企業為何要認真履行網絡安全保護和信息安全監管義務
今天來給大家聊一聊,企業為何一定要認真履行網絡安全保護和信息安全監管義務,不履行會帶來什么嚴重后果,造成什么損失,我國相關法律法規對此又是如何規定的。
網絡運營者為何要承擔網絡安全保護和信息安全監管義務呢?
網絡運營者是網絡社會的關鍵節點,掌握著用戶與網絡的連接橋梁,網絡運營者的行為在很大程度上影響著用戶的信息安全,甚至會影響整個網絡社會的安全狀態。
網絡運營者提供的服務具有公共產品的屬性,這一屬性隨著現代信息技術的不斷滲透而被強化,其安全狀態對整個社會的安全具有重大而深遠的影響。
我國在網絡政策上主張“誰接入,誰負責”、“誰運營,誰負責”,網絡運營者在提供網絡服務和產品的過程中獲取了經濟收益,那么就應當負有相應的防止危害發生的安全保護義務。
在全球網絡安全問題日益復雜且嚴峻的情況下,提升網絡運營者的安全意識,明確網絡運營者的義務責任,是實現國家安全和社會穩定的必然要求。
企業作為網絡運營者,所掌握、控制的網絡資源不是企業私有財產,而是社會公共產品,一旦遭到侵害就是威脅到社會公共安全。有朋友不明白,問:“如果黑客攻擊我們的網絡,那是賊偷了我,我也是受害者,為什么還要受處罰呢?”
道理是這樣的:如果賊偷了個人的東西,那沒哪個警察蜀黍會去處罰受害者的。但比如你是銀行門衛忘記關門,導致銀行被盜,那你說說你該不該受處罰呢?
網絡運營者要承擔哪些網絡安全保護和信息安全監管義務呢?
作為網絡運營者,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。
但是小企業有能力承擔這些網絡安全保護和信息安全監管義務嗎?
正如上一個問題所回答的,其實《網絡安全法》只是對網絡運營者提出了一些最基本、最簡單的網絡安全保護和信息安全監管義務。有些企業不認真落實,導致受到黑客侵害。請大家隨我來看看下面的種種不應該:
1、沒有安全管理制度和應急預案
江蘇泰州某事業單位網絡安全意識淡薄,曾因不落實網絡安全等級保護制度被責令整改。整改期滿后,仍未落實內部管理制度和操作規程,再次遭到黑客攻擊破壞,后被泰州網安部門行政處罰并責令停機整頓。
2、沒有采取最基本的防病毒、防攻擊措施
江蘇無錫一上市企業使用的辦公系統及網站管理員登陸采用弱口令,且未采取初次登錄必須更改密碼或強制所設密碼強度等保護措施,導致公司存儲的用戶個人信息極易被黑客采取撞庫方式竊取,后依法被無錫網安部門行政處罰。
3、不留存網絡日志和重要數據
江蘇徐州某網絡科技公司經營的自動發卡平臺,涉嫌為網絡游戲外掛程序提供交易支付和自動發貨服務。經查,該公司對犯罪嫌疑人利用其經營的平臺兜售游戲外掛程序并不知情,但因疏于對平臺管理,未采取必要的安全保護技術措施,未落實重要數據日志備份,導致部分涉案證據滅失,被徐州網安部門依法行政處罰。
4、不及時上報網絡安全事件
江蘇南通警方在偵辦某機械制造有限公司網站遭黑客入侵案時發現,該公司網絡安全意識淡薄,管理制度缺失。同時,承擔網站運維的某網絡技術有限公司明知網站多次遭黑客入侵,未將網站存在的安全缺陷、漏洞等風險及時告知用戶和主管部門,且不按規定操作導致日志丟失,被南通網安部門依法行政處罰。
5、拒不配合公安機關調查取證
江蘇南通如皋市某單位網站遭黑客攻擊植入木馬,致使網站跳轉為博彩網站。經查,該單位網站管理混亂,技術防護措施薄弱。偵查過程中,為網站提供維護服務的南通某技術公司,在接到警方調取證據通知后,虛與委蛇,推脫應付,甚至采取刪除木馬病毒文件的方式,拒不向公安機關提供協助,致使相關證據滅失,后被依法行政處罰。
6、故意侵犯用戶個人信息
上海某教育科技公司江蘇常州分公司運營的一款日語教學APP應用超范圍收集用戶個人信息,未向用戶公開收集、使用個人信息規則,未明示收集使用信息的目的、方式和范圍,被常州網安部門依法行政處罰。
不承擔網絡安全保護和信息安全監管義務可能造成什么后果呢?
隨著網絡的迅猛發展,網絡越來越滲入到生產生活的各個方面,網絡安全越來越成為影響國家安全和社會安全的重要因素。網絡運營者不履行網絡安全保護和信息安全監管義務造成的危害愈發凸顯。
1、網站遭黑客攻擊篡改
江蘇南通某農業科技發展有限公司運營的網站存在重大安全漏洞,管理制度缺失,網絡安全意識淡薄,致使犯罪嫌疑人在其網站發布各類招嫖、詐騙廣告18000余條。
2、用戶信息和重要數據遭泄露
江蘇宿遷警方在偵辦一起非法買賣新生兒個人信息案件時發現,部分新生兒個人信息系從宿遷某婦幼健康管理平臺泄露。經查,平臺運營單位安全管理和技術防護措施缺失。
3、影響企業單位正常運營,造成經濟損失
江蘇某通信技術公司因安全責任意識淡薄、網絡安全等級保護制度落實不到位、管理制度和技術防護措施嚴重缺失,導致該公司業務管理系統遭受攻擊破壞,對其正常業務開展造成較大影響。
4、關鍵信息基礎設備停擺,引發重大安全事故
江蘇南通某水利工程管理所主機系統存在3個高風險漏洞,其中主機漏洞1處、弱口令2處。該所運營的港閘為國家大型水閘,承擔南通地區697平方公里擋潮排澇、360萬畝農田灌溉任務,相關系統被公安部、水利部列入國家關鍵信息基礎設施目錄,一旦遭攻擊破壞,后果不堪設想。
網絡運營者不依法履行義務要負什么樣的法律責任呢?
應按照《網絡安全法》等行政法律法規承擔行政法律責任。網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,符合法定情形的,構成拒不履行信息網絡安全管理義務罪,依法承擔刑事責任。
依法履行網絡安全保護和信息安全監管義務,落實安全措施,是非常重要并且完全可以做到的,有社會責任感的企業,絕不會無設防地讓自己客戶的,信息數據暴露在危險之下,絕不會忽視網絡安全風險隱患。
