素流通技术开源社区合作、要素交易智库研究及数据生态圈建设、数据相关标准制定与认证等方面开展深入合作,重点围绕数据服务领域,促进双方业务场景的触达和连接,共同打造新型数据交易场所,积极探索数据流通交易标准互通互认、资源互联共享的新模式。

https://mp.weixin.qq.com/s/3OCeu_QSvTXc28ahCtB1qQ


3、中国移动发布“数联网”,保障数据“可用不可见”

4月14日,中国移动发布新型可信数据流通基础设施数联网(DSSN)及相关产品,并与6家数据交易所达成战略合作,探索构建新型可信数据流通基础设施。据悉,数联网(DSSN,Data Switching Service Network)是中国移动依托“连接+算力+能力”信息服务体系,基于隐私计算、区块链、低代码开发等核心技术构建的跨行业、跨区域、跨领域的下一代可信数据流通基础设施,实现了数据“可用不可见”。

https://mp.weixin.qq.com/s/t5B7xbQRA4aP3tNFNdVQ0g


4、调查:瞒报数据泄露成全球“潜规则”

企业瞒报数据泄露事件是网络安全行业的老大难问题。根据Bitdefender上周发布的2023年网络安全评估报告,42%的企业安全人士被要求瞒报数据泄露事件,美国企业瞒报比例更是高达七成。

Bitdefender的报告调查了美国、英国、德国、法国、意大利和西班牙的400多名IT和安全专业人员。职位覆盖从初级管理人员到首席信息安全官。

根据调查,52%的受访者表示他们的企业在过去12个月中发生了数据泄露事件,但比企业发生数据泄露的百分比更令人震惊的是,许多IT主管们表示,当他们明确表示有义务报告安全事件时,仍被告知要保密(瞒报)。

根据报告,42%的受访者表示,他们被告知在应该报告违规行为时要保密,近30%的受访者表示,他们在明知应该报告违规行为时选择了保密。

值得注意的是,在美国这个全球最大的网络安全市场,美国企业瞒报数据泄露的比例远高于平均值,高达70%的美国企业安全人士表示,他们被告知要对违规行为保密,近55%的美国企业受访者最终选择了保密。

https://mp.weixin.qq.com/s/j16VsD0CqDiq2XgS8Vs4oQ


5、《数字政府数据要素流通市场分析》报告发布

数据作为新型生产要素,是数字化、智能化的基础,已快速融入生产、分配、流通、消费和服务等各环节,深刻改变着生产方式、生活方式和社会治理方式。2022年12月国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》提出建设数据产权制度、数据要素流通和交易制度、数据要素收益分配制度、数据要素治理制度等,促进数据高效流通使用,赋能实体经济。2022年6月国务院发布的《关于加强数字政府建设的指导意见》强调以数字政府建设助推数字经济发展,壮大数据服务产业,推动数字技术在数据汇聚、流通、交易中的应用,进一步释放数据红利。2023年3月组建国家数据局,解决了国家自上而下的统一组织,改变现有的运行方式、运行结构及建设思维。

IDC观察到,虽然国务院在2020年就将数据列为重要生产要素,积极培育数据要素市场,但在组织制度、数据质量、供需对接、市场机制和技术体系方面发挥数据要素的价值还存在很多挑战。IDC定义的数字政府数据要素市场利用互联网数据、政务公共数据、企业数据进行数据的价值化,赋能数字政府的产业促进、网站内容合规分析、舆情监测场景及进行数据流通交易赋能各行各业。从当前市场来看,分为数据要素服务、数据要素市场、数据资产和数据安全这几个子市场,市场上形成围绕数据要素创造业务新动能的厂商:

https://mp.weixin.qq.com/s/UuTOWlAx4eRj7BO2SUCFQg

图片




业界观点


1、监管号角吹响,AI大模型数据安全问题何解?

