本文来自微信公众号“安全学习那些事儿”。
2023年12月17日,据网信四川报道:案例一:我省某医院遭受网络攻击造成全院系统瘫痪。公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。经调查发现,该医院未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击造成系统瘫痪。公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定,对该院处以责令改正并警告的行政处罚。
案例二:我省某单位互联网门户网站被攻击篡改。公安机关第一时间督促采取应急处置措施,并立案对该单位遭受攻击事件开展调查,通过工作发现,该单位信息系统未按规定设立防火墙,未安装网络流量监测软件,未记录网站访问日志,未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施,网站建设完成至今,未更新安全策略、未落实等级测评等安全防护措施。公安机关根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定对负有主体责任的该单位作出罚款1万元,对直接责任人作出罚款5千元的行政处罚;对托管单位某公司作出罚款1万元、对直接责任人作出罚款5千元的行政处罚。
案情延伸:部分单位在信息化建设和应用中,存在“重应用,轻防护”的思想,对网络安全工作不重视、安全防护意识淡薄,未严格按照法律要求履行网络安全主体责任,存在较大安全隐患和漏洞被黑客利用进行攻击,导致部分信息系统或数据遭到破坏。公安机关通过开展“一案双查”,对于相关单位未履行安全管理义务情况开展调查并给予行政处罚,倒逼单位主动整改,切实履行网络安全保护义务。
相关法律法规:《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
