正當抗擊新冠疫情迎來勝利之時,互聯網領域卻爆發了一件驚天動地的大事件,港股上市公司微盟集團因網絡安全損失將近12億港幣!
2020年2月25日,港股上市公司微盟集團在港交所公告稱,SAAS業務數據遭到一名員工“人為破壞”,生產環境及數據遭受嚴重破壞。公告還稱,犯罪嫌疑人賀某因個人精神、生活等原因,在家裡通過VPN對微盟線上生產環境進行了惡意的破壞。截至2020年2月25日12點,微盟集團報5.660港元,跌幅為4.553%。從2月24日至2月25日員工惡意破壞事件的一天時間內,微盟集團市值約蒸發了約9.63億港元,受害商戶達到300萬戶左右。據《齊魯晚報》報道,至26日微盟股價再次下跌,自爆出後,微盟股價跌9.2%,市值蒸發12.76億港元。目前,涉案犯罪嫌疑人已被上海市寶山區公安分局刑事拘留。
看到這麼一個市值過億的上市企業因為一個小小的安全漏洞而遭遇如此嚴重的損失,除了讓人感慨之餘,更多的是對互聯網時代企業網絡安全的擔憂!
2014年2月,中央網絡安全和信息化領導小組成立,下設辦事機構中央網絡安全和信息化領導小組辦公室;2016年12月27日國家網信辦發佈了《國家網絡空間安全戰略》,2017年3月1日網信辦聯合外交部出臺了《網絡空間國際合作戰略》,兩個文件將網絡安全上升到了戰略的高度,和國家主權相提並論。2017年6月1日,為進一步落實“兩個戰略”的指導,《網絡安全法》正式施行,由此奠定了我國網絡安全和數據合規領域的立法基礎,開啟了網絡安全治理的新紀元。自此,國務院、國家網信辦、工信部、公安部、全國信息安全標準化技術委員會等部門陸續制定一系列配套法律文件,從《計算機信息系統安全保護條例》、《數據安全管理辦法(徵求意見稿)》、《公安機關互聯網安全監督檢查規定》;以《網絡安全等級保護條例(徵求意見稿)》、《網絡安全等級保護定級指南(徵求意見稿)和《網絡安全等級保護基本要求》為代表網絡安全等級保護2.0度的正式生效,標誌著我國逐步形成多層級、多方面、多行業的網絡安全和數據合規法律體系。
2019年12月30日,國務院辦公廳印發《國家政務信息化項目建設管理辦法》,對國家政務信息系統的規劃、審批、建設、共享和監管作出規定。《辦法》指出,國家政務信息化項目建設單位應當按照《網絡安全法》等法律法規以及黨政機關安全管理等有關規定,建立網絡安全管理制度,採取技術措施,加強政務信息系統與信息資源的安全保密設施建設,定期開展網絡安全檢測與風險評估,保障信息系統安全穩定運行。對於不符合密碼應用和網絡安全要求,或者存在重大安全隱患的政務信息系統,不安排運行維護經費。
在國家對網絡安全立法日趨完善的情況下,接下來就是監管機構如何更好的落實網絡安全相關的法律法規的問題了。那麼作為互聯網企業和以利用互聯網為工具開展業務的黨政機關、企事業單位而言,如何未雨綢繆,做好網絡安全呢?
一、加強網絡安全意識的培養。
網絡安全事關國家安全、經濟社會發展、事關社會穩定和企業健康有序經營,其重要性不言而喻。據《2018年度陝西省互聯網發展報告》顯示,截至2018年底,陝西省網民規模達2445.55萬人,移動終端設備使用數量達到4207.91萬臺,網站數量達10.87萬個,網站主體8.92萬個,互聯網產業取得飛速發展。
與此同時,網絡安全也面臨著嚴峻的考驗;據《2018年度陝西省互聯網發展報告》顯示,2018年,國家計算機網絡應急技術協調中心共處置全國各類網絡安全事件10.6萬起。其中,國家計算機網絡應急技術協調中心陝西分中心(以下簡稱陝西分中心)共接收並處置陝西省各級政府、企事業單位以及重要信息系統網站等各類網絡安全事件共238,631起。企業因網絡安全產生的直接經濟損失高達數百億之多。因此,加強企業網絡安全管控,是企業健康有序發展的重中之重,企業管理層、技術層和基層人員尤其是核心運維人員的安全意識直接決定了網絡安全和信息系統能否安全穩定運行。
二、嚴格落實《網絡安全法》及配套法規確定的各項制度和要求,加強企業網絡安全制度合規建設。
《網絡安全法》第21條規定,國家實行網絡安全等級保護制度,要求網絡運營者按照等級保護制度的相關規定,制定相關管理制度和操作規程、確定網絡安全負責人、落實網絡安全保護責任,採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施,採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月,採取數據分類、重要數據備份和加密等措施等,履行相關安全保護義務。
《網絡安全等級保護條例(徵求意見稿)》雖然目前還沒有正式實行,但是因為《網絡安全法》21條的明確規定,在加上原本已實施多年的信息系統安全等級保護制度,網絡安全等級保護工作已成為企業的強制性義務。2015年《刑法修正案(九)》增設了拒不履行信息網絡安全管理義務罪,企業不履行網絡安全等級保護義務還可能招致刑事責任。因此,嚴格落實網絡安全制度是確保網絡安全的基礎和前提,建立符合監管要求的網絡安全制度必不可少。
