作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、《网络数据安全管理条例(征求意见稿)》公开征求意见
2、《网信系统法治宣传教育第八个五年规划(2021—2025年)》印发
3、信安标委技术文件《移动智能终端预装应用程序分类方法(征求意见稿)》征求意见
4、工信部印发《“十四五”信息通信行业发展规划》全面加强网络和数据安全保障体系和能力建设
5、上海制定发布《上海市网络交易平台网络营销活动算法应用指引(试行)》
二、执法动态
1、即日起国家等保办撤销等保测评机构推荐证书
2、8家网盘企业签署公约:承诺为各类用户提供无差别速率服务
3、2021年10月全国受理网络违法和不良信息举报1306.7万件
4、国家互联网信息办公室关于发布第六批境内区块链信息服务备案编号的公告
三、司法审判
1、数据分析师因偷卖10万条客户信息获刑并处罚金
2、首例涉平台数据权益认定不正当竞争案:“微信数据”引发数据权益之争 群控软件被判赔260万元
四、新闻事件
1、首届中国网络文明大会发布“共建网络文明行动倡议”
2、工信部:四方面提升行业关键信息基础设施安全保障水平
五、域外观察
1、维斯塔斯遭遇“网络安全事件”
2、美国:信息共享和保护关键基础设施是国会议员网络安全的首要任务
3、美国金融监管新规:银行须在36小时内报告重大网络安全事件
4、CISA发布新版网络安全事件和漏洞响应手册
5、近三年内,超过80%的关键基础设施公司遭到网络入侵
一、立法动态
1、《网络数据安全管理条例(征求意见稿)》公开征求意见
近日,国家互联网信息办公室就《网络数据安全管理条例(征求意见稿)》(以下简称《意见稿》)向社会公开征求意见,意见反馈截止时间为2021年12月13日。《意见稿》提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。针对一些用户反映强烈的不给APP授权就不能用问题,《意见稿》提出,数据处理者不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。一些用户反映互联网账号注销难,且注销后也不知道自己的个人信息存储在何处,是否会被删除。此次《意见稿》明确,用户提出终止服务或者个人注销账号,数据处理者应当在15个工作日内删除个人信息或者进行匿名化处理。删除个人信息从技术上难以实现,或者因业务复杂等原因,在15个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。对于备受关注的数据出境问题,《意见稿》提出,数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当通过国家网信部门组织的数据出境安全评估,数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证,存留相关日志记录和数据出境审批记录3年以上。(来源:工人日报)
2、《网信系统法治宣传教育第八个五年规划(2021—2025年)》印发
近日,中央网络安全和信息化委员会办公室印发《网信系统法治宣传教育第八个五年规划(2021—2025年)》(以下简称《规划》),对网信系统“八五”普法工作作出安排部署。《规划》提出,到2025年,网络普法工作协调机制更加健全,网络普法工作大格局全面形成;网络普法针对性、实效性明显提高,网民法治素养和法治意识显著增强,青少年网民网络法治素养不断提升;网络平台主体责任和行业自律有效落实,网络治理效能和治理水平实现新提升;网络综合治理体系更加完善,网络空间厉行法治的自觉性、积极性、主动性显著提升;全网尊法学法守法用法氛围更加浓厚,网络法治成为社会共识和基本准则,广大网民在互联网发展中享有更多的获得感、幸福感、安全感。(来源:人民网)
3、信安标委技术文件《移动智能终端预装应用程序分类方法(征求意见稿)》征求意见