4月11日,国家互联网信息办公室发布《生成式人工智能服务管理办法(征求意见稿)》(以下简称“《征求意见稿》”)对生成式人工智能服务提供者及其产品提出了多项规制。

事实上,在《征求意见稿》发布前,近期已有多国监管部门表示密切关注 ChatGPT 引发的数据安全问题。

在对外经济贸易大学数字经济与法律创新研究中心执行主任张欣看来,各国不同的监管状态反映出的是人们对ChatGPT为代表的生成式人工智能,以及未来可能出现的通用人工智能技术伴随风险的担忧和关注。风险与潜力并存于人工智能技术之中,虽然技术已经展现出多种强大能力,但其阴暗面的仍有诸多安全难题待解。

当前,类ChatGPT产品自身缺乏可信技术的支撑,整体的治理框架也还需一段时间的调整才能够匹配技术的发展和范式的变化。张欣指出,人工智能领域的新兴监管工具值得关注。在监管层面,可以灵活运用算法风险分级、算法影响评估、算法审计、算法认证等治理方法和监管沙箱等制度工具,在产品落地阶段,则可以考虑灰度测试和A/B test,通过小范围、渐进的测试逐渐优化产品的数据安全保护机制。

未来,也可以考虑将以Open AI为代表的人工智能公司纳入治理体系,同监管机关合作开发与技术发展和市场竞争相适应的监管框架。

https://www.21jingji.com/article/20230411/herald/b8786f43523a88870d509ad7a43d5d9b.html


2、安全合规之于数据要素市场,就像行车时的安全带

数据已成为一种全新的生产要素,于国家和企业而言都将是新的经济增长点。而目前,数据要素市场还处于初期发展阶段,企业如何抓住机遇在未来市场中占有一席之地、激发数据要素市场面临哪些困境……围绕这些问题,广州芳禾数据有限公司CTO、信息安全博士李明接受了21世纪经济报道记者的专访。

合规之于数据要素市场,就像行车时的安全带。李明认为这是当下数据要素市场最受关注的两个问题,也是数据产品在数据交易所上架时的重要步骤。

安全合规对于数据要素市场的重要性,就像行车时的安全带。我们都知道安全带是每位车主的生命带,安全合规对于数据要素行业也是同样的道理。我们都很希望数据要素能够作为国家的重要支柱型产业,推动国家数字经济的高质量发展,像踩油门一样直往前冲,但显然不能没有安全合规作为数据要素行业的“安全带”。

https://www.21jingji.com/article/20230412/herald/d45149313f1f75d3ccc2d5153257c24f.html


3、建立数据产权制度 激发市场活力

数据产权制度是推进数据分类分级确权授权使用、促进数据要素价值释放的前提条件。数据二十条明确了数据基础制度建设的四大重点,包括数据产权、流通交易、收益分配和安全治理,其中数据产权制度是系统性构建数据基础制度的根基。

(1)“数据二十条”为构建数据产权制度体系提供新思路

1)创新提出数据产权“三权分置”制度框架。

2)推进分主体的数据分类分级确权授权使用。

3)建立数据要素各参与方合法权益保护制度。

(2)推进数据分类分级确权授权的发展建议

一是建立健全数据产权管理法律法规。基于“数据二十条”提出的数据资源持有权、数据加工使用权、数据产品经营权“三权分置”框架,构建完备的数据产权制度体系。加快研究制定“数权法”,明确数据产权的属性、归属以及各相关主体的对应权利义务,强化各主体在数据生产、流通、使用过程中参与数据要素登记与授权等行为的法律保障,确保各主体在数据要素市场投入的要素资源获得合理回报,促进数据要素合规有序流通利用。

二是创新数据产权管理技术工具手段。深化区块链数据产权管理应用,开展基于区块链的数据产权登记试点,充分运用区块链去中心化、不可篡改的特性实现数据资产的唯一性确权与信息可追溯,为推进数据分类分级确权、管理经营、产权保护提供技术支持。同时,基于区块链智能合约技术实现数据管理接口的标准化,能够破解数据产权法规细则缺位造成的多平台产权数据标准不一、数据共享对接难等问题,为规范数据产权权属、转移与分配提供有力技术工具。

