亡羊补牢未为迟:如何应对网络安全勒索事件
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师是合规业务部负责人,宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。 项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
李沅珊
主办律师
合规业务部
杜楠
律师
合规业务部
导语
“见兔顾犬未为晚,亡羊补牢未为迟”,我们谨以此文,献给那些希望在下次风暴来临前扎紧篱笆的企业。
2019年5月26日凌晨,某网约车企业发布声明称其服务器遭到连续攻击,攻击导致该网约车企业的核心数据被加密、服务器宕机,为用户使用带来严重影响。攻击者向该网约车企业索要巨额比特币相要挟,该网约车企业在努力抢修的同时,已向北京网警中心就该网络安全勒索事件报案。
以上被勒索事件发生后,有报道称,该网约车企业的官方网站在勒索攻击发生20小时后仍无法打开,其APP也一度反复显示“暂时无法为您提供服务”“无法获取位置信息”。继而,舆论和公众开始对该网约车企业的诚信和未来发展状况产生了质疑。可以看到,因为未能对勒索攻击事件进行及时有效的响应,最终导致某网约车企业的安全保障能力和业务运营能力受到了社会和用户的全面质疑。
我们也注意到,近年来,网络安全事件特别是勒索事件频繁发生,这些网络安全事件往往性质恶劣、影响广泛,严重破坏企业的运营安全,更对企业的名誉和认可度造成不利影响;同时,用户也可能承受财产损失。由此,我们希望从网络安全和数据合规的角度出发,提示企业面对网络安全事件应当承担的法律义务,同时就企业应对网络安全事件所带来的法律风险给出具体建议。
1
企业应对网络安全事件应承担的法律义务汇总
网络安全事件,特别是勒索型网络安全事件往往对社会、企业和个人均造成不利影响。为妥善应对网络安全事件,保障国家安全和社会秩序,保障公民合法权益,我国发布了一系列法律法规,要求企业积极应对网络安全事件,承担相应法律义务。
我们总结了下述表格,简要介绍主要法律法规针对企业应对网络安全事件应承担的法律义务的相关要求:
表1:企业应对网络安全事件应承担的法律义务小结
2
企业应对网络安全事件的路线图
如上表所述,《网安法》《应急预案》《工信部应急预案》《计算机安保条例》《等保要求》《个人信息安全规范》等法律法规及国家标准中,均对企业应对网络安全事件时应承担的法律义务进行了规制;可以看到,这些法律要求实际上同气连枝、互补互足,形成了一套网络安全事件应对体系。针对这一体系,我们建议,企业结合自身实际,参照相关法律要求,设计符合自身特点和需要的应对网络安全事件路线图。
为协助企业更好地规划网络安全事件路线图,我们谨提出如下建议:
(1)居安思危,事前做好防备工作
如无远虑,则有近忧。面对频繁发生的以勒索事件为代表的网络安全事件,我们建议企业将目光放长远,居安逸时思困局,提前做好应对安全事件的防备工作。
制度先行
制定网络安全事件应急预案及相关安全制度
结合《网安法》《应急预案》等法律法规的要求,我们建议企业在安全事件未发生时,提前做好预防准备工作,结合公司自身实际,制定针对网络安全事件的应急预案和相关安全制度。
我们理解,为确保网络安全事件应急预案能够发挥应有的效用,其内容至少应当包括:
组织体系和职责:结合企业组织架构和部门职能,预案应当明确承担网络安全事件监测预警、应急处理、事后处置等责任的部门和人员,同时也建议在应急预案中明确人力资源部门、公关部门、法务部门等企业支持部门的配合义务;
安全事件分级:《应急预案》和《工信部应急预案》等规制了网络安全事件的等级,建议公司参考自身业务内容,结合上述法律规定,对可能遭遇的安全事件分类、分级,从而针对不同类别、等级的安全事件采取不同的应对措施;
落实监测预警工作:建议企业建立适合自身实际的监测机制,采取合适的技术手段和工作方式,明确监测人员的职能并将责任落实到具体岗位;
建立应急响应机制:明确网络安全事件发生后,企业内部应急响应的流程和报告内容,以及向有关主管部门报告的流程、内容;
明确保障措施和奖惩制度:为确保网络安全事件应急预案能够落地实施,建议在预案中明确设备、技术资料、经费、人力支持等保障措施,同时明确奖惩制度。
防患未然
预防预警和宣传培训
有效的预防预警工作能够尽可能规避、降低网络安全事件风险。我们建议公司结合自身业务实际,评估遭遇网络安全事件的可能性,结合相关法律法规,做好预防预警工作。
具体来说,我们仅提供如下建议供企业参考:
监测预警:在监测预警工作中,建议企业注意三项要点,即1)对过去几年行业内发生的影响较大的安全事件应当引起特别注意,并在监测机制中有针对性的监测相关要素;2)建议监测机制侧重企业内部核心资产或核心运营机制的安全;3)明确监测到事故发生后的处理流程;
宣传培训:为了能够在安全事件发生时及时、有效的应对,在日常运营中树立安全意识是必不可少的,建议企业通过宣传培训,指导相关人员落实预防预警相关工作;
舆情监控:知己知彼,百战不殆。根据我们处理安全事件的经营,一些大型安全事件往往呈国际性、区域性的发展态势,因此,建议企业在预防预警工作中关注相关网络安全讯息,例如国际性或区域性网络安全事件及其拓展趋势。
