全球多国制定网络安全法案,安全合规成企业“必修课”

2022-04-02 22:17:14 来源:

打印 放大 缩小

南方财经全媒体记者 吴立洋,实习生褚陈静 北京报道

数字化时代,数据驱动各项业务发展,成为社会产业建设的基础,数据一旦遭到攻击,就会造成相关业务甚至产业的停摆。而随着政府、公共服务机构和基础设施部门成为勒索软件等恶意程序的攻击目标,其影响力与破坏力也不断增强,网络安全也不再局限于个别企业的自身防护,开始成为涉及产业链乃至国家安全的重要问题,引起各国政府与国际组织的关注与重视。

在这样的背景下,网络安全被许多国家提升到顶层战略高度。2021年美国白宫发布《国家安全战略临时指导方针》,将提升网络安全作为美国政府首要任务,并建立新的网络空间安全和新兴技术局(CSET),推动网络安全国际间协作。澳大利亚政府在2020年制定网络安全战略,计划投资16.7亿美元建立新的网络安全和执法能力。

近年来,我国网络安全建设也在不断完善,随着《网络安全法》《数据安全法》《个人信息保护法》等一系列基础性法律法规落地,我国已建立起一套基本的网络安全法律合规框架。今年两会期间,《政府工作报告》进一步强调:“推进国家安全体系和能力建设,强化网络安全、数据安全和个人信息保护”。 

落实强制报告义务

值得注意的是,在从宏观监管角度治理网络安全问题时,落实安全事故强制报告制度被多国以法律法规形式加以确认。

2011年,美国证券交易委员会(SEC)要求上市公司必须上报网络安全事故、数据泄露事件,否则将面临调查传讯。今年3月11日,美国众议院通过《关键基础设施网络事件报告》法案,要求关键基础设施所有者和运营商需要向网络安全和基础设施安全局(CISA)报告网络事件和勒索软件付款。迄今,全美50州多数已颁布相关法令,要求机构在发生个人信息数据泄露事件时及时通知用户。

2021年12月,澳大利亚《2018 年关键基础设施安全法案》修正案正式生效,新的法案引入了网络安全事件强制性报告义务,要求责任实体必须在意识到网络事件对关键基础设施资产可用性产生“重大影响”后的 12 小时内报告

我国《网络安全法》第22条规定:“网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

2021年7月,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》,要求网络产品提供者发现或者获知所提供网络产品存在安全漏洞后,对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者;在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息;对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将漏洞风险及修补方式告知,并提供必要的技术支持。

腾讯安全专家李铁军表示,国家要求企业依法报告网络安全事件,一方面可以督促企业增强自身的安全系统建设,从软硬件设备、机制管理等方面形成成熟的安全防控体系;另一方面,也要求企业在出现事故后对安全问题进行更为详细和全面的溯源,分析安全弱点与问题原因,还原事故发生的来龙去脉:“每一次的回溯分析,都可以有效提升企业接下来面对网络攻击的经验与能力。

北京航空航天大学法学院助理教授、工业和信息化法治战略与管理重点实验室办公室主任赵精武则指出,此类规定能够有效安全漏洞引发的牵连性损害风险,在当前网络安全态势下,由于关键信息基础设施运营者网络安全防护能力明显提升,网络攻击者通常并不会选择这类关键性网络节点进行直接攻击,而是利用存在业务关联或供应链关系的其他企业作为攻击,利用这些安全能力薄弱的网络节点漏洞间接攻击其他网络节点。

在这样的背景下,网络安全漏洞强制报告机制能够帮助监管机构及时研判。“一方面切断网络攻击损害结果的扩张,另一方面避免网络产品、服务提供者出于商誉保护的目的,隐瞒勒索攻击相关的重要信息,方便监管机构及时介入与治理风险。”赵精武表示。

