美國NSA發布《2022年網絡安全年回顧》等七則

美國NSA發布《2022年網絡安全年回顧》

美國“國家安全局（NSA）”官網2022年12月15日消息，NSA當日發布了《2022年網絡安全年回顧》，以分享其任務重點，并展示其如何為國家創造網絡安全成果。

該報告介紹NSA的任務重點：一是與業界合作，加強數十億個端點以應對活躍和持續的民族國家威脅；二是向供應商披露數十個零日漏洞，以便在國家行為者利用它們之前進行補救；三是公開發布網絡安全指南，以防范活躍的對手和網絡犯罪威脅并強化系統；四是通過美國國家安全局網絡安全標準中心確保新興技術的標準；五是研究和提供保護國家網絡生態系統的工具和技術進步。但報告也指出，NSA為保護國家所做的許多關鍵工作都無法公開披露。

此外，2022年的報告強調了NSA通過強大的合作伙伴關系擴大網絡安全解決方案的能力，從而提高了速度和靈活性。報告指出，NSA的合作伙伴關系牢固且不斷發展。NSA的網絡安全協作中心（CCC）在過去一年中將其行業合作伙伴關系增加了一倍，達到300多個合作關系。而關于提供關鍵安全和安全基礎設施方面的努力，報告指出，NSA通過加密保護全球數百萬設備，并管理為這些設備提供密鑰的基礎設施。與此同時，NSA通過資助GenCyber夏令營、“破碼挑戰賽”、NSA網絡演習和國家網絡安全學術卓越中心等項目，加強從幼兒園到大學的網絡安全教育。

（程晨譯）

美國ITI為歐理會輪值主席國瑞典提出十項建議 以支持歐洲的全球 競爭力和數字領導力

美國“信息技術產業理事會（ITI）”官網2022年12月12日發布文件《實現有競爭力和開放的歐洲數字經濟》，為即將上任的歐盟理事會輪值主席國瑞典提出十項關鍵政策建議，以支持歐洲的全球競爭力和數字領導力，并保持開放和具有競爭性的單一市場。這十項建議涉及歐洲關鍵技術舉措和立法程序，ITI承諾，“隨時準備支持瑞典輪值主席國為創新創造有利環境”。

ITI的十項政策建議，旨在通過支持瑞典在輪值主席國任期內（2023年1月1日至6月30日）數字議程的發展和實施，進一步推動歐洲在全球數字經濟中的領導地位：一是數據法案。為數據共享和可移植性建立一個平衡和公平的框架，并在立法過程中將監管質量置于速度之上；二是人工智能。確保對監管中的人工智能采取基于風險和創新友好的方法，特別是通用人工智能；三是歐盟《網絡彈性法案》。明確立法范圍和合規性評估程序，并使該法案與現有立法和國際標準保持一致；四是半導體。迅速實施《歐洲芯片法案》，以提高半導體供應鏈的彈性；五是歐洲云認證計劃。建立基于健全的技術網絡安全要求的云認證計劃；六是跨大西洋數據流。迅速敲定“歐盟-美國數據隱私框架”，以提供法律確定性；七是美國-歐盟貿易技術理事會（TTC）。促進合作取得碩果，避免雙方的歧視和排斥性政策；八是打擊網絡兒童性虐待。采取積極且穩健的做法，保護隱私和基本權利；九是《可持續產品生態設計法規》（ESPR）。在保持創新的同時提高產品的可持續性；十是網絡使用費。評估干預的必要性，確保透明和包容的協商過程。

（陶蔓茜譯）

歐盟發布《歐盟-美國數據隱私框架充分性決定》草案

比利時“歐盟動態（EurActiv）”網站2022年12月13日消息，當日，歐盟委員會發布《歐盟-美國數據隱私框架充分性決定》草案，啟動了通過該充分性決定的程序，但將面臨更多的法律挑戰。