未雨绸缪
安全事件的应急演练
“宜未雨而绸缪,毋临渴而掘井”,实操演练是检验安全事件防备工作是否到位的试金石。根据《工信部应急预案》等法律法规的要求,企业宜根据企业性质和自身实际需要进行针对网络安全事件的应急演练。就此,我们提出如下建议:
演练机制:难事作于易,大事作于细。为确保应急演练起到应有的效果,我们建议企业在演练机制中注意相关细节,即明确应急演练的参与人员、明确应急演练的针对对象、明确应急演练的方式;
协调机制:磨刀不误砍柴工,应急演练能够培养企业员工的安全意识,并训练员工高效、有序地应对安全事件,因此,建议企业协调应急演练与企业正常业务运营间的关系,确保应急演练能够顺利实行;
演练总结:我们建议企业记录应急演练过程,并就演练中暴露出的问题进行总结,形成相应的报告。一方面,上述安排能够提高企业应急演练的效率;另一方面,企业也可以将之作为对外宣传自身安全理念,以及应对主管机关相应安全检查的实证材料。
(2)临危不乱,妥善应对安全事件
安全事件往往突如其来,严重影响企业正常运营,易造成企业内部和用户群体的恐慌。我们建议按照内部应急预案的规定,有条理、有计划的处理安全事件,从法律义务的角度看,我们提请企业在处理下述事项时加以注意:
及时
应对网络安全事件
我们建议企业充分重视网络安全事件,谨慎判断其严重程度和可能造成的不利影响。在评估不利影响时,我们建议企业评估既有影响的同时,评估不利影响进一步加深的可能。
我们谨为公司提供下述一般性评估因素:
安全事件已经或可能造成的财产损失;
安全事件是否影响企业用户使用产品或服务;
安全事件是否涉及数据泄露特别是个人信息泄露;
当前阶段是否存在能够有效解决安全事件的补救措施。
进行调查评估后,我们建议企业根据安全事件的性质和严重程度采取应急响应措施,包括但不限于:
启动应急预案:立即启动网络安全事件应急预案,尽最大努力先恢复网络和系统运行,尽可能减少对用户和社会的影响。
采取技术措施、保留证据:及时处理漏洞、采取补救措施,如判断安全漏洞,断开影响安全的网络设备,断开与安全漏洞相连的网络连接,跟踪并锁定攻击方向,进行数据备份等。在采取技术措施同时,注意保留网络攻击、网络入侵或网络病毒的证据。
及时向主管机关及个人信息主体(如需)报送安全事件相关信息(具体分析如下)。
及时
向主管机关报告
结合《网安法》《应急预案》等法律法规的要求,我们建议公司结合网络安全事件的性质和影响,及时向主管机关报告,报告内容包括但不限于:
事件可能造成的影响;
已采取或将要采取的处置措施;
个人信息主体的类型、数量、内容、性质等总体情况(如涉及);
事件处置相关人员的联系方式
告知
受影响的用户
当网络安全事件发生时,结合《个人信息安全规范》,企业应视情况将安全事件相关信息及时告知受到影响的用户,告知方式包括但不限于邮件、信函、推送通知、短信、电话等。如果难以逐一告知用户,企业也可以采取合理、有效的方式发布与公众有关的警示信息。
我们理解,告知用户的内容可以包括:
网络安全事件的内容和影响;
已采取或将要采取的处置措施;
用户自主防范和降低风险的建议;
向用户提供的补救措施;
企业处理安全事件的联系人和联系方式。
(3)惩前毖后,吸取经验再出发
事不师古,往往就会重蹈覆辙。处理好网络安全事件后,及时的总结,进一步吸取经验教训,才能将企业锻造出铜墙铁壁,更好地应对未知的风险。
就此,我们对企业在安全事件处理完成后所应当做的工作提出下述建议:
调查事件原因并总结经验:及时调查安全事件的起因(包括直接原因和间接原因)、经过、责任,评估安全事件造成的不利影响和损失,总结突发事件防范和应急处置工作的经验教训,形成总结报告,提出处理意见和改进措施;
明确奖惩:如安全事件涉及企业内部人员违规操作,应当予以处罚;对安全事件处理过程中表现出色及不合格的工作人员,明确奖惩措施;
合理的对外沟通:塞翁失马,焉知非福。安全事件固然会对企业造成一定损失,但如果企业能够合理应对安全事件,对用户和社会展现其重信誉、负责任、有能力的企业形象,那么企业的声誉和知名度也可能不降反升。由此,我们建议企业以对用户、对社会负责任的态度应对安全事件,并在事件后通过合理的对外沟通,梳理企业负责任的社会形象。
以上,是我们根据协助企业应对网络安全事件的既有经验所规划的安全事件应对路线图。在网络安全问题日益突出的情况下,我们注意到,网络安全事件的类型呈多样化趋势,发生的频率日益升高,影响规模日益扩大。针对不同特点的网络安全事件,我们建议企业因时制宜、因地制宜,采用适合企业自身性质和业务特点的应对方案。如果遭遇突发情况,我们设有紧急情况应对通道(如下),将在第一时间协助企业制定应对方案,帮助企业渡过难关。
[1] 参考数据法盟发布的“易到用车被勒索巨额比特币的背后”。
网络安全事件紧急联系人:
宁宣凤律师
金杜律师事务所合规业务部负责合伙人
邮箱:susan.ning@cn.kwm.com
电话:+86 10 5878 5100
吴涵律师
金杜律师事务所合伙人
邮箱:wuhan@cn.kwm.com
感谢关注金杜研究院