作者:宁宣凤  吴涵  李沅珊  杜楠

 

“见兔顾犬未为晚,亡羊补牢未为迟”,我们谨以此文,献给那些希望在下次风暴来临前扎紧篱笆的企业。

 

2019年5月26日凌晨,某网约车企业发布声明称其服务器遭到连续攻击,攻击导致该网约车企业的核心数据被加密、服务器宕机,为用户使用带来严重影响。攻击者向该网约车企业索要巨额比特币相要挟,该网约车企业在努力抢修的同时,已向北京网警中心就该网络安全勒索事件报案。

以上被勒索事件发生后,有报道称,该网约车企业的官方网站在勒索攻击发生20小时后仍无法打开,其APP也一度反复显示“暂时无法为您提供服务”“无法获取位置信息”。继而,舆论和公众开始对该网约车企业的诚信和未来发展状况产生了质疑。可以看到,因为未能对勒索攻击事件进行及时有效的响应,最终导致某网约车企业的安全保障能力和业务运营能力受到了社会和用户的全面质疑。

我们也注意到,近年来,网络安全事件特别是勒索事件频繁发生,这些网络安全事件往往性质恶劣、影响广泛,严重破坏企业的运营安全,更对企业的名誉和认可度造成不利影响;同时,用户也可能承受财产损失。由此,我们希望从网络安全和数据合规的角度出发,提示企业面对网络安全事件应当承担的法律义务,同时就企业应对网络安全事件所带来的法律风险给出具体建议。

  • 企业应对网络安全事件应承担的法律义务汇总

 

网络安全事件,特别是勒索型网络安全事件往往对社会、企业和个人均造成不利影响。为妥善应对网络安全事件,保障国家安全和社会秩序,保障公民合法权益,我国发布了一系列法律法规,要求企业积极应对网络安全事件,承担相应法律义务。

我们总结了下述表格,简要介绍主要法律法规针对企业应对网络安全事件应承担的法律义务的相关要求:

1:企业应对网络安全事件应承担的法律义务小结

时间阶段 法律义务 具体内容
事前 制定网络安全事件应急预案及相关安全管理制度 《中华人民共和国网络安全法》(2017年6月)(“《网安法》”)第25条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
《中华人民共和国计算机信息系统安全保护条例》(2011年1月)(“《计算机安保条例》”)第13条:计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
《信息安全技术网络安全等级保护基本要求》(“《等保要求》”)7.1.10.12安全事件处置
《信息安全技术个人信息安全规范》(“《个人信息安全规范》”)第9章安全事件的处置和报告规定个人信息控制者应制定安全事件应急预案
监测预警

《公共互联网网络安全突发事件应急预案》 (2017年11月)(“《工信部应急预案》”):

4.1事件监测:基础电信企业、域名机构、互联网企业应当对本单位网络和系统的运行状况进行密切监测,一旦发生本预案规定的网络安全突发事件,应当立即通过电话等方式向部应急办和相关省(自治区、直辖市)通信管理局报告,不得迟报、谎报、瞒报、漏报。报告突发事件信息时,应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。

4.2预警监测:基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估;认为可能发生特别重大或重大突发事件的,应当立即向部应急办报告;认为可能发生较大或一般突发事件的,应当立即向相关省(自治区、直辖市)通信管理局报告

7.1预防保护:基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定,建立健全网络安全管理制度,采取网络安全防护技术措施,建设网络安全技术手段,定期进行网络安全检查和风险评估,及时消除隐患和风险。电信主管部门依法开展网络安全监督检查,指导督促相关单位消除安全隐患。
应急演练 《工信部应急预案》:7.2应急演练:电信主管部门应当组织开展公共互联网网络安全突发事件应急演练,提高相关单位网络安全突发事件应对能力。基础电信企业、大型互联网企业、域名机构要积极参与电信主管部门组织的应急演练,并应每年组织开展一次本单位网络安全应急演练,应急演练情况要向电信主管部门报告
《个人信息安全规范》第9章安全事件的处置和报告规定个人信息控制者应进行应急响应培训等法律义务。
宣传培训 《工信部应急预案》:7.3宣传培训:电信主管部门、网络安全专业机构组织开展网络安全应急相关法律法规、应急预案和基本知识的宣传教育和培训,提高相关企业和社会公众的网络安全意识和防护、应急能力。基础电信企业、域名机构、互联网企业要面向本单位员工加强网络安全应急宣传教育和培训。鼓励开展各种形式的网络安全竞赛。
事中 调查评估,采取必要措施 《网安法》第55条:发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
《工信部应急预案》5.2先行处置:公共互联网网络安全突发事件发生后,事发单位应当立即启动本单位应急预案,组织本单位应急队伍和工作人员采取应急处置措施,尽最大努力恢复网络和系统运行,尽可能减少对用户和社会的影响,同时注意保存网络攻击、网络入侵或网络病毒的证据
《等保要求》7.1.10.12安全事件处置:应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据、记录处理过程,总结经验教训。
报告主管机关 《应急预案》4.1事件报告:网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息
《工信部应急预案》5.2先行处置:公共互联网网络安全突发事件发生后,事发单位应按照本预案规定立即向电信主管部门报告
《计算机安保条例》第14条:对计算机信息系统中发生的案件,有关使用单位应当24小时内向当地县级以上人民政府公安机关报告
《等保要求》7.1.10.12安全事件处置:应及时向安全管理部门报告所发现的安全弱点和可疑事件。应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据、记录处理过程,总结经验教训
通知用户/相关个人信息主体 《个人信息安全规范》第9章要求个人信息控制者将安全事件相关情况告知受影响的个人信息主体
事后 整改(如需) 《网安法》第56条省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患
调查原因、总结经验 《工信部应急预案》6.1调查评估:公共互联网网络安全突发事件应急响应结束后,事发单位要及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后10个工作日内形成总结报告,报电信主管部门。电信主管部门汇总并研究后,在应急响应结束后20个工作日内形成报告,按程序上报。

