黄道丽:以WannaCry勒索攻击事件为例分析《网络安全法》有效性度量
更多全球网络安全资讯尽在E安全官网www.easyaq.com
【E安全特约稿】
本文作者黄道丽,公安部第三研究所网络安全法律研究中心主任。本文原标题《网络安全法施行的有效性度量——以WannaCry勒索软件攻击事件为例》。
编者按:本文以WannaCry勒索软件的应对及后续处理为出发点,围绕如何打击勒索软件、如何惩治攻击行为、如何处罚以及相关罪名和认定标准等问题对6月1日即将正式实施的《网络安全法》进行具体分析和解读。
图:公安部第三研究所网络安全法律研究中心主任 黄道丽
在我国网络空间基本法《网络安全法》即将施行之际,缘于国际漏洞和入侵软件武器化,直接利用Windows系统漏洞的WannaCry勒索软件大肆攻击包括中国在内的全球150多个国家,包括我国在内的多个行业和政府部门“受到了感染,造成了一定影响”,涉及的网络系统暴露出了不容忽视的安全风险和隐患。
总体来看,《网络安全法》从支持促进、运行安全、信息安全和事件应对四个维度立体化、全方位促进网络安全保护工作。WannaCry勒索软件事件中涉及到的安全漏洞管控、产品提供者安全保障、网络运营者安全保护、监测预警与应急处置、危害网络安全的行为惩治等问题的应对与解决效果,将成为《网络安全法》及其配套制度施行的有效性度量。
首先,安全漏洞作为网络空间系统构建的必然结果和客观存在,在特定时间和技术条件下不能完全排除,是引发全球网络安全威胁和风险的核心要素。基于国际社会漏洞治理规则碎片化的现状,产生源头缺乏法律规制和虚拟市场货币监管失控是导致执法打击勒索软件困难的两大根本原因。各国在打击勒索软件具有相似的认同和诉求,开展国际合作成为凝聚多方力量共同应对的重要举措。
《网络安全法》第7条已提出了境内外国际合作机制的初步构想,践行构想更需通过中美打击网络犯罪及相关事项高级别联合对话等双边或多边途径解决。
其次,勒索软件攻击与其他危害网络安全的行为具有相似性,但勒索软件突出强调对数据、系统、网络的非法控制和对可用性的危害,使其有别于其他以破坏或获取数据为特征的计算机病毒,也有别于传统意义上的“敲诈勒索”罪。从惩治攻击行为角度,《网络安全法》第27条衔接《刑法修正案(九)》已设置了行政处罚、相关罪名和认定标准,第75条规定了对攻击关键信息基础设施的境外机构、组织和个人的制裁。
再次,《网络安全法》第22条规定了产品提供者对自身产品漏洞风险的告知、补救和报告的责任,产品提供者必须严格遵从,否则承担法律责任;《网络安全法》第21条、25条规定了网络运营者防范攻击与侵入、安全监测、重要数据备份和应急处置等保护义务,尤其对实践中按照现行有效的信息安全等级保护管理办法已进行了定级保护的信息系统,更应强化落实,否则承担相应的法律责任。
最后,本次攻击事件暴露出具有网络安全服务机构特性的安全厂商、教育和科研计算机网等机构在网络安全事件的监测、预警、通报、处置等方面的混乱与失调,《网络安全法》建立的信息共享机制、统一监测预警平台急需整合并制度化。
E安全要闻简讯
官网:
2017年5月