2019年五種新網絡安全威脅

美國“Meritalk”網站2019年2月11日消息，特朗普總統于當日簽署了“美國人工智能倡議”行政命令，旨在從國家戰略層面調動更多聯邦資金和資源用于人工智能研發，以應對來自“戰略競爭者和外國對手”的挑戰，確保美國在該領域的領先地位。

美國白宮科技政策辦公室當日發布的一份聲明說，美國是人工智能技術的早期開發者和國際領導者，但隨著全世界在人工智能領域加快創新，“我們不能無所作為，自以為能一直保持領先地位”。

該倡議在提出應對“戰略競爭者和外國對手”的同時，也呼吁與其他國家在該領域開展合作，但強調要符合所謂“美國的價值和利益”。該倡議目前沒有列出具體的撥款計劃，如何調配資金將由國會決定。

該倡議提出五個重點領域。

第一，在研發領域，將人工智能技術作為對基礎性研發投資的重點，強化美國產、學、研一體的研發生態。

第二，在資源調配上，聯邦政府的數據、算法和計算機處理資源將更多向美國人工智能研發人員和企業開放。

《協調計劃》的15項內容包括：呼吁在歐洲所有經濟部門加強人工智能應用的開發、部署和采用，謀求歐洲成為人工智能的全球領導者：增加人工智能投資，加強技術和應用的卓越性，加強工業界和學術界關于人工智能的研究和創新合作；建議在所有經濟部門開發人工智能高端應用；鼓勵歐洲中小型企業以及創新型企業為經濟復蘇增強人工智能應用，幫助中小企業利用人工智能技術進行創新；支持每個成員國廣泛傳播和獲取人工智能能力，強調協調行動的重要性，實現歐洲轉型升級；警惕人工智能將對當前勞動力市場產生的破壞性影響；強調為開發人工智能技術創建可信賴的歐洲共同數據空間，以及提供必要的保護措施；呼吁成員國和委員會加強人工智能人才建設，增強“人工智能+”跨學科應用；鼓勵歐盟各部門尋求人工智能解決方案和服務，提高服務效率和有效性；確保在歐洲范圍內和全球范圍內遵循人工智能開發和使用的道德準則，使人工智能倫理成為歐洲工業的競爭優勢；更好的監管原則審查現有的相關立法，以確保迎合人工智能提出的新機遇和挑戰；鼓勵所有歐盟內部利益攸關方參與制定人工智能技術標準；鼓勵成員國在2019年年中之前制定國家人工智能戰略或計劃；理事會在監督人工智能協調計劃的實施和年度更新方面發揮關鍵作用；重點關注機器人技術和人工智能以及軟件可靠性和安全性。

第四，在人力資源培養和準備方面，通過學徒制、技能培訓、獎學金和理工科教育等方式，幫助美國產業工人適應人工智能帶來的各種轉變并學習相關技能。

第五，在國際合作方面，美國將在人工智能領域與世界其他國家開展合作，但要確保技術的發展方向符合美國的價值和利益。

這是美國政府首次推出國家層面的人工智能促進計劃。此前，加拿大、日本、英國等國已相繼發布人工智能國家發展戰略。2017年7月，中國首部國家級人工智能發展規劃《新一代人工智能發展規劃》出臺，將新一代人工智能發展提高到國家戰略層面。

（周津瑩譯）

美國政府問責局發布報告推動互聯網隱私法立法

美國“Meritalk”網站2019年2月13日消息，美國政府問責局（GAO）13日發布的一份報告發現，通過建立互聯網隱私法和擴充權力可以幫助美國聯邦政府保護消費者隱私，為推動國家數據隱私法補充了彈藥。

該報告包含關于臉譜網與劍橋分析公司丑聞事件對多個主管部門的學者和官員的采訪內容。報告指出，為解決互聯網隱私問題，保護消費者隱私，應通過全面的立法并建立具體標準。

該報告還介紹了美國聯邦通信委員會（FCC）和美國聯邦貿易委員會（FTC）在執行隱私政策上的監管差異。盡管聯邦貿易委員會的大多數案件都是針對欺詐行為的，但聯邦通信委員會能夠真正對隱私執法采取有效行動。