該草案是在美國總統拜登10月簽署《保障信號情報收集活動行政令》之后出臺的，該行政命令旨在為歐盟居民的個人數據引入保障措施，特別是限制美國情報機構的訪問，并引入獨立的補救機制。歐盟司法專員迪迪埃·雷恩德斯在一份聲明中表示，在過去的幾個月里，歐盟評估了行政命令在保護個人數據方面的法律框架，“我們現在有信心進行下一步進程”。歐盟委員會認為，基于行政命令的新法律框架可與歐洲數據保護標準相媲美，這意味著歐盟居民的個人數據可以在大西洋彼岸安全合法地傳輸。歐盟公布這一草案，只是批準外國司法管轄區擁有足夠數據保護水平的程序的第一個正式步驟，下一步將由歐洲數據保護委員會（EDPB）發布意見。該充分性決定將需要由各成員國國家代表組成的委員會在正式通過之前批準，歐盟委員會希望在2023年夏天實現這一目標。

該草案也引發了質疑。奧地利律師馬克斯·施雷姆斯表示，“該草案是基于已知的行政命令，我無法核實它的法律效力，歐盟委員會似乎只是一次又一次地發布類似的決定，這侵犯了公民的基本權利”。關于法律救濟機制，施雷姆斯還質疑行政命令設立的數據保護審查法院是否是一個實際的法院，因為它將是美國行政部門的一部分，在他看來，這一安排是歐盟最高法院此前否決的監察員制度的升級版。對此，歐盟司法專員雷恩代爾堅信該草案的權威性，并邀請質疑者通過質疑美國情報機構的一些決定來測試補救機制。

（凌怡譯）

歐洲議會、歐盟理事會及歐盟委員會 簽署歐洲數字十年的《數字權利和原則宣言》

“歐盟理事會”官網2022年12月15日消息，為確保歐盟實現符合其價值觀的數字轉型目標，歐洲議會、歐盟理事會及歐盟委員會于當日在最高政治級別上簽署了歐洲數字十年的《數字權利和原則宣言》（以下簡稱《宣言》。該《宣言》將作為政策制定者、企業和其他相關行為者開發和部署新技術時的參考。

《宣言》指導政策制定者反思其數字化轉型愿景，即將人置于數字化轉型的中心；通過互聯互通、數字教育、培訓和技能、公平公正的工作條件以及獲得在線數字服務，支持團結和包容；重申在與算法和人工智能系統交互以及在公平的數字環境中選擇自由的重要性；促進參與數字公共空間；提高數字環境中的安全、保障和賦權，特別是針對兒童和年輕人，同時確保隱私和個人對數據的控制；促進可持續發展。該宣言還提到了以開放方式實現數字主權、尊重基本權利、法治和民主、包容、無障礙、平等、可持續性、復原力、安全、改善生活質量、提供服務以及尊重每個人的權利和愿望，推動歐盟建立一個充滿活力、資源高效、公平的經濟和社會。歐盟理事會為突出國際層面做出的貢獻，特別在《宣言》的前言部分提及普遍人權，也是為了激勵歐盟境外的合作伙伴。關于隱私問題，《宣言》指出應保證公民的通信保密性，并保護他們免受非法跟蹤或攔截。

（崔露方譯）

歐盟及愛爾蘭投資1000萬歐元建設量子通信基礎設施

綜合愛爾蘭“Silicon Republic”、“Business Plus”網站2022年12月23日消息，作為歐盟量子通信基礎設施（EuroQCI）項目的一部分，愛爾蘭量子通信基礎設施（IrelandQCI）將分別從愛爾蘭政府和歐盟獲得500萬歐元（約合人民幣3710萬元）投資，共計1000萬歐元（約合人民幣7420萬元）。

該項目將通過把量子設備和系統整合到傳統的通信基礎設施中，建立量子密鑰分發（QKD）基礎設施。項目建設期為30個月。建成的新量子通信基礎設施（QCI）網絡的主要功能將是實現一種超安全的加密形式，這樣數據就可以安全地傳輸，而不會有被黑客攻擊的風險。新網絡將用于研究目的，并允許政府、機構和公司開始進行相關能力建設，并加強保護關鍵基礎設施、數據資產和加密系統的技能。IrelandQCI團隊還希望進一步建立該國的量子技術生態系統。領導該項目的愛爾蘭東南理工大學沃爾頓研究所所長戴爾德麗·基爾班博士稱該項目是“在愛爾蘭建立量子互聯網的第一步”。其他參與者包括多所高校、愛爾蘭高端計算中心、愛爾蘭的國家研究和教育網絡機構HEAnet和ESB電信。