  • 企业应对网络安全事件的路线图

如上表所述,《网安法》《应急预案》《工信部应急预案》《计算机安保条例》《等保要求》《个人信息安全规范》等法律法规及国家标准中,均对企业应对网络安全事件时应承担的法律义务进行了规制;可以看到,这些法律要求实际上同气连枝、互补互足,形成了一套网络安全事件应对体系。针对这一体系,我们建议,企业结合自身实际,参照相关法律要求,设计符合自身特点和需要的应对网络安全事件路线图。

为协助企业更好地规划网络安全事件路线图,我们谨提出如下建议:

 

   (一)居安思危,事前做好防备工作

 

如无远虑,则有近忧。面对频繁发生的以勒索事件为代表的网络安全事件,我们建议企业将目光放长远,居安逸时思困局,提前做好应对安全事件的防备工作。

1.制度先行:制定网络安全事件应急预案及相关安全制度

 

结合《网安法》《应急预案》等法律法规的要求,我们建议企业在安全事件未发生时,提前做好预防准备工作,结合公司自身实际,制定针对网络安全事件的应急预案和相关安全制度。

我们理解,为确保网络安全事件应急预案能够发挥应有的效用,其内容至少应当包括:

    • 组织体系和职责:结合企业组织架构和部门职能,预案应当明确承担网络安全事件监测预警、应急处理、事后处置等责任的部门和人员,同时也建议在应急预案中明确人力资源部门、公关部门、法务部门等企业支持部门的配合义务;
    • 安全事件分级:《应急预案》和《工信部应急预案》等规制了网络安全事件的等级,建议公司参考自身业务内容,结合上述法律规定,对可能遭遇的安全事件分类、分级,从而针对不同类别、等级的安全事件采取不同的应对措施;
    • 落实监测预警工作:建议企业建立适合自身实际的监测机制,采取合适的技术手段和工作方式,明确监测人员的职能并将责任落实到具体岗位;
    • 建立应急响应机制:明确网络安全事件发生后,企业内部应急响应的流程和报告内容,以及向有关主管部门报告的流程、内容;
    • 明确保障措施和奖惩制度:为确保网络安全事件应急预案能够落地实施,建议在预案中明确设备、技术资料、经费、人力支持等保障措施,同时明确奖惩制度。

 

 

2. 防患未然:预防预警和宣传培训

 

有效的预防预警工作能够尽可能规避、降低网络安全事件风险。我们建议公司结合自身业务实际,评估遭遇网络安全事件的可能性,结合相关法律法规,做好预防预警工作。

具体来说,我们仅提供如下建议供企业参考:

  • 监测预警:在监测预警工作中,建议企业注意三项要点,即1)对过去几年行业内发生的影响较大的安全事件应当引起特别注意,并在监测机制中有针对性的监测相关要素;2)建议监测机制侧重企业内部核心资产或核心运营机制的安全;3)明确监测到事故发生后的处理流程;
  • 宣传培训:为了能够在安全事件发生时及时、有效的应对,在日常运营中树立安全意识是必不可少的,建议企业通过宣传培训,指导相关人员落实预防预警相关工作;
  • 舆情监控:知己知彼,百战不殆。根据我们处理安全事件的经营,一些大型安全事件往往呈国际性、区域性的发展态势,因此,建议企业在预防预警工作中关注相关网络安全讯息,例如国际性或区域性网络安全事件及其拓展趋势。

3. 未雨绸缪:安全事件的应急演练

“宜未雨而绸缪,毋临渴而掘井”,实操演练是检验安全事件防备工作是否到位的试金石。根据《工信部应急预案》等法律法规的要求,企业宜根据企业性质和自身实际需要进行针对网络安全事件的应急演练。就此,我们提出如下建议:

