政策形势
1、国务院常务会议审议通过《商用密码管理条例(修订草案)》
国务院总理李强4月14日主持召开国务院常务会议,审议通过《商用密码管理条例(修订草案)》。会议指出,近年来,商用密码应用愈发广泛,在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。要全面贯彻总体国家安全观,进一步规范商用密码应用和管理,督促平台企业依法履行用户密码保护责任,确保个人隐私、商业秘密和政府敏感数据的安全。要更好顺应数字经济快速发展趋势,建立健全商用密码科技创新促进机制,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。
https://www.oscca.gov.cn/sca/xwdt/2023-04/20/content_1061005.shtml
2、最高检印发《关于加强新时代检察机关网络法治工作的意见》
近日,最高人民检察院印发《关于加强新时代检察机关网络法治工作的意见》 (下称“《意见》”)。《意见》共6方面21条,围绕党的二十大关于健全网络综合治理体系的重要部署,结合检察履职实际,从网络立法、执法、司法、普法以及法治研究、队伍建设等方面,对加强新时代检察机关网络法治工作提出具体要求。
《意见》指出,要充分发挥司法办案职能,依法严厉打击利用网络实施的危害国家安全犯罪,依法加大对危害计算机信息系统安全、数据安全犯罪的惩治力度,全链条惩治人民群众反映强烈的网络犯罪,依法保护和规范数字技术、数字产业和数字市场,大力加强网络空间未成年人权益的综合司法保护,切实维护网络空间安全和服务数字经济健康发展。
http://news.youth.cn/gn/202304/t20230419_14463989.htm
3、5月7日起天津将实施网络数据安全监督检查规范
人民网天津4月20日电 据“网信天津”消息,近日,天津市地方标准《网络数据安全监督检查规范》(DB12/T 1198-2023)由天津市市场监管委批准发布。《规范》由市互联网信息办公室提出并牵头制定,将于5月7日起实施。
https://www.360kuai.com/pc/9260bae657d3bcf12?cota=3&kuai_so=1&refer_scene=so_3&sign=360_da20e874
4、《关键信息基础设施安全保护要求》国家标准宣贯会在京举办
为做好国家标准的落地实施和应用指导工作,不断提升关键信息基础设施安全保护能力,4月19日,《关键信息基础设施安全保护要求》国家标准宣贯会在北京举办。会上,公安部网络安全保卫局结合公安机关关键信息基础设施安全监管工作中发现的突出问题,提出了关键信息基础设施安全保护工作具体要求。
https://www.secrss.com/articles/53944
5、《全国信息安全标准化技术委员会2023年度工作要点》,加快重点领域网络安全国家标准研制
4月14日,全国信息安全标准化技术委员会发布《关于印发<全国信息安全标准化技术委员会2023年度工作要点>的通知》。《工作要点》指出:(一)加快重点领域网络安全国家标准研制,(二)加强网络安全国家标准宣传培训,(三)着力增强我国国际标准技术储备和竞争力,(四)不断完善工作机制并加强自身能力建设
其中,“加快重点领域网络安全国家标准研制”中提出,贯彻落实“数据二十条”,开展数据产权、流通交易、安全治理等领域标准研究,研制数据安全风险评估、数据交易服务安全、政务数据处理安全、公共数据开放安全等标准,争取年底发布出台;支撑国家数据分类分级制度建设,加快推动数据分类分级保护等标准研制;研制个人信息合规审计、可携带等个人信息权利和义务具体标准。
https://mp.weixin.qq.com/s/d3nFigc7js35qDP9zv1gGw
数据安全事件
1、DC Health Link因错误配置而造成数据泄露
据来自华盛顿特区健康保险交易所的高级行政人员表示,最近发生的个人信息数据泄露事件是由人为错误造成的。这起数据泄露事件最早在3月初被发现。此次安全事故中使得未知的黑客窃取了两份包含客户信息的报告,其中包括17名众议员及其43位家属、585名众议院职员及其231名家属的数据。
https://www.channelnewsasia.com/singapore/orangetee-real-estate-personal-data-breach-pdpa-customers-employees-3425291
2、美国电信巨头康普遭遇勒索软件袭击,员工数据在暗网上泄露
4月19日,据外媒报道,CommScope作为一家财富500强企业,是众多网络产品、电信服务的母公司,其中就包括Arris、Surfboard、Ruckus网络和Systimax布线系统。其总部位于北卡罗来纳州,拥有超过30000名员工,以及全球50个供应链地点。