11月12日,全国信息安全标准化技术委员会发布了《移动智能终端预装应用程序分类方法(征求意见稿)》。该文件:一、给出了“移动智能终端”和“预装应用程序”的定义,以及按照是否可卸载对预装应用程序进行分类的方法。二、明确了界定不可卸载应用程序的方法,包括导致“操作系统无法正常运行”以及“移动通信功能无法正常使用”。同时从实现功能的角度明确给出了其范围,包括“系统设置”、“接打电话”、“收发短信”、“管理通讯录”、“显示时间”、“应用程序下载”。三、提出“实现同一功能的多款应用程序可至多有一款为不可卸载应用程序”,对应用程序预装行为进行进一步规范。(来源:信安标委官网)
4、工信部印发《“十四五”信息通信行业发展规划》全面加强网络和数据安全保障体系和能力建设
11月16日,工信部正式印发《“十四五”信息通信行业发展规划》(以下简称《规划》),明确提出,到2025年,信息通信行业整体规模进一步壮大,发展质量显著提升,基本建成高速泛在、集成互联、智能绿色、安全可靠的新型数字基础设施,创新能力大幅增强,新兴业态蓬勃发展,赋能经济社会数字化转型升级的能力全面提升,成为建设制造强国、网络强国、数字中国的坚强柱石。《规划》包括4大部分、26条发展重点、近3万字,描绘了信息通信行业的发展蓝图,是未来五年加快建设网络强国和数字中国、推进信息通信行业高质量发展、引导市场主体行为、配置政府公共资源的指导性文件。此外,《规划》还明确给出“十四五”时期信息通信行业发展主要指标,到2025年,每万人拥有26个5G基站,5G用户普及率达到56%等具体指标。(来源:潇湘晨报)
5、上海制定发布《上海市网络交易平台网络营销活动算法应用指引(试行)》
11月18日,上海率先在电子商务领域出台地方性指引,制定发布《上海市网络交易平台网络营销活动算法应用指引(试行)》(以下简称《指引》),规范网络交易平台网络营销活动算法应用行为,为平台经营者划出合规底线。《指引》划出合规底线,明确平台经营者不得利用算法实施不正当价格行为。平台经营者应用算法与消费者进行交易时,不得实施虚构原价、虚假优惠折价等不正当价格行为,不得对消费者收取未予以标明的费用。不得利用算法对消费者实施不合理的差别待遇。《指引》还规定,平台经营者不得利用算法仅向消费者提供针对其个人特征选项的搜索结果,不得利用算法对平台内经营者进行不合理限制或附加不合理条件,不得利用算法滥用市场支配地位。此外,《指引》也对网络交易平台网络营销活动算法应用提出了倡导性建议,鼓励平台经营者提升算法应用合规管理水平,加强消费者权益保护;加强弱势群体权益保护,将保护残疾人、老人、未成年人等群体的利益纳入算法应用的考量因素;建立合规管理体系,平台经营者可以根据自身业务类型、规模大小等,建立相适应的算法应用合规管理制度,加强对算法应用的风险防控和隐患排查治理。算法公开透明,通过公开算法原理、目的意图、决策规则、可能产生的影响等信息,提供算法应用结果解释等方式提升公众对算法应用的理解;建立便捷、有效的投诉处理机制,公开投诉方式等信息,受理并处理有关算法应用的投诉,及时回应和消除消费者疑虑;建立消费者赔偿机制,依法承担相关法律责任。(来源:中国消费者报)
二、执法动态
1、即日起国家等保办撤销等保测评机构推荐证书
11月19日,国家网络安全等级保护工作协调小组办公室发布《关于撤销网络安全等级测评机构推荐证书的公告》:自即日起,国家网络安全等级保护工作协调小组办公室撤销网络安全等级测评机构推荐证书,不再发布《全国网络安全等级测评机构推荐目录》,相关工作纳入国家认证体系。(来源:网络安全等级保护网)
2、8家网盘企业签署公约:承诺为各类用户提供无差别速率服务
