数字安全观察-每周简报 (2022.07.08 -2022.07.13)

 

欧洲议会通过重磅《数字服务法》、《数字市场法》。202275日,欧洲议会通过上述两部法律。《数字服务法》规定,在欧盟经营的大型门户网站和社交媒体公司必须加强对非法内容的审查和用户数据的保护。《数字市场法》则要求大型平台公司不能滥用市场支配地位打压其他竞争企业,不能未经用户许可强行推送广告或安装应用软件。违反上述两项法律的企业都将被处以巨额罚款。

【天枢点评】:发展与安全是数字经济腾飞的两翼,在全球背景下又统一于竞争框架下。欧盟为扭转数字竞争中的劣势,以“高门槛”立法为突破口,保护其市场、企业与个人。这两部立法与GDPR一道,形成了护航其参与全球数字竞争的三驾马车。

国家互联网信息办公室发布《数据出境安全评估办法》。该“办法”202277日正式公布,91日起施行。《办法》中规定了评估触发条件、评估内容、具体流程、评估主体等相关要求,对于评估活动不同阶段的重点事项、关注内容进行了明确,并提出了评估结果复评、评估结果有效期、重新申报评估等要求。

【天枢点评】:数据流动起来,数字经济才能活出来。许多国家和地区相继从本国、本地区实际出发,对数据跨境安全管理作了制度探索,我国也一直走在前列,此评估办法是我国数字治理制度探索的又一重要成果。

《沈阳市促进数字经济产业发展若干政策》发布。这份202271日通过的政策,对促进数字产业化、产业数字化、数据资源开发、数字创新、数字基础设施建设等都给出了具体的资助措施和多至1000万资助金额。

【天枢点评】:沈阳市力争成为东北数字经济第一城建设,在促进数字经济发展上又扎扎实实向前迈出一步,给出具体的补助方案,显示了决心与诚意。

美网络保险初创公司Coalition获得2.5亿美元融资加速扩张美国之外市场。202278,旧金山,Coalition是美国第一家旨在主动预防数字风险的网络保险公司,宣布已获得F轮融资2.5亿美元,以加速扩张美国之外的市场。本轮融资后该公司估值达到50亿美元。

【天枢点评】:对于中小企业而言,购买网络安全保险并获得主动安全服务是一种很好的选择。这印证了全球网络安全保险市场正在高速增长的事实(注:预计网络保险市场将从 2022 年的 119 亿美元增长到2027年的292亿美元,预测期内的复合年增长率为 19.6%)。Coalition的商业模式和传统保险公司的不同点在于,它不仅提供保险服务,还为客户提供网络安全服务,帮助客户主动应对数字风险。这种贴近客户业务的安全保险服务将是未来的一种新商业模式。

隐私计算厂商洞见科技完成超亿元A轮融资。202278日,洞见科技公司宣布获得完成新一轮融资。该公司在两年内已经完成四轮融资,累计金额达数亿元,且多轮投资方为国资背景。本轮融资过后,洞见科技成为今年隐私计算赛道上A轮单轮融资1亿元的第三家创业公司(注:另两家为29日完成近2亿元A轮融资的蓝象智联;以及39日获得近亿元A轮融资的光之树科技)。

【天枢点评】:数据作为新型生产要素,开放流通与隐私保护之间的矛盾关乎其价值能否充分释放。多方计算、同态加密、差分隐私、联邦学习等隐私计算技术被认为是保证数据“可用、不可见”,实现数据价值转化和释放的重要方向。洞见科技的核心技术正是多方计算、同态加密,借助此次融资,其相关产品将从政务和金融向能源、医疗行业拓展。从国家层面看,国务院、发改委、工信部、央行等机构在多项发展规划中均对隐私计算给予了充分支持,从政策层面加速推动隐私计算商业化。该融资事件说明隐私计算正在从技术验证走向商业化落地,值得后续关注。

美网络安全公司Knowbe4称三分之一未经培训的员工会点击网络钓鱼链接。2022712日,全球最大的安全意识培训和模拟网络钓鱼平台提供商KnowBe4发布了《2022年行业基准网络钓鱼报告》,报告显示:在没有经过安全培训的情况下,近三分之一的员工可能会点击可疑链接或遵守欺诈性请求。在咨询、能源、公用事业以及医疗保健和制药等行业,这一比例超过50%

【天枢点评】:虽然技术在预防和从网络攻击中恢复方面发挥着重要作用,但不能忽视人为因素,人是安全最薄弱的环节。美国电信公司Verizon2022年数据泄露调查报告也指出,今年82%的网络违规行为均涉及人为因素,是时候关注人的行为安全问题了!

