南方財經(jīng)全媒體 記者吳立洋 實習(xí)生吳峰 北京報道
近日��,多個社交媒體以及安全技術(shù)社區(qū)均有用戶稱遭遇“.locked”后綴勒索病毒攻擊�����,計算機文件被病毒加密,用戶“中招”后�,需支付0.2比特幣“贖金”(約2.7萬人民幣)解鎖。
據(jù)悉�,本次遭遇勒索病毒攻擊的對象主要為CRM(Customer Relationship Management客戶關(guān)系管理系統(tǒng))廠商,包含“用友”及旗下“暢捷通”等管理軟件���。
事件發(fā)生后�,暢捷通分別于8月29日和8月30日緊急發(fā)布安全補丁修復(fù)該漏洞�。其在公告中表示,受到勒索病毒攻擊客戶的軟件服務(wù)器“為客戶自有部署方式,且未做必要的網(wǎng)絡(luò)安全防護���?�!?/p>
多位網(wǎng)絡(luò)安全業(yè)內(nèi)人士和律師在接受21世紀(jì)經(jīng)濟報道記者采訪時表示��,對于采買軟件產(chǎn)品存在安全問題而導(dǎo)致經(jīng)濟損失的歸責(zé)和賠償問題���,供應(yīng)商和客戶通常會在采購合同中加以約定。按照目前的行業(yè)慣例�����,通常遭到第三方惡意攻擊時���,供應(yīng)商需按照故障處理盡快提供解決方案����,但通常不會對相關(guān)損失承擔(dān)賠償責(zé)任����。
安全損失誰之責(zé)
8月30日,國家信息安全漏洞共享平臺(CNVD)發(fā)布了關(guān)于暢捷通T+軟件存在任意文件上傳漏洞的安全公告�����。未經(jīng)身份認(rèn)證的攻擊者可利用漏洞遠(yuǎn)程上傳任意文件,獲取服務(wù)器控制權(quán)限��。
公告還建議受影響的單位和用戶立即將所使用的暢捷通升級至最新版本�����,聯(lián)系暢捷通技術(shù)支持����,采取刪除文件等臨時防范措施或確認(rèn)是否具備從備份文件恢復(fù)數(shù)據(jù)的條件及操作方法。
一位遭到該勒索攻擊并被鎖定文件的暢捷通用戶向記者表示�����,目前除了以一個自稱暢捷通工作人員的賬號在自己的微博下方進行了回復(fù)����,表示可以反饋至相應(yīng)工作人員進行安全加固����,此外未有任何官方人員與其進行聯(lián)系。
“相關(guān)文件找專門的第三方公司修復(fù)需要三四萬�����。”該網(wǎng)友表示���。
上海申倫律師事務(wù)所律師夏海龍在接受南方財經(jīng)全媒體記者采訪時表示���,如果用戶是因第三方惡意侵入系統(tǒng)而遭受損失,則一般應(yīng)由入侵者承擔(dān)相關(guān)法律責(zé)任�����,判斷軟件服務(wù)商是否需要承擔(dān)責(zé)任取決于其是否存在過錯����。
西安交通大學(xué)法學(xué)院助理教授王新雷也表示,根據(jù)《民法典》第一千一百六十五條規(guī)定�,行為人因過錯侵害他人民事權(quán)益造成損害的,應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任���。
但他也指出���,勒索軟件等網(wǎng)絡(luò)攻擊的法律責(zé)任類型很多,涉及民事責(zé)任����、行政責(zé)任和刑事責(zé)任�����。如果網(wǎng)絡(luò)產(chǎn)品服務(wù)提供商提供的網(wǎng)絡(luò)產(chǎn)品服務(wù)不符合有關(guān)安全技術(shù)標(biāo)準(zhǔn)規(guī)范的��,可以認(rèn)為其對被侵權(quán)人的損害存在一定過錯�����,將可能相應(yīng)的賠償責(zé)任��。這個過程主要取決于網(wǎng)絡(luò)產(chǎn)品服務(wù)提供商�、用戶是否嚴(yán)格遵守了網(wǎng)絡(luò)產(chǎn)品服務(wù)的安全義務(wù)����。
根據(jù)我國《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的規(guī)定,當(dāng)軟件服務(wù)商發(fā)現(xiàn)旗下產(chǎn)品存在漏洞����、存在安全風(fēng)險時,應(yīng)當(dāng)立即采取補救措施�,同時應(yīng)當(dāng)及時告知用戶并向有關(guān)主管部門報告�。
夏海龍指出�����,如果軟件本身存在漏洞或入侵發(fā)生后服務(wù)商未及時采取補救措施���,則軟件服務(wù)商應(yīng)當(dāng)承擔(dān)一定責(zé)任;如果系統(tǒng)遭受入侵是由于用戶未能妥善保管賬號����、密碼而發(fā)生,則用戶就不能僅因此要求服務(wù)商承擔(dān)責(zé)任���,而只能向侵入者追究責(zé)任�。
“當(dāng)發(fā)生網(wǎng)絡(luò)攻擊事件時�,公安網(wǎng)絡(luò)安全部門不僅會去追查攻擊者,同時會依據(jù)《網(wǎng)絡(luò)安全法》第21條����,對被攻擊者或者產(chǎn)品服務(wù)商履行網(wǎng)絡(luò)安全義務(wù)的情況進行檢查?��!蓖跣吕妆硎?��,檢查范圍主要為評估企業(yè)等相關(guān)方是否履行等級保護義務(wù)�,如果存在違反網(wǎng)絡(luò)安全等級保護義務(wù)的�����,相關(guān)企業(yè)及其負(fù)責(zé)人均可能需要承擔(dān)行政責(zé)任甚至刑事責(zé)任����。