11月17日,在工业和信息化部信息通信发展司指导下,中国互联网协会、中国信息通信研究院组织百度网盘、腾讯微云、天翼云盘、和彩云、阿里云盘、迅雷云盘、360安全云盘和网易网盘等首批8家网盘企业在京共同签署《个人网盘服务业务用户体验保障自律公约》(以下简称《公约》),承诺2021年内将推出“无差别速率”产品,为各类用户提供无差别的上传/下载速率服务。《公约》从提供无差别上传/下载速率服务、加强技术产品和商业模式创新、优化资费介绍、规范宣传行为、畅通咨询投诉渠道等方面作出明确约定。会上,8家网盘企业发布了落实《公约》的具体举措,承诺2021年内将推出“无差别速率”产品,为各类用户提供无差别的上传/下载速率服务,改善用户体验,提升服务水平,积极为个人网盘服务业务的健康有序发展做出努力和贡献。(来源:中国新闻网)
3、2021年10月全国受理网络违法和不良信息举报1306.7万件
2021年10月,全国各级网络举报部门受理举报1306.7万件,环比下降14.3%、同比下降15.8%。其中,中央网信办(国家互联网信息办公室)违法和不良信息举报中心受理举报30.3万件,环比下降32.5%、同比增长59.5%;各地网信办举报部门受理举报105.6万件,环比下降1.6%、同比下降4.6%;全国主要网站受理举报1170.7万件,环比下降14.7%、同比下降17.6%。在全国主要网站受理的举报中,微博、百度、阿里巴巴、快手、腾讯、今日头条、知乎、豆瓣、新浪网、搜狗、哔哩哔哩动画、拼多多、优酷、京东等主要商业网站受理量占67.2%,达786.2万件。
(来源:“网信中国”微信公众号)
4、国家互联网信息办公室关于发布第六批境内区块链信息服务备案编号的公告
11月9日,根据《区块链信息服务管理规定》(以下简称《管理规定》),国家互联网信息办公室依法依规组织开展备案审核工作,发布第六批共202个境内区块链信息服务名称及备案编号。根据《管理规定》要求,区块链信息服务提供者应当在其对外提供服务的互联网站、应用程序等显著位置标明其备案编号。备案仅是对主体区块链信息服务相关情况的登记,不代表对其机构、产品和服务的认可,任何机构和个人不得用于任何商业目的。(来源:“网信中国”微信公众号)
三、司法审判
1、数据分析师因偷卖10万条客户信息获刑并处罚金
表面上是科技公司数据分析师,背地里却非法贩卖平台客户信息。近日,上海市普陀区检察院办理了一起侵犯公民个人信息案,被告人陈某犯侵犯公民个人信息罪被法院判处有期徒刑三年七个月,并处罚金30万元。
陈某毕业于某名牌大学信息安全专业,毕业后一直从事相关工作。2020年开始,他入职一家知名科技公司信贷平台的运营部从事数据分析,拥有客户数据查询权限。2020年底,陈某的朋友张某找到他,提出以每条1.7元左右的价格购买该公司贷款项目中的客户信息。虽然知道是违法行为,但陈某盘算着自己在工作中能接触到成千上万条客户信息,数目十分可观,经不住诱惑的他便答应了这桩“生意”。从此,陈某开始贩卖公民个人信息。每天上班,他便用自己的账号登入公司后台数据库,按照张某的要求检索出相关客户信息,包括用户姓名、手机号、借贷金额等,再从系统中复制粘贴出来,制作成加密的表格发送给张某。如此这般,陈某每天暗中卖掉公司数千条信息,至案发,他共计向张某非法出售客户个人信息10余万条,获利23万元。张某买到数据后,转手就卖给了中间商李某和钱某,最终被他们以每条5元至10元的高价对外出售。
今年1月,陈某所在公司不断接到客户反映,有人冒充该公司工作人员,以更低利息为诱饵,要求客户向指定账户汇款,实施诈骗。公司调查后发现,陈某的数据查询量异常且查询数据与被骗客户的数据高度重合,怀疑其非法贩卖公司客户信息,遂报警。今年2月,陈某、张某、钱某、李某相继被抓获。4人到案后,如实供述了上述犯罪事实。被抓获时,公安机关从陈某电脑里查获出35个公民个人信息文件。经查,在陈某出售的客户信息中,其中一条信息的当事人已被诈骗。
近日,经普陀区检察院提起公诉,法院以侵犯公民个人信息罪分别判处被告人陈某等4人有期徒刑三年七个月至三年不等,各并处罚金。(来源:正义网)