俄黑客组织RaHDIt泄露千名乌克兰军方情报人员的详细信息。202276日,俄罗斯黑客组织RaHDIt(“邪恶的俄罗斯黑客”)向公众发布了乌克兰国防部情报总局(GUR1000名驻外机构及特种人员的信息。这是自俄乌冲突以来,乌克兰情报人员信息最大的一次泄露。此前的6月,该黑客组织就公布了乌克兰安全局(SBU700名员工的个人信息。

【天枢点评】:7月的这次数据泄露源于黑客利用了乌克兰GUR中央理事会网络中的缺陷,RaHDIt表示这只是将要披露的一系列材料中的第一份。联系到该组织自俄发动“特别军事行动”以来在网络空间的种种行动,无疑表明网络战已经深度融入国际地缘政治,这种“软杀伤”的效果需要仔细研究评估。有趣的是,在RaHDIt放出乌GUR情报人员个人信息后,RaHDIt声称近日其网站“NemeZida(复仇者)”遭到美国国家安全局的DDoS攻击“报复”。

美国安全媒体Threatpost发文称黑客可通过“ExpressLRS”协议接管无人机。202277日,Threatpost指出,流行的无人机无线电控制(RC)协议 ExpressLRS只需要几个步骤就可以被黑客攻击,原因在于无人机绑定的发射器和接收器的机制存在缺陷,导致无人机很容易被远程完全控制,甚至可引发坠机事故。

【天枢点评】:“ExpressLRS”协议的主要缺陷是使用了一种所谓的“绑定短语”标识符,用来确保发送器与接收器的配对与通信,但是这些标识符缺乏安全设计,可以被黑客劫持篡改,从而实现无人机的远程控制。这条消息再次警示我们,发展与安全是一体之两翼,无人机、智能汽车、智能制造、工业系统等在设计之初就应该考虑安全问题,没有安全就没有数字化的未来。

兰德发布《人工智能、深度伪造和虚假信息》观察。202276日,兰德发布《人工智能、深度伪造和虚假信息》观察文章,介绍了深度伪造带来的4类威胁:操纵选举、加剧社会分化、降低人们对政府的信任、削弱新闻作用以及可靠信息来源。文章指出,深度伪造的崛起将不可避免。为此,提出了缓解其对信息完整性威胁的5种方法:检测、内容来源、监管举措、开源情报技术和新闻方法以及媒介素养。

【天枢点评】:基于生成式对抗网络的深度伪造视频、语音克隆、深度伪造图像等已在典型场景中得以应用验证,包括近期频繁曝光的利用深度伪造远程求职诈骗、俄乌冲突中的虚假信息操纵等。美国国会研究服务机构63日曾发布报告《深度伪造与国家安全》,更将其上升到国家安全高度。此次兰德发布的综述文章细数深度伪造的潜在威胁、自身短板、应对措施,并向政策制定者提供了相关建议。总的观点是深度伪造很可怕,但不是没有缓解办法,需要各方的一致努力。

美国能源部推出网络安全能力成熟度模型C2M2 v2.12022630日,美国能源部网络安全、能源安全和应急响应办公室发布了网络安全能力成熟度模型 2.1版本(C2M2 v2.1)。v2.120217v2.0的基础上依据实际测试和用户反馈进行了重要改进,包括对三分之二模型实践的修订,增加了一个网络安全架构域,更新了“依赖项”域,同时将信息共享域活动集成到威胁和漏洞管理以及态势感知域中。

【天枢点评】:网络安全能力成熟度模型(C2M2)是美国能源部开发的一种对网络安全防护能力进行评估的通用方法,用于指导运营者实现电力、石油和天然气等美国关键基础设施网络安全框架的落地执行。C2M2模型2012年首次发布,并先后于2014年、2019年、2021年经历了多次更新。此次发布的v2.1对模型和工具进行了进一步改进,共包含350多项网络安全实践。C2M2在能源领域的网络安全能力建设上具有广泛影响,并发挥了重要作用。再结合美国防部的C2M2来看,开展关键区域、行业、领域和部门的能力成熟度评估,是推进数字安全能力建设、提升数字安全能力水平的重要工具和手段。

 * 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库

(完)