法制網(wǎng)記者　余瀛波

　　9月12日，由360公司承辦的ISC2017網(wǎng)絡(luò)安全法治論壇在京召開(kāi)。會(huì)上發(fā)布的《法律視角下的全球網(wǎng)安態(tài)勢(shì)及對(duì)策報(bào)告》(2017年篇)，首次從法律視角透視了全球網(wǎng)絡(luò)安全問(wèn)題。

　　《報(bào)告》在對(duì)今年5月爆發(fā)的勒索病毒攻擊事件進(jìn)行安全反思時(shí)指出，這起事件背后暴露出的一個(gè)不容忽視的問(wèn)題，是企業(yè)的網(wǎng)絡(luò)安全意識(shí)嚴(yán)重不足。

　　《報(bào)告》分析認(rèn)為，用戶(hù)信息泄露與網(wǎng)站責(zé)任沒(méi)有掛鉤，導(dǎo)致修補(bǔ)漏洞成了企業(yè)額外的支出，而不是應(yīng)盡的義務(wù)，內(nèi)在動(dòng)力不足是造成信息泄露這一問(wèn)題的根源。因此，需要明確防止用戶(hù)信息泄露是網(wǎng)絡(luò)運(yùn)營(yíng)者的法律義務(wù)。

　　為此，《報(bào)告》建議，“如果出現(xiàn)個(gè)人信息泄露，不但應(yīng)追究網(wǎng)絡(luò)運(yùn)營(yíng)者的行政責(zé)任，也應(yīng)賦予被泄露信息者主張民事賠償?shù)臋?quán)利。”

　　企業(yè)安全主管缺乏安全意識(shí)

　　《報(bào)告》指出，勒索病毒攻擊事件在國(guó)內(nèi)大規(guī)模爆發(fā)時(shí)間是5月12日晚8時(shí)許。但微軟在3月份已經(jīng)發(fā)布了補(bǔ)丁，360公司于4月17日全球首發(fā)了對(duì)NSA網(wǎng)絡(luò)武器“永恒之藍(lán)”的技術(shù)分析，4月19日全球首家推出了NSA武器庫(kù)免疫工具，5月12日下午2時(shí)許，首家發(fā)布了利用NSA“永恒之藍(lán)”傳播勒索病毒的預(yù)警。

　　但是，很多企業(yè)并沒(méi)有及時(shí)安裝免疫工具，也沒(méi)有及時(shí)打補(bǔ)丁。《報(bào)告》認(rèn)為，這足以暴露出這些企業(yè)的安全主管缺乏安全意識(shí)，并沒(méi)有對(duì)“漏洞”“補(bǔ)丁”足夠重視。事實(shí)上，安全意識(shí)淡薄也是很多政企機(jī)構(gòu)長(zhǎng)期疏于安全建設(shè)的重要原因。甚至很多企業(yè)的主管領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全的管理目標(biāo)是不出事就行。

　　《報(bào)告》稱(chēng)，勒索病毒攻擊事件再次教育了我們:不出事不等于沒(méi)事。根據(jù)360安全監(jiān)測(cè)與響應(yīng)中心2016年發(fā)布的一份統(tǒng)計(jì)數(shù)據(jù)顯示，在該中心2016年參與處置的所有企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，企業(yè)自行發(fā)現(xiàn)的攻擊事件僅占31.5%，而另外68.5%的攻擊事件企業(yè)實(shí)際上是不自知的，他們是在得到了監(jiān)管機(jī)構(gòu)或主管單位的通報(bào)，或者是在看到媒體的公開(kāi)報(bào)道后，才得知自己已經(jīng)被攻擊了。

　　網(wǎng)絡(luò)安全責(zé)任制亟待建立健全

　　《報(bào)告》認(rèn)為，勒索事件反映出，傳統(tǒng)的企業(yè)安全防御體系還普遍存在重防御，輕應(yīng)急的問(wèn)題，一旦發(fā)生安全事件，企業(yè)往往無(wú)所適從，從而產(chǎn)生了很多不必要的損失，或者使損失不必要擴(kuò)大。概括起來(lái)，企業(yè)的安全防護(hù)存在三方面問(wèn)題。

　　一是怕暴露問(wèn)題而存在僥幸心理�！秷�(bào)告》提出，很多企業(yè)害怕安全人員對(duì)其網(wǎng)絡(luò)系統(tǒng)進(jìn)行的安全檢測(cè)，更害怕第三方報(bào)告其網(wǎng)絡(luò)系統(tǒng)存在的安全漏洞。其似乎認(rèn)為，被報(bào)告有問(wèn)題，就說(shuō)明自己的工作沒(méi)做好。這就好像一個(gè)人害怕體檢一樣，但不體檢不等于身體就沒(méi)有生病。這種錯(cuò)誤的觀念使得很多企業(yè)錯(cuò)過(guò)了最佳診療時(shí)機(jī)，使大量安全隱患長(zhǎng)期存在，最后變成要么不出事，要么出大事。