2、首例涉平台数据权益认定不正当竞争案:“微信数据”引发数据权益之争 群控软件被判赔260万元
杭州互联网法院就原告腾讯计算机公司、腾讯科技公司诉被告浙江某网络公司、杭州某科技公司不正当竞争纠纷一案进行一审宣判,判令两被告停止涉案不正当竞争行为,赔偿两原告经济损失及合理费用260万元,并为其消除影响。
基本案情:该案由微信群控软件引发,系杭州互联网法院宣判的首例涉及微信数据权益认定的不正当竞争案。该案判决明确了网络平台对于其所控制的用户信息享有不同性质的数据权益,同时厘清了网络平台不同数据权益间的权利边界。
原告腾讯计算机公司、腾讯科技公司分别是微信软件的著作权人和微信产品的经营者。两被告开发、运营的“某群控软件”,利用Xposed外挂技术将该软件中的“个人号”功能模块嵌套于个人微信产品中运行,为购买该软件服务的微信用户在微信平台中开展商业营销、管理活动提供帮助。主要表现为:自动化、批量化操作微信的行为,包括朋友圈内容自动点赞、群发微信消息、微信被添加自动通过并回复、清理僵尸粉、智能养号等;监测、抓取微信用户账号信息、好友关系链信息以及用户操作信息(含朋友圈点赞评论、支付等)存储于其服务器,攫取数据信息。两原告认为,两被告的行为妨碍微信平台的正常运行,损害了两原告对于微信数据享有的数据权益,构成不正当竞争。
法院认为:关于被控侵权软件擅自收集微信用户数据,存储于自己所控制的服务器内的行为是否属于违反反不正当竞争法第二条规定的不正当竞争行为。杭州互联网法院认为,两原告主张数据权益的微信平台数据,可以分为两种数据形态:一是数据资源整体,二是单一数据个体。网络平台方对于数据资源整体与单一数据个体所享有的是不同的数据权益。
就微信平台数据资源整体而言,微信产品数据资源系两原告投入了大量人力、物力,经过长期经营积累聚集而成的,该数据资源能够给两原告带来商业利益与竞争优势,两原告对于微信平台数据资源应当享有竞争权益。如果两被告破坏性使用该数据资源,则构成不正当竞争,两原告有权要求获得赔偿。
就微信平台单一数据个体而言,两原告所主张其享有数据权益的数据是指微信用户账号数据、好友关系链数据、用户操作数据。由于网络资源具有“共享”的特质,单一用户数据权益的归属并非谁控制谁享有,使用他人控制的用户数据只要不违反“合法、正当、必要、不过度、征得用户同意”的原则,一般不应被认定为侵权行为。因此,两原告对于某个特定的单一微信用户数据并不享有专有权,两原告不能因此而主张损失赔偿。但如果危及了微信产品用户的个人数据安全,两原告对于两被告侵害微信产品用户个人数据安全的行为应当有权请求予以禁止。
本案中,被控侵权软件具有收集、存储及监控微信产品数据功能,即便两被告经过了微信平台中相关经营性用户的授权许可或者经营性用户对于自己提供于微信平台的信息享有数据携带权,但上述微信数据并非相关经营性用户单方信息,还涉及微信平台中作为经营性用户微信好友的其他微信用户个人账号数据以及经营性用户与其微信好友通过相互交集而共同提供的用户数据。两被告擅自将该部分并不知情的微信用户的数据移作由自己存储或使用,不符合用户数据可携带的基本要求,构成了对微信用户信息权益的侵害。其次,两原告的个人微信产品作为社交平台,其主要功能是帮助用户与其他用户相互交换信息、交流情感进行交际。微信用户对于其个人微信数据具有很高的敏感性及安全性要求。两被告的被诉行为已危及微信产品用户信息安全,势必导致微信用户对微信产品丧失应有的安全感及基本信任,减损微信产品对于用户数据流量的吸引力,进而会恶化两原告既有数据资源的经营生态,损害两原告的商业利益与市场竞争优势,实质性损害两原告对于微信产品数据资源享有的竞争权益。
因此,法院认为,被控侵权软件批量化操作微信、发布商业活动信息异化了个人微信产品的作为社交平台的服务功能,给用户使用微信产品造成了明显干扰,同时危及了微信平台的安全、稳定、效率,已妨碍、破坏了两原告合法提供的网络产品与服务的正常运行,属于反不正当竞争法第十二条第二款第四项所规定的妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为,构成不正当竞争。