盡管行業組織認為當前的消費者隱私監管框架具有靈活性，但消費者權益保護團體、前FTC和FCC委員均認為當前的監管框架的有效性較低，并對FTC的互聯網隱私監管效力表示擔憂。目前，各方都對立法表示支持，認為立法可以加強互聯網隱私的監管。

（張弛譯）

歐盟理事會通過《歐洲人工智能協調計劃》

“歐盟理事會官網”2019年2月18日消息，歐盟理事會18日通過了《歐洲人工智能協調計劃》（European Coordinated Plan on Artificial Intelligence）。2018年12月7日，歐盟委員會向歐洲議會、歐洲理事會、歐盟理事會、歐洲經濟和社會委員會等部門提交“歐洲人工智能的開發和使用”并附有協調計劃。歐盟理事會通過《歐洲人工智能協調計劃》該報告由成員國（歐洲工業和人工智能數字化小組的一部分）、挪威、瑞士和歐盟委員會合作編寫。

黑客社區將嘗試操縱投票、讀取投票結果、禁用或規避保護投票和安全相關數據的安全措施，測試前需發布系統文檔和源代碼。對于那些成功操控投票卻沒有被發現的黑客將獲得5萬瑞士法郎（3.84萬英鎊）的獎勵，對于那些操控投票被發現的黑客將獲得2萬瑞士法郎（1.55萬英鎊）的獎勵。另外，還有其他許多類型攻擊的現金獎勵，包括破壞投票系統并使其無法使用、入侵電子投票系統以及攻擊服務器。

（徐陽華譯）張冰

網絡安全措施最好的6個國家

印度“analyticsinsight”網站2019年2月18日將美國、俄羅斯、以色列、中國、西班牙和愛沙尼亞評為網絡安全措施做得最好的6個國家。

網站評論認為，（1）美國擁有58%的數字安全組織。美國在執行網絡安全戰略、制定網絡安全外圍原則、打擊網絡犯罪、保護敏感框架不受網絡威脅等方面非常成功。（2）俄羅斯盡管一直被指責為政治目的發動數字網絡攻擊活動，但不難看出他們還意識到如何確保自己免受類似的威脅和風險。我們相信俄羅斯能夠很好地抵御這種網絡攻擊。（3）以色列是采取網絡安全措施數量第二多的國家，隨著新網絡安全初創公司出現并獲得資金，這個數字還在增長。以色列還堅持不懈地將資源投入到人力資本，如以色列的網絡安全教育從中學就開始了。（4）中國2017年的《網絡安全法》從不同的維度和領域對已有的網絡安全政策法規進行發展，使之適應并形成更宏觀層面的、更有條理的法律。（5）西班牙在制定國家網絡應急行動方案方面取得了成功。該國對安全事件的反應已大大加強，包括對相同事件的通報。創新工作同樣得到授權，為組織網絡安全活動作出了基本承諾。（6）愛沙尼亞在2007年遭遇嚴重的網絡攻擊后，已成為網絡安全知識領域的全球重量級國家。

臉譜網被曝秘密監視可能威脅其員工和辦公室的用戶

美國《國際財經時報》網站2019年2月15日消息，全球社交媒體巨頭臉譜網正嚴格使用本公司的APP程序追蹤用戶，旨在監視麻煩制造者并挖掘潛在威脅，該程序將密切關注辱罵臉譜網用戶，將其列入威脅并跟蹤，這也意味著任何反對臉譜網的用戶將無處藏身。

據悉，臉譜網對辦公室、高管及雇員的安全和保護給予優先地位，為此，也采取了許多積極的預防措施。該公司前雇員表示，臉譜網將從網絡挖掘數據以查看威脅言論，推動APP程序追蹤用戶的地理位置。有員工稱，鑒于臉譜網的全球覆蓋范圍和龐大的用戶基礎，上述安全措施非常重要。臉譜網發言人表示，該公司擁有一支強大的物理安全團隊，確保員工的安全。所有符合行業標準的措施都被用來評估和應對針對雇員和公司的可信暴力威脅。所有的威脅也會在必要時更新并通報至執法部門，任何暗示“物理安全團隊越界的說法都是絕對錯誤的�！�

