美方施压奏效,英国政府撤回苹果“后门”要求
HackerNews 编译,转载请注明出处: 美国国家情报总监图尔西·加巴德(Tulsi Gabbard)周一表示,英国政府已同意放弃强制要求iPhone制造商苹果公司提供“后门”,该后门本可用于访问美国公民受保护的加密数据。 加巴德在社交平台X上发布声明称,她与英国方面进行了数月协商,并与唐纳德·特朗普总统及副总统JD·万斯(JD Vance)共同努力达成此项协议。 英国首相基尔·斯塔默(Keir Starmer)周一与其他欧洲领导人一同在华盛顿会晤特朗普,讨论俄罗斯对乌克兰的战争。 英国政府和苹果公司未立即回应关于加巴德声明的置评请求。 美国立法者曾在5月指出,英国命令苹果为其加密用户数据创建后门的做法,可能被网络犯罪分子和专制政府利用。 苹果公司此前声明永远不会在其加密服务或设备中构建此类访问权限,并已向英国调查权力法庭(IPT)提出法律申诉。 今年2月,苹果公司在英国下达命令后,撤回了面向英国用户的高级数据保护(Advanced Data Protection)功能。苹果设备的用户启用该功能后,可确保仅其本人——甚至苹果公司也无法解锁存储在云端的加密数据。 美国官员今年早些时候表示,正在审查英国要求苹果构建后门以访问其加密云存储系统数据备份的行为是否违反双边协议。 在2月25日致美国立法者的信中,加巴德指出,美方正在审查英国政府是否违反《云法案》(CLOUD Act)。该法案禁止英国索取美国公民数据,反之亦然。 网络安全专家向路透社表示,若苹果选择为政府构建后门,该后门最终将被黑客发现并利用。 苹果与监管机构在加密问题上的争端可追溯至2016年,当时美国政府曾试图强迫该公司开发解锁一名极端主义嫌疑人iPhone的工具。 消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
英国拟禁止公共部门和关键国家基础设施支付勒索赎金
HackerNews 编译,转载请注明出处: 英国政府已确认将推进一项拟议禁令,禁止公共部门和关键国家基础设施(CNI)组织支付勒索软件赎金。 此前在2025年1月发起的一项公众咨询中,四分之三的受访者表示支持该提案。 该禁令旨在通过使这些目标对网络犯罪团伙的吸引力降低,从而更好地保护医院、学校和交通等基本公共服务免受勒索软件攻击。 过去一年中,众多英国公共部门服务遭受了勒索软件影响,包括地方议会和医院。5月,英格兰国民医疗服务体系(NHS England)敦促其供应商承诺采取强有力的网络安全措施,以应对“普遍存在”的勒索软件威胁。 不在禁令覆盖范围内的企业将被要求在向攻击者支付赎金前通知政府。政府随后将向受害者提供建议和支持,包括告知他们如果资金流向受制裁的网络犯罪团伙,支付赎金将面临违法风险。 安全部长丹·贾维斯(Dan Jarvis)评论道:“勒索软件是一种掠夺性犯罪,它将公众置于风险之中,破坏生计,并威胁我们所依赖的服务。这就是为什么我们决心粉碎网络犯罪分子的商业模式,在我们实施‘变革计划’(Plan for Change)的同时,保护我们所有人都依赖的服务。” 英国将制定强制性勒索软件报告制度 作为反勒索软件措施的一部分,英国政府还承诺建立强制性勒索软件事件报告制度。 政府表示,在咨询期间,该制度获得了强烈支持。 强制性报告旨在为英国执法机构增强有关勒索软件攻击的情报收集能力。这些信息也可用于支持针对勒索软件团伙的国际执法行动。 专家对提案的有效性表示质疑 专家们对政府计划的有效性提出了担忧。 这包括制造“双重体系”的风险,即不在禁令覆盖范围内的企业和实体面临更多攻击目标的风险。 另一个风险是可能将勒索软件攻击进一步推向地下,那些认为自己别无选择只能支付的受害者可能会设法规避禁令进行支付,例如使用第三方中介来处理付款。 一些组织也可能选择错误标记勒索软件攻击,以逃避审查或潜在处罚。 Immersive网络威胁情报高级总监凯夫·布林(Kev Breen)警告说:“针对新措施,我们应考虑一个问题:这是否存在将公司推离报告的危险?如果选项是通过支付来快速恢复,对比因被禁止而无法恢复,诱惑可能是支付赎金然后干脆不报告。” 佩恩·希克斯·比奇(Payne Hicks Beach)律师事务所争议解决团队合伙人马克·琼斯(Mark Jones)指出,在意大利(支付勒索软件攻击者赎金已属非法)的一项调查显示,43%的组织仍然承认支付了勒索软件赎金。 消息来源:infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