支付赎金是否违法

除要求责任主体在发生网络安全事故后及时报告外,近年来,部分国家也在尝试从立法角度对相关企业支付赎金、提供支付渠道、传播被盗数据等行为加以限制。

2020年10月,美国财政部国外资产控制办公室(OFAC)曾发布公告表示,向恶意勒索软件攻击支付赎金可能会使得犯罪分子获益,使其得以从事不利于国家安全与外交目标的活动,支付赎金不仅不能保证受害者可以重新获取被盗数据,还可能鼓励更多不法分子参与网络攻击

通过援引美国《国际紧急经济权限法》(International Emergency Economic Powers Act,IEEPA)与《禁止与敌国贸易法》(Trading with the Enemy Act,TWEA),OFAC表示,与法律禁止的对象进行交易可能会被追究民事责任。此外,向受害者提供支付给勒索软件赎金渠道的公司,也需要考虑自身是否具有金融犯罪执法网(Financial Crimes Enforcement Network,FinCEN)所规定的监督义务。

相关的法律尝试也发生在欧洲。2021年5月,爱尔兰卫生服务系统(HSE)遭到Conti勒索软件攻击,全国多家医院诊疗预约被迫取消,CT等放射性治疗业务难以正常运作。不久后,HSE表示已收到攻击者给出的勒索金额,但“根据国家政策”,其不会支付赎金

随后,一部分被窃取的患者机密信息被公布在安全防护网站VirusTotal上,HSE称,在5月25日被删除前,这些数据已被下载23次。5月20日,HSE获得一项法院命令,要求禁止对被盗数据进行任何形式的处理、发布、共享或销售行为。不久后,爱尔兰高等法院再次发布命令,要求VirusTotal的所有者Chronicle Ireland及其美国母公司——谷歌旗下的Chronicle LLC提供上传者和下载者的个人信息。

虽然有部分网络安全人士呼吁从立法层面直接禁止向攻击者支付赎金,但如此严厉规制行为仍在学界和业界存在不小的争议。赵精武认为,将支付勒索软件赎金定位为非法的行为确实可以使攻击者“竹篮打水一场空”,增加其获得赎金的难度,提升其违法成本,勒索软件非法获利的可能性,也迫使企业主动报告事故详细信息,畅通网络安全信息共享机制。但从刑法理论的角度看,支付赎金的目的是为了减少损失的进一步扩大,属于被攻击者的无奈之举,并不满足犯罪成立要件中有关主观故意或过失的要求,因此并不适宜直接定性为违法行为。

当前在中国如果遭到勒索攻击,且短期内没有合适的办法加以解决,为了保护数据安全或相关网络服务的持续稳定,赵精武认为,支付赎金的行为目前看并不构成违法

强化企业合规要求

近年来,随着各国对数据安全重视程度的不断提升,企业在遭到网络安全攻击时,除了可能因数据丢失、业务停摆而产生直接经济损失,由于未满足合规要求而带来的高额行政罚款也逐渐成为其“难以承受之重”。

2020年10月,英国信息专员办公室(Information Commissioner‘s Office,ICO)裁定英国航空公司未能保护客户数据,对其处以创纪录的2000万英镑罚款;仅在两周后,万豪连锁酒店同样因未能保护客户数据而被罚款1840万英镑。据ICO公布的财务数据显示,20/21财年其总罚款金额同比增长1580%。

今年3月,爱尔兰数据保护委员会(DPC)宣布,由于 Facebook 的母公司 Meta 违反欧盟《通用数据保护条例》(GDPR),将对其处以 1700万欧元的罚款。根据 GDPR 执法跟踪网站enforcementtracker.com统计,2021年 GDPR 罚单的总金额高达约10.6亿欧元,而过去三年的罚款总额仅为2.4亿欧元。

我国有关部门也曾多次就企业、金融机构数据安全问题开出罚单。2021年1月29日,银保监会开出本年1号罚单,中国农业银行因涉及数据泄露风险等,被罚 420 万元人民币。

