勒索攻擊深觀察③：全球多國制定網絡安全法案，安全合規成企業“必修課”

　　勒索攻擊深觀察③：全球多國制定網絡安全法案，安全合規成企業“必修課”

　　南方財經全媒體記者 吳立洋，實習生褚陳靜 北京報道

　　數字化時代，數據驅動各項業務發展，成為社會產業建設的基礎，數據一旦遭到攻擊，就會造成相關業務甚至產業的停擺。而隨著政府、公共服務機構和基礎設施部門成為勒索軟件等惡意程序的攻擊目標，其影響力與破壞力也不斷增強，網絡安全也不再局限于個別企業的自身防護，開始成為涉及產業鏈乃至國家安全的重要問題，引起各國政府與國際組織的關注與重視。

　　在這樣的背景下，網絡安全被許多國家提升到頂層戰略高度。2021年美國白宮發布《國家安全戰略臨時指導方針》，將提升網絡安全作為美國政府首要任務，并建立新的網絡空間安全和新興技術局（CSET），推動網絡安全國際間協作。澳大利亞政府在2021年制定網絡安全戰略，計劃投資16.7億美元建立新的網絡安全和執法能力。

　　近年來，我國網絡安全建設也在不斷完善，隨著《網絡安全法》《數據安全法》《個人信息保護法》等一系列基礎性法律法規落地，我國已建立起一套基本的網絡安全法律合規框架。今年兩會期間，《政府工作報告》進一步強調：“推進國家安全體系和能力建設，強化網絡安全、數據安全和個人信息保護”。?

　　落實強制報告義務

　　值得注意的是，在從宏觀監管角度治理網絡安全問題時，落實安全事故強制報告制度被多國以法律法規形式加以確認。

　　2021年，美國證券交易委員會（SEC）要求上市公司必須上報網絡安全事故、數據泄露事件，否則將面臨調查傳訊。今年3月11日，美國眾議院通過《關鍵基礎設施網絡事件報告》法案，要求關鍵基礎設施所有者和運營商需要向網絡安全和基礎設施安全局（CISA）報告網絡事件和勒索軟件付款。迄今，全美50州多數已頒布相關法令，要求機構在發生個人信息數據泄露事件時及時通知用戶。

　　2021年12月，澳大利亞《2021 年關鍵基礎設施安全法案》修正案正式生效，新的法案引入了網絡安全事件強制性報告義務，要求責任實體必須在意識到網絡事件對關鍵基礎設施資產可用性產生“重大影響”后的 12 小時內報告。

　　我國《網絡安全法》第22條規定：“網絡產品、服務的提供者發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告?！?/p>

　　2021年7月，工業和信息化部、國家互聯網信息辦公室、公安部聯合印發《網絡產品安全漏洞管理規定》，要求網絡產品提供者發現或者獲知所提供網絡產品存在安全漏洞后，對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者；在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息；對于需要產品用戶（含下游廠商）采取軟件、固件升級等措施的，應當及時將漏洞風險及修補方式告知，并提供必要的技術支持。

　　騰訊安全專家李鐵軍表示，國家要求企業依法報告網絡安全事件，一方面可以督促企業增強自身的安全系統建設，從軟硬件設備、機制管理等方面形成成熟的安全防控體系；另一方面，也要求企業在出現事故后對安全問題進行更為詳細和全面的溯源，分析安全弱點與問題原因，還原事故發生的來龍去脈：“每一次的回溯分析，都可以有效提升企業接下來面對網絡攻擊的經驗與能力?！?/p>

　　北京航空航天大學法學院助理教授、工業和信息化法治戰略與管理重點實驗室辦公室主任趙精武則指出，此類規定能夠有效安全漏洞引發的牽連性損害風險，在當前網絡安全態勢下，由于關鍵信息基礎設施運營者網絡安全防護能力明顯提升，網絡攻擊者通常并不會選擇這類關鍵性網絡節點進行直接攻擊，而是利用存在業務關聯或供應鏈關系的其他企業作為攻擊，利用這些安全能力薄弱的網絡節點漏洞間接攻擊其他網絡節點。

　　在這樣的背景下，網絡安全漏洞強制報告機制能夠幫助監管機構及時研判?！耙环矫媲袛嗑W絡攻擊損害結果的擴張，另一方面避免網絡產品、服務提供者出于商譽保護的目的，隱瞞勒索攻擊相關的重要信息，方便監管機構及時介入與治理風險?！壁w精武表示。

　　支付贖金是否違法

　　除要求責任主體在發生網絡安全事故后及時報告外，近年來，部分國家也在嘗試從立法角度對相關企業支付贖金、提供支付渠道、傳播被盜數據等行為加以限制。

　　2021年10月，美國財政部國外資產控制辦公室（OFAC）曾發布公告表示，向惡意勒索軟件攻擊支付贖金可能會使得犯罪分子獲益，使其得以從事不利于國家安全與外交目標的活動，支付贖金不僅不能保證受害者可以重新獲取被盜數據，還可能鼓勵更多不法分子參與網絡攻擊。

