法新网记者 余瀛波
9月12日,由360公司承办的ISC2017网络安全法治论坛在京召开。会上发布的《法律视角下的全球网安态势及对策报告》(2017年篇),首次从法律视角透视了全球网络安全问题。
《报告》在对今年5月爆发的勒索病毒攻击事件进行安全反思时指出,这起事件背后暴露出的一个不容忽视的问题,是企业的网络安全意识严重不足。
《报告》分析认为,用户信息泄露与网站责任没有挂钩,导致修补漏洞成了企业额外的支出,而不是应尽的义务,内在动力不足是造成信息泄露这一问题的根源。因此,需要明确防止用户信息泄露是网络运营者的法律义务。
为此,《报告》建议,“如果出现个人信息泄露,不但应追究网络运营者的行政责任,也应赋予被泄露信息者主张民事赔偿的权利。”
企业安全主管缺乏安全意识
《报告》指出,勒索病毒攻击事件在国内大规模爆发时间是5月12日晚8时许。但微软在3月份已经发布了补丁,360公司于4月17日全球首发了对NSA网络武器“永恒之蓝”的技术分析,4月19日全球首家推出了NSA武器库免疫工具,5月12日下午2时许,首家发布了利用NSA“永恒之蓝”传播勒索病毒的预警。
但是,很多企业并没有及时安装免疫工具,也没有及时打补丁。《报告》认为,这足以暴露出这些企业的安全主管缺乏安全意识,并没有对“漏洞”“补丁”足够重视。事实上,安全意识淡薄也是很多政企机构长期疏于安全建设的重要原因。甚至很多企业的主管领导对网络安全的管理目标是不出事就行。
《报告》称,勒索病毒攻击事件再次教育了我们:不出事不等于没事。根据360安全监测与响应中心2016年发布的一份统计数据显示,在该中心2016年参与处置的所有企业的网络安全应急响应事件中,企业自行发现的攻击事件仅占31.5%,而另外68.5%的攻击事件企业实际上是不自知的,他们是在得到了监管机构或主管单位的通报,或者是在看到媒体的公开报道后,才得知自己已经被攻击了。
网络安全责任制亟待建立健全
《报告》认为,勒索事件反映出,传统的企业安全防御体系还普遍存在重防御,轻应急的问题,一旦发生安全事件,企业往往无所适从,从而产生了很多不必要的损失,或者使损失不必要扩大。概括起来,企业的安全防护存在三方面问题。
一是怕暴露问题而存在侥幸心理。《报告》提出,很多企业害怕安全人员对其网络系统进行的安全检测,更害怕第三方报告其网络系统存在的安全漏洞。其似乎认为,被报告有问题,就说明自己的工作没做好。这就好像一个人害怕体检一样,但不体检不等于身体就没有生病。这种错误的观念使得很多企业错过了最佳诊疗时机,使大量安全隐患长期存在,最后变成要么不出事,要么出大事。
《报告》称,从法律视角看,这体现了企业并没有把落实网络安全保护责任放在首要位置,侥幸心理的存在反映了法律对于网络安全责任事故的惩罚力度还不到位,使得企业负责人防微杜渐的安全意识没有完全建立起来。建立健全网络安全责任制度是避免这一问题的关键。
用户信息泄露应与网站责任挂钩
《报告》认为,企业在安全防护方面存在的第二个问题是,重自身损失而忽略社会责任。
根据补天平台的统计,在已经被通告其系统存在安全漏洞的情况下,中国网站的平均漏洞修复率也仅为42.9%。半数以上的企业对自己的漏洞不闻不问。
《报告》认为,造成这种情况的一个重要原因就是:这些漏洞可能不会给网站自身带来直接的经济损失。比如,网站上的用户信息泄露,用户可能因此面临网络诈骗等各种高危风险,但网站自身却可能没有任何直接经济损失,因此也就对报告的漏洞睁一只眼闭一只眼。
《报告》指出,从法律视角看,用户信息泄露与网站责任没有挂钩,这就导致修补漏洞成了企业额外的支出,而不是应尽的义务,内在动力不足是造成信息泄露这一问题的根源。
因此,《报告》认为,需要明确防止用户信息泄露是网络运营者的法律义务。“如果出现个人信息泄露,不但应追究网络运营者的行政责任,也应赋予被泄露信息者主张民事赔偿的权利。”
应建立日常监测预警通报机制
《报告》指出,企业在安全防护方面,还存在动态防御应急响应意识缺乏的问题。
时至今日,仍有相当多的企业管理者认为:所谓企业安全,就是给企业的每台电脑装上杀毒软件,给企业网络边界安装一套防火墙。《报告》认为,“这些管理者完全没有运营监控、动态防御的意识。”
但实际上,现代网络安全实践已经证明,任何静态部署的防御系统都不太可能非常有效地防御现代网络攻击。此外,传统安全观主要立足于防护,主要的努力方向是尽可能地避免安全事件的发生,而不太重视应急响应机制的建设。而新型的安全观则认为,防不住是一定的,应当立足于一定防不住的假设来设计自己的防御和监控系统。
在此方面,《报告》建议,从法律视角看,一方面应当加大对网络运营者网络安全责任的处罚,使其重视安全,从而从各个角度采取措施防御和监控安全隐患;另一方面行业和国家也应当建立日常的监测预警和信息通报机制,既给企业提供行业性的总体防护措施,又给企业提供示范性的最佳实施方案。
