2017年6月1日實施的《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)系我國網絡空間安全管理的基本法律,亦是目前網絡安全執法的最主要法律依據,其以網絡運營者為主要規範對象,對網絡運營者的網絡運行安全、網絡信息安全提出了若干制度性管理要求,重點包括網絡信息內容管理制度、網絡安全等級保護制度、關鍵信息基礎設施的安全保護制度、個人信息和重要數據保護制度、網絡產品和服務管理制度、網絡安全事件管理制度等。
面我們盤點一下《網絡安全法》實施以來的不落實等級保護的網絡安全處罰案例。
案例1、2017年9月28日下午,淮南市網絡與信息安全信息通報中心(市公安局網安支隊)接到國家網絡與信息安全信息通報中心通報:淮南職業技術學院系統存在高危漏洞,系統存儲的4000餘名學生身份信息已經造成洩露。
接到通報後,淮南市公安局網安支隊立即組織警力攜帶專業技術工具前往淮南職業技術學院網絡中心機房開展現場調查和勘驗取證工作,並依法對網絡中心繫統管理員和操作維護人員進行詢問。經過現場勘驗和調查,確認淮南職業技術學院招生信息管理系統存在越權漏洞,後臺登錄密碼弱口令,學院未落實網絡安全管理制度,未建立網絡安全防護技術措施、網絡日誌留存少於六個月,未採取數據分類、重要數據備份和加密措施,致使系統存儲的4353名學生的身份信息洩露。
根據現場勘驗和調查取證工作情況,淮南市公安局網安支隊依法傳喚學院分管網絡信息安全工作的院長和網絡中心主任及相關工作人員進行調查,確認該學校因未落實網絡安全等級保護制度造成數據洩露,依法對淮南職業技術學院處以立即整改和行政警告的處罰措施。
案例3、2017年7月22日,宜賓市翠屏區“教師發展平臺”網站因網絡安全防護工作落實不到位,導致網站存在高危漏洞,造成網站發生被黑客攻擊入侵的網絡安全事件。
宜賓網安部門在對事件進行調查時發現,該網站自上線運行以來,始終未進行網絡安全等級保護的定級備案、等級測評等工作,未落實網絡安全等級保護制度,未履行網絡安全保護義務。根據《網絡安全法》第五十九條第一款之規定,決定給予翠屏區教師培訓與教育研究中心和直接負責的主管人員法定代表唐某某行政處罰決定,對翠屏區教師培訓與教育研究中心處一萬元罰款,對法人代表唐某某處五千元罰款。
四川全省公安網安部門表示,下一步,四川省將依據《網絡安全法》,進一步加大網絡安全監管和執法力度,繼續深入開展2017年全省公安機關網絡安全執法檢查,對未落實網絡安全等級保護制度、網絡實名認證、侵害公民個人信息等違法行為嚴格依法查處,切實維護網絡信息安全。
案例4、2017年8月12日,安徽蚌埠懷遠縣教師進修學校網站因網絡安全防等級保護制度
落實不到位,遭黑客攻擊入侵。蚌埠市公安局網安支隊調查案件時發現,該網站自上線運行以來,始終未進行網絡安全等級保護的定級備案、等級測評等工作,未落實網絡安全等級保護制度,未履行網絡安全保護義務。蚌埠市局網安支隊依法對網絡運營單位懷遠縣教師進修學校處以一萬五千元罰款,對負有直接責任的副校長處以五千元罰款。
重磅處罰再次來襲,蚌埠懷遠縣教師進修學校網站因未落實等保制度,被黑客攻擊,被主管單位依照《網絡安全法》進行處罰,對該單位罰款15000元,對分管副校長罰款5000元。這次有個不同的是不僅約談了違法單位法定代表人,更約談了當地分管副縣長,可見力度之大。此次執法可以確定的是:等保工作沒做的,網絡安全義務肯定沒有履行到位,依照《網絡安全法》就已經是違法行為了。
雖然加了一個前置條件,被黑客攻擊了,但是按理不論有沒有被黑客攻擊,只要沒做等保的就肯定是違法,只是黑客攻擊這個事件是個導火索,導致主管單位對這些違法單位進行執法,但是哪個單位敢拍著胸脯說:我們單位網絡安全工作做的很好,不擔心被黑客攻擊?你們單位到底網絡安全工作做的如何,有沒有風險點,風險點在哪,可能會造成什麼破壞,什麼影響,這些可能你都不能確定,你又怎麼能如此迷之自信的不開展等保工作?你不擔心嗎?這麼多案例一次次證實,網絡安全工作沒有開展好,被攻擊,被約談,
被問責,被處罰這些都是隨時可能發生的。不得不等一再強調:讓大家趕緊把等保工作給開展起來,補齊短板,加強網絡安全防護,不做違法之人。不得不等有個猜想:未來會有單位只是因為沒有開展等級保護工作,就會被依照《網絡安全法》進行處罰,都不管你有沒有發生安全事件。
