首页 观点正文

《网络安全法》系列解读之(五) 从勒索病毒看网络安全应急处置

  《网络安全法》系列解读之(五) 从勒索病毒看网络安全应急处置

  对于6月1日已经施行的《网络安全法》,互联网以及大数据行业企业关心更多的是新法将会给其业务带来的影响。而随着前段时间肆虐全球的WannaCry病毒事件的发酵,网络安全问题似乎已经上升为全民议题,《网络安全法》更是成为热议话题。作为专注于数据信息行业法律研究和服务的团队,在《网络安全法》即将实施的这一周时间,我们团队将每天一篇重磅推出针对互联网以及大数据行业企业的系列文章:大数据企业应当了解的《网络安全法》。今天是第五篇:从勒索病毒看网络安全应急处置。

  

  图片来自于网络

  勒索病毒,提前考验网络安全应急处置

  2017年5月12日,WannaCry,一种蠕虫式的勒索病毒软件,由不法分子利用美国国家安全局NSA泄露的危险漏洞永恒之蓝进行传播,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。

  勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示, 150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国作为此次事件的重灾区,校园网用户首当其冲,另外机场、银行、加油站、火车站、医院、邮政、警察、出入境等众多企事业单位都受害严重,大量应用系统和数据库文件被加密后,无法正常工作,影响巨大。

  勒索病毒在《网络安全法》正式实施前,提前考验了网络安全应急处置体系。全球化给中国企业和用户带来巨大的收益和便利的同时,建立在高速宽带网络上的国家经济、个人信息安全实际上更为脆弱,这让人不禁想到前不久巴菲特在股东大会上的告诫“人类所面临的最大威胁是网络攻击”。

  习近平主席2016年4月在网络安全和信息化工作座谈会上说的一句话:互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。确实,网络已经成为继陆、海、空、太空之后的第五维战略空间,某种程度上,没有网络安全就没有国家安全。这也是《网络安全法》自开篇就确立了网络空间主权原则的原因。

  《网络安全法》用第五章专章共八条来规定国家网信部门及其他政府相关部门“监测预警与应急处置”的制度及措施,另外,在第二十五条、第二十九条、第三十四条规定了网络运营者及关键信息基础设施的运营者针对网络安全事件应急处置的安全保护义务。

  

图片来自于网络

  网络运营者的应急处置义务

  《网络安全法》第二十五条

  网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

  《网络安全法》第二十六条

  开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。

  《网络安全法》第五十五条

  发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

  《网络安全法》第五十六条

  省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。

  我们可以看到网络运营者有以下应急处置的义务:

  事前义务

  1、制定网络安全事件应急预案;

  2、及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;

  3、按照省级以上人民政府有关部门要求采取措施,进行整改,消除隐患。

  事中义务

  1、立即启动应急预案,采取相应的补救措施,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大;

  2、及时向社会发布与公众有关的警示信息;

  3、按照规定向有关主管部门报告。

  这是延续《突发事件应对法》第二十二条规定,并针对网络安全事件这一特殊领域的细化规定,值得注意的是,网络运营者没有安全预警的发布权限,但在网络安全事件发生后,必须及时向社会发布与公众有关的警示信息,并向有关主管部门报告。根据《网络安全法》第五十四条,省级以上人民政府有关部门才有向社会发布网络安全风险预警的权限。

  

  图片来源于网络

  关键信息基础设施运营者的应急处置义务

  《网络安全法》第三十四条

  除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:

  (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;

  (二)定期对从业人员进行网络安全教育、技术培训和技能考核;

  (三)对重要系统和数据库进行容灾备份;

  (四)制定网络安全事件应急预案,并定期进行演练;

  (五)法律、行政法规规定的其他义务。

  《网络安全法》第三十九条

  国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:

  (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;

  (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;

  (三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;

  (四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。

  我们可以看到关键信息基础设施的运营者有以下应急处置的义务:

  事前义务

  1、制定网络安全事件应急预案;

  2、按照国家网信部门及有关部门的抽查检测要求进行改进、配合其委托的网络安全服务机构对网络存在的安全风险进行检测评估;

  3、定期进行网络安全应急演练;

  4、配合有关部门、有关研究机构、网络安全服务机构等之间的网络安全信息共享。

  事中义务

  《网络安全法》并未对关键信息基础设施的运营者的事中义务进行特别的规定,因此应当按照网络运营者的要求履行,即:

  1、立即启动应急预案,采取相应的补救措施,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大;

  2、及时向社会发布与公众有关的警示信息;

  3、按照规定向有关主管部门报告。

  值得注意的是,关键信息基础设施的运营者比一般网络运营者在应急处置中,多了配合有关部门抽查检测整改、接受对安全风险进行检测评估,更要在相关部门的组织下定期进行网络安全预警演练的义务。

  

图片来源于网络

  应急处置的法律责任

  《网络安全法》第五十七条

  因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

  《网络安全法》第五十九条

  网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

  关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

  《网络安全法》第六十二条

  违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

  《网络安全法》第六十九条

  网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:

  (一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;

  (二)拒绝、阻碍有关部门依法实施的监督检查的;

  (三)拒不向公安机关、国家安全机关提供技术支持和协助的。

  由此我们看出,对于网络安全应急处置,《网络安全法》中规定的法律责任有:

  对企业:责令改正,给予警告,罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等;

  对直接负责的主管人员和其他直接责任人员:罚款。

  另外,涉及网络安全应急处置,《突发事件应对法》第六十四至六十八条规定了包括责令停产停业,暂扣或者吊销许可证或者营业执照,罚款等法律责任;《安全生产法》对生产经营单位及主要负责人规定了限期整改、停业整顿、罚款等法律责任;《治安管理处罚法》第二十三条、第二十五条规定了包括罚款、拘留的法律责任;《刑法》第二百八十六条的拒不履行信息网络安全管理义务罪,规定了包括有期徒刑、拘役或者管制,并处或者单处罚金的法律责任。

  结语

  回到本文开头,我们看到,在应对勒索病毒的过程中,国家网信办、公安部和工信部做了大量工作,全国的政企机构包括相应的厂商都动起来了,给整个网络安全界和用户做了比较好的协调,比如公安部第一时间向全国发布了警示和处置的指导视频,国家互联网应急中心发布了此次感染事件的情况公告和处置手册,省级中心也进行了相应的公告和指导。网络安全法建立的网络安全监测预警和信息通报制度,对网络安全事件的应急处置从亡羊补牢变成了未雨绸缪。大数据、云计算、物联网和人工智能时代即将到来,人类社会将进入真正的万物互联网时代,而这背后的网络安全以及网络安全事件的应急处置,都更加值得夯实,甚至需要企业与企业、政府与企业联手推动。

 注:本文系「大数据法律研究团队」投稿授权数据观发布,作者:王渝伟、岳晓羲,观韬中茂(上海)律师事务所。

责任编辑:陈近梅

分享:
2022全数会
贵州

贵州大数据产业政策

贵州大数据产业动态

贵州大数据企业

更多
企业
更多