銳成信息壹周快報(bào)，匯總了本周的熱點(diǎn)資訊、安全事件，保證大家不錯(cuò)過(guò)本周的每一個(gè)重點(diǎn)!本周重點(diǎn)關(guān)注：15部門(mén)發(fā)布《關(guān)于促進(jìn)中小企業(yè)提升合規(guī)意識(shí)加強(qiáng)合規(guī)管理的指導(dǎo)意見(jiàn)》；因存儲(chǔ)桶配置錯(cuò)誤，8.6萬(wàn)醫(yī)護(hù)人員信息泄露。

【熱點(diǎn)資訊】

1、工信部等15部門(mén)發(fā)布《關(guān)于促進(jìn)中小企業(yè)提升合規(guī)意識(shí)加強(qiáng)合規(guī)管理的指導(dǎo)意見(jiàn)》

3月13日，工業(yè)和信息化部等15部門(mén)辦公廳（秘書(shū)局、辦公室、綜合司）聯(lián)合發(fā)布《關(guān)于促進(jìn)中小企業(yè)提升合規(guī)意識(shí)加強(qiáng)合規(guī)管理的指導(dǎo)意見(jiàn)》，引導(dǎo)中小企業(yè)增強(qiáng)合規(guī)意識(shí)、加強(qiáng)合規(guī)建設(shè)、提升合規(guī)管理水平，防范生產(chǎn)經(jīng)營(yíng)風(fēng)險(xiǎn)。

指導(dǎo)意見(jiàn)提出網(wǎng)絡(luò)和數(shù)據(jù)安全合規(guī)。引導(dǎo)中小企業(yè)遵守網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面法律法規(guī)，加強(qiáng)信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)的安全防護(hù)和安全意識(shí)教育；制定實(shí)施數(shù)據(jù)安全合規(guī)管理制度，加強(qiáng)對(duì)數(shù)據(jù)的分類(lèi)分級(jí)和權(quán)限管理，加強(qiáng)人員管理和技術(shù)控制，履行重要數(shù)據(jù)識(shí)別備案、分級(jí)防護(hù)、風(fēng)險(xiǎn)評(píng)估等責(zé)任義務(wù)，防范并及時(shí)應(yīng)對(duì)和處理數(shù)據(jù)泄露、篡改、丟失事件；重點(diǎn)梳理向第三方輸出、共享、委托、提供數(shù)據(jù)，從第三方接受數(shù)據(jù)，處理個(gè)人信息及跨境傳輸數(shù)據(jù)等活動(dòng)中的合規(guī)要求和風(fēng)險(xiǎn)，落實(shí)特定類(lèi)型信息收集與使用合規(guī)義務(wù)，保護(hù)企業(yè)數(shù)據(jù)及個(gè)人信息安全。

• 資料來(lái)源：工業(yè)和信息化部
• 資料鏈接：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2025/art_ab58112ddea44edeb2f45dd2afb7e583.html

2、NCSC：關(guān)鍵基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊后24小時(shí)內(nèi)報(bào)告

近日，瑞士已批準(zhǔn)《網(wǎng)絡(luò)安全條例》，自2025年4月1日起生效。該法令規(guī)定了關(guān)鍵基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊時(shí)的報(bào)告義務(wù)，并設(shè)定了例外情況和程序，要求如能源和飲用水供應(yīng)商、運(yùn)輸公司以及州和市鎮(zhèn)行政部門(mén)等關(guān)鍵基礎(chǔ)設(shè)施組織必須在發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后24小時(shí)內(nèi)向國(guó)家網(wǎng)絡(luò)安全中心報(bào)告。據(jù)悉，這項(xiàng)與安全漏洞通報(bào)相關(guān)的新政策是為應(yīng)對(duì)日益增多的網(wǎng)絡(luò)事件而推出的。

3、西班牙批準(zhǔn)人工智能治理法案

2025年3月11 日，西班牙部長(zhǎng)會(huì)議根據(jù)第50/1997號(hào)法律第26.4條的規(guī)定，批準(zhǔn)了《人工智能（AI）合理使用和管理法草案初稿》，使西班牙立法與歐洲人工智能法規(guī)保持一致，以確保人工智能的使用符合道德、具有包容性且有益。此舉旨在規(guī)范AI技術(shù)的健康發(fā)展，遏制潛在不良行為，并對(duì)關(guān)鍵行業(yè)內(nèi)的高風(fēng)險(xiǎn)人工智能系統(tǒng)施加嚴(yán)格的監(jiān)管措施，確保公民權(quán)益和社會(huì)安全得到有效保護(hù)。

