9月12日,由360公司承辦的ISC2017網絡安全法治論壇在京召開���。會上發布的《法律視角下的全球網安態勢及對策報告》(2017年篇),首次從法律視角透視了全球網絡安全問題�。
《報告》在對今年5月爆發的勒索病毒攻擊事件進行安全反思時指出,這起事件背后暴露出的一個不容忽視的問題,是企業的網絡安全意識嚴重不足�。
《報告》分析認為,用戶信息泄露與網站責任沒有掛鉤,導致修補漏洞成了企業額外的支出,而不是應盡的義務,內在動力不足是造成信息泄露這一問題的根源。因此,需要明確防止用戶信息泄露是網絡運營者的法律義務。
為此,《報告》建議,“如果出現個人信息泄露,不但應追究網絡運營者的行政責任,也應賦予被泄露信息者主張民事賠償的權利���。”
企業安全主管缺乏安全意識
《報告》指出,勒索病毒攻擊事件在國內大規模爆發時間是5月12日晚8時許����。但微軟在3月份已經發布了補丁,360公司于4月17日全球首發了對NSA網絡武器“永恒之藍”的技術分析,4月19日全球首家推出了NSA武器庫免疫工具,5月12日下午2時許,首家發布了利用NSA“永恒之藍”傳播勒索病毒的預警�����。
但是,很多企業并沒有及時安裝免疫工具,也沒有及時打補丁�����。《報告》認為,這足以暴露出這些企業的安全主管缺乏安全意識,并沒有對“漏洞”“補丁”足夠重視����。事實上,安全意識淡薄也是很多政企機構長期疏于安全建設的重要原因�。甚至很多企業的主管領導對網絡安全的管理目標是不出事就行�����。
《報告》稱,勒索病毒攻擊事件再次教育了我們:不出事不等于沒事����。根據360安全監測與響應中心2016年發布的一份統計數據顯示,在該中心2016年參與處置的所有企業的網絡安全應急響應事件中,企業自行發現的攻擊事件僅占31.5%,而另外68.5%的攻擊事件企業實際上是不自知的,他們是在得到了監管機構或主管單位的通報,或者是在看到媒體的公開報道后,才得知自己已經被攻擊了��。
網絡安全責任制亟待建立健全
《報告》認為,勒索事件反映出,傳統的企業安全防御體系還普遍存在重防御,輕應急的問題,一旦發生安全事件,企業往往無所適從,從而產生了很多不必要的損失,或者使損失不必要擴大����。概括起來,企業的安全防護存在三方面問題����。
一是怕暴露問題而存在僥幸心理����。《報告》提出,很多企業害怕安全人員對其網絡系統進行的安全檢測,更害怕第三方報告其網絡系統存在的安全漏洞。其似乎認為,被報告有問題,就說明自己的工作沒做好。這就好像一個人害怕體檢一樣,但不體檢不等于身體就沒有生病���。這種錯誤的觀念使得很多企業錯過了最佳診療時機,使大量安全隱患長期存在,最后變成要么不出事,要么出大事。
《報告》稱,從法律視角看,這體現了企業并沒有把落實網絡安全保護責任放在首要位置,僥幸心理的存在反映了法律對于網絡安全責任事故的懲罰力度還不到位,使得企業負責人防微杜漸的安全意識沒有完全建立起來。建立健全網絡安全責任制度是避免這一問題的關鍵��。
用戶信息泄露應與網站責任掛鉤
《報告》認為,企業在安全防護方面存在的第二個問題是,重自身損失而忽略社會責任����。
根據補天平臺的統計,在已經被通告其系統存在安全漏洞的情況下,中國網站的平均漏洞修復率也僅為42.9%。半數以上的企業對自己的漏洞不聞不問。
《報告》認為,造成這種情況的一個重要原因就是:這些漏洞可能不會給網站自身帶來直接的經濟損失�。比如,網站上的用戶信息泄露,用戶可能因此面臨網絡詐騙等各種高危風險,但網站自身卻可能沒有任何直接經濟損失,因此也就對報告的漏洞睜一只眼閉一只眼����。
《報告》指出,從法律視角看,用戶信息泄露與網站責任沒有掛鉤,這就導致修補漏洞成了企業額外的支出,而不是應盡的義務,內在動力不足是造成信息泄露這一問題的根源��。
因此,《報告》認為,需要明確防止用戶信息泄露是網絡運營者的法律義務�����。“如果出現個人信息泄露,不但應追究網絡運營者的行政責任,也應賦予被泄露信息者主張民事賠償的權利�?�!?/p>
應建立日常監測預警通報機制
《報告》指出,企業在安全防護方面,還存在動態防御應急響應意識缺乏的問題。
時至今日,仍有相當多的企業管理者認為:所謂企業安全,就是給企業的每臺電腦裝上殺毒軟件,給企業網絡邊界安裝一套防火墻��?�!秷蟾妗氛J為,“這些管理者完全沒有運營監控����、動態防御的意識��。”
但實際上,現代網絡安全實踐已經證明,任何靜態部署的防御系統都不太可能非常有效地防御現代網絡攻擊�。此外,傳統安全觀主要立足于防護,主要的努力方向是盡可能地避免安全事件的發生,而不太重視應急響應機制的建設�����。而新型的安全觀則認為,防不住是一定的,應當立足于一定防不住的假設來設計自己的防御和監控系統。
在此方面,《報告》建議,從法律視角看,一方面應當加大對網絡運營者網絡安全責任的處罰,使其重視安全,從而從各個角度采取措施防御和監控安全隱患;另一方面行業和國家也應當建立日常的監測預警和信息通報機制,既給企業提供行業性的總體防護措施,又給企業提供示范性的最佳實施方案���。
中研網 發現資訊的價值 
研究院 掌握產業最新情報 
企業網絡安全意識要提高 用戶信息泄露應與網站責任掛鉤 
