中國信息安全法律大會專家委員會發布《勒索攻擊防治倡議》修訂版

2021年5月25日，中國信息安全法律大會專家委員會發起《勒索攻擊防治倡議》。為筑牢網絡安全屏障，全面應對勒索攻擊風險，中國信息安全法律大會專家委員會現發布《倡議》修訂版。

《勒索攻擊防治倡議》全文

當前，以勒索病毒為典型的“犯罪即服務”攻擊模式放大數據竊取、破壞和系統中斷危害，引發災難性的連鎖反應，已成為威脅國家關鍵信息基礎設施安全和全球數字化轉型發展的“公害”。積極防治勒索攻擊應當成為政府機構、行業領域、企事業單位、行業組織乃至全社會的共識和行動，以切實保障國家安全，維護網絡空間公共秩序，保障公民、法人和其他組織的合法權益。

為此，中國信息安全法律大會專家委員會提出以下倡議：

一、凝聚“密碼向善”共識

重申商用密碼維護網絡和數據安全的基礎性作用，同時防止密碼技術濫用，規范數字貨幣管理。

二、構筑安全底層屏障

引導個人和企事業單位正確使用信息系統、網絡和密碼技術，遵循網絡訪問和應用規則，禁止實施網絡攻擊活動。

三、提升勒索攻擊風險發現能力

通過漏洞滾動排查、定期滲透測試等手段常態化驗視系統、網絡脆弱性與威脅，重點關注勒索攻擊對關鍵信息基礎設施數據活動和供應鏈安全的風險隱患。

四、強化數據安全保障能力

部署與設施、數據重要性相匹配的技術措施和管理策略，通過備份、冗余、共享機制，豐富風險抗衡舉措。

五、落實主體責任

將勒索攻擊風險評估作為關鍵信息基礎設施年度風險評估、網絡安全等級保護測評、商用密碼應用與安全性評估的重要組成。突出網絡安全等級保護、關鍵信息基礎設施安全保護等法律強制性規定，對違反《網絡安全法》等法律規定的，依法追究法律責任。

六、禁止支付“贖金”

在履行重要數據備份措施等安全保護義務基礎上，統一企事業單位發生勒索攻擊事件時“不支付”的底線思維。

七、優化應急響應和事件處置

網絡安全監管機構、保護工作部門等之間建立勒索攻擊監測、防御、研判、發布、預警、阻斷、取證等工作的信息共享和聯動機制，暢通安全威脅信息互聯互通和信息共享渠道，實現跨行業、領域的應急融合。

八、形成國家應對勒索攻擊的技術防護和恢復能力

組建針對勒索攻擊的加密算法、破壞機制的技術攻關，支持網絡安全服務機構應對勒索攻擊的技術和服務創新，推動技術驅動的防御勒索攻擊“AI化”的體系建設。

九、促進全社會安全意識水平和防護技能

公檢法機構及時發布打擊勒索攻擊違法犯罪的典型案例與年度報告，與各監管、主管機構在全民國家安全教育日、國家網絡安全宣傳周、各行業領域繼續教育和培訓期間開展勒索攻擊防治宣傳教育。

十、發揮行業組織、技術社區的信息聚集和風險分散作用

支持行業協會、技術社區等自治機構、組織發揮在各自領域的信息共享、賦能傳遞作用，將防治勒索攻擊的最佳實踐向企事業單位普及、推送，形成銜接風險預警和應急融合的重要支撐，分散和弱化勒索攻擊的社會化風險。

十一、加大勒索攻擊違法犯罪打擊力度

依據《刑法》及相關司法解釋在制作傳播計算機病毒、敲詐勒索、信息網絡技術支持和幫助等方面的刑罰規定，始終保持高壓嚴打態勢，對勒索攻擊涉及的信息流、技術流、資金流、人員流進行全鏈條打擊，嚴厲懲治勒索攻擊違法犯罪活動。

十二、推動打擊勒索攻擊犯罪國際合作

聯手各國打擊國際勒索攻擊犯罪，積極參與相關國際聯合執法工作，加強勒索攻擊犯罪起訴與跨境執法數據協調。

我們呼吁各界支持以上倡議。

中國信息安全法律大會專家委員會

2021年10月16日