近日,山东省烟台市公安部门在工作中发现某机关门户网站遭受网络攻击。网站被篡改、掺入违法内容,严重扰乱网络空间秩序,造成社会不良影响。
01
案例审查
公安网安部门接到举报后,立即开展调查,发现如下情况:
该组织将门户的构建和维护外包给外部开发、运营和维护公司。
公司在系统开发和调试阶段未落实基本的网络安全保障措施,未及时修补已知漏洞,未履行风险报告义务,未将存在安全风险的系统上线。
同时
作为网络运营者,该机构未按照规定履行网络安全主体责任法律。我们无法建立网络安全管理体系,无法按照网络安全等级保护体系的要求实施必要的保护措施,无法监控托管系统的安全状态,导致平台被入侵和操纵。
提示
这一事件揭示了当前信息系统供应链安全控制缺失的典型缩影。
用户单位“将其移交”,服务提供商“将其移交并走开”。双方都忽视法律安全义务,造成责任真空,最终导致安全事件的发生。
02
请依法行事。
根据《中华人民共和国网络安全法》相关规定,网络安全部门将依法处理此事。
相关机构
如果相关机构未能履行其职责履行安全保护义务,建立网络安全管理制度的,依照第二十一条、第五十九条第一款的规定责令限期改正。
开发/运营公司
涉案开发运营公司忽视安全措施,未提供必要的系统风险通报和信息,故依据第二十二条第一项和第六十条的规定,责令限期改正。
03
法律依据
《中华人民共和国网络安全法》第21条
网络运营者必须保证网络安全保护系统要求的安全级别,保护网络免受干扰、破坏和未经授权的访问,防止网络数据泄露、被盗用和篡改。
《中华人民共和国网络安全法》第二十二条第一款
网络产品和服务必须符合国家标准的强制性要求。网络产品和服务的提供者不得安装恶意程序。如果您发现自己的网络产品或者服务存在安全缺陷或者漏洞的风险,您必须立即采取纠正措施,按照规定及时通知用户,并向有关主管部门通报。
您可以外包您的系统,但不能减少您的责任。
使用单位必须认真履行主体责任,将安全要求纳入合同和验收中。
开发部门和运维部门必须依法确保所提供的产品和服务的安全,并坚信“交付是安全的,运维是我们的责任”。
只有双方共担责任,才能筑牢供应链安全的坚固防线。