有內部人士指出，臉譜網的追蹤和監控絕非無關緊要，在其內部存在一份不斷增長的潛在威脅列表，被稱作“警惕”或“BOLO”清單。該清單主要用于監視威脅。據前臉譜網安全官透露，該清單創建于2008年，內含數百個用戶。另據臉譜網前安全雇員稱，該清單的風險在于即便是一句輕松或無傷大雅的評論，也可能把用戶推入“BOLO”清單，臉譜網在選擇將用戶列入清單方面，沒有明確標準。但該說法遭到了臉譜網發言人的否定，他表示，只有經過“嚴格審查以確定威脅有效性”的用戶才會被添加至該清單。

臉譜網通過使用智能手機位置數據以及臉譜網App應用程序或從該公司網站獲取的IP地址跟蹤“BOLO”清單用戶。一旦出現可信的威脅信息，臉譜網全球安全運營中心和安全情報便會被激活，并提醒公司的信息安全團隊追蹤用戶位置信息。依據威脅等級，安全團隊執行附加操作，如部署警衛或報警。

（潘宏遠譯）

瑞士政府邀請黑客攻擊其電子投票平臺 以提高系統安全性

英國“itpro”網站2019年2月11日消息，在瑞士選舉之前，政府邀請全球黑客攻擊其電子投票平臺，以提高系統的安全性。

公共入侵測試（PIT）計劃將在2月25日至3月24日之間進行，屆時將可以看到白帽黑客試圖滲透并破壞瑞士郵政系統的完整性，以獲得“漏洞賞金”。通過在入侵測試公司scrt進行注冊，黑客可以提前一個月開始策劃針對平臺的攻擊。政府表示，電子投票系統是瑞士第一個可以完全驗證的系統。全球感興趣的黑客都可以攻擊該系統，這樣將有助于提高系統的安全性。

第三，在政策方面，白宮科技政策辦公室和商務部下屬的國家標準與技術研究所將負責設立人工智能治理標準，制定可靠、有效、可信、安全、輕便、可操作的人工智能體系技術標準。

瑞士自2004年以來一直以某種形式在試用電子投票平臺。英國此前在中青年群體中進行了一些電子投票試驗，但由于缺乏相應指導和戰略舉措，選舉委員會在2007年停止了現代化戰略。隨著近年來外國機構和網絡犯罪分子對選舉干擾的大幅增加，許多歐洲國家也撤銷了其電子投票平臺，例如2017年法國取消其電子投票平臺。

自俄羅斯涉嫌操縱2016年美國總統選舉以來，民主進程完整性面臨的網絡風險一直在上升，有跡象表明，軍事情報部門開展了廣泛的行動，對一家選民登記服務公司進行了黑客攻擊。泄露的美國國家安全局文件表明，在11月8日的關鍵投票前幾天，情報人員利用竊取的證書對美國各地的投票官員進行了一場魚叉式網絡釣魚攻擊。

（錢麗君譯）

2019年五種新網絡安全威脅

美國“Zdnet”網站2019年2月15日消息，Gartner公司高級主管兼分析師Sam Olyaei表示，入侵和攻擊事件數量之多，影響之大，已促使商界領袖開始認真對待網絡安全問題。Forrester公司高級分析師JoshZelonis稱，追蹤新的網絡威脅是保持強大安全態勢的關鍵。

以下是他們認為企業、技術和安全領導者需認真思考的五種新興網絡安全威脅：

1.挖礦劫持：利用網絡分割和備份缺乏等基本漏洞進行攻擊，黑客使用勒索軟件的變種對資源或系統進行勒索，以獲取加密貨幣。

2.物聯網(IoT)設備威脅：隨著物聯網設備的不斷增多，應該要求所有物聯網設備都是可管理的，并擁有更新流程。

3.地緣政治風險：越來越多的組織開始從網絡安全風險和法規的角度考慮產品的基礎或實現地點，以及數據存儲地點。若將數據存儲在第三方或敏感的民族國家，將面臨威脅者或民族國家利用這些數據對付組織的風險。

4.跨站腳本攻擊：跨站點腳本攻擊允許對手使用商業網站在受害者的瀏覽器中執行不受信任的代碼，這使得犯罪分子很容易竊取用戶的cookie信息，從而在沒有任何憑證的情況下劫持網站。

5.移動惡意軟件：分析公司Forrester稱，移動設備正成為頭號攻擊目標，其根源在于薄弱的漏洞管理。許多試圖部署移動設備管理（MDM）解決方案的組織發現，隱私限制了問題的解決方案。