法官说法:用户信息权益应合理使用。在当前立法暂时缺位的情况下,如何在司法层面上平衡用户信息权益与平台数据权益之间关系,已成为当下审理涉网不正当竞争纠纷案件的突出问题。本案的处理始终坚持审慎包容的态度,以促进创新竞争和有利于消费者的长远利益为指引,在网络平台、数据用户和同行业竞争者之间予以利益平衡。在给予网络平台方权利保护的同时,也对其权利加以必要限制,以防止其滥用权利限制用户信息权益,形成数据垄断。
其一,对于网络平台中的单个原始数据,应突出强调用户信息提供者的控制权与使用许可权,不应过分维护网络平台方的控制权。首先,从数据创立主体考量,原始数据只是用户信息转换为电子符号的外在形式,数据采集主体在此过程中虽然付出了一定的劳动,但并未提供创造性劳动成果,故数据采集、控制主体只能依其与用户的约定享有原始数据的有限使用权。其次,从实践理性考量,过分强调网络平台方对于原始数据的控制权,赋予其对于原始数据使用许可权,不仅会阻碍网络用户信息权益的实现,造成相关主体间权利义务关系的失衡,同时易形成数据垄断,窒碍数据信息的流通。联系本案而言,擅自使用他人控制的数据是否构成侵权,重点在于审查其是否征得了用户同意,数据控制者不能仅因其他网络经营者擅自使用了其控制的数据,径行主张求偿权。
其二,对于网络平台方的数据权益,应突出强调对数据资源竞争性权益的保护。巨量单个原始数据聚合在一起所形成的一定规模的数据资源,能够给大数据分析提供必要的样本,给网络平台经营者带来开发数据衍生产品获取增值利润的机会空间。当前,数据资源的积累与开发已成为网络业界获取市场收益的基本商业模式及核心竞争力。数据资源系网络平台方投入大量人力、物力,经过长期经营积累而成,能够给经营者带来商业利益与竞争优势。对于数据资源网络平台方应当享有竞争权益。换言之,网络平台享有数据权益的权利基础不在于其对数据的采集而在于数据资源的汇聚与应用。如果其他经营者破坏性使用该数据资源,则构成不正当竞争,网络平台方有权要求获得赔偿。
其三,擅自使用他人控制的数据资源是否构成不正当竞争,应重点考察是否属于破坏性利用。网络经济是共生经济,网络平台所掌握的数据资源更多地具有开放性与共享性,如果其他经营者“搭便车”式地利用了网络企业所掌握的数据资源开展经营活动,只要不是对他人数据资源破坏性利用或有违法律规定,且能够给消费者带来全新体验的,一般不应被认定为不正当竞争。但本案中,两被告通过涉案群控软件擅自收集、存储微信用户数据,势必导致微信用户对微信产品丧失应有的安全感及基本信任,减损微信产品对于用户关注度及用户数据流量的吸引力,进而会恶化两原告既有数据资源的经营生态,损害两原告的商业利益与市场竞争优势,对两原告既有数据资源竞争权益构成实质性损害,两被告此种损人自肥的经营活动明显有违商业道德,构成不正当竞争行为。(来源:人民法院报)
四、新闻事件
1、首届中国网络文明大会发布“共建网络文明行动倡议”
在19日开幕的首届中国网络文明大会上,中国网络社会组织联合会联合全国网络社会组织和互联网企业向社会各界发起共建网络文明行动倡议。当日上午,以“汇聚向上向善力量,携手建设网络文明”为主题的首届中国网络文明大会在北京举行。为发展积极健康的网络文化,促进网络文明建设,营造清朗网络空间,中国网络社会组织联合会联合全国网络社会组织和互联网企业向社会各界发起共建网络文明行动倡议。倡议提出,加强思想引领,把握正确导向。坚持以习近平新时代中国特色社会主义思想为指引,把握正确的政治方向、舆论导向、价值取向,推动文明办网、文明用网、文明上网、文明兴网。培育新风正气,净化网络生态。大力弘扬和践行社会主义核心价值观,唱响主旋律,传播正能量,培育良好道德风尚,有力净化网络环境,争做网络文明建设的参与者、贡献者、维护者。完善行业自律,践行社会责任。