　　《報(bào)告》稱(chēng)，從法律視角看，這體現(xiàn)了企業(yè)并沒(méi)有把落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任放在首要位置，僥幸心理的存在反映了法律對(duì)于網(wǎng)絡(luò)安全責(zé)任事故的懲罰力度還不到位，使得企業(yè)負(fù)責(zé)人防微杜漸的安全意識(shí)沒(méi)有完全建立起來(lái)。建立健全網(wǎng)絡(luò)安全責(zé)任制度是避免這一問(wèn)題的關(guān)鍵。

　　用戶(hù)信息泄露應(yīng)與網(wǎng)站責(zé)任掛鉤

　　《報(bào)告》認(rèn)為，企業(yè)在安全防護(hù)方面存在的第二個(gè)問(wèn)題是，重自身?yè)p失而忽略社會(huì)責(zé)任。

　　根據(jù)補(bǔ)天平臺(tái)的統(tǒng)計(jì)，在已經(jīng)被通告其系統(tǒng)存在安全漏洞的情況下，中國(guó)網(wǎng)站的平均漏洞修復(fù)率也僅為42.9%。半數(shù)以上的企業(yè)對(duì)自己的漏洞不聞不問(wèn)。

　　《報(bào)告》認(rèn)為，造成這種情況的一個(gè)重要原因就是:這些漏洞可能不會(huì)給網(wǎng)站自身帶來(lái)直接的經(jīng)濟(jì)損失。比如，網(wǎng)站上的用戶(hù)信息泄露，用戶(hù)可能因此面臨網(wǎng)絡(luò)詐騙等各種高危風(fēng)險(xiǎn)，但網(wǎng)站自身卻可能沒(méi)有任何直接經(jīng)濟(jì)損失，因此也就對(duì)報(bào)告的漏洞睜一只眼閉一只眼。

　　《報(bào)告》指出，從法律視角看，用戶(hù)信息泄露與網(wǎng)站責(zé)任沒(méi)有掛鉤，這就導(dǎo)致修補(bǔ)漏洞成了企業(yè)額外的支出，而不是應(yīng)盡的義務(wù)，內(nèi)在動(dòng)力不足是造成信息泄露這一問(wèn)題的根源。

　　因此，《報(bào)告》認(rèn)為，需要明確防止用戶(hù)信息泄露是網(wǎng)絡(luò)運(yùn)營(yíng)者的法律義務(wù)�！叭绻�出現(xiàn)個(gè)人信息泄露，不但應(yīng)追究網(wǎng)絡(luò)運(yùn)營(yíng)者的行政責(zé)任，也應(yīng)賦予被泄露信息者主張民事賠償?shù)臋?quán)利�！�

　　應(yīng)建立日常監(jiān)測(cè)預(yù)警通報(bào)機(jī)制

　　《報(bào)告》指出，企業(yè)在安全防護(hù)方面，還存在動(dòng)態(tài)防御應(yīng)急響應(yīng)意識(shí)缺乏的問(wèn)題。

　　時(shí)至今日，仍有相當(dāng)多的企業(yè)管理者認(rèn)為:所謂企業(yè)安全，就是給企業(yè)的每臺(tái)電腦裝上殺毒軟件，給企業(yè)網(wǎng)絡(luò)邊界安裝一套防火墻�！秷�(bào)告》認(rèn)為，“這些管理者完全沒(méi)有運(yùn)營(yíng)監(jiān)控、動(dòng)態(tài)防御的意識(shí)�！�

　　但實(shí)際上，現(xiàn)代網(wǎng)絡(luò)安全實(shí)踐已經(jīng)證明，任何靜態(tài)部署的防御系統(tǒng)都不太可能非常有效地防御現(xiàn)代網(wǎng)絡(luò)攻擊。此外，傳統(tǒng)安全觀主要立足于防護(hù)，主要的努力方向是盡可能地避免安全事件的發(fā)生，而不太重視應(yīng)急響應(yīng)機(jī)制的建設(shè)。而新型的安全觀則認(rèn)為，防不住是一定的，應(yīng)當(dāng)立足于一定防不住的假設(shè)來(lái)設(shè)計(jì)自己的防御和監(jiān)控系統(tǒng)。

　　在此方面，《報(bào)告》建議，從法律視角看，一方面應(yīng)當(dāng)加大對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者網(wǎng)絡(luò)安全責(zé)任的處罰，使其重視安全，從而從各個(gè)角度采取措施防御和監(jiān)控安全隱患；另一方面行業(yè)和國(guó)家也應(yīng)當(dāng)建立日常的監(jiān)測(cè)預(yù)警和信息通報(bào)機(jī)制，既給企業(yè)提供行業(yè)性的總體防護(hù)措施，又給企業(yè)提供示范性的最佳實(shí)施方案。