当前位置:首页>>网络安全
一周安全动态(2023.2.25-2023.3.3)
发布时间:2023-03-03  查看次数:
一、政策要闻
 1.工信部发布重要数据和核心数据识别、数据出境安全管理典型案例
按照《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点典型案例和成效突出地区遴选工作的通知》(工信厅网安函〔2022〕242号)要求,经申报、评审和网上公示,工信部确定并公布了29个工业领域数据安全管理试点典型案例和5个试点成效突出地区。
 (来源:工业和信息化部办公厅)
 2.苏州、厦门两地数据条例3月1日起施行
2023年3月1日起,《苏州市数据条例》《厦门经济特区数据条例》正式施行。
 《苏州市数据条例》是国内目前唯一涵盖了公共数据、企业数据、个人数据的综合性地方性法规。条例共70条,设总则、数据资源、发展和应用、数据要素市场、促进和保障、数据安全、法律责任、附则8章,主要规定了6个方面的内容,包括建立健全数据治理体制机制、探索推进数据分类和价值实现、加快培育数据要素市场、规定“数据赋能发展”系列举措、多重维度推进数据权益保护、切实筑牢数据安全底线。
 《厦门经济特区数据条例》是全国第一个市级层面的数据条例,有力提升和保障厦门市数据治理能力,有利于催生数据相关的新产业新业态新模式。条例共七章六十五条,以促进数据应用和发展为基本定位,紧扣“以规范促发展、以保护促利用”的立法主线,聚焦健全公共数据资源体系、探索数据要素市场、赋能数字厦门发展三大环节,明确在满足安全要求的前提下,对公共数据授权运营、数据要素市场培育发展等进行必要探索,以引领、促进和保障数据流通与开发利用,赋能数字经济和社会发展。
 (来源:零壹财经零壹智库)
3.工信部印发26条措施,聚焦个人信息保护与app合规
为优化服务供给,改善用户体验,维护良好的信息消费环境,促进行业高质量发展,工业和信息化部近日印发通知,部署进一步提升移动互联网应用服务能力。围绕提升用户服务感知、提升行业管理能力,即“两提升”,共提出26条措施:一是聚焦APP安装卸载、服务体验、个人信息保护、诉求响应等,针对性提出改善用户服务感知的12条措施。二是从行业协同规范发展、上下游联防共治的角度出发,抓住当前移动互联网服务的5类关键主体,即APP开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业,提出14条措施。
(来源:工信微报)
二、技术资讯
 4.重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。CISA已将CVE-2022-36537添加到其已知已开发漏洞(KEV)目录中,该漏洞影响ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。
 根据KEV列表,在ZK框架AuUploader servlets中发现的这个漏洞,可能允许攻击者 “检索位于Web上下文中的文件内容”,从而窃取敏感信息。CISA表示:该漏洞可以影响多个产品,包括但不限于ConnectWise R1Soft Server Backup Manager。
 (来源:关键基础设施安全应急响应中心)
5.首个能绕过Windows 11安全启动的恶意软件问世
近日,斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI的bootkit恶意软件——BlackLotus,已在地下网络黑市中销售,构成重大网络安全威胁。
 BlackLotus利用了一个编号为CVE-2022-21894(又名Baton Drop)的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中,可以完全控制操作系统启动过程,而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。
 (来源:汇能云安全)
三、国际视野
 6.美国数据隐私框架最新进展:EDPB公布对欧委会充分性决定草案的意见
近期,欧盟数据保护委员会(EDPB)对欧盟委员会关于欧盟-美国数据隐私框架的《充分性决定草案》发表了意见(Opinion 5/2023)。
意见中,EDPB认可了美国基于《关于加强美国信号情报活动保障措施的行政命令》对其法律框架进行的实质性改进,例如引入美国情报机构进行数据收集的必要性和相称性要求,以及针对欧盟数据主体的纠纷解决机制。同时,EDPB也就某些数据主体权利、数据再传输、豁免范围、批量数据临时收集和纠纷解决机制有关问题表示了关切。
 上述《充分性决定草案》于2022年12月13日由欧盟委员会公布,根据欧盟相关法规,EDPB和欧洲议会均有权对此发表不具有法律约束力的意见,以供欧盟委员会参考。目前,该草案有待由欧盟成员国代表组成的委员会以及欧洲议会的进一步审查。
 (来源:个人信息与数据保护实务评论)
7.特斯拉“逃脱”处罚:车载摄像头拍摄路人,隐私保护责任由车主承担?
荷兰数据保护局(DPA)在近期表示,在特斯拉公司对启动车辆安全摄像头的“哨兵模式”做出更改后,该机构不会因可能的隐私侵犯行为对其进行罚款。特斯拉在其汽车上使用这种安全摄像头,以帮助车主保护汽车免受盗窃或破坏,但荷兰数据保护局对其进行了调查,认为此举可能是一种违规行为。
荷兰数据保护局表示,在功能修改后,摄像头拍摄的影片会被存储在车内,而不会与特斯拉共享。该机构称,修改之后车辆的所有者将需要对不当的拍摄行为承担法律责任,而不再是由特斯拉承担责任。荷兰数据保护局的调查尚未导致对特斯拉进行罚款或其他制裁措施。
 (来源:数据合规社)
8.首家华尔街投行出手:摩根大通限制员工使用ChatGPT 担心数据安全
华尔街已向员工发出ChatGPT(Chat Generative Pre-trained Transformer)禁令。据彭博社报道,投行摩根大通已限制员工使用ChatGPT,成为继亚马逊和几所大学之后,又一家在工作场所宣布限制使用OpenAI聊天机器人的组织。摩根大通是第一家在工作场所限制使用ChatGPT的华尔街投行。彭博援引知情人士称,该禁令并非由特定事件或事故引发,而是该公司“对第三方软件的正常限制”的一部分,并表示,该类限制普遍存在于金融机构。不过,目前尚不清楚其他金融机构是否会跟进。摩根大通已证实作出了上述决策,但对此未予置评。
(来源:绿专资本集团)
 9.软件巨头数据库在暗网公布,亚马逊、波音、摩根大通等都受影响
据消息,美国软件公司Beeline的数据库被攻击者发布在黑客论坛上,数据库内包含亚马逊、瑞士信贷、3M、波音、宝马、戴姆勒、摩根大通、麦当劳、蒙特利尔银行等Beeline客户的数据。该数据库大约1.5GB,据称是攻击者从Beeline的Jira账户中窃取的。Jira是由Atlassian开发的问题跟踪软件,用于bug跟踪和项目管理活动。与此同时,Beeline运营着一项软件即服务(SaaS)业务,专注于寻找和管理劳动力。
 (来源:汇能云安全)