始终把社会效益摆在突出位置,发挥行业组织引导督促作用,认真落实企业主体责任,加强自我规范、自我管理、自我约束,推动行业依法健康有序发展。规范网络行为,提高文明素养。推进网民网络素养教育,引导广大网民自觉遵守互联网领域法律法规,文明互动、理性表达,增强防范意识,抵制不良倾向,争做新时代的好网民、好公民。坚持科技向善,助推创新发展。充分发挥科技创新的驱动和赋能作用,通过新技术新应用新业态的有效运用,丰富网络文化内涵,提升网络服务水平,推动网络文明建设提质增效。深化国际交流,促进文明互鉴。秉持开放包容的理念,深化网络空间国际交流合作,促进世界各国民心相通、文明互鉴,携手构建网络空间命运共同体,为人类文明进步贡献中国智慧、中国力量。(来源:中国新闻网)
2、工信部:四方面提升行业关键信息基础设施安全保障水平
工信部11月16日上午召开“十四五”信息通信行业发展规划新闻发布会,介绍“十四五”信息通信行业发展规划有关情况。在介绍“十四五”期间,保障关键信息基础设施方面的相关部署时,工信部网络安全管理局副局长杜广达表示,电信网、互联网是数字经济的基石底座,是关键信息基础设施的重要组成部分。工信部作为电信和互联网行业主管部门,近年来,认真贯彻落实《网络安全法》,切实履行行业网络安全监督管理职责,推动出台《关键信息基础设施安全保护条例》,制定了《通信网络安全防护管理办法》等多项部门规章,发布了近20项规范性文件,颁布实施了300余项网络与信息安全标准,持续组织开展电信和互联网行业网络安全监督检查,不断提升网络基础设施安全防护能力。“十四五”期间,工信部将深入贯彻落实《关键信息基础设施安全保护条例》要求,持续提升行业关键信息基础设施安全保障水平。主要围绕四个方面开展工作。一是完善安全监督管理机制。二是健全安全技术能力体系。三是加强行业安全监督检查。四是强化网络安全产业支撑。(来源:工信部官网)
五、域外观察
1、维斯塔斯遭遇“网络安全事件”
据外媒报道,11月20日维斯塔斯遭遇网络安全事故,目前已经关闭多个业务部门和地点的信息技术系统,以控制这一问题。维斯塔斯表示,其正在与内部和外部合作伙伴合作进行应对,并恢复其系统。“客户、员工和其他利益相关者可能会受到我们几个信息技术系统关闭的影响,”该公司补充道。(来源:中国风电新闻网)
2、美国:信息共享和保护关键基础设施是国会议员网络安全的首要任务
[美国下一届政府网2021年11月19日报道] 美国会非常认真地对待网络安全问题,并利用其掌握的工具提高国家在网络空间的自卫能力。共和党众议员詹姆斯·兰吉文是国会中最精通技术的议员之一。他是众议院军事委员会(House Armed Services Committee)的高级成员,担任网络、创新技术和信息系统小组委员会主席、国土安全委员会成员、国会网络安全核心小组的共同创始人和主席,以及网络空间日光浴室委员会成员。詹姆斯的优先事项之一是立法创造一个联合协作环境(Joint Collaborative Environment, JCE),这是日光浴室委员会的主要建议之一。詹姆斯说,创建联合协作环境的语言将被纳入在今年的《国防授权法》中。此外,詹姆斯建议,美国有少数大公司应被视为“具有系统重要性的关键基础设施”(systemically important critical infrastructure,SICI),“应获得某些特殊利益,但也有某些特殊义务。”确定关键基础设施企业的两个标准是,第一,该实体的运营必须对国家非常重要。第二,该公司必须有一个网络安全成熟度的基准水平,使他们能够协助自己的防御,詹姆斯说。詹姆斯表示,被指定为关键基础设施的公司不会太多,不会超过120家。他说,奥巴马政府2013年颁布的第13636号行政命令9号文,已经需要确定最关键的基础设施公司,因此实施起来并不困难。詹姆斯表示,通过涵盖已通过行政命令解决的问题的立法的原因很简单:“任何总统都可以随时撤销的《行政条例》不足以成为锚。我们应该将任命程序写入法规。(来源:中国国防科技信息网)