年逾 130 万英镑设备失踪,英国政府成“泄密重灾区”
HackerNews 编译,转载请注明出处: 英国政府每年约有价值130万英镑(170万美元)的笔记本电脑、手机等设备遭窃或遗失,对国家安全构成系统性风险。《卫报》披露的信息公开数据显示,去年政府各部门共丢失超2000台设备,其中包含协调政府运作的内阁办公厅。 受影响的机构还包括国防部、内政部、财政部及英格兰银行。具体数据显示:内阁办公厅在2024年遗失66台笔记本电脑和124部手机;国防部报告丢失103台笔记本和387部手机;主管警务的内政部去年有147台设备失踪;而负责网络安全的科学、创新与技术部,在截至2025年5月的一年内遗落83部手机和18台笔记本。 网络安全专家指出,这些数字“惊人地庞大”且构成“重大国家安全威胁”,尤其当设备失窃时处于解锁状态。不过政府声称加密机制可阻止恶意访问——国防部强调加密“能保障数据安全并阻断对国防网络的入侵”;英格兰银行表示已部署“适当防护”;政府发言人则重申“所有笔记本电脑和手机均强制加密,确保遗失不会导致安全漏洞。” 官方声明称,所有遗失事件均按规程调查。 消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
WhatsApp 宣战英国政府!联手苹果死守全球用户加密堡垒
HackerNews 编译,转载请注明出处: WhatsApp于周三宣布,将介入苹果公司与英国政府之间的法律诉讼案,该案争议焦点在于iPhone制造商是否应被迫保留对其用户iCloud账户内容的访问权限,以满足法律搜查令要求。此案源于今年四月英国调查权力法庭(该国唯一可审理特定国家安全案件的法院)的裁决,该裁决确认苹果正就一项秘密法律命令起诉英国政府。 WhatsApp负责人威尔·卡思卡特声明,已“申请介入本案,以保护全球用户的隐私”。他批评道:“自由民主国家本应为其公民提供最佳安全保障,但英国却通过秘密命令背道而驰。此案可能树立危险先例,助长各国破坏保护私人通信的加密技术。”卡思卡特强调:“WhatsApp将挑战任何试图削弱服务加密机制的法律或政府要求,并继续捍卫人们在线私人对话的权利”。 据广泛报道,英国政府此前向苹果发出“技术能力通知”(TCN),要求其停止部署“高级数据保护”功能。这项可选功能将使iCloud存储内容实现端到端加密,导致苹果即使收到合法搜查令也无法向当局提供数据访问权限。英国政府依政策既不证实也不否认具体法律要求的存在。苹果随后于二月关闭了对英国用户的该功能,但未说明具体原因。 虽然法律未禁止报道TCN存在,但通知对象被要求不得披露内容,违者可能面临刑事诉讼(尽管对该法律解释存在争议)。《华盛顿邮报》一月曝光该TCN时,曾将其描述为“允许英国当局获取全球苹果用户云端数据的后门”,但依据法规,TCN实际功能与此不符。尽管存在潜在误读,英国政府未回应外界对其法律通知隐私影响的担忧。 专家(包括英国情报界内部人士)主张,政府访问加密通讯平台的尝试应更透明。学者认为英国内政部持续“不承认也不否认”的态度既不可持续也不合理。四月法庭裁决后,政府发言人首度回应舆论质疑:“技术能力通知本身不直接提供数据访问权限,仍需配合针对性搜查令和授权。其目的仅是确保现有权力可有效行使,纯粹是为打击严重犯罪追捕罪犯,不影响对言论自由的承诺。” 英国政府此前指责苹果部署高级数据保护功能属“单方面行动”,将“阻碍恐怖主义和严重虐童案件调查,严重危及公共安全”。调查权力法庭目前尚未公布本案后续审理时间表。 消息来源: therecord; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
英国内政部使用人工智能处理极端主义宣传
英国内政部宣布了一项新的软件工具,该工具使用人工智能在线自动检测平台上的恐怖分子宣传内容。英国政府计划将软件分发给小公司,以更广泛地解决恐怖分子及其支持者传播的极端主义内容问题。内政部在公告中表示:测试表明,这款新工具可以自动检测到 94% 的宣传,精确度达到 99.995% 。 它具有非常高的准确性,例如,如果它分析了一百万个随机选择的视频,则只有60个需要额外的人工审查。该工具可以被任何平台使用,并被整合到上传过程中,以便大多数视频在到达互联网之前停止。 该软件是由内政部和 ASI 数据科学合作开发。它使用高级机器学习来分析上传到网络的内容的音频和视频数据,并确定它是否可以 ISIS 宣传。该技术与主要科技公司已经采用的技术类似,用政府制定的软件,没有资源的小公司也将能够阻止宣传。 英国内政大臣表示,这些视频的目的是煽动我们社区的暴力,招募人们参与他们的事业,并试图在我们的社会中传播恐惧。我们知道,像这样的自动技术可以严重扰乱恐怖分子的行为,并防止人们接触到这些可怕的图像。 稿源:cnbeta.com,封面源自网络
