企業被黑客攻擊后報警反被罰款？只因未履行網絡安全保護義務！

“我公司的網站被篡改了”

“我公司的系統被攻擊了”

“我的個人信息被泄露了”

 發生這樣的事情

首先譴責的是那些破壞網絡環境的黑客

可是你有沒有想想企業自身的責任呢？ 

近期，深圳網警對深圳南山某公司開展安全技術檢測，發現該單位網站存在安全漏洞，導致網站被人惡意上傳招嫖信息。由于該公司沒有履行網絡安全保護義務的相關條款，依據《網絡安全法》第25條、59條，公安部門決定對該公司直接負責人罰款五千元，對公司不履行網絡安全等級保護義務的違法行為，罰款一萬元，并責令限期整改。

企業網絡安全防護做得不到位

除了給企業自身帶來經濟和名譽的損失

對平臺用戶來說也是一種災難

2021年3月26日，山東某電商平由于所采購的的云服務器未采取任何安全防護措施，后臺管理權限存在弱口令漏洞，近19萬條訂單數據，包括收件人、聯系電話、收貨地址、商品信息等遭到黑客攻擊被泄露。針對該公司不履行網絡安全等級保護義務的行為，山東網安部門依據《網絡安全法》第21、59條，對該公司作出單位罰款1萬元、相關責任人罰款5000元的行政處罰，并責令其限期整改。

我們可以注意到，上述兩家被入侵的企業網站系統千瘡百孔，也沒有專門的網絡安全技術人員對網站進行維護，將問題赤裸裸地暴露在黑客面前。警方因此按照“一案雙查”的要求，根據《網絡安全法》的相關條款對這兩家公司進行行政警告處罰。

《網絡安全法》第21條明確了我國實行 網絡安全等級保護制度。 簡單來說，網絡安全等級保護制度是對網絡進行分等級保護、分等級監管。

1994年，國務院頒布《中華人民共和國計算機信息系統保護條例》將“等級保護”明確為我國計算機安全保護的根本制度；2017年6月1日，我國開始正式實施《網絡安全法》， 網絡信息系統運營者落實網絡安全等級保護制度成為法律硬性要求。

國家網絡安全等級保護制度實施以來，已經成為國家網絡安全的基本制度和基本國策。隨著經濟社會發展和技術進步， 等級保護制度也進入2.0時代。

在當前這個高度網絡化環境中，履行網絡安全等級保護義務絕非空談，企業作為運營者，所掌握的網絡資源不僅關系到網絡自身的利益，還影響到社會公共安全。特別是一些關乎國計民生的企事業單位，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益。 

此前，貴陽一高校網站主頁遭遇黑客攻擊，登錄頁面被非法篡改為違法有害信息，影響惡劣。高校及高校負責人因網站安全防護工作落實不當，分別被處以10萬元和5萬元的行政罰款。 

無獨有偶。重慶永川某私立醫院因未按照網絡安全等級保護制度的要求履行安全保護義務，使醫院業務在互聯網上長期處于“裸奔”狀態。黑客通過互聯網攻破醫院系統后植入勒索病毒，導致醫院業務全面“停擺”。警方依法對醫院處以罰款一萬元，對直接負責的主管人員處以罰款五千元的行政處罰。 

由此可見，在全球網絡安全問題日益復雜且嚴峻的情況下，企業方做好等級安全保護工作尤為重要。

一般來說網絡安全等級保護工作包括 定級、備案、安全建設和整改、網絡安全等級測評、監督檢查 五個階段性的流程工作。

不管大小企業，網絡運營者都需根據自身網絡環境和安全級別確定系統的保護等級，否則當出現網絡安全事件進行追責的時候，如因系統定級過低，需承擔系統定級不合理、安全責任沒有履行到位的風險。

而針對公共通信、信息服務、包括衛生、教育等關乎國計民生的重要行業和領域，《網絡安全法》第31條明確規定，在網絡安全等級保護制度上，對其實行重點保護。

今年9月1日正式實施的《關鍵信息基礎設施保護條例》中也明確了關鍵信息基礎設施運營者的主體責任和需要關注的重點。在做好等保的基礎上，運營者還應采取技術措施和其他必要措施，應對網絡安全事件，網絡攻擊等違法活動。

寫在最后

在網絡安全威脅不斷加劇的今天，網絡運營者應當與公安機關攜手一道共同參與到網絡社會治理中去，利用自身資源和優勢，積極履行社會道義，主動擔當社會責任，做法律法規的模范遵守者，做社會正氣的引領者，最大限度服務社會治安秩序管理，最大限度服務社會經濟發展，為創造清朗的網絡空間貢獻力量。