3、美国金融监管新规:银行须在36小时内报告重大网络安全事件
美国金融监管机构已经批准了一项新规则,要求银行机构在发现任何“重大”网络安全事件的36小时内进行报告。根据该规则,银行必须向其主要的联邦监管机构通报已经或有可能对其运营的可行性、其提供产品和服务的能力或美国金融业的稳定性产生实质性影响的事件。这可能包括破坏客户访问银行服务的大规模分布式拒绝服务(DDoS)攻击,或使银行业务长时间无法运行的计算机黑客事件。此外,银行(该规则将其定义为“银行组织”,包括国家银行、联邦协会和外国银行的联邦分行)——必须在事件已经或可能对其客户产生实质性影响的四个小时或以上的情况下“尽快”通知客户。由联邦存款保险公司(FDIC)、联邦储备系统理事会(Board)和货币监理署(OCC)批准的最终规则将于2022年4月1日生效,预计将于2022年5月1日全面遵守。FDIC在一份声明中告诉TechCrunch,这些规则“将只适用于那些由三个银行机构(FDIC、美联储或货币监理署)承保或监管的实体,或为受监管银行提供服务的组织”。(来源:科技体)
4、CISA发布新版网络安全事件和漏洞响应手册
当地时间2021年11月16日,美国国土安全部(DHS)网络安全和基础设施安全局(CISA)发布了新版《网络安全事件和漏洞响应手册(Cybersecurity Incident & Vulnerability Response Playbooks)》,该手册共43页,旨在为联邦各部门的网络事件响应创建标准手册和定义集,确保所有联邦部门能够采取统一步骤来识别和缓解威胁。该手册还为私营部门提供应对威胁的模板。据网络安全和基础设施安全局介绍,这份手册主要面向联邦政府民事行政部门(federal civilian executive branch agencies,FCEB)、承包商以及代表这些民事行政部门的其他组织所使用的信息系统。这份手册为联邦民事行政部门提供了一套标准程序,以识别、协调、补救、恢复以及跟踪针对联邦民事系统、数据的网络事件或漏洞,实施缓解措施。网络安全和基础设施安全局在发布手册时表示,联邦政府各民事行政部门“应该使用这份手册指导自身整体网络防御行动”,并鼓励各级政府部门乃至私营企业“参考手册内容,用以衡量自身漏洞与事件响应实践”。新版《网络安全事件和漏洞响应手册》主要包括两部分内容:一部分是关于网络安全事件响应,另一部分是关于漏洞响应。手册详细介绍了各类情形响应的决策流程以及分步缓解和修复指南。(来源:三正科技)
5、近三年内,超过80%的关键基础设施公司遭到网络入侵
据Skybox security称,尽管在过去三年中都遭受了破坏,但关键基础设施(CNI)组织中的大多数IT和安全领导人都低估了网络威胁的规模。网络安全供应商Skybox Security对美国、英国、德国和澳大利亚179名运营技术(OT)安全决策者进行了调查,其中大部分来自制造业、能源和公用事业行业收入达10亿美元或以上的公司。该研究发现,尽管83%的CIO和CISO在过去36个月内遭受过此类事件,但73%的CIO和CISO“非常有信心”他们的组织明年不会遭受OT违规。引人注目的是,只有37%的实际工厂经理有类似的信心,这突显了高级决策层的看法与现实之间的脱节。三分之一(34%)的受访者似乎过度依赖保险作为安全“策略”,声称这是一个足够的解决方案。然而,一些人确实认识到网络威胁不断升级。五分之二(40%)的人表示,供应链/第三方网络访问是他们的三大安全风险之一,但不到一半(46%)的人表示他们的组织有适用于OT的第三方访问策略。技术复杂性也给受访者带来了沉重压力:78%的受访者表示,多供应商环境使保护组织变得更具挑战性,而一半(48%)的受访者抱怨跨OT和IT环境的架构脱节。另有40%的人表示IT-OT融合是前三大风险。(来源:linux系统运维之家)