（王葳譯）

Check Point Software發布預測稱意識形態攻擊將在2023年繼續增長

美國“Technology Magazine”網站2022年12月27日報道，網絡安全解決方案提供商Check Point Software發布了其對2023年的網絡安全預測，詳細介紹了各組織在未來一年將面臨的主要安全挑戰。其對2023年網絡安全的預測分為四類：惡意軟件和網絡釣魚，黑客激進主義，新出臺的政府法規，以及安全鞏固。

一是2023年勒索軟件生態系統將繼續演變和增長，形成更小、更靈活的犯罪集團以逃避執法。犯罪分子還將擴大目標，利用網絡釣魚攻擊商業協作工具。過去一年，黑客激進主義已經從形式靈活的社會團體（如“匿名者”）演變為更有組織、更有結構、更復雜的國家支持團體，且這些意識形態攻擊將在2023年繼續增長。二是深度偽造技術將越來越多地用于定位和操縱意見，或誘騙員工交出訪問權限。三是2023年，除了效仿《一般數據保護條例》等現有措施外，更多政府將效仿新加坡，成立機構間的工作組，打擊勒索軟件和網絡犯罪，共同應對對商業和消費者日益增長的威脅。此外，汽車行業已開始采取措施保護車主的數據，讓制造商對其產品漏洞負責。四是到2022年，全球網絡技能差距擴大了25%以上。安全團隊需要整合其IT和安全基礎設施，以提高防御能力，減少工作量，幫助他們防御威脅。

（胡憶琦譯）

Gartner發布2023年八大網絡安全趨勢預測

美國“VentureBeat”網站2022年12月2日消息，近日網絡安全機構Gartner的頂級分析師分享其對2023年全球網絡安全八大趨勢的預測，并指出隨著俄烏沖突持續和經濟不確定性增加，網絡安全威脅不斷增加。

主要表現在：一是供應鏈和地緣政治風險將主導網絡安全。廣泛的地緣政治風險明年將繼續存在；許多組織將面臨供應鏈風險、云基礎設施的攻擊風險、分布式拒絕服務攻擊以及數據盜竊或丟失。組織必須建立有效的安全控制來管控供應鏈風險。二是新興的架構模式將簡化網絡安全產品復雜程度。網絡安全網格架構（CSMA）旨在實現單一控制；提供集成機器學習、編排和自動化；并支持第三方融合。CSMA將幫助組織簡化管理多點產品的復雜性。三是零信任將在風險管理中發揮關鍵作用。零信任架構（ZTA）取代隱式信任的架構，以適應風險優化安全態勢。到2023年，企業將越來越多地使用ZTA來增強整體安全態勢，優化組織的風險態勢。四是DevSecOps（開發、安全和運營）將成為業務關鍵。2023年，安全團隊越來越多地使用DevSecOps（開發、安全和運營）系統模式。安全性必須成為開發流程和自動化不可或缺的一部分。五是自動化的安全操作（secops）將增強主動和檢測能力。安全操作自動化正處于快速發展時期。到2023年，安全運營專業人員應該通過自動化在他們的計劃中尋求收益，通過安全操作增強主動能力。六是網絡安全將體現數據中心架構。據估計，企業存儲的數據中有55%到80%以上是暗數據。到2023年，組織必須專注于用以數據為中心的視圖覆蓋其核心安全架構。七是EDR和MTD模式將得到采用。端點檢測和響應（EDR）及托管威脅檢測（MTD）等解決方案不僅可以提供預防功能，還可以提供檢測和響應功能，有助于縮短從成功攻擊中恢復的時間。八是人為操作的勒索軟件將成為更大的威脅。隨著高級攻擊不斷涌現，人為操作的勒索軟件正成為不可避免的威脅，隨著這些勒索軟件團伙使用越來越復雜的技術，安全團隊必須相應地調整他們的保護策略。

（徐陽華、任加勉譯）