三、嚴格執行網絡安全等級保護制度,提升網絡安全管理能力和技術預防措施。
根據《網絡安全等級保護條例(徵求意見稿)》的要求,企業應每年對落實網絡安全等級保護制度情況和網絡安全狀況至少開展一次自查,發現安全風險隱患及時整改,並向公安機關報告。網絡安全等級定級在第三級以上的企業應通過等級測評機構每年開展一次網絡安全等級測評,發現整改安全風險隱患,並將每年的測評工作情況及測評結果向公安機關報告。
在建立有效的網絡安全制度的基礎上,加強與外部第三方專業機構的合作,確保網絡安全的各項制度實時更新,符合監管機構的要求;加強安全崗位管理人員的能力建設,重點關注具有特殊安全管理權限的賬戶和VPN權限管理人員。尤其是加強網絡中的核心運維和安全審計系統,加強系統日誌和日誌異常數據的分析,對於核心賬戶的管理複核,每一個月至少核實一次。同時,根據具體的工作業務場景,以最小化原則賦予相關人員的數據訪問權力。
四、特殊時期,應當關注企業員工心理和精神狀態。
微盟集團在公告中表示:“同時我們也對因遠程辦公而疏忽對員工的精神狀態的關注而深表痛惜!”。由於本次疫情的原因,很多企業不能按時復工復產,部分企業復工後即開始裁員減薪;部分企業雖然通過遠程辦公的方式恢復部分工作,但也是勉強維持;疫情之下的經濟壓力始終是徘徊在企業和員工頭頂上一片揮之不去的烏雲;面對突發的疫情,和嚴厲的疫情防控措施,很多人都會產生心理不適。如果其內心的負面情緒不能及時疏解,必然會隨著時間的推移和外界的刺激而引發極端事件。因此,在這個特殊時期,企業在努力解決生存的前提下,還應當在員工心理疏導方面給予必要的關注。必要的時候,可以通過專業的心理救濟和危機干預方式,化解員工的心理疾患,避免再次發生此類事件。
五、關於微盟商戶的損失問題。
根據微盟發佈財報,截至2019年6月30日,微盟的SaaS產品及精準營銷服務擁有300萬註冊商戶,SaaS產品的付費商戶數有70006名,精準營銷的廣告主數量有19537名。儘管微盟已經通過官網表示,正在擬定相關賠付方案來補償此次事故而遭受損失的商家。但由於本次事件中受損商戶範圍過大,即便微盟及時啟動理賠程序,也需要一個較長的過程;同時如果丟失的數據在沒有備份、又無法修復的情況下,那麼微盟和商戶之間關於賠償方案是否能夠達成一致,也將成為雙方最大的一個爭議焦點;因此,建議有關受損商戶,儘早採取合理措施,及時止損,切勿盲目擴大損失;同時提前整理相關證據材料,有理有據,理性有序的依法維護自己合法權益。
六、犯罪嫌疑人賀某的行為已經涉嫌破壞計算機信息系統罪。
根據微盟公告,賀某因個人精神、生活等原因,在家裡通過VPN對微盟線上SAAS業務數據生產環境進行了惡意的破壞,從2月24日至2月25日員工惡意破壞事件的一天時間內,微盟集團市值約蒸發了約9.63億港元。根據《刑法》第286條之規定,破壞計算機信息系統罪是指違反國家規定,對計算機信息系統功能或計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行破壞,或者故意製作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的行為。本案中,犯罪嫌疑人利用工作便利非法登錄受害公司服務器,對計算機信息系統中存儲的數據進行刪除,造成該公司計算機信息系統的主要軟件不能正常運行的嚴重後果,其行為已經觸犯了《刑法》第286條的規定,涉嫌破壞計算機信息系統罪,並造成了特別嚴重的後果,應當承擔相應的法律責任。
延伸閱讀:
微盟官網顯示,微盟集團成立於2013年4月,註冊資本約9.29億人民幣,現有員工超3200人,渠道代理商超1600家,註冊商戶超300萬,為中小企業雲端商業及營銷解決方案提供商,騰訊社交網絡服務平臺中小企業精準營銷服務提供商。2019年上半年,微盟總收入達到6.57億元,同比增長97.8%,經調整淨利潤為0.29億元。
根據微盟2019年半年度報告,SaaS產品是微盟兩大業務核心之一。在SaaS產品方面,微盟的商業雲產品圍繞電商、零售、餐飲、本地生活、酒旅等多個垂直行業進行佈局,比如為線下門店的連鎖型零售商提供數字化解決方案,為商家提供餐飲小程序等。SaaS業務在2019年上半年為微盟帶來了2.19億的收入,同比增長31.1%。
作者簡介:
張文彬律師,聚焦互聯網行業中的電子商務領域,網絡安全領域和數據合規領域的訴訟和非訴法律實務研究。具體服務內容包括:
►網絡信息安全領域法律顧問、網絡信息安全制度建設、網絡安全崗位人員業務培訓。
►網絡安全與接入合規、審査及安全評估。
►電子商務、移動互聯網應用、網絡遊戲、互聯網金融、電子信息等行業產品合規審査、協議起草(隱私條款、產品協議) 與政策風險評估;
►個人信息和數據保護合規,跨境數據傳輸。
►涉網刑事犯罪預防、辯護及爭議解決.
►網絡知識產權保護與維權。
