Flash,做错了什么? ——从《网络安全法》看Flash停更导致的安全问题(下篇)
上篇里我们就Flash停更从网络产品、服务责任角度进行了分析,侧重的是网络产品、服务提供者的外部性因素对系统和网络的影响。本篇从关键信息基础设施(CII)网络安全风险的角度进行简要分析,基于公开信息评价在《网络安全法》配套制度现状下的CII运营者作为。
《网络安全法》第31条的适用性——涉事系统属于CII么
《网络安全法》第31条和《关键信息基础设施安全保护条例》(征求意见稿)都界定了CII。定义的套路不外乎概括抽象、列举兜底。“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”属于所有CII的共性,“能源、交通、水利、金融、公共服务、电子政务等等”则体现了行业特点。
然而不论哪个法律文件,铁路作为公共交通的关键信息基础设施行业、领域,始终无法回避是否属于CII的定性。判定何为CII实际上成为了CII保护的前置问题。
在2017年的《关键信息基础设施安全保护条例(征求意见稿)》中,思路是由网信、工信和公安部门“制定关键信息基础设施识别指南”。新近的观点则倾向于由行业和领域的主管部门、监督管理部门(保护工作部门)结合本行业、本领域实际,制定关键信息基础设施认定规则。这些转变体现了几点不同:
(1)谁来判定CII。显然各行业、领域应对自身的CII范围有着更清楚的认识,如果这些行业、领域自身无法判定,更不能指望外部机构全能判定;
(2)“识别”与“认定”的差异和供应链安全;
(3)“规则”较“指南”更具有法律的强指引性。
具体到涉事的“现在车系统”的定性,结合车务段再度发布官方微博更正称“1月12日的故障……,受Flash停用影响的不是铁路调度系统”,显然是受到了2018年前后《关键信息基础设施确定指南》(试行)的影响。按照这个试行文件,如果不属于客运服务、货运服务、运输生产、车站运行,就不属于“关键业务”,从而也就“根本上”不属于CII。但是《关键信息基础设施确定指南》(试行)从未真正施行。
由于CII认定的复杂性,网传试行文件过于简单的罗列已经无法满足判定需求,实务中需要通过2020年9月公安部的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(“《指导意见》”),及尚处于征求意见稿状态的标准《信息安全技术 关键信息基础设施边界确定方法》等结合进行判定。
按照《指导意见》,“应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施”,体现了CII认定的审慎性。
“关键信息基础设施边界确定方法”则体现了认定的严谨性。其强调的是“关键信息基础设施元素”和“关键业务的信息流”,通过业务连续性、保密性、完整性、关键性判定,给出CII边界。因此在确定是否属于关键业务的基础上,还应考虑和“穿透”涉事系统是否有关键业务的信息流情况。
从网上各种前后矛盾的微信、微博看,对于“导致车站调车区无法查看列车运行图,无法制定列车编组顺序表,无法编排调车计划等问题”,现在车系统“……是保证铁路安全运输和实现铁路运输信息化的重要工具”,实际上可能已经涉及到关键业务信息流的问题,只是从本次网络安全事件的表现形式“无法通过浏览器访问统计现在车系统”、站段列车流量以及结果“铁路运输生产没有受到此次故障的任何影响”看,没有产生实际危害。
总结一下,由于CII认定是复杂谨慎的过程,我们倾向于不将涉事系统纳入CII范围。但是这一决策不仅是基于上述法律法规、规定标准的公开判断,还需要解决:
(1)与网络安全等级保护三级以上系统、网络的关系问题;
(2)如果不认定为CII,需要对该系统的边界进行限定,评价系统可能的信息收集、呈现和控制流向问题,典型的包括限制数据从高网络安全等级系统流向低网络安全等级系统;
(3)甚至涉及到对“现在车系统”进行“科学的”重新定义问题;
(4)由于CII的网络安全事件处置会对CII认定产生影响,因此在发生真实事件后也可能会对涉事系统进行调整。
《网络安全法》第34条的适用性—回滚操作的规范性评价
还是从公开信息,我们看到基本操作是通过“将原版Windows系统和Ghost版Windows系统均恢复Flash运作”和降低Flash版本,在24小时内解决了Flash故障。这个操作套用《网络安全法》第25条和第34条法律条款的表述就是:启动应急预案,通过系统和数据库的容灾备份进行恢复。实际上也是一次系统和程序回滚的过程。
这一操作不失为一种机智的非标准作法,但从《网络安全法》看,可能也存在相应的法律风险。由于缺少对涉事系统的了解,我们提出宽泛的一般性法律建议:
(1)早期的Windows系统多通过Ghost进行备份(新版Windows系统不排除Ghost备份的可能,但同时涉及政府采购的法律问题,以及BIOS/MBR到UEFI/GPT软硬件分区技术问题),因此猜测可能实务中仍有使用厂商不再提供安全维护的早期Windows版本(注意官方微博表示涉事的是“车务段部分新购置并安装最新Flash版本的电脑”,这会稍微增加使用Ghost恢复系统的难度),建议对操作系统进行实质性评价——这是一个供应链安全的问题;
(2)系统回滚的操作,某大银行应该非常熟悉了。从法律和标准角度讲,主要就是要避免对实时业务运行产生影响,否则就可能产生对“公共利益”的损害后果。由于此次事件的回复长达24小时,可能还应该有其他应急措施“接管”或“辅助”涉事系统的主要功能;
(3)由于Flash停更主要就是因为安全问题,对于停更的最新版都未解决安全问题,降级后的Flash可能安全问题更多。这不符合软件应经授权和安全评估的CII要求,恐怕涉事操作还是江湖救急的权宜之计。
结 论
高铁线路在全国范围内正快速开行,由于其具有不同于电网节点规划和兼具公众人身财产安全的特点,铁路路局、车务段的重要性正随着路网延伸而日益彰显,这不仅是一个“梳理排查国外厂商停止支持技术”的头痛医脚问题,更是一个需要形成从《网络安全法》到CII保护条例再到即将出台的《信息安全技术 关键信息基础设施网络安全保护基本要求》系统化保护和论证的综合议题。
《网络安全法》第39条规定了网信部门对关键信息基础设施“网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助”,从《网络安全法》规定的网信办职责定位和CII保护的监管演进看,发生类似本案的问题,不一定一根筋盯着上级局信息所不放,还可以寻求网信部门的外部协调——也不用过于担心会被认定为CII。而如果涉及对本次安全事件追责,当然主要还适用铁路领域的安全管理规定,例如《铁路安全管理条例》。
“苏州信息安全法学所”