資安事故回應顧問公司Coveware針對去年第4季的勒索軟體攻擊態勢進行分析，結果發現平均受害組織支付的贖金為568,705美元，中位數為200,000美元，相較於前一季的平均金額下降三分之一，但中位數則是持平，對此研究人員認為，原因是受害者的數量下降，再加上小型犯罪組織重出江湖造成。

另一方面，研究人員也針對支付贖金的受害組織進行調查，結果發現，願意付錢的組織比例越來越少，去年第4季僅有29%，為近5年來最低，原因是企業韌性增強，很有可能在無須解密金鑰的情況下恢復運作，而且，企業也不願意為網路罪犯的承諾付錢。

【漏洞與修補】

Juniper修補網路設備作業系統高風險漏洞

1月25日資安業者Juniper Networks發布資安公告，針對SRX系列防火牆、EX系列交換器執行的Junos OS網路設備作業系統進行修補，本次修補的漏洞為CVE-2024-21620、CVE-2024-21619，存在於網頁管理介面J-Web，影響所有版本的Junos OS，CVSS風險評分為8.8、5.3，通報漏洞的資安業者watchTowr也公布細節。

值得留意的是，Juniper目前並未同時對所有版本的Junos OS發布更新，部分版本將會陸續提供，而對於尚未有修補程式，或是無法部署更新程式的IT人員，該公司呼籲應停用J-Web，或是限縮能夠存取的管道。

【資安防禦措施】

美國政府要求AI業者提供安全測試報告

為了防範中國人工智慧技術帶來的國家安全威脅，美國總統拜登去年10月30日發布行政命令，要求各部會強化AI安全管理及風險防禦，並在90天內回報進度。1月29日，美國副幕僚長Bruce Reed舉行白宮AI會議，召集一級部會首長參加，檢視執行成果。

在拜登的行政命令當中，其中一項是根據國防生產法要求AI開發商向商務部通報AI安全測試等重要資訊；另一項則是打算透過立法的方式，要求基礎設施即服務（IaaS）業者提供外國人服務時，向商務部進行報告，避免外國人將其用於訓練帶有惡意功能的人工智慧模型。此外，美國聯邦機構9大部會必須向國土安全部提出風險評估報告。而在週一舉行的會議裡，商務部表示已經擬出要求雲端平臺提供國外客戶訓練AI資訊的命令草案，而9大部會已完成AI使用的基礎架構風險評估。

義大利政府認定AI聊天機器人ChatGPT違反GDPR

去年3月當紅的AI聊天機器人ChatGPT爆發漏洞引起全球關注，導致OpenAI暫時關閉服務並緊急修補，當時義大利政府初步認為，該系統非法收集用戶個資而侵害隱私，對ChatGPT發出禁令並著手調查，最近公布結果。

1月29日義大利資料保護管理署（Italian DPA）指出，他們經過近11個月的調查，認定ChatGPT違反了歐盟資料隱私法規GDPR，OpenAI有可能面臨最高2千萬歐元，或是年營收4%的罰款，而且，主管機關可下令OpenAI變更資料處理的方式，或是禁止在歐盟會員國國內提供服務。針對上述判決，OpenAI可在30天內提出申訴。

【