CommScope公司的一位发言人在4月18日向记者证实,该公司在上个月末遭受了勒索软件的攻击,现在正在调查这一事件。
据报道,这家全球企业集团在3月27日的那一周发现到黑客进入了其IT基础设施的一部分。
Vice Society 在攻击发生两周后的 4月15日在其暗网的主页上声称入侵了 Commscope。该组织在4月14日到4月15日还发布了超过20个链接,链接内容包含了被盗的员工数据。
https://www.51cto.com/article/752481.html
3、CFPB 称员工将 256,000 名消费者的机密数据发送到个人电子邮件
据美国《纽约邮报》19日报道,美国联邦政府下属机构消费者与金融保护局(CFPB)被曝出现严重数据泄露丑闻,一名员工将大约25.6万消费者的机密数据发送至私人邮箱。该机构称其为“重大事件”。
CFPB表示,该名雇员获得访问这些数据的授权,其中包括来自7家机构的消费者身份信息,例如姓名和交易账户等。这些数据被雇员用65封邮件发送至个人电子邮箱。
CFPB官员于2月14日发现个人电子邮箱账户被不当使用,并于3月21日通报该案件。目前,涉案员工已经离职,但是否被解雇,CFPB并未透露。
https://www.163.com/dy/article/I2P6I3LL0514FGV8.html
4、美国医疗机构遭黑客攻击影响230多万受害者
4月20日消息,美国医疗服务提供商希尔兹医疗保健集团(SHCG)披露了一起数据泄露事件,涉及到230余万人的敏感数据。
SHCG 向受影响用户发送的违规通知信中指出:“调查确定,从 2022 年 3 月 7 日到 2022 年 3 月 21 日,一个未知的攻击者获得了某些 Shields 系统的访问权限。” 该公司向缅因州总检察长办公室发出的数据泄露通知显示,威胁行为者掌握了受害者的全名以及他们的驾照号码、身份证号码。该漏洞影响了超过 230 万人。暴露驾照和身份证号码会给受害者带来严重的安全风险,因为威胁行为者可以使用这些数据进行身份欺诈。
https://cybernews.com/news/shields-health-care-group-data-breach/
技术、产品与市场
1、《数据安全产品与服务观察报告》正式发布
为深化调研我国数据安全产品与服务市场现状,2022年数据安全推进计划面向116家数据安全产品、服务的供应商,开展两轮调研,共计覆盖了488项产品与服务。2023年,数据安全推进计划依托图谱调研工作与五十家厂商企业专家进行了积极探索与研讨,形成《数据安全产品与服务观察报告》,并提炼了十项观察。
观点1 智能化浪潮来临:数据安全产品技术升级
观点2 新技术:深刻影响数据安全产品发展
观点3 第三方评测:“以评促建”创造厂商新优势
观点4 安全检查工具:供给难以满足市场需求
观点5 数据防泄露:安全防护领域的重点产品
观点6 数据安全网关:产品形态缺乏统一共识
观点7 数据风险监测:站在“一体化”的“分岔路口”
观点8 运营管理平台:“平台化”趋势下的热门产品
观点9 安全合规服务:咨询与评估成为业内焦点
观点10 分类分级服务:逐渐演变为独立服务品类
https://mp.weixin.qq.com/s/2z7xm7VG2e0KUBJhYQtXMw
2、《2023年Q1数据资产泄露分析报告》发布,涉及1204家企业、38个行业
近日,威胁猎人正式发布《2023年Q1数据资产泄露分析报告》,报告显示:Q1发生近1000起数据泄露事件,涉及1204家企业、38个行业,黑产的数据交易主要集中在更加隐蔽和便利的匿名社交平台。值得一提的是通过短信通道泄露的情况,虽然占比不高但影响极大,仅一起事件就涉及1000+家企业。
威胁猎人对事件发布者进一步研究发现,其中有两个黑产在Q1发布了244个数据泄露事件,从过往发布信息来看,主要针对物流行业,推测应该与全国多家快递公司的快递员合作。
从威胁猎人监控渠道上来看,2023年Q1的数据泄露渠道主要集中在Telegram、Github、暗网、网盘4个渠道。
从行业分布来看,2023年Q1的数据泄露事件遍布各行各业,涉及38个行业,包含物流、金融、电商、航空、招聘、教育、旅游等行业。
从泄露原因来看,本季度人为拍摄信息导致数据泄露的占比最多,高达42%,进一步研究发现:主要集中在物流行业,涉及销售、仓储、快递等环节的面单信息泄露;
合作方泄露位居第二,占比34%,攻击者往往会攻击供应链上的中小企业,这类企业的安全成本投入低甚至没有,易被攻破,与之合作企业的数据安全很难得到保障。
