要闻速览

1、5项网络安全推荐性国家标准计划下达

2、国家标准《数据安全技术 个人信息保护合规审计要求》公开征求意见

3、审计署：四部委所属7家单位利用政务数据违规牟利2.48亿元

4、国家漏洞库CNNVD：关于Oracle多个安全漏洞的通报

5、美国运营商 AT&T 被曝向黑客支付 37 万美元

6、勒索攻击迫使英国首都近8000名患者手术被暂停

一周政策要闻

5项网络安全推荐性国家标准计划下达

近日，国家标准化管理委员会下达的推荐性国家标准计划中，包括5项由全国网络安全标准化技术委员会归口的标准项目，清单见附件。

全国网安标委要求，相关项目所属工作组制定项目推进计划，并督促项目牵头承担单位按计划抓紧落实，在计划执行中要加强协调，广泛征求意见，确保标准质量和水平，按要求完成国家标准制修订任务。

国家标准《数据安全技术 个人信息保护合规审计要求》公开征求意见

近日，全国网络安全标准化技术委员会发布了国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿。

为确保标准的高质量，现面向社会广泛征求反馈意见，如有意见请于2024年9月11日前将意见提交至网安标委秘书处。

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240712162705&norm_id=20231220163619&recode_id=55772

业内新闻速览

审计署：四部委所属7家单位利用政务数据违规牟利2.48亿元

2024年6月底，国家审计署发布2024年第1号审计结果公告，即《中央部门单位2023年预算执行等情况审计结果》报告（下称《2023审计报告》），其中“利用政务数据牟利成为新苗头”被列为重点问题之一，共涉及4 个部门所属 7 家运维单位违规对外收费 2.48 亿元。翻看过去三年的中央部门单位审计报告，这一问题为首次披露。

具体来看包括：

1、交通运输部：2018 年 6 月至 2023 年，所属 2 家单位下属企业利用 4 个信息系统政务数据违规收费1.45 亿元，其中 2023年 5183.37 万元。

2、教育部：2018 年至 2023 年，所属 2 家单位违规利用 3 个信息系统政务数据收费 5865.7 万元。

3、工业和信息化部：2020 年至 2023 年，所属 2 家单位利用 5 个信息系统政务数据违规收费 2447.07 万元，其中 2023 年 713.03 万元。

4、市场监管总局：2019 年 12 月至 2023 年，所属 1 家单位下属企业违规利用 1 个信息系统政务数据收费 2024.55 万元。

随着数据被列为数字经济中的关键生产要素，数据的价值被各界所认可，尤其是以政务数据为核心的公共数据，如何高效规范公平透明地向社会供给，成为目前亟待破局的问题。

此次国家审计署审计出的政务数据违规牟利问题，为如何规范公共数据的开放和授权运营敲响了警钟。

消息来源：财新网https://www.caixin.com/2024-07-15/102216369.html

国家漏洞库CNNVD：关于Oracle多个安全漏洞的通报

近日，Oracle官方发布了多个安全漏洞的公告，其中Oracle产品本身漏洞65个，影响到Oracle产品的其他厂商漏洞170个，这些漏洞可能使攻击者执行恶意代码、窃取数据或提升权限。

一、漏洞详情

2024年7月16日，Oracle发布了2024年7月份安全更新，共235个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Oracle Mysql 和 Mysql 组件、Oracle Analytics、Oracle PeopleSoft Products、Oracle Virtualization、Oracle E-Business Suite、Oracle Java SE等。CNNVD对其危害等级进行了评价，其中超危漏洞24个，高危漏洞78个，中危漏洞120个，低危漏洞13个。 Oracle多个产品和系统版本受漏洞影响，具体影响范围可访问Oracle官方网站查询：https://www.oracle.com/security-alerts/cpujul2024.html

二、修复建议

目前，Oracle官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。

Oracle官方补丁下载地址：

https://www.oracle.com/security-alerts/cpujul2024.html

消息来源：CNNVD安全动态  https://www.secrss.com/articles/68261

美国运营商 AT&T 被曝向黑客支付 37 万美元

7 月 15 日消息，《连线》杂志报道称，美国电信巨头AT&T 向一名黑客支付了约 37 万美元，以删除此前在黑客攻击中被盗的客户数据。

此前AT&T 上周宣布，黑客入侵了第三方云平台，并获取了大量客户数据，包含蜂窝网络和固定电话客户的电话号码，以及 2022 年 5 月 1 日至 2022 年 10 月 31 日期间长达六个月的通话和短信记录。报道称 AT&T 通过一个名为 Reddington 的中间人进行谈判，该中间人代表 ShinyHunters 黑客组织的一名成员行事。黑客最初要求 100 万美元，经过谈判 AT&T 最终支付了不到 40 万美元，这名黑客随后提供了一段大约七分钟的视频，证明他们已经删除了这些数据。AT&T 的一位发言人拒绝回答该公司是否支付赎金，美国联邦调查局和司法部也拒绝对该消息发表评论。AT&T 拥有近 1.15 亿客户，美国联邦执法部门表示，该事件可能会危及国家安全或公共安全。

消息来源：FREEBUFhttps://www.freebuf.com/news/406198.html

勒索攻击迫使英国首都近8000名患者手术被暂停

安全内参7月17日消息，六周前，勒索软件攻击干扰了血液检测公司Synnovis的运作。到目前为止，这一事件已经影响了近8000名英国国家医疗服务体系（NHS）患者的手术，包括器官移植和癌症治疗，已被取消、推迟或转移到伦敦的其他设施。

NHS在7月11日发布公告更新指出，自6月3日事件爆发以来，伦敦国王学院医院NHS信托基金和盖伊和圣托马斯NHS信托基金，两家受影响最严重的NHS信托基金共推迟了6199次急性门诊预约和1491次选择性手术。

NHS表示，尽管情况有所缓解，但攻击仍具破坏性。本次事件造成持续干扰，严重影响了整个英国的血液供应。

讲俄语的勒索软件组织Qilin声称对此次攻击负责。该组织在6月底在暗网上泄露了近4GB从Synnovis和NHS窃取的数据，据说还要求受害者支付5千万美元赎金。

目前，Synnovis的IT系统几乎全部瘫痪，影响了样本处理和结果传输能力，迫使部分工作流程退回到手工操作，严重影响效率。Synnovis表示，预计“需要一些时间”才能完全恢复。

消息来源：安全内参https://www.secrss.com/articles/68200

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！