英国政府加强关键服务安全防护建设,违反 NIS 指令的运营商将面临高额罚款
外媒 2 月 4 日报道,为了应对某些邪恶地区和黑客组织的威胁,英国政府致力于加强关键部门服务的安全防护建设。2017 年 8 月,英国政府在与欧盟成员国合作的情况下,根据 “ 网络和信息系统安全指令”(称为 NIS 指令)发布了一项公共协商,以改善英国在电力、交通、水,能源、健康和数字基础设施方面的基本服务。该协商指出,若存在未实施适当防护措施的运营商,英国政府部门有权对其进行罚款。据悉,目前最高罚款金额可达到 1700 万欧元。 英国政府协商 NIS 指令讨论了以下六个主要议题:基础服务的识别、国家框架的管理与实施、对提供基础服务运营商的安全要求、对基础服务运营商事故报告的要求、对数字服务提供商的要求,并提出了相应的处罚制度。 什么是 NIS 指令? NIS 指令对所有提供基础服务和运营不同行业(包括能源,运输,银行,健康或数字服务)的关键基础设施的企业都有重大影响,是这些公司必须遵守的网络安全最低标准。 NIS 指令规定了对基本服务的经营者进行识别的范围、对国家安全、公共安全构成威胁以及重大社会或经济负面影响的可能因素。NIS 指令为国家框架奠定了基础,在这个框架中,政府能够确保主管当局拥有法律条款来履行其职责以及实现开展活动所需的资源。据悉,NIS 指令是以分层的方式建立的,每个原则(如 NIST 安全框架)中都要实现强制性安全结果,这一点在很大程度上确保了 NIS 指令可以贯穿各个不同行业。 NIS 指令由 14 个原则组成,可分为四个主要目标: 安全风险管理(治理,风险管理,资产管理,供应链)、保护网络攻击(服务保护政策和流程,身份和访问控制,数据安全,系统安全,弹性网络与系统,员工意识与培训)、网络安全事件(安全监控,异常检测)的检测以及网络安全事件(响应与恢复规划,改进)的影响的减少。 此外,该指令还涉及 GDPR 中不存在的网络安全问题。 目前 NCSC( GCHQ 的一部分)和主管当局(不同关键领域的监管机构)负责检查 NIS 指令的合规性。 目前只有当基本服务的运营者未能遵守第十四条 “ 安全要求和事件通知 ” 中列出的标准时,才会受到惩罚。罚款将根据未采取和未实施的适当措施进行判断和决定,最高罚款金额为 1700 万欧元。但如果必要的服务提供商能够在 2018 年 5 月之前完成 NIS 指令的实施要求,那么可能处罚措施会存在一些变动。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
英国将对网络安全失当的企业处以最高 1700 万英镑的罚款
去年爆发的 “ WannaCry ” 勒索病毒给全球带来了深重的灾难,而英国政府显然不愿往事重演。据 Engadget 报道,为了敦促各企业妥善落实网络安全防护措施,有关部门将对处置不当的企业苛以最高 1700 万英镑(约 1.51 亿 RMB)的罚款。这项惩罚制度,其实是对欧盟 2016 年 8 月通过的 NIS 指令的回应,旨在确保各成员国对新型网络攻击做好准备。 据悉,英国政府将把 NIS 指令引入该国的法律体系,以保护健康、能源、交通和数字基础设施。 鉴于企业与相关监管机构合作采取补救措施、以及其它可能被违反的法律条款的程度,罚款将保留为“最后的手段”。 其实早在去年 8-9 月份,英国政府就已经咨询过这套方案。针对不同的行业,其适用的“基础运营服务”也不尽相同。 以运输领域为例,其适用于年旅客数超过千万的机场、港口、干线铁路、大型客运和货物水路运输公司、以及国际铁路服务企业。 至于数字领域,其覆盖顶级域名(TLD)注册商、域名解析(DNS)服务提供商、以及互联网交换节点(IEP)企业。 基础服务运营商(OES)需要上报超越规定阈值的事件,这些由政府制定的监管机构将因行业而异。 比如英国通信管理局(Ofcom)将统管数字基础设施,国务大臣负责由饮用水检查机构主导的环境、食品和乡村事务(Defra)。 包括搜索引擎、网上市场、云计算服务等在内的数字服务提供商,则需要向信息专员办公室(ICO)汇报类似实例。 至于更多细节,英国政府会在正式条文中列明。 稿源:cnBeta,封面源自网络;