亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

遭遇網(wǎng)絡(luò)勒索:法律義務(wù)梳理與合規(guī)建議

一、背景

在2021年的《政府工作報(bào)告》中,李克強(qiáng)總理提出要加快數(shù)字化發(fā)展,打造數(shù)字經(jīng)濟(jì)新優(yōu)勢(shì),協(xié)同推進(jìn)數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型。在數(shù)字化發(fā)展的過(guò)程中,伴隨著效率的提升,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的敞口也不斷增大。而在各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)中,勒索軟件已經(jīng)成為最為嚴(yán)重的威脅之一,甚至?xí)苯游:θ松戆踩?020年9月德國(guó)杜塞爾多夫大學(xué)醫(yī)院遭受勒索軟件攻擊,一名患者被轉(zhuǎn)移至附近的其他醫(yī)院后不幸身亡。勒索所造成的危害已經(jīng)無(wú)法忽視。

勒索軟件(“ransomware”)也被稱為勒索病毒,通常的運(yùn)作模式是進(jìn)入系統(tǒng)后對(duì)系統(tǒng)內(nèi)數(shù)據(jù)進(jìn)行加密,直接導(dǎo)致系統(tǒng)中數(shù)據(jù)無(wú)法正常使用,并要求在指定期限內(nèi)支付贖金。贖金通常會(huì)要求以比特幣等加密貨幣的形式支付。勒索軟件不僅針對(duì)企業(yè),也會(huì)針對(duì)政府部門與事業(yè)單位展開(kāi)無(wú)差別攻擊。

2017年WannaCry在全球范圍內(nèi)的肆虐讓勒索軟件治理成為不可回避的問(wèn)題。在裁判文書網(wǎng)中稍作檢索,就能發(fā)現(xiàn)WannaCry所帶來(lái)的巨大破壞,WannaCry直接導(dǎo)致數(shù)家公安機(jī)關(guān)以電子形式存儲(chǔ)的證據(jù)無(wú)法恢復(fù),以至于公安機(jī)關(guān)在訴訟中需要向法院專門說(shuō)明證據(jù)的收集、存儲(chǔ)情況。直到今日,勒索軟件的陰霾也沒(méi)有煙消云散,反而形成了完整的產(chǎn)業(yè)鏈。而且不同勒索軟件都存在內(nèi)部競(jìng)爭(zhēng),也開(kāi)始“內(nèi)卷”。近年來(lái)新興“Ransomware as a Service”(“RaaS”)的產(chǎn)業(yè)模式,更是大大降低了發(fā)動(dòng)勒索軟件攻擊的門檻。

二、勒索軟件的預(yù)防、處置無(wú)法與法律絕緣

面對(duì)肆虐的勒索軟件,傳統(tǒng)上是由IT或信息安全部門負(fù)責(zé)處置,但網(wǎng)絡(luò)安全的特點(diǎn)是與所有人息息相關(guān)。大量的勒索軟件所引發(fā)事件顯示,法務(wù)與合規(guī)部門不僅需要加入到處置勒索軟件的決策圈中,更需要在預(yù)防環(huán)節(jié)就積極介入。

勒索軟件作為網(wǎng)絡(luò)安全事件的主要誘因之一,也要求機(jī)構(gòu)在網(wǎng)絡(luò)安全事件處置機(jī)制的大框架下,針對(duì)勒索軟件的特點(diǎn)進(jìn)行預(yù)先部署。根據(jù)網(wǎng)絡(luò)安全的定義(《網(wǎng)絡(luò)安全法》第76條),保障網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability) 的能力是網(wǎng)絡(luò)安全的重要組成部分。勒索軟件主要破壞數(shù)據(jù)的可用性與機(jī)密性,即使數(shù)據(jù)無(wú)法繼續(xù),或是讓本應(yīng)保密的數(shù)據(jù)公之于眾。

法律部門之所以需要積極介入勒索軟件的應(yīng)對(duì)工作,不僅是因?yàn)槔账鬈浖念A(yù)防、處置不僅涉及網(wǎng)絡(luò)安全法律義務(wù)的履行,也因?yàn)榫W(wǎng)絡(luò)系統(tǒng)一旦被勒索軟件感染,可能也會(huì)面臨對(duì)外服務(wù)無(wú)法繼續(xù)正常提供的問(wèn)題,直接需要面對(duì)違約或侵權(quán)責(zé)任。

三、預(yù)防與處置

應(yīng)對(duì)勒索軟件,預(yù)防最為重要。在中國(guó)法下,完成網(wǎng)絡(luò)安全等級(jí)保護(hù)已經(jīng)成為最好的免責(zé)事由之一。等級(jí)保護(hù)制度從技術(shù)與管理兩個(gè)角度對(duì)網(wǎng)絡(luò)系統(tǒng)的安全能力提出了具體的要求,本身就可以提升機(jī)構(gòu)的網(wǎng)絡(luò)安全能力。在完成等級(jí)保護(hù)情況下,機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)即使遭受勒索軟件的攻擊,可以在沒(méi)有“后顧之憂”的情況下進(jìn)行報(bào)案。

除了完成等級(jí)保護(hù),應(yīng)對(duì)勒索軟件最有效的措施就是對(duì)數(shù)據(jù)定期進(jìn)行異地備份,以確保網(wǎng)絡(luò)系統(tǒng)一旦被勒索軟件感染,數(shù)據(jù)可以得到有效恢復(fù)。這不僅需要機(jī)構(gòu)建立數(shù)據(jù)備份機(jī)制(《網(wǎng)絡(luò)安全法》第21(4)條),也需要定期進(jìn)行演練,確保備份的數(shù)據(jù)能夠真實(shí)被恢復(fù)。另一方面,對(duì)機(jī)構(gòu)員工進(jìn)行教育培訓(xùn)也是預(yù)防勒索軟件、提升全員安全意識(shí)的有效途徑(《數(shù)據(jù)安全法(草案)》第25條)。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)