  • 演练机制:难事作于易,大事作于细。为确保应急演练起到应有的效果,我们建议企业在演练机制中注意相关细节,即明确应急演练的参与人员、明确应急演练的针对对象、明确应急演练的方式;
  • 协调机制:磨刀不误砍柴工,应急演练能够培养企业员工的安全意识,并训练员工高效、有序地应对安全事件,因此,建议企业协调应急演练与企业正常业务运营间的关系,确保应急演练能够顺利实行;
  • 演练总结:我们建议企业记录应急演练过程,并就演练中暴露出的问题进行总结,形成相应的报告。一方面,上述安排能够提高企业应急演练的效率;另一方面,企业也可以将之作为对外宣传自身安全理念,以及应对主管机关相应安全检查的实证材料。

 

 

(二)临危不乱,妥善应对安全事件

安全事件往往突如其来,严重影响企业正常运营,易造成企业内部和用户群体的恐慌。我们建议按照内部应急预案的规定,有条理、有计划的处理安全事件,从法律义务的角度看,我们提请企业在处理下述事项时加以注意:

  • 及时应对网络安全事件

 

我们建议企业充分重视网络安全事件,谨慎判断其严重程度和可能造成的不利影响。在评估不利影响时,我们建议企业评估既有影响的同时,评估不利影响进一步加深的可能。

我们谨为公司提供下述一般性评估因素:

  • 安全事件已经或可能造成的财产损失;
  • 安全事件是否影响企业用户使用产品或服务;
  • 安全事件是否涉及数据泄露特别是个人信息泄露;
  • 当前阶段是否存在能够有效解决安全事件的补救措施。

进行调查评估后,我们建议企业根据安全事件的性质和严重程度采取应急响应措施,包括但不限于:

  • 启动应急预案:立即启动网络安全事件应急预案,尽最大努力先恢复网络和系统运行,尽可能减少对用户和社会的影响。
  • 采取技术措施、保留证据:及时处理漏洞、采取补救措施,如判断安全漏洞,断开影响安全的网络设备,断开与安全漏洞相连的网络连接,跟踪并锁定攻击方向,进行数据备份等。在采取技术措施同时,注意保留网络攻击、网络入侵或网络病毒的证据。
  • 及时向主管机关及个人信息主体(如需)报送安全事件相关信息(具体分析如下)。
  • 及时向主管机关报告

 

结合《网安法》《应急预案》等法律法规的要求,我们建议公司结合网络安全事件的性质和影响,及时向主管机关报告,报告内容包括但不限于:

  • 事件可能造成的影响;
  • 已采取或将要采取的处置措施;
  • 个人信息主体的类型、数量、内容、性质等总体情况(如涉及);
  • 事件处置相关人员的联系方式
  • 告知受影响的用户

 

当网络安全事件发生时,结合《个人信息安全规范》,企业应视情况将安全事件相关信息及时告知受到影响的用户,告知方式包括但不限于邮件、信函、推送通知、短信、电话等。如果难以逐一告知用户,企业也可以采取合理、有效的方式发布与公众有关的警示信息。

我们理解,告知用户的内容可以包括:

  • 网络安全事件的内容和影响;
  • 已采取或将要采取的处置措施;
  • 用户自主防范和降低风险的建议;
  • 向用户提供的补救措施;
  • 企业处理安全事件的联系人和联系方式。

 

   

    (三)惩前毖后,吸取经验再出发

事不师古,往往就会重蹈覆辙。处理好网络安全事件后,及时的总结,进一步吸取经验教训,才能将企业锻造出铜墙铁壁,更好地应对未知的风险。

就此,我们对企业在安全事件处理完成后所应当做的工作提出下述建议:

  • 调查事件原因并总结经验:及时调查安全事件的起因(包括直接原因和间接原因)、经过、责任,评估安全事件造成的不利影响和损失,总结突发事件防范和应急处置工作的经验教训,形成总结报告,提出处理意见和改进措施;
  • 明确奖惩:如安全事件涉及企业内部人员违规操作,应当予以处罚;对安全事件处理过程中表现出色及不合格的工作人员,明确奖惩措施;
  • 合理的对外沟通:塞翁失马,焉知非福。安全事件固然会对企业造成一定损失,但如果企业能够合理应对安全事件,对用户和社会展现其重信誉、负责任、有能力的企业形象,那么企业的声誉和知名度也可能不降反升。由此,我们建议企业以对用户、对社会负责任的态度应对安全事件,并在事件后通过合理的对外沟通,梳理企业负责任的社会形象。

以上,是我们根据协助企业应对网络安全事件的既有经验所规划的安全事件应对路线图。在网络安全问题日益突出的情况下,我们注意到,网络安全事件的类型呈多样化趋势,发生的频率日益升高,影响规模日益扩大。针对不同特点的网络安全事件,我们建议企业因时制宜、因地制宜,采用适合企业自身性质和业务特点的应对方案。如果遭遇突发情况,我们设有紧急情况应对通道(如下),将在第一时间协助企业制定应对方案,帮助企业渡过难关。

 

网络安全事件紧急联系人:

宁宣凤律师 吴涵律师
北京市金杜律师事务所高级合伙人 北京市金杜律师事务所合伙人
邮箱:susan.ning@cn.kwm.com 邮箱:wuhan@cn.kwm.com
电话:+86 10 5878 5100