案例5、2017年6月至7月間,山西忻州市某省直事業單位網站存在SQL注入漏洞,嚴重威脅網站信息安全,連續被國家網絡與信息安全信息通報中心通報。根據《中華人民共和國網絡安全法》第二十一條第二款之規定,網絡運營者應當按照網絡安全等級保護制度的要求,採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;第五十九條第一款之規定,網絡運營者不履行第二十一條規定的網絡安全保護義務的,由有關主管部門責令改正,依法予以處置。山西忻州市網警認為該單位之行為已違反《網絡安全法》相關規定,忻州市、縣兩級公安機關網安部門對該單位進行了現場執法檢查,依法給予行政警告處罰並責令其改正。
案例6、2017年8月30日,哈爾濱市公安局網安支隊發現,方正縣農業技術推廣中心設立的“方正農業社會化服務平臺”遭受黑客攻擊入侵,在社會上造成惡劣影響。經查,該網站隸屬於方正縣政府農業技術推廣中心,自開通以來長期無人維護,安全防護工作落實不到位,未按照網絡安全等級保護制度的要求落實網絡安全主體責任,存在高危安全漏洞並被黑客攻擊入侵,造成嚴重後果。根據《網絡安全法》第五十九條第一款之規定,方正縣公安局責令方正縣政府農業技術推廣中心立即整改,並給予2萬元罰款的處罰, 此案成為黑龍江省全省第一起違反《網絡安全法》案件。
有關鏈接:
維護網絡安全要這麼做
“沒有網絡安全,就沒有國家安全”,《網絡安全法》第二十一條明確規定“國家實行網絡安全等級保護制度”。各網絡運營者應當按照要求,開展網絡安全等級保護的定級備案、等級測評、安全建設、安全檢查等工作。除此之外,《網絡安全法》中還從網絡運行安全、關鍵信息基礎設施運行安全、網絡信息安全等對以下方面做了詳細規定:
網絡日誌留存:第二十一條還規定,網絡運營者應當制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;採取防計算機病毒、網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,留存不少於六個月的相關網絡日誌;採取數據分類、重要數據備份和加密等措施。未履行上述網絡安全保護義務的,會被依照此條款責令整改,拒不改正或者導致危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
漏洞處置:第二十五條規定,網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。沒有網絡安全事件應急預案的,沒有及時處置高危漏洞、網絡攻擊的;在發生網絡安全事件時處置不恰當的,會被依照此條款責令整改,拒不改正或者導致危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
容災備份:第三十四條第三項規定,關鍵信息基礎設施單位對重要系統和數據庫進行容災備份。沒有對重要系統和數據庫進行容災備份的會被依照此條款責令改正。
應急演練:第三十四條第四項規定,關鍵信息基礎設施單位應當制定網絡安全事件應急預案,並定期進行演練。沒有網絡安全事件預案的,或者沒有定期演練的,會被依照此條進行責令改正。
安全檢測評估:第三十八條規定,關鍵信息基礎設施的運營者應當自行或者委託網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。每年沒有進行安全檢測評估的單位要被責令改正。
工作要求和相關法律條文
第五十九條:網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
2、《刑法》第二百八十六條:不履行信息網絡安全管理義務罪。造成違法信息大量傳播、用戶信息洩漏,造成嚴重後果的。處三年以下有期徒刑、拘役或者管制,並處或者單處罰金。
3、《中華人民共和國反恐怖主義法》第八十四條:電信業務經營者、互聯網服務提供者有下列情形之一的,由主管部門處二十萬元以上五十萬元以下罰款,並對其直接負責的主管人員和其他直接責任人員處十萬元以下罰款;情節嚴重的,處五十萬元以上罰款,並對其直接負責的主管人員和其他直接責任人員,處十萬元以上五十萬元以下罰款,可以由公安機關對其直接負責的主管人員和其他直接責任人員,處五日以上十五日以下拘留:(一)未依照規定為公安機關、國家安全機關依法進行防範、調查恐怖活動提供技術接口和解密等技術支持和協助的;(二)未按照主管部門的要求,停止傳輸、刪除含有恐怖主義、極端主義內容的信息,保存相關記錄,關閉相關網站或者關停相關服務的;(三)未落實網絡安全、信息內容監督制度和安全技術防範措施,造成含有恐怖主義、極端主義內容的信息傳播,情節嚴重的。
閱讀更多 天天播報 的文章
