“勒索事件”背后凸顯企業(yè)網(wǎng)安意識嚴(yán)重不足 業(yè)界建議
應(yīng)賦予被泄露信息者主張民事賠償權(quán)
法制網(wǎng)記者 余瀛波
9月12日����,由360公司承辦的ISC2017網(wǎng)絡(luò)安全法治論壇在京召開�����。會上發(fā)布的《法律視角下的全球網(wǎng)安態(tài)勢及對策報告》(2017年篇)�����,首次從法律視角透視了全球網(wǎng)絡(luò)安全問題��。
《報告》在對今年5月爆發(fā)的勒索病毒攻擊事件進行安全反思時指出����,這起事件背后暴露出的一個不容忽視的問題,是企業(yè)的網(wǎng)絡(luò)安全意識嚴(yán)重不足����。
《報告》分析認(rèn)為,用戶信息泄露與網(wǎng)站責(zé)任沒有掛鉤�����,導(dǎo)致修補漏洞成了企業(yè)額外的支出,而不是應(yīng)盡的義務(wù)����,內(nèi)在動力不足是造成信息泄露這一問題的根源。因此��,需要明確防止用戶信息泄露是網(wǎng)絡(luò)運營者的法律義務(wù)�����。
為此�,《報告》建議����,“如果出現(xiàn)個人信息泄露,不但應(yīng)追究網(wǎng)絡(luò)運營者的行政責(zé)任��,也應(yīng)賦予被泄露信息者主張民事賠償?shù)臋?quán)利�。”
企業(yè)安全主管缺乏安全意識
《報告》指出����,勒索病毒攻擊事件在國內(nèi)大規(guī)模爆發(fā)時間是5月12日晚8時許�����。但微軟在3月份已經(jīng)發(fā)布了補丁��,360公司于4月17日全球首發(fā)了對NSA網(wǎng)絡(luò)武器“永恒之藍”的技術(shù)分析����,4月19日全球首家推出了NSA武器庫免疫工具���,5月12日下午2時許��,首家發(fā)布了利用NSA“永恒之藍”傳播勒索病毒的預(yù)警�。
但是����,很多企業(yè)并沒有及時安裝免疫工具,也沒有及時打補丁�����!秷蟾妗氛J(rèn)為�����,這足以暴露出這些企業(yè)的安全主管缺乏安全意識����,并沒有對“漏洞”“補丁”足夠重視。事實上��,安全意識淡薄也是很多政企機構(gòu)長期疏于安全建設(shè)的重要原因��。甚至很多企業(yè)的主管領(lǐng)導(dǎo)對網(wǎng)絡(luò)安全的管理目標(biāo)是不出事就行����。
《報告》稱,勒索病毒攻擊事件再次教育了我們:不出事不等于沒事����。根據(jù)360安全監(jiān)測與響應(yīng)中心2016年發(fā)布的一份統(tǒng)計數(shù)據(jù)顯示���,在該中心2016年參與處置的所有企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中��,企業(yè)自行發(fā)現(xiàn)的攻擊事件僅占31.5%��,而另外68.5%的攻擊事件企業(yè)實際上是不自知的���,他們是在得到了監(jiān)管機構(gòu)或主管單位的通報����,或者是在看到媒體的公開報道后����,才得知自己已經(jīng)被攻擊了。
網(wǎng)絡(luò)安全責(zé)任制亟待建立健全
《報告》認(rèn)為����,勒索事件反映出,傳統(tǒng)的企業(yè)安全防御體系還普遍存在重防御�����,輕應(yīng)急的問題�,一旦發(fā)生安全事件,企業(yè)往往無所適從�,從而產(chǎn)生了很多不必要的損失,或者使損失不必要擴大�。概括起來,企業(yè)的安全防護存在三方面問題����。
一是怕暴露問題而存在僥幸心理。《報告》提出����,很多企業(yè)害怕安全人員對其網(wǎng)絡(luò)系統(tǒng)進行的安全檢測,更害怕第三方報告其網(wǎng)絡(luò)系統(tǒng)存在的安全漏洞����。其似乎認(rèn)為,被報告有問題��,就說明自己的工作沒做好��。這就好像一個人害怕體檢一樣���,但不體檢不等于身體就沒有生病����。這種錯誤的觀念使得很多企業(yè)錯過了最佳診療時機��,使大量安全隱患長期存在�����,最后變成要么不出事�,要么出大事。
