5月17日，星期三，您好！中科汇能与您分享信息安全快讯：

近日，专门分析基于区块链平台的公司Nikkei Asia公司宣布，自 2017 年以来，与朝鲜有联系的黑客组织已经窃取了约 23 亿美元的加密货币，其中包括来自日本企业家的 7.21 亿美元。

根据该公司的报告，朝鲜黑客正在攻击其他国家的加密货币资产，以获取支持其国家导弹计划所需的外币。

联合国安理会专家组估计，仅在 2022 年，加密货币被盗资金的金额就从 6 亿美元到 10 亿美元不等。这个数字是前一年被盗金额的两倍。Elliptic 进行了自己的计算并报告说，到 2022 年，被盗金额为 6.4 亿美元。

一家广受欢迎的全国性药房服务提供商的近 600 万客户的个人、健康保险和医疗数据在 3 月份的一次网络攻击中遭到泄露。

PharMerica提供来自 50 个州的 70,000 多家备用药房和当地药房以及 3100 家额外设施的服务。

然而，在缅因州总检察长办公室发布的违规通知信中，它透露这家总部位于路易斯维尔的公司在今年 3 月 12 日遭遇了严重事件。信中解释说，第三方于 3 月 14 日发现该违规行为持续了两天，并导致客户的个人信息遭到泄露。

近日，一个名为RA group的新勒索软件组织进入人们的视野，该网络犯罪团伙自2023年4月22日起就已经开始有所“行动”，目前仍在迅速扩大其勒索活动的范围。

安全研究员Chetan Raghuprasad在与the Hacker News分享的一份报告中提到：到目前为止，该组织已经入侵了美国的三个组织和韩国的一个组织，涉及制造业、财富管理、保险提供商和制药等多个垂直行业。

RA勒索组织运营着一个信息泄露网站，他们向受害者进行双重勒索攻击，迫使他们支付赎金。

据悉，与三个工业路由器供应商相关的云管理平台中披露了多个安全漏洞，这些漏洞可能会使运营技术 (OT) 网络面临外部攻击。上周，以色列工业网络安全公司 OTORIO 在 Black Hat Asia 2023 会议上公布了调查结果。这 11 个漏洞允许“远程执行代码并完全控制数十万台设备和 OT 网络，在某些情况下，甚至是那些没有主动配置为使用云的设备。”

具体而言，缺点在于 Sierra Wireless、Teltonika Networks 和 InHand Networks 提供的基于云的管理解决方案，用于远程管理和操作设备。

成功利用这些漏洞可能会给工业环境带来严重风险，使对手能够绕过安全层并泄露敏感信息并在内部网络上远程执行代码。

据消息，澳大利亚网络和基础设施安全中心（CISC）日前发布《关键基础设施资产类别定义指南》，适用于所有相关的基础设施行业。指南简化了关键基础设施责任主体和直接利益相关方的义务，有助于提高运营弹性、降低复杂性。

作为类别定义文件，指南对关键基础设施资产分类提供了指导意见。关键基础设施资产的定义可参见2018年《关键基础设施安全法案》（SOCI法案），或者《SOCI定义规则》（LIN 21/039）。指南要求资产所有者和经营者参考《SOCI法案》和《SOCI定义规则》，确定他们的资产具体符合哪一项关键基础设施资产的定义。

近日，由中央网信办、湖北省人民政府指导，武汉市人民政府主办，国家网络安全人才与创新基地、中国网络空间安全协会、武汉临空港经济技术开发区和中关村实验室联合承办的首届武汉网络安全创新论坛在湖北省武汉市隆重召开。值此之际，数说安全正式发布《2023年中国网络安全市场全景图》，这是自2018年开始，数说安全发布的第六版全景图。

在此基础上，我们结合数说安全商业分析平台CSRadar上超百万个网络安全项目信息，深入分析各细分市场的实际发展状况、市场成熟度、品牌渗透率、技术发展趋势，并以全景图为载体对各细分市场中的热点品牌进行汇总和展示，望为我国网络安全行业主管部门、从业者、网络安全产品及服务的使用者和购买单位以及资本机构提供借鉴与参考。

随着企业数字化转型的深入，数据泄漏风险快速增长，数据安全需求也与日俱增。如今大多数数据泄漏事件中，攻击者都会冒充身份实现横向移动，或长期驻留。IAM系统——尤其是不受零信任安全保护的旧的基于边界的系统——通常是第一个或主要目标。

2022年，有84%的企业经历过与身份相关的攻击行为，其中78%的企业表示攻击对业务产生直接影响。网络安全和IAM技术正在不断发展以应对这一挑战，以下三大网络安全市场趋势将重新定义IAM：企业将优先考虑以身份为中心的零信任安全、企业更加关注灵活的集成框架、去中心化身份正在成为现实。

近日，欧洲议会发表声明，议会内部市场委员会和公民自由委员会通过了《人工智能法案》（the AI Act）的谈判授权草案。该法案于2021年4月由欧盟委员会提出。

目前，经妥协修改后的《人工智能法案》草案共计144页，保留了此次的修改标记。法案严格禁止“对人类安全造成不可接受风险的人工智能系统”，包括有目的地操纵技术、利用人性弱点或根据行为、社会地位和个人特征等进行评价的系统等。

此外，谈判授权草案还要求部署ChatGPT等生成式人工智能工具的公司对其算法保持人为控制，提供技术文件，并为“高风险”应用建立风险管理系统。法案涵盖的内容主要包括个人信息等相关的隐私、算法导致的偏见和歧视、对社会就业和收入等的影响、网络安全性风险等。

2023年3月23日，全国安全标准化技术委员会正式发布了国家标准《信息安全技术 个人信息去标识化效果评估指南》，其将于2023年10月1日正式生效实施。能否实现个人信息的去标识化对于企业来讲是非常重要的合规义务，因为《个人信息保护法》第五十一条明确要求个人信息处理者应采取去标识化等安全技术措施来履行安全保护义务。

目前，国家标准《信息安全技术 个人信息安全规范》明确了去标识化处理的要求，国家标准《信息安全技术 个人信息去标识化指南》细化了去标识化活动的开展过程，《指南》则为具体评估是否真正实现了有效的去标识化提供了指引，通过细化个人信息标识度分级和评定方法，不断推动个人信息去标识化技术、流程及配套评估措施朝着定量化的精细方向发展。