https://mp.weixin.qq.com/s/A_iZ6s8N7vgUtAvJbPwmAg
3、调查:2023年第一季度我国数据泄露事件仍呈现高发态势
数据是国家基础性战略资源,没有数据安全就没有国家安全,据天津国家计算机病毒应急处理中心报告,2023年第一季度,涉及我国的数据泄露事件仍呈现高发态势,受影响较大的行业包括教育、卫健、金融等。其中,单次遭泄露数据量在10万至100万条区间内占比最高,接近总量的一半,而遭泄露数据仍以公民个人信息为主。
https://www.xhby.net/index/202304/t20230415_7903395.shtml
业界观点
1、王辉耀:进入智能网联时代,新能源车数据安全不容忽视
汽车行业进入智能网联时代以后,网络安全、数据安全和个人信息安全已成为不可忽视的重要课题。2022年4月,工业和信息化部等五部门联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》,提出强化数据安全保护,要求企业建立健全数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。
https://www.360kuai.com/pc/9bd8a45fed63af699?cota=3&kuai_so=1&refer_scene=so_3&sign=360_da20e874
2、中国科学院院士王小云:利用隐私计算保障数据安全,释放数据价值
数字经济时代之下,数据已成为国家重要的基础性战略资源,数据安全应与发展并重。作为保障数据安全的核心与关键,密码技术与隐私计算的重要性愈发凸显。在2022年世界人工智能大会可信隐私计算高峰论坛上,中国科学院院士、清华大学教授王小云发表以《密码技术与隐私计算》为主题的演讲,介绍了达到密码安全高要求的多项隐私保护技术,包括提供隐私保护的签名方案、安全多方计算以及同态加密。她认为,隐私计算在密码技术中占据重要地位,可为各类信息提供保护,有利于打破数据孤岛,释放数据价值。
以下是王小云的演讲核心内容:
01 密码,保障数据安全的有效手段
02 多种签名方案有效提供隐私保护
盲签名、群签名、环签名、秘密分享技术、门限签名
03 安全多方计算不依赖可信第三方
即可完成数据隐私的计算、基于混淆电路的多方安全计算、基于秘密分享的多方安全计算、安全多方计算应用
04 全同态加密,让数据“可用不可见”
全同态加密的发展史、Gentry方案、第二代方案、BFV方案、第三代方案、第四代方案、实现与标准化、全同态加密应用、全同态加密研究方向、
https://www.163.com/dy/article/I34BCQOO0538GOD6.html
3、徐春学:数字政府背景下的数据安全风险与应对措施
近日,以“共筑数据安全,共创数字未来”为主题的2023年国家安全论坛·数据安全分论坛在江西南昌举行,国家信息中心公共技术服务部副主任徐春学受发表“数字政府背景下的数据安全风险与应对措施”主旨演讲。
徐春学强调,面对当前的风险挑战,应强化八个方面应对措施。一是严格遵守《数据安全法》《个人信息保护法》等法律法规和相关制度要求,加强政务部门在处理数据、使用数据及存储个人信息等方面的安全技术手段和管理措施,确保安全合规。二是健全工作机制,落实平台安全管理部门、政务应用部门、授权运营者等主体责任。三是摸清数据资产底数,建立数据资产台账,通过对不同分类数据进行标记,实施数据分类分级管理。四是严格权限管理,采用基于属性的访问控制模型,通过接口方式对外提供服务。五是强化平台安全,实现数据分域管理,利用数据沙箱、隐私计算等措施赋能数据开放流通。六是实施数据风险监测,加强数据留痕审计和溯源,保障数据流动全链条可控。七是加强供应链管理,强化供应商准入管理和监督评价,确保运维外包安全。八是加强人才培养,提升实战化能力,推进政务数据安全人员认证考核。
https://www.secrss.com/articles/54013
4、祝凯:浅论个人信息保护法下信用卡业务合规挑战与对策建议
《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)作为我国首部个人信息领域的基础性法律,对个人信息主体权利响应、敏感个人信息处理、信息泄露管理、合作机构管理等进行了明确要求。近年来,个人客户信息保护领域的“严监管”“重处罚”趋势日趋明显,人民银行、银保监会针对客户信息违规查询、泄露等问题开出多张罚单。信用卡是个人客户日常使用最为高频的金融产品,相关业务链条长、合作的第三方机构繁多,能否有效落实个人信息保护法要求,成为各家银行信用卡部门高悬在头的“达摩克利斯之剑”。
https://www.secrss.com/articles/53904