【安全事件】

1、因AWS S3存儲(chǔ)桶配置錯(cuò)誤，8.6萬(wàn)醫(yī)護(hù)人員信息泄露

據(jù)cybersecuritynews消息，美國(guó)新澤西州一家健康科技公司ESHYFT發(fā)現(xiàn)了一起涉及敏感醫(yī)護(hù)人員信息的重大數(shù)據(jù)泄露事件，超過(guò)86,000條記錄被泄露。據(jù)悉，研究人員Jeremiah Fowler發(fā)現(xiàn)這個(gè)未受保護(hù)的AWS S3存儲(chǔ)桶，其中包含約108.8 GB的數(shù)據(jù)，包括高度敏感的個(gè)人身份信息 (PII)，包括個(gè)人資料圖像、工作時(shí)間表、專(zhuān)業(yè)證書(shū)和可能受 HIPAA 法規(guī)保護(hù)的醫(yī)療文件，這些數(shù)據(jù)缺乏密碼保護(hù)或加密，導(dǎo)致醫(yī)護(hù)人員的私人信息可被公開(kāi)訪(fǎng)問(wèn)，給他們帶來(lái)巨大風(fēng)險(xiǎn)。

2、僵尸網(wǎng)絡(luò)Ballista利用TP-Link漏洞，感染超6000臺(tái)設(shè)備

據(jù)thehackernews消息，Cato CTRL團(tuán)隊(duì)發(fā)現(xiàn)，未打補(bǔ)丁的TP-Link Archer路由器已成為被稱(chēng)為Ballista的新僵尸網(wǎng)絡(luò)活動(dòng)的目標(biāo)。Ballista利用TP-Link Archer路由器中的遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞（CVE-2023-1389）注入命令，執(zhí)行遠(yuǎn)程代碼，安裝惡意軟件，會(huì)在82端口上建立加密的命令與控制 (C2) 通道，以控制設(shè)備。

3、X平臺(tái)遭網(wǎng)絡(luò)攻擊，致其全球范圍內(nèi)多次宕機(jī)

據(jù)相關(guān)報(bào)道，近日，X平臺(tái)遭遇了大規(guī)模的網(wǎng)絡(luò)攻擊，導(dǎo)致該平臺(tái)全球范圍內(nèi)多次宕機(jī)，許多用戶(hù)無(wú)法正常使用。據(jù)奇安信Xlab實(shí)驗(yàn)室分析，此次攻擊和春節(jié)期間攻擊DeepSeek的為同一主力僵尸網(wǎng)絡(luò)，為Mirai變種僵尸網(wǎng)絡(luò)RapperBot。

4、電信巨頭NTT遭網(wǎng)絡(luò)攻擊，約2萬(wàn)家企業(yè)客戶(hù)數(shù)據(jù)泄露

據(jù)securityaffairs消息，近日，日本電信巨頭NTT發(fā)布公告，稱(chēng)其遭到網(wǎng)絡(luò)攻擊，內(nèi)部設(shè)施遭到未經(jīng)授權(quán)的訪(fǎng)問(wèn)，確認(rèn)部分信息可能已被外泄。據(jù)悉，攻擊者入侵了該公司的“訂單信息分發(fā)系統(tǒng)”，系統(tǒng)中存儲(chǔ)了17891家企業(yè)客戶(hù)（公司）的詳細(xì)信息，疑似包含客戶(hù)名稱(chēng)、電話(huà)號(hào)碼以及合同編號(hào)等企業(yè)客戶(hù)數(shù)據(jù)泄露。

5、捷豹路虎疑似遭數(shù)據(jù)泄露，泄露約700份內(nèi)部文件

據(jù)cybersecuritynews消息，據(jù)報(bào)道，一個(gè)化名為Rey的威脅行為者入侵了英國(guó)最著名的汽車(chē)制造商之一捷豹路虎（JLR）的內(nèi)部系統(tǒng)，并泄露了約700份包含敏感技術(shù)和運(yùn)營(yíng)數(shù)據(jù)的內(nèi)部文件。目前，捷豹路虎公司尚未就此次泄露事件發(fā)表官方聲明，但監(jiān)控暗網(wǎng)活動(dòng)的網(wǎng)絡(luò)安全公司已開(kāi)始驗(yàn)證泄露數(shù)據(jù)的真實(shí)性。如果此次事件被證實(shí)，該事件可能是豪華汽車(chē)制造商面臨的最重大的網(wǎng)絡(luò)安全威脅之一。

部分圖文內(nèi)容來(lái)源網(wǎng)絡(luò)，僅供傳播交流