作者:宁宣凤, 吴涵, 赵泱地, 李沅珊
网络安全事件频发
近期,网络勒索病毒在全球网络空间肆虐,所造成的数据泄露及网络瘫痪对网络运营者造成了严重的经济后果,也对全球网络空间安全带来了极大的挑战。5月爆发的WannaCry勒索病毒袭击了英国、乌克兰等150多个国家,中国国内也有用户受到影响。[1] WannaCry的冲击还未远去,一种被认为是Petya病毒变种的新勒索病毒又开始在全球肆虐,英国、乌克兰、俄罗斯、丹麦等地都已经爆发这种新病毒。[2]
依据最新《诺顿网络安全调查报告》,在新兴市场中,中国是遭受网络犯罪攻击最严重的一个国家。早在2014年,大约2.4亿的中国消费者成为网络犯罪的受害者,经济损失高达7000亿元人民币。[3]在网络攻击和犯罪日益猖獗的情势下,中央网络安全和信息化领导小组办公室("中央网信办")于2017年1月10日发布了《国家网络安全事件应急预案》("《预案》")的通知,并在2017年6月27日正式对外公布。中央网信办在各省、自治区、直辖市建立健全国家网络安全事件应急工作机制,显示了中央应对网络攻击、维护信息安全和网络主权的决心。对于企业而言,除了解中央网信办从国家层面的应急措施以外,还应该严格遵守《中华人民共和国网络安全法》("《网安法》")中对于网络安全的各项要求,从事前、事中、和事后多个角度建立规范制度和自身的应急预案,以应对可能的网络安全事件。
本文将对《预案》的内容进行简要梳理,同时总结企业在预防和应对网络安全事件方面的基本法律义务,并根据经验提示企业应对突发安全事件执行的关键步骤。
《预案》介绍
框架 | 具体内容 |
---|---|
网络安全事件的范围 | 网络安全事件包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。 |
网络安全事件的等级 | 依据重要网络和信息系统遭受损失的程度、及对国家安全和社会稳定的威胁程度,网络安全事件可以分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。 |
组织机构和职责 |
|
监测与预警 | 各省(区、市)网信部门结合本地区实际,统筹组织开展对本地区网络和信息系统的安全监测工作,包括预警监测、预警研判和发布、预警响应、预警解除。 |
应急处置 |
网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息。各有关地区、部门立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。对于初判为特别重大、重大网络安全事件的,立即报告应急办。 |
调查与评估 | 网络安全事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。 |
预防工作 | 各地区、各部门按职责加强日常预防工作、定期预案演练、开展网络安全基本知识和技能的宣传活动、加强领导干部和有关人员的培训以及加强重要互动期间的预防措施。 |
保障措施 | 各地区、各部门应充分利用各种传播媒介及其他有效的宣传形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。 |
网络运营者应对网络安全事件的义务
总体来说,网络运营者对网络安全事件的法律义务可以分为日常的预防工作、事件发生时的应急措施以及事件发生后的总结工作。
1. 日常预防工作
《网安法》和《预案》都对网络运营者网络安全事件的日常预防工作进行了规定,具体包括:
(1)网络安全等级保护
网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。具体包括:
- 确定网络安全负责人,落实网络安全保护责任;
- 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
- 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志;
- 采取数据分类、重要数据备份和加密等措施。[4]
(2)网络产品、服务应当符合国家标准
网络产品、服务应当符合相关国家标准的强制性要求。对于关系国家安全的网络和信息系统采购的重要网络产品和服务,应当依据《网络产品和服务安全审查办法(试行)》的要求经过网络安全审查。[5]
(3)持续的安全维护
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。[6]
(4)网络安全事件应急预案
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。[7]应急预案可能包含主要负责人、数据泄露通知机制、补救措施、内部责任划分等内容。
(5)及时补救和报告义务
网络运营者在发现其提供的网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。另外,在可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。[8]
(6)关键信息基础设施运营者定期进行风险评估检测
除此以外,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。[9]
2. 安全事件发生时的应急机制
在发生危害网络安全的事件时包括发生个人信息泄露、毁损、丢失的情况时,网络运营者需立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。[10]
依照《预案》的规定,安全事件发生时,网络运营者需及时报告当地网信部门,以及时启动相关部门的应急处置工作。此外,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。[11]
相应的,《预案》中也指出,应急办负责网络安全应急跨部门、跨地区协调工作和指挥部的事务性工作,组织指导国家网络安全应急技术支撑队伍做好应急处置的技术支撑工作。
3. 安全事件发生后的总结和合规梳理
由于《预案》规定了网信部门对于安全事件的总结评估机制,企业可能需要与行政部门保持良好沟通以便其完成调查报告包括总结安全事件的起因、性质、影响等,并提出改进措施。此外,我们也建议企业在突发事件后,全方面的梳理内部网络安全制度和规范,做到防患于未然。
发生网络安全事件时企业应如何应对?
