人民日報客戶端
近日,山東煙臺公安網安部門在工作中發現,某機構門戶網站遭網絡攻擊,網站被篡改并植入違法內容,嚴重擾亂網絡空間秩序,造成不良社會影響。
01
案情回顧
公安網安部門接報后立即開展調查,發現:
該機構將門戶網站委托給某第三方開發運維公司建設與維護。
該公司在系統開發調試階段未落實基本網絡安全防護措施,未修復已知漏洞,亦未履行風險告知義務,將存在安全隱患的系統交付上線。
與此同時
該機構作為網絡運營者,未依法履行網絡安全主體責任。既未建立網絡安全管理制度,也未按網絡安全等級保護制度要求部署必要防護措施,對托管系統的安全狀況失察失管,導致平臺被入侵、篡改。
小貼士
此案暴露出,當前信息系統供應鏈安全管理缺位的典型縮影:
使用單位“一托了之”,服務商“交付即走”,雙方均忽視法定安全義務,形成責任真空,最終釀成安全事件。
02
依法處理
依據《中華人民共和國網絡安全法》相關規定,網安部門依法作出處理:
涉事機構
涉事機構未履行網絡安全保護義務、未建立網絡安全管理制度等行為,依據第二十一條、第五十九條第一款,責令限期改正。
涉事開發運維公司
涉事開發運維公司未采取安全措施、未按規定告知和報告系統風險等行為,依據第二十二條第一款、第六十條,責令限期改正。
03
法律依據
《中華人民共和國網絡安全法》第二十一條規定
網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
《中華人民共和國網絡安全法》第二十二條之第一款規定
網絡產品、服務應當符合國家標準的強制要求,網絡產品、服務的提供者不得設置惡意程序,發現其網絡產品、服務存在安全缺陷、漏洞風險時,應當立即采取補救措施,并按照規定及時告知用戶并向有關主管部門報告。
系統可以外包,責任不能外卸。
使用單位須切實履行主體責任,將安全要求寫入合同、納入驗收;
開發運維單位須依法保障所提供產品和服務的安全性,做到“交付即安全、運維即負責”。
雙方共擔責任,才能筑牢供應鏈安全防線。
責編:
審核:孫翔
責編:孫翔