“除了基本的安全保障措施,履行安全合规义务也是当前企业必须完成的必修课。”北京某安全行业从业者向记者表示,满足合规要求既给予企业具体的安全防护指引,规范其安全防护机制和事故处理方式,也有利于在行业乃至国家层面形成安全响应和信息共享机制

赵精武认为,除了在发生网络安全事故后及时按照法律法规要求向有关部门报告,企业在日常经营中还需满足以下基本的合规需求:首先,定期进行网络安全自评估,发现潜在的网络安全风险或漏洞;其次,制定网络安全应急处置预案,设置专门的安全管理机构和安全管理负责人,定期开展网络安全演练,提升企业内部员工应对勒索攻击的处置能力和反应速度;最后,遵守网络安全国家标准,优先采购具备资格的机构安全认证合格或检测符合要求的网络设备和产品,提升企业网络物理设备安全水平和信息系统防护水平。

关键词: 网络安全

责任编辑:ERM523

精彩推送

国内啤酒决战高端:重啤突围,青啤结构激变,华润高端化降速 全球首届元宇宙时装周有些拉垮,“下一个金矿”会是虚拟时尚?
全球多国制定网络安全法案,安全合规成企业“必修课” 固态电池首次装配高端车型?电动版保时捷911将尝鲜
电竞选手年入百万?这张图亮了 如何撑起万亿规模预制菜产业?广东预制菜十条破局人才物流金融难关
成本上升利润承压 家电企业开启涨价模式 女子借手机给熟人背上5.6万元网贷,多次刷脸认证仍未引起警觉
市场成交下行明显,衢州取消限购及144平方米以上户型限售 三年间融资总额从超80亿骤降至2亿 年轻人的娱乐宠儿剧本杀也难逃关店潮?
上海家化旗下品牌因疫情暂停快递发货 为什么好莱坞猛男不香了?
茶颜悦色来重庆了 ,走出长沙的茶颜悦色会水土不服吗?下一个城市会选在哪里? “十四五”风电光伏技术路径来了,强调解决退役回收难题
蒙牛去年下半年净利润为何同比下滑? 放松楼市调控的城市又又又多了一个
隆基股份新电池技术预计在第四季度量产 银联商务挂牌转让旗下公司股权,称将适时启动其余类金融控股子公司的整合处置
银联商务挂牌转让旗下公司股权,称将适时启动其余类金融控股子公司的整合处置 原材料涨价、企业增收不增利 方便面行业如何自救?
楼市继续低位运行 一季度重点城市新房成交下降四成 美国国家运输安全委员会授权代表工作小组抵达中国参与事故调查
H&M集团今年还将再关240家店 谁来当技术工人?制造业用工需求旺盛
四年换三帅,闲鱼游往何处去? 国美重新定义国美
地产股连续大涨,但楼市“大反转”还远未出现 饲料成本不断上涨,现代牧业决定自己搞定
盐津铺子2021年增收不增利 高管“忽悠式增持”惹争议 国美零售提质增效促增长
中铁十二局承包项目发生安全事故 江苏省内被禁止承揽新工程 台海核电信批违规被四川证监局责令改正
泰莱集团宣布将全资收购量子高科 陆正耀被指“会算账”:很多打江山的元老未获股票或期权 报销制度非常严苛
贝瑞甜心因广告出现饮酒动作被罚 永辉两超市因售卖过期食品被罚11万
奔驰全系列车型于4月2日上调价格 名家汇2021年亏损5.27亿元 毛利率两年下降29个百分点
浙江衢州:尚未网签144平方米及以上新建商品住房不限售 中国检验检测学会2021年度报告出炉 四方面并行发展
叮咚买菜陷入“不被信赖”风波 内蒙古乌兰察布市:守护林草 筑牢北方生态安全屏障
美媒关注全球最大电动游轮在宜昌首航 广谱疫苗新选择:环状RNA疫苗,可中和奥密克戎等多种变体
