|
专家解读 | 从某短信平台未采取技术防护措施被网络攻击案看网络安全: V; R! D3 r4 s }+ n/ N0 d* H
6 w ], R& u0 b' s o; c( K0 x7 [2 w
. d/ p" @8 r0 T& ^! T& Y1 d
2025年9月18日,公安部网安局公布6起“护网—2025”专项工作中,涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。(公安部公布“护网—2025”专项工作6起行政执法典型案例)本期特邀请中国法学会法治研究所刘金瑞研究员解读案例二“江苏公安机关侦办的某短信平台未采取技术防护措施被网络攻击案”。
0 e2 v/ u$ Z- ?: ^; Y8 g基本案情
2 T. o" v4 n2 s/ p O2025年5月,江苏苏州吴江某公司建设的短信群发系统被攻击冒用,并发送诈骗短信27000余条。江苏公安机关网安部门查明因相关短信群发平台未进行等保备案测评,未采取技术防护措施,导致被犯罪嫌疑人攻击控制,短信服务被冒用滥发。当地公安机关已依法对该系统建设运维方予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
$ [7 W9 F& D/ m* X9 w/ `本案是一起典型的网络运营者因未履行网络安全保护义务导致严重危害而受到处罚的案件。根据《网络安全法》第二十一条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行必要的安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,这些义务包括制定内部安全管理制度和操作规程,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,采取监测、记录网络运行状态、网络安全事件的技术措施等。& g, N$ T) G B) j d- U- [- W
本案中,涉案企业作为短信群发系统的建设与运维方,并未尽到上述网络安全保护义务,主要表现为两方面:一是未进行网络安全等级保护备案与测评,二是未采取有效技术措施防范和处置网络攻击。由此导致了涉案短信群发系统被不法分子攻击控制用于滥发诈骗短信27000余条的严重后果。对此,公安机关根据《网络安全法》第五十九条的规定对涉案企业予以行政处罚并责令限期改正,依法及时处置和消除了本案的网络安全风险。公安机关的执法行为,不仅有利于贯彻实施网络安全等级保护制度,也有利于督促网络运营者切实承担起网络安全保护主体责任。
. E/ L: Y7 H) I _网络安全等级保护制度是《网络安全法》确立的维护网络运行安全的基本法律制度。该制度由之前的信息安全等级保护制度升级而来,要求按照重要性和遭受损坏后的危害性,将网络信息系统分成五个安全保护等级,进行分等级保护、分等级监管。第二级(含)以上网络要到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案之后,公安机关要对第二级网络进行指导,对第三级、第四级网络定期开展监督检查。而网络运营者应按照相关规定,履行“定级—备案—建设整改—等级测评”等一系列环环相扣的义务。网络运营者通过履行这些义务,可以发现系统内部的安全隐患与不足之处,可以提升系统的安全防护能力,有利于降低被网络攻击的风险。
& L3 N [7 \3 M& y7 i4 q但在实践中,有部分企业出于成本考虑或者因合规意识淡漠,甚至错误认为“小系统无需等保备案”,而有意忽视网络安全等级保护制度的义务要求,本案就是典型例证。本案中的短信群发系统,从对社会秩序和公共利益的影响来看,至少达到了应该备案的二级网络,涉案企业本应在定级备案的基础上,按照相关国家标准开展安全建设,采取必要的访问控制、安全审计、入侵防范等技术措施,但涉案企业并未进行等保备案测评、更未采取必要的技术措施,这才导致了系统被冒用滥发诈骗短信的安全事件。/ a! M, ^) d% B4 V, o& }$ \
本案对企业落实网络安全等级保护制度和加强网络安全合规建设具有重要警示意义。网络安全等级保护是“必选项”而不是“可选项”,所有网络运营者都应该按要求根据网络信息系统的重要程度来匹配安全防护资源和技术措施,而不应出于成本考虑只想事后补救、无视安全义务。这种侥幸心理与故意不作为,不仅会使其自身系统面临安全隐患和风险,更会构成违法行为,甚至还可能导致其成为网络犯罪的“帮凶”,而受到相应的法律制裁。网络经营者应当强化网络安全合规意识,切实履行网络安全保护义务,将应尽义务内化为自身安全管理的制度和实践,实现从“被动合规”到“主动防御”的转变,从而为筑牢网络安全防线作出应有贡献。/ K. b* z" Q, G
作者:刘金瑞 中国法学会法治研究所研究员# a2 u5 _; ?6 l6 V4 Q
来源:公安三所网络安全法律研究中心 | 
|手机版|Archiver|
( 桂ICP备12001440号-3 )|网站地图
发表于