　　通過援引美國《國際緊急經濟權限法》（International Emergency Economic Powers Act，IEEPA）與《禁止與敵國貿易法》（Trading with the Enemy Act，TWEA），OFAC表示，與法律禁止的對象進行交易可能會被追究民事責任。此外，向受害者提供支付給勒索軟件贖金渠道的公司，也需要考慮自身是否具有金融犯罪執法網(Financial Crimes Enforcement Network，FinCEN)所規定的監督義務。

　　相關的法律嘗試也發生在歐洲。2021年5月，愛爾蘭衛生服務系統（HSE）遭到Conti勒索軟件攻擊，全國多家醫院診療預約被迫取消，CT等放射性治療業務難以正常運作。不久后，HSE表示已收到攻擊者給出的勒索金額，但“根據國家政策”，其不會支付贖金。

　　隨后，一部分被竊取的患者機密信息被公布在安全防護網站VirusTotal上，HSE稱，在5月25日被刪除前，這些數據已被下載23次。5月20日，HSE獲得一項法院命令，要求禁止對被盜數據進行任何形式的處理、發布、共享或銷售行為。不久后，愛爾蘭高等法院再次發布命令，要求VirusTotal的所有者Chronicle Ireland及其美國母公司——谷歌旗下的Chronicle LLC提供上傳者和下載者的個人信息。

　　雖然有部分網絡安全人士呼吁從立法層面直接禁止向攻擊者支付贖金，但如此嚴厲規制行為仍在學界和業界存在不小的爭議。趙精武認為，將支付勒索軟件贖金定位為非法的行為確實可以使攻擊者“竹籃打水一場空”，增加其獲得贖金的難度，提升其違法成本，勒索軟件非法獲利的可能性，也迫使企業主動報告事故詳細信息，暢通網絡安全信息共享機制。但從刑法理論的角度看，支付贖金的目的是為了減少損失的進一步擴大，屬于被攻擊者的無奈之舉，并不滿足犯罪成立要件中有關主觀故意或過失的要求，因此并不適宜直接定性為違法行為。

　　當前在中國如果遭到勒索攻擊，且短期內沒有合適的辦法加以解決，為了保護數據安全或相關網絡服務的持續穩定，趙精武認為，支付贖金的行為目前看并不構成違法。

　　強化企業合規要求

　　近年來，隨著各國對數據安全重視程度的不斷提升，企業在遭到網絡安全攻擊時，除了可能因數據丟失、業務停擺而產生直接經濟損失，由于未滿足合規要求而帶來的高額行政罰款也逐漸成為其“難以承受之重”。

　　2021年10月，英國信息專員辦公室（Information Commissioner's Office，ICO）裁定英國航空公司未能保護客戶數據，對其處以創紀錄的2000萬英鎊罰款；僅在兩周后，萬豪連鎖酒店同樣因未能保護客戶數據而被罰款1840萬英鎊。據ICO公布的財務數據顯示，20/21財年其總罰款金額同比增長1580%。

　　今年3月，愛爾蘭數據保護委員會（DPC）宣布，由于 Facebook 的母公司 Meta 違反歐盟《通用數據保護條例》（GDPR），將對其處以 1700萬歐元的罰款。根據 GDPR 執法跟蹤網站enforcementtracker.com統計，2021年 GDPR 罰單的總金額高達約10.6億歐元，而過去三年的罰款總額僅為2.4億歐元。

　　我國有關部門也曾多次就企業、金融機構數據安全問題開出罰單。2021年1月29日，銀保監會開出本年1號罰單，中國農業銀行因涉及數據泄露風險等，被罰 420 萬元人民幣。

　　“除了基本的安全保障措施，履行安全合規義務也是當前企業必須完成的必修課?！北本┠嘲踩袠I從業者向記者表示，滿足合規要求既給予企業具體的安全防護指引，規范其安全防護機制和事故處理方式，也有利于在行業乃至國家層面形成安全響應和信息共享機制。

　　趙精武認為，除了在發生網絡安全事故后及時按照法律法規要求向有關部門報告，企業在日常經營中還需滿足以下基本的合規需求：首先，定期進行網絡安全自評估，發現潛在的網絡安全風險或漏洞；其次，制定網絡安全應急處置預案，設置專門的安全管理機構和安全管理負責人，定期開展網絡安全演練，提升企業內部員工應對勒索攻擊的處置能力和反應速度；最后，遵守網絡安全國家標準，優先采購具備資格的機構安全認證合格或檢測符合要求的網絡設備和產品，提升企業網絡物理設備安全水平和信息系統防護水平。

　?。ㄗ髡撸簠橇⒀?實習生褚陳靜 編輯：蔡姝越）