Lianwei 安全周报|2024.05.06

新的一周又开始了，以下是本周「Lianwei周报」，我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件，保证大家不错过本周的每一个重点！

政策/标准/指南最新动态

01 欧盟委员会发布《数据法》指南

欧盟委员会发布了《数据法》指南，该指南强调数据共享和互操作性的重要性，旨在促进数据流通、支持创新，同时保护企业和个人权益。

详情：

https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained

02 英国成为首个禁止物联网设备默认使用弱密码的国家

PSTI 明确禁止使用 "admin "或 "12345 "等弱密码或容易被猜到的默认密码，还要求制造商公布联系方式，以便用户报告漏洞。不符合规定的产品可能会被召回，负有责任的公司可能面临最高 1000 万英镑（1253 万美元）的罚款或其全球收入的 4%，以较高者为准。

详情：

https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices

03 中国网络安全产业联盟发布《美国对全球网络空间安全与发展的威胁和破坏》

《报告》按照行为和时间脉络，共分为6篇，主要包括美国利用互联网渗透颠覆他国政权、实施无差别网络监控和窃密、对他国施行网络攻击与威慑、挑起网络空间军备竞赛、滥用政治手段扰乱全球产业链供应链、破坏网络空间规则与秩序等。

详情：

https://www.china-cia.org.cn/home/WorkDetail?id=662d929d0200330eb80a455f

04 Gartner：全球 63% 的组织已实施零信任战略

根据 Gartner的最新研究，全球 63% 的组织已在其部分或全部运营中实施了零信任战略，但对于许多组织来说，这些策略无法解决整个运营问题。

详情：

https://www.163.com/dy/article/J13JIB3O0552ZCE9.html

05 《2024年网络弹性风险指数报告》：92%的组织并未准备好应对AI安全挑战

报告指出92%的组织并未准备好应对AI安全挑战，强调了网络弹性对组织的重要性，并基于对超过500万台设备的分析，提出了三个主要风险因素：端点和网络访问安全应用程序故障、AI端点浪潮以及关键漏洞补丁延迟。报告建议组织采取包括自动修复和实时监

详情：

https://www.absolute.com/media/mzihnsao/abt-resilience-index-report.pdf

06 美国通过Tiktok剥离法案，不剥离将被禁用

4月23日晚，美国参议院通过了《保护美国人免受外国对手控制的应用程序法案》（即“Tiktok剥离法案”），并于24日由美国总统拜登签署成为法律，并正式生效。根据该法，如果字节跳动公司一年内不肯剥离其在美国的业务，将面临被禁用的命运。

详情：

https://www.thepaper.cn/newsDetail_forward_27145550

07 中央网信办宣布打击违法信息外链：聚焦账号头像 / 昵称、评论等多个环节

“网信中国”宣布，为集中整治人民群众反映强烈的违法信息外链问题，中央网信办专门印发通知，在全国范围内部署开展为期 2 个月的“清朗・打击违法信息外链”专项行动。

详情：

https://www.ithome.com/0/764/777.htm

08 两部门：加快构建数据基础制度，推动落实“数据二十条”

近日，国家发展改革委办公厅、国家数据局综合司印发《数字经济2024年工作要点》，对2024年数字经济重点工作作出部署，其中提出要全面筑牢数字安全屏障，增强网络安全防护能力，健全数据安全治理体系，切实有效防范各类风险。

详情：

https://www.thepaper.cn/newsDetail_forward_27209898

热点资讯

01 美国政府成功举办第九次网络风暴演习

美国网络安全和基础设施安全局（CISA）宣布，第九次“网络风暴”演习（Cyber Storm IX）已于 4 月 16 -18 日成功举办，来自 100 多个组织超过 2000 名参与者参与实时演练。

详情：

https://industrialcyber.co/cisa/cisa-announces-cyber-storm-ix-cybersecurity-exercise-to-strengthen-national-cyber-readiness/、https://subscriber.politicopro.com/article/2024/04/cisa-hosts-super-bowl-of-cyber-exercises-to-prepare-for-attacks-against-food-sector-00153096

02 美国联邦通信委员会对非法共享位置数据的 AT&T、Sprint、T-Mobile 和 Verizon 罚款近 2 亿美元

联邦通信委员会称，它发现这些运营商 "将客户的位置信息出售给'聚合商'，后者再将这些信息转售给第三方定位服务提供商"。

详情：

https://www.theverge.com/2024/4/29/24144599/fcc-fine-att-sprint-verizon-t-mobile-location-data

03 北约将建立新的网络中心以全天时争夺网络空间

北约将在位于比利时蒙斯的军事总部建立北约综合网络中心（NICC），该中心标志着该军事联盟在网络空间行动方式方面发生重大理论转变的成果。

详情：

https://therecord.media/nato-new-military-civilian-cyber-center-mons-belgium

04 欧洲刑警组织就重大犯罪案件中访问加密数据寻求解决方案

欧洲刑警组织指出，当前推行的隐私措施，如端到端加密，将阻止科技公司看到其平台上发生的任何违法行为。这也将剥夺执法部门获取和运用这些证据以阻止和起诉最严重的犯罪行为，包括儿童性虐待、人口贩卖、毒品走私、凶杀案、经济犯罪和恐怖主义罪行。

详情：

https://thehackernews.com/2024/04/police-chiefs-call-for-solutions-to.html

05 因生成错误信息，ChatGPT 在奥地利遭投诉

总部位于维也纳的隐私权倡导组织 NOYB (None of Your Business) 表示，将针对聊天机器人 ChatGPT 在奥地利提起投诉。他们指控这款由 OpenAI 开发的人工智能工具会“编造错误信息”，而 OpenAI 公司也无法纠正这些错误答案。

详情：

https://www.ithome.com/0/764/996.htm

06 Thoma Bravo以 53亿美元收购网络安全AI公司Darktrace

4月26日，总部位于美国芝加哥的私募股权巨头 Thoma Bravo 宣布同意以 53.2 亿美元的价格收购英国网络安全AI公司DarktraceDarktrace。

详情：

https://www.inforisktoday.com/thoma-bravo-to-buy-cybersecurity-ai-firm-darktrace-for-53b-a-24950

07 Avast 因违反 GDPR 而被罚款近 1500 万美元

捷克共和国个人数据保护办公室（ÚOOÚ）在调查了 Avast Software 的捷克分公司 Jumpshot， INC. 后，根据通用数据保护规则（GDPR）对该公司处以约 1480 万美元的罚款。据 ÚOOÚ 称，该公司在 2019 年未经授权处理了来自 Avast 防病毒软件和浏览器扩展程序的个人数据。

详情：

https://cybernews.com/news/avast-fined-nearly-15m-for-gdpr-violations/