煙臺某機(jī)構(gòu)官網(wǎng)遭網(wǎng)絡(luò)攻擊篡改�!第三方運(yùn)維未落實(shí)安全措施,使用單位失察失管均涉責(zé)�����。本文詳解案件經(jīng)過與法律依據(jù)����,提醒企業(yè):網(wǎng)站外包運(yùn)維≠責(zé)任外卸,筑牢網(wǎng)絡(luò)安全防線刻不容緩��。...
近日�����,山東煙臺公安網(wǎng)安部門查處一起網(wǎng)絡(luò)安全案件:某機(jī)構(gòu)門戶網(wǎng)站遭不法分子網(wǎng)絡(luò)攻擊����,網(wǎng)站內(nèi)容被篡改并植入違法信息���,嚴(yán)重擾亂網(wǎng)絡(luò)空間秩序�����,造成不良社會影響�����。經(jīng)查�,此案暴露出信息系統(tǒng)供應(yīng)鏈安全管理的典型漏洞,使用單位與第三方運(yùn)維公司的雙重失職是事件發(fā)生的核心原因�。
一、案情還原:外包運(yùn)維留隱患�,主體責(zé)任未落實(shí)
公安網(wǎng)安部門接報后迅速開展調(diào)查,查明案件關(guān)鍵事實(shí):
該機(jī)構(gòu)將門戶網(wǎng)站的建設(shè)與日常維護(hù)工作����,全權(quán)委托給某第三方開發(fā)運(yùn)維公司。但該運(yùn)維公司在系統(tǒng)開發(fā)調(diào)試階段����,未落實(shí)基本網(wǎng)絡(luò)安全防護(hù)措施,未及時修復(fù)已知系統(tǒng)漏洞����,也未向委托方履行風(fēng)險告知義務(wù)�����,直接將存在重大安全隱患的系統(tǒng)交付上線�����,為網(wǎng)絡(luò)攻擊埋下“定時炸彈”����。
與此同時�����,該機(jī)構(gòu)作為網(wǎng)絡(luò)運(yùn)營者�����,未依法履行網(wǎng)絡(luò)安全主體責(zé)任:既未建立完善的網(wǎng)絡(luò)安全管理制度�����,也未按網(wǎng)絡(luò)安全等級保護(hù)制度要求部署必要的防護(hù)設(shè)施,對托管系統(tǒng)的安全狀況長期失察失管���,未能及時發(fā)現(xiàn)并堵塞安全漏洞����,最終導(dǎo)致網(wǎng)站被非法入侵�、內(nèi)容被篡改���。
關(guān)鍵提醒:供應(yīng)鏈安全不能“一托了之”
此案是當(dāng)前信息系統(tǒng)供應(yīng)鏈安全管理缺位的典型縮影:使用單位將系統(tǒng)外包后“甩手掌柜”式管理��,服務(wù)商只重交付�、忽視后續(xù)安全保障的“交付即走”模式����,導(dǎo)致雙方均未履行法定安全義務(wù),形成責(zé)任真空����,最終釀成安全事件。
二��、依法處置:雙方均被責(zé)令限期改正
依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定����,煙臺公安網(wǎng)安部門對涉事雙方作出明確處理:
1.涉事機(jī)構(gòu):因未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)����、未建立網(wǎng)絡(luò)安全管理制度等行為��,違反《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條�����、第五十九條第一款規(guī)定���,被依法責(zé)令限期改正�����;
2.涉事第三方開發(fā)運(yùn)維公司:因未采取必要安全措施���、未按規(guī)定告知和報告系統(tǒng)風(fēng)險等行為,違反《中華人民共和國網(wǎng)絡(luò)安全法》第二十二條第一款����、第六十條規(guī)定,被依法責(zé)令限期改正��。
三、法律依據(jù):網(wǎng)絡(luò)安全責(zé)任有法可依
《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定:網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求���,履行安全保護(hù)義務(wù)�,保障網(wǎng)絡(luò)免受干擾��、破壞或者未經(jīng)授權(quán)的訪問���,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取���、篡改�����。
《中華人民共和國網(wǎng)絡(luò)安全法》第二十二條第一款規(guī)定:網(wǎng)絡(luò)產(chǎn)品��、服務(wù)應(yīng)當(dāng)符合國家標(biāo)準(zhǔn)的強(qiáng)制要求�����,網(wǎng)絡(luò)產(chǎn)品��、服務(wù)的提供者不得設(shè)置惡意程序��,發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷���、漏洞風(fēng)險時����,應(yīng)當(dāng)立即采取補(bǔ)救措施����,并按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。
四���、重要警示:系統(tǒng)可外包�,責(zé)任不能外卸
煙臺公安網(wǎng)安部門提醒:企業(yè)�����、機(jī)構(gòu)在委托第三方進(jìn)行網(wǎng)站建設(shè)�、系統(tǒng)運(yùn)維時,**系統(tǒng)可以外包���,責(zé)任不能外卸**:
使用單位須切實(shí)履行網(wǎng)絡(luò)安全主體責(zé)任��,在合作合同中明確安全要求�,將安全驗(yàn)收納入項目交付核心環(huán)節(jié),定期核查托管系統(tǒng)安全狀況���;
開發(fā)運(yùn)維單位須依法保障所提供產(chǎn)品和服務(wù)的安全性�����,堅守“交付即安全���、運(yùn)維即負(fù)責(zé)”原則,及時修復(fù)安全漏洞����,主動履行風(fēng)險告知義務(wù);
雙方需共同承擔(dān)安全責(zé)任����,形成全流程安全管理閉環(huán)���,才能筑牢信息系統(tǒng)供應(yīng)鏈安全防線���,避免類似網(wǎng)絡(luò)安全事件發(fā)生。
35058302350743號