三是鼓励各地践行数据产权制度创新。按照市场导向、场景先行的思路,进一步优化数据要素市场发展生态,支持具备一定数据要素市场发展基础的地区在数据产权登记、数据产权评估监管、数据产权流转、数据产权交易等方面先行先试,鼓励企业、科研院所等基于自身技术优势提供专业化的数据运营服务,实现数据产权制度在金融、能源等领域的落地应用,在实践探索中逐步总结数据产权制度的有效经验,形成可复制可推广的成功模式。

http://www.crei.com.cn/file/br.aspx?id=20230411080102


4、加强共治,规范算法应用发展

算法内容专业性较高、技术更新速度快等特点,决定了算法治理是一项长期工作,需要汇聚合力。

近年来,算法的广泛运用让用户需求和产品、服务得以快速精确匹配,大大降低了信息传播和获取的成本,提升了用户的消费体验。无论是看新闻、刷视频,还是线上购物、外出就餐,互联网平台个性化推荐日益影响着用户的日常生活。同时,也有一些平台滥用算法,造成“信息茧房”“大数据杀熟”“诱导沉迷”等问题。

为了实现个性化推荐的精准高效,平台需要借助算法收集处理用户的个人信息,实现对用户的跟踪识别。《中国大安全感知报告(2021)》显示,七成受访者担心个人喜好与兴趣被算法“算计”。一些用户希望关闭算法推荐功能,停止将个人信息分享给平台使用。然而,平台个性化推荐却存在关闭难等问题。

类似滥用算法的行为,侵害了消费者的知情权、选择权和个人信息权益,也给网络空间的传播秩序带来负面影响。当前,大部分算法设计者不会将运算的细节公之于众。由于不掌握相关信息,用户在权益受到损害时,依法维权的成本较高。此外,算法推荐技术每一次根据用户行为数据进行的特定推荐,无不隐藏着平台的价值判断。一旦算法的设计与应用失当,个体在认知判断、行为决策以及价值取向等多个方面,很可能会受到单一算法的不良影响。因此,算法规制不能仅靠平台自觉,还需建立全方位监督体系,更好保护用户权益。

http://www.cbdio.com/BigData/2023-04/12/content_6172606.htm


5、深化区块链 构建数据可信流通体系

数据作为新型生产要素,能为实体经济带来放大、叠加和倍增作用,是做强做优做大数字经济的关键。建立数据可信流通体系,增强数据的可用、可信、可流通、可追溯水平,是激活数据要素潜能、赋能实体经济的重要途径。区块链技术具有去中心化、共识机制、不可篡改、可以追溯、规则透明等特点,可以实现数据要素的个体可识别、用途可追溯和价值可衡量,基于区块链建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系,有利于释放数据要素价值、推动我国数据要素市场化发展。

区块链是以分布式数据存储、点对点传输、共识机制、加密算法、智能合约等计算机技术集成创新而产生的分布式账本技术,是基于互联网的分布式数据库,具有去中心化、共识机制、不可篡改、可以追溯、规则透明等特点,可以很好满足“数据二十条”提出建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系要求,实现数据要素的个体可识别、用途可追溯和价值可衡量,是打造数据可信流通体系的关键支撑技术。

深化区块链技术应用,以市场化配置方式促进数据高效流通,需要按照国家建立数据可信流通体系要求,结合各地区各行业自由选择、灵活接入需求,推动数据跨链共享、安全监管,务实构建集约高效的数据流通基础设施。一是许可接入、跨链互用。二是泛在部署、就近使用。三是公共普惠、方便易用。四是生态培育、多方共用。五是全国一体、内外兼用。六是可信监管、安全好用。

http://www.cbdio.com/BigData/2023-04/14/content_6172644.htm


来源:BDS国家工程研究中心