名家汇2021年亏损5.27亿元 毛利率两年下降29个百分点 受疫情影响,南北大众部分工厂暂时停产
大数据报告显示:一季度新能源二手车成交量逐月增长 去年净利润下滑25%,弘阳地产即将迎来美元债兑付期
郭明錤:苹果正测试9英寸OLED折叠屏 有望在2025年推出可折叠产品 山东港口威海港“威海-土耳其”海上快线开通
工业企业盈利能力分化显著,制造业经营承压 喜马拉雅,4年烧了130亿
外媒:MU5735航班的一个黑匣子已经送到美国实验室 浙大博士生送外卖引热议,浙大控制学院最新回应:将按学校相关规定,积极为孟伟提供支持和帮助
中文在线于海南成立宇宙科技公司 东阿阿胶“瘦身”回血:净利暴增9倍,如何给这届年轻人补血?
浙江移动携手烽火通信完成5G业务自动开通 合肥全色光显董事长许立新:开启精彩“视”界
女子隆鼻致鼻腔积液索赔遭拒,美赋美容回应:可重做 铁路清明小长假运输今日启动 严控载客率调整涉疫地区列车
上海互联网医疗机构诊疗量平均上升50%-80% “烧钱”模式生变 互联网巨头宣布盈亏时间表
国家医保局:新冠疫苗已接种32亿剂次 1200余亿元费用由医保基金和财政共同负担 今年前2个月全球动力电池需求大增 宁德时代市占率进一步上升
建业集团甩卖资产?万达将全面接管建业地产商业项目运营 擀面皮包饺子,MIT、CMU等的研究员让机器人自己学会了
深交所四问中交地产:基本面是否发生重大变化 是否涉嫌内幕交易 “天价大白菜”再现 上海市场监管部门立案调查
下一个冰墩墩在哪里 两部委发布《“十四五”能源领域科技创新规划》
连亏三年还要加快开店 达美乐中国特许经营商赴港上市 福建宁德“北大培文”冠名事件跟踪:已更名博雅培文
支付行业年内最大罚单!银盛支付因四项违法行为被罚2245万 国家能源局等两部门:支撑在确保安全的前提下积极有序发展核电
行业两轮洗牌后十荟团濒临出局 社区团购走向何方? 深房中协就《深圳市二手房交易经纪服务指引》征集意见
天风证券第二大股东人福医药清仓:股东里国资占比升至约九成 中国物流与采购联合会:3月中国电商物流指数为104点,比上月回落4.9个点
作价3.69亿甩卖酒店资产后 金花股份又花近1亿买房意欲何为? 外媒:福特在美召回逾70万辆汽车
佩斯科夫:壳牌石油公司暂时将无法从俄方购买天然气 宝能集团董事长姚振华:现阶段流动性困难化解工作取得阶段性进展
“窝里横”:原生家庭问题的“后遗症”? 今年全国能源产量达44.1亿吨标准煤左右
网友称未开盖燕京啤酒中发现烟头 厂家:请拿酒来检测 瑞幸暴雷700天:“叛徒”、枭雄与二次上市
康复费用成孤独症家庭难以承受之重 打破赏花游天花板 做好“赏花经济”下篇文章
一根翠竹挑起百亿元产业 辽宁今年将扩种大豆超10万亩
浙江发布国有房屋免租金细则 新规落地,您的外卖“上锁”了吗
显卡价格大跌背后:挖矿潮退、供给回暖 南京七欣天被曝用小蟹钳偷换大蟹钳 当事顾客:已投诉至当地监管部门
或涉敏感个人数据!比亚迪、东风日产紧急停用这个功能! 央视曝光盲发快递骗局
1克等于0.1毫克海洛因的“救命药”,国家准备临时进口!此前患儿家长联名求助 这一省会重磅官宣:外地人无需社保直接买房!一个月内3座大城对楼市出手,啥信号?
张国荣生前最后一场演唱会视频修复重映 融创中国一笔境内债获得展期,增加多项增信措施