2020年

不平凡的一年,网络安全数据泄露,网络攻击、个人隐私安全事件频发。爱加密专注于移动应用、大数据、物联网及工业互联网安全。我们关注行业政策、法律法规、重大影响力事件。爱加密收集了2020年网络安全十大影响力事件。

1、《网络安全审查办法》

国家互联网信息办公室、发展改革委、工信部等12部门联合发布《网络安全审查办法》,于今年6月1日起实施。一方面,为我国开展网络安全审查工作提供了重要的制度保障。通过网络安全审查这一举措,尽早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,对保障关键信息基础设施供应链安全及维护国家安全均有重要意义。另一方面,将进一步完善公民个人信息保护制度,为国家个人数据保护制度添砖加瓦。

2、《个人健康信息码》系列国家标准

2020年4月29日,市场监管总局(标准委)印发公告,发布《个人健康信息码》系列国家标准。该系列标准采用了国家标准快速程序,从立项到发布仅用了14天时间。

《个人健康信息码》系列国家标准包括《个人健康信息码 参考模型》(GB/T 38961-2020)、《个人健康信息码 数据格式》(GB/T 38962-2020)和《个人健康信息码 应用接口》(GB/T 38963-2020)3项内容,由国务院办公厅电子政务办公室会同卫生健康委及国务院相关部门研究提出,全国信息技术标准化技术委员会负责技术归口。

该系列国家标准实施后,可实现个人健康信息码的码制统一、展现方式统一、数据内容统一,统筹兼顾个人信息保护和信息共享利用,适用于指导健康码相关信息系统的设计、开发和系统集成。

3、《数据安全法(草案)》

第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》进行了审议。《数据安全法(草案)》共分七章,依次为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。《数据安全法(草案)》将数据定义为任何以电子或者非电子形式对信息的记录。《数据安全法(草案)》要求根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。

4、《中华人民共和国个人信息保护法(草案)》

2020年10月21日,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见,征求意见截止日期为2020年11月19日。草案明确了适用范围赋予必要域外适用效力。草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。

5、《中华人民共和国密码法》

2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》,习近平主席签署第35号主席令予以公布,2020年1月1日起正式施行。密码法的颁布实施,是我国密码发展史上具有里程碑意义的大事,有助于提升我国密码工作的规范化、科学化、法治化水平,对维护我国网络空间安全、促进信息化发展具有重要意义,也直接关系企业商业秘密的依法保护,关系社会公众在网络空间生活的安全和便利。

6、《信息安全技术个人信息安全规范》

国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》完成修订,正式发布,实施日期为2020年10月1日,并替代GB/T 35273-2017版本国标。修订后的标准,将进一步使标准契合我国相关法律法规的要求,增加标准指导实践的适用性,帮助提升行业和社会的个人信息保护水平,推动个人信息保护领域技术产品、咨询服务等方面产业化进一步发展,为我国信息化产业健康发展提供坚实保障。

7、台积电中毒停产

据台湾媒体报道,8月3日晚间,台积电生产工厂和营运总部,突然传出电脑遭病毒入侵且生产线全数停摆的消息。随后,台积电官方也确认了此事:8月3日傍晚,部分生产设备受到WannaCry勒索病毒变种感染,并非外传之遭受黑客攻击,公司已经控制此病毒感染范围,受影响生产设备正逐步恢复生产。

8、六家银行被罚超4000万,监管严打侵害消费者信息权利

10月21日晚间,中国人民银行官网发布的公告显示,人民银行相关分支机构依法对部分金融机构侵害消费者金融信息安全行为立案调查,对3家国有银行的6家分支机构及相关负责人予以警告并处以罚款。根据公开披露的罚单统计,因侵害消费者个人信息依法得到保护的权利;违反反洗钱管理规定,泄露客户信息等违法违规行为,这些机构被处罚金额总计高达4087万元。

9、工信部多次通报侵害用户权益APP,《全国APP个人信息保护监管会》在京召开

5月14日,工信部通报2020年第一批16款侵害用户权益行为APP。7月2日,通报了第二批15款侵害用户权益行为APP。7月22日,工信部开展纵深推进APP侵害用户权益专项整治行动。7月24日,通报了第三批58款侵害用户权益行为APP。8月31日,通报了第四批101款侵害用户权益行为APP。10月26日,通报了第五批131款侵害用户权益行为APP。11月9日,通报下架了60款侵害用户权益行为APP。11月27日,《全国APP个人信息保护监管会》在京召开。工业和信息化部党组成员、副部长刘烈宏出席会议并讲话。12月3日,通报了第六批60款侵害用户权益行为APP。

10、富士康被黑客攻击,索要 2.3 亿元赎金

11 月 29 日前后,富士康在其位于墨西哥华雷斯城的富士康 CTBG MX 设备遭受了攻击。攻击者在对设备加密之前先窃取了未经加密的文件,不法分子声称已加密约1200台服务器,窃取了100 GB的未加密文件,并删除20~30TB的备份。消息人士还透露了勒索软件攻击期间在富士康服务器上创建的勒索信,勒索信里面附有指向DoppelPaymer Tor付款网站上富士康受害者页面的链接,不法分子索要1804.0955个比特币的赎金,按今天的比特币价格折算,约合34686000美元(2.3亿人民币)。

爱加密认为,2020年,我国密集出台了很多网络安全政策法规与治理措施,网络安全治理力度进一步加大,但网络空间也面临新的问题与挑战。主要包括:

一:有组织的网络攻击成为新特点

随着国际局势渐趋复杂,有组织的、出于政治目的发起的网络攻击行动持续高发,攻击规模和烈度逐年递增,攻击目标涉及国计民生的重要部门和行业。面对愈加严峻的有组织有目的网络攻击形势,各单位难以独立应对,应加强数据情报互通、监测手段互补等方面的能力建设,构建网络安全一体化防护机制,共同应对新的高级网络攻击威胁。

二:政策法规与执法监管多管齐下为个人信息保护提供新指引

监管部门年内出台了多项个人信息与用户权益保障相关规范与指引,随着APP专项治理的经验总结,APP、小程序、网站等公开的载体将成为主动执法的对象,尤其是随着《个人信息保护法》的正式实施,监管机关的执法权力得到进一步明确,监管部门的执法积极性将得到提高,同时对于企业的处罚力度也在逐步加大。

三:5G 等新技术新应用大量涌现或面临网络安全新挑战

全球突发新型冠状病毒疫情影响下,远程办公、医疗、教育等远程协同类的业态模式与5G技术商结合热度突增,大量传统行业正加快通过5G技术与IPv6转向互联网开展业务协作。引发智能制造、车联网、智慧能源、远程协作、个人AI辅助等新技术、新应用、新业态不断涌现,然而对于给网络带来怎样的新威胁和风险,产生怎样的新攻击类型,采用怎样的防御应对手段等亟待研究。

四:当前维护网络安全成为社会的共同责任

构建网络空间联合力量,既是顺应信息时代发展潮流的必然选择,也是应对网络空间风险挑战的迫切需要。安全企业在巩固深化网络安全能力的同时,应进一步扩大社会合作。充分发挥政府、企业、科研院所、行业组织等各方作用,建立网络安全漏洞、网络病毒、网络攻击活动等威胁情报共享与威胁治理技术平台和工作机制,加快网络安全核心技术创新突破,有效提高我国网络空间安全保障能力。

文章原文链接:https://www.anquanke.com/post/id/226921