总体建议:
- 对任何网络安全事件予以充分重视,不要因为初始判断认为事件影响并非特别严重而草率处理,以防在完全评估其影响后措手不及;
- 在事件发生后立即采取措施控制事态,并评估任何进一步入侵或泄露的可能性;
- 根据事件的具体情形,快速开展网络安全事件影响和严重等级的初步评估、通知相关政府机关或受影响的数据主体、采取措施预防任何进一步的入侵或泄露;
- 积极配合主管机关对事件的调查,在将事件的细节对外公布之前先行咨询主管部门的意见;
- 注意保存能确定事件起因和性质以及应采取的补救措施的证据;
- 确保对事件相关情况进行适当、充分记录,尤其是为控制并降低事件危害所采取的补救措施。
应对网络安全突发事件初期关键步骤:
第一步:采取紧急措施控制事态发展,初步评估事件影响
- 采取控制措施
- 开展初始评估
- 确定通知对象
第二步:评估事件造成的风险,确定应立即采取的措施
- 确定遭到泄露的数据类型
- 确定数据泄露的具体情形
- 确立数据泄露的原因和范围
- 评估泄露事件对数据主体造成的风险
第三步:履行网络安全突发事件通知义务
- 确定通知程序
- 确定通知应包含的具体内容
当前,木马僵尸网络、钓鱼网站等非传统网络安全威胁有增无减,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击愈演愈烈,导致网络安全威胁层出不穷,网络基础设施隐患重重,企业的信息系统安全时刻处在层层危机之中,企业在保护网络安全和用户数据安全方面面临严峻的挑战。
为确保企业的网络安全,同样也是为了降低企业在网络安全事件中的合规风险。我们建议:
- 企业在日常运营中增强网络系统软硬件安全,建立完整的网络安全事件应急预案和相应机制,加强内部员工网络安全知识和技能培训;
- 在发生网络安全突发事件时,应果断采取措施,寻求专业意见,按照相关法律法规履行相关义务,积极配合主管部门的调查,尽最大努力降低风险和损害、减轻企业可能面临的法律责任;
- 在网络安全突发事件结束之后,企业应积极修补系统漏洞,从技术和制度层面增强网络系统安全性,对内部安全事件响应机制进行必要改进和完善,确保相关安全体系和标准符合国家相关法律法规的要求,预防再次发生网络安全事件和数据泄露。
网络安全往往涉及突发事件,如果企业遇到紧急情况,我们设有紧急救助服务机制,将在第一时间帮助企业渡过难关。
[1]新浪科技,勒索病毒全球爆发:病毒武器源自美国,发布于2017年5月14日,http://tech.sina.com.cn/i/2017-05-14/doc-ifyfekhi7587061.shtml?cre=zlpc&mod=f&loc=3&r=9&doct=0&rfunc=100
[2]新浪科技,Petya勒索病毒攻击源自乌克兰金融科技网站,潜伏5天后集中爆发,发布于2017年6月28日,http://tech.sina.com.cn/roll/2017-06-28/doc-ifyhmtrw4313782.shtml?source=cj&dv=2
[3]网易新闻,网络犯罪让中国消费者在2014年损失7000亿元,发布于2015年12月1日http://news.163.com/15/1201/10/B9OBIPOR00014AED.html
[4]《网安法》第二十一条
[5]《网安法》第二十二条
[6]《网安法》第二十二条
[7]《网安法》第二十五条
[8]《网安法》第二十二条、第四十一条
[9]《网安法》第三十八条
[10]《网安法》第二十五条
[11]《计算机信息系统安全保护条例》第十四条