« 上一篇下一篇 »

河南一图书馆网站被黑 因未履行网络安全保护获罚

1月29日上午,河南省公安厅网络安全保卫总队官方微博“河南网警巡查执法”对外发布消息:今年1月12日,新乡市封丘县图书馆网站遭到黑客攻击,致使网页被篡改。依据相关法律,对封丘县图书馆及相关责任人作出了处罚。

  记者梳理公开报道,自2017年6月1日《网络安全法》正式实施以来,多地开出了网站违犯《网络安全法》的罚单,而违法事由多涉及未履行网络安全保护义务。

  1月29日上午,省公安厅网络安全保卫总队官方微博“河南网警巡查执法”对外发布消息称:今年1月12日,新乡市封丘县图书馆网站遭到黑客攻击,致使网页被篡改。事件发生后,省公安厅网安总队立即指导新乡市公安局网安部门开展被攻击网站处置恢复工作,并启动调查程序。

  经查,封丘县图书馆未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,致使网站遭到攻击。

  1月13日,封丘县公安局依据《中华人民共和国网络安全法》第五十九条第一款之规定,对封丘县图书馆给予罚款2万元、对直接责任人海某给予罚款5000元的行政处罚;并建议依法依规追究相关人员责任。

  1月13日,封丘县文化广电旅游局经研究决定,给予负责网络安全工作的直接责任人海某行政警告处分。

  《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为法律规定的强制义务,这是我国自1994年发布实施《中华人民共和国计算机信息系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首次将其写入法律。

  2017年7月25日,汕头网警支队发现汕头市某信息科技有限公司于2015年11月向公安机关报备的信息系统安全等级为第三级,经测评合格后投入使用,但2016年至通报时未按规定定期开展等级测评。汕头警方认为,该公司未按法律规定履行网络安全等级测评义务,遂根据《网络安全法》规定,对该单位给予警告处罚并责令其改正。

  2017年6月至7月间,山西忻州市某省直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。该单位之行为已违犯《网络安全法》相关规定,忻州市、县两级公安机关网安部门对该单位进行了现场执法检查,依法给予行政警告处罚并责令其改正。

  2017年8月,重庆公安局网安总队在日常检查中发现,重庆市某科技发展有限公司自《网络安全法》正式实施以来,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为。于是,公安机关根据《网络安全法》相关规定,决定给予该公司警告处罚,并责令限期15日内进行整改。

  2017年8月10日,江苏宿迁市华睿科技有限公司服务器内接入一违法网站被民警发现,民警经勘验取证后,立即传唤该公司法人代表王某,要求对提供互联网接入服务的服务器内涉及法律、行政法规禁止传输的信息立即予以停止传输、采取消除等处置措施并保存有关记录,并根据《网络安全法》规定,给予上述公司警告处罚并要求其立即整改到位。

  上述公开通报并处罚的几起案例,多因未尽安全保护义务而受罚。何为网络安全义务?

  河南网警在通报中明确指出,根据《网络安全法》第21条规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

  具体而言,安全保护义务包括:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施以及法律、行政法规规定的其他义务。

  与上述违法案例相比,我省通报的案件对涉事主体作出罚款处罚,更加具体。有何法律依据?

  《网络安全法》第五十九条规定,网络运营主体不履行本法规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。