不過多位網(wǎng)絡(luò)安全行業(yè)從業(yè)者告訴記者,當(dāng)前在監(jiān)管要求不斷完善�����,企業(yè)合規(guī)意識提高的大背景下��,在發(fā)生網(wǎng)絡(luò)安全問題時���,正常履行相關(guān)安全義務(wù)的企業(yè)�,除了向有關(guān)部門及時報告�����,只需要盡快進行漏洞修復(fù)���,而不需要承擔(dān)民事賠償責(zé)任����。
這也是當(dāng)前行業(yè)內(nèi)的普遍做法��。某南京網(wǎng)絡(luò)安全工程師告訴記者��,目前服務(wù)商與客戶通常會在采購合同中寫明發(fā)生安全問題時雙方所需承擔(dān)的責(zé)任與義務(wù)�,按照行業(yè)慣例,大部分情況下因網(wǎng)絡(luò)安全攻擊而造成的損失會被視作故障��,服務(wù)商需要及時進行漏洞修復(fù)和處理�,但無需對攻擊造成的損失進行賠償。
“作為軟件服務(wù)商����,確實很難保證自己的產(chǎn)品完全沒有安全問題,就我所知�����,行業(yè)里也沒有進行賠償?shù)南壤?�?����!绷硪晃蛔鴺?biāo)成都的網(wǎng)安從業(yè)者向記者表示。
探索治理新框架
隨著數(shù)字經(jīng)濟的快速發(fā)展���,網(wǎng)絡(luò)安全問題對社會生產(chǎn)生活的威脅愈發(fā)頻繁和嚴(yán)重����,網(wǎng)絡(luò)安全的治理框架也在不斷完善中�,一方面,以《網(wǎng)絡(luò)安全法》等“三法一條例”為代表的技術(shù)��、監(jiān)管���、標(biāo)準(zhǔn)制定等方面的法規(guī)和措施正不斷落地�����,另一方面����,對于網(wǎng)絡(luò)安全問題前期防范�、中期應(yīng)對和后期處理的責(zé)任要求也在進一步細(xì)化。
去年7月�����,工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室�����、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》��,網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運營者是自身產(chǎn)品和系統(tǒng)漏洞的責(zé)任主體��,要建立暢通的漏洞信息接收渠道�����,及時對漏洞進行驗證并完成漏洞修補��。同時�,《規(guī)定》還對網(wǎng)絡(luò)產(chǎn)品提供者提出了漏洞報送的具體時限要求�����,以及對產(chǎn)品用戶提供技術(shù)支持的義務(wù)�����。
王新雷指出,軟件服務(wù)商發(fā)現(xiàn)產(chǎn)品存在安全漏洞后���,應(yīng)當(dāng)履行驗證和評估漏洞的危害程度和影響范圍���、向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)信息、及時組織對網(wǎng)絡(luò)產(chǎn)品安全漏洞進行修補三方面的義務(wù)�����。
同年11月����,國家網(wǎng)信辦發(fā)布關(guān)于《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》公開征求意見的通知。該征求意見稿第四十四條規(guī)定���,互聯(lián)網(wǎng)平臺運營者應(yīng)當(dāng)對接入其平臺的第三方產(chǎn)品和服務(wù)承擔(dān)數(shù)據(jù)安全管理責(zé)任�,通過合同等形式明確第三方的數(shù)據(jù)安全責(zé)任義務(wù)����,并督促第三方加強數(shù)據(jù)安全管理,采取必要的數(shù)據(jù)安全保護措施��。第三方產(chǎn)品和服務(wù)對用戶造成損害的��,用戶可以要求互聯(lián)網(wǎng)平臺運營者先行賠償。
王新雷表示��,“三法一條例”等網(wǎng)絡(luò)安全法規(guī)注重行政監(jiān)管和公共利益�����,未來我國需要在“三法一條例”的基礎(chǔ)上���,繼續(xù)建立健全配套法規(guī)��,提高網(wǎng)絡(luò)安全法規(guī)的可操作性�,更好地明確網(wǎng)絡(luò)空間利益相關(guān)方的責(zé)任邊界����。
例如���,在勒索軟件攻擊等場景中��,通過專門法規(guī)��、司法解釋等形式��,明確攻擊者��、網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者和用戶的相應(yīng)安全義務(wù)����,依據(jù)不同過錯情形進行責(zé)任分配。
“我們還需要健全跨境網(wǎng)絡(luò)犯罪的合法偵查手段體系��,并倡導(dǎo)和推進打擊跨境網(wǎng)絡(luò)犯罪的國際合作機制��?!蓖跣吕渍f。
400 186 1886