《報告》稱����,從法律視角看,這體現(xiàn)了企業(yè)并沒有把落實網(wǎng)絡(luò)安全保護責(zé)任放在首要位置�,僥幸心理的存在反映了法律對于網(wǎng)絡(luò)安全責(zé)任事故的懲罰力度還不到位,使得企業(yè)負(fù)責(zé)人防微杜漸的安全意識沒有完全建立起來����。建立健全網(wǎng)絡(luò)安全責(zé)任制度是避免這一問題的關(guān)鍵。
用戶信息泄露應(yīng)與網(wǎng)站責(zé)任掛鉤
《報告》認(rèn)為��,企業(yè)在安全防護方面存在的第二個問題是�����,重自身損失而忽略社會責(zé)任�。
根據(jù)補天平臺的統(tǒng)計,在已經(jīng)被通告其系統(tǒng)存在安全漏洞的情況下�,中國網(wǎng)站的平均漏洞修復(fù)率也僅為42.9%。半數(shù)以上的企業(yè)對自己的漏洞不聞不問�。
《報告》認(rèn)為,造成這種情況的一個重要原因就是:這些漏洞可能不會給網(wǎng)站自身帶來直接的經(jīng)濟損失��。比如��,網(wǎng)站上的用戶信息泄露,用戶可能因此面臨網(wǎng)絡(luò)詐騙等各種高危風(fēng)險��,但網(wǎng)站自身卻可能沒有任何直接經(jīng)濟損失���,因此也就對報告的漏洞睜一只眼閉一只眼�。
《報告》指出�����,從法律視角看��,用戶信息泄露與網(wǎng)站責(zé)任沒有掛鉤���,這就導(dǎo)致修補漏洞成了企業(yè)額外的支出�����,而不是應(yīng)盡的義務(wù)���,內(nèi)在動力不足是造成信息泄露這一問題的根源。
因此��,《報告》認(rèn)為���,需要明確防止用戶信息泄露是網(wǎng)絡(luò)運營者的法律義務(wù)���。“如果出現(xiàn)個人信息泄露�,不但應(yīng)追究網(wǎng)絡(luò)運營者的行政責(zé)任,也應(yīng)賦予被泄露信息者主張民事賠償?shù)臋?quán)利�������!
應(yīng)建立日常監(jiān)測預(yù)警通報機制
《報告》指出���,企業(yè)在安全防護方面��,還存在動態(tài)防御應(yīng)急響應(yīng)意識缺乏的問題�����。
時至今日��,仍有相當(dāng)多的企業(yè)管理者認(rèn)為:所謂企業(yè)安全��,就是給企業(yè)的每臺電腦裝上殺毒軟件����,給企業(yè)網(wǎng)絡(luò)邊界安裝一套防火墻��!秷蟾妗氛J(rèn)為���,“這些管理者完全沒有運營監(jiān)控�����、動態(tài)防御的意識���。”
但實際上����,現(xiàn)代網(wǎng)絡(luò)安全實踐已經(jīng)證明,任何靜態(tài)部署的防御系統(tǒng)都不太可能非常有效地防御現(xiàn)代網(wǎng)絡(luò)攻擊���。此外��,傳統(tǒng)安全觀主要立足于防護��,主要的努力方向是盡可能地避免安全事件的發(fā)生�����,而不太重視應(yīng)急響應(yīng)機制的建設(shè)�����。而新型的安全觀則認(rèn)為�,防不住是一定的����,應(yīng)當(dāng)立足于一定防不住的假設(shè)來設(shè)計自己的防御和監(jiān)控系統(tǒng)。
在此方面����,《報告》建議,從法律視角看���,一方面應(yīng)當(dāng)加大對網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全責(zé)任的處罰��,使其重視安全����,從而從各個角度采取措施防御和監(jiān)控安全隱患����;另一方面行業(yè)和國家也應(yīng)當(dāng)建立日常的監(jiān)測預(yù)警和信息通報機制��,既給企業(yè)提供行業(yè)性的總體防護措施�����,又給企業(yè)提供示范性的最佳實施方案�。
來源:法制網(wǎng) 責(zé)任編輯:黃海英
