關於鼓勵政企單位上報網路攻擊事件的提案
全國政協委員、360集團董事長兼CEO周鴻祎
網路攻擊具有極強的隱蔽性和突發性。政企單位及時上報網路攻擊事件對於早期發現、追蹤溯源和防止攻擊範圍及危害進一步擴大,保障國家網路安全具有重大價值和意義。習總書記在4.19網信工作座談會上指出,我們存在“誰進來了不知道、是敵是友不知道、幹了什麼不知道”的情況,指出了我們對網路攻擊情況不掌握、不了解、不全面的問題。去年《網路安全法》實施以來,隨著有關部門監管力度的加大,政企單位在應對網路攻擊和事件通報方面取得了積極進展,一些單位積極配合監管部門開展網路攻擊事件追蹤調查和犯罪打擊,效果良好。但從現實情況看,政企單位上報網路攻擊事件還存在一些問題亟待解決:
1. 遭受網路攻擊時不願及時上報。《網路安全法》規定了網路運營者因網路安全事件,發生突發事件或者生産安全事故的,應當依照國家有關法律、行政法規進行處置。由於擔心承擔法律責任,有些政企單位遭受網路攻擊後,往往傾向於掩蓋和隱瞞。這使得許多網路攻擊難以及早發現和防範。有關部門因此錯失了對網路重大攻擊追蹤溯源和預警通報的有利時機,攻擊者可以繼續潛伏或實施二次攻擊,造成更大危害。
2. 缺乏鼓勵上報措施。《網路安全法》第六章規定了網路運營者應當承擔的法律責任。對網路安全事故進行監管追責是完全應該的,但是對政企單位主動及時上報遭受網路攻擊資訊卻沒有激勵或酌情減免責任條款。由於電腦系統的天然缺陷,任何網路系統都可能被攻破是一個現實。對防範措施沒有做到位而發生的網路攻擊事件應當界定為責任事故並追責,但面對超出當前防禦能力的網路攻擊,即使所有防護手段都做到位了,系統依然能被攻破,需要有責任減免的考量。部分政企單位在遭受網路攻擊時,既擔心單位名譽受損、用戶流失、收入下降,又擔心受到上級監管部門的嚴厲處罰。如沒有相應鼓勵措施,主動上報的積極性很難有所提高。
從國內外網路安全實踐來看,及時上報網路攻擊事件,是國家應對網路威脅,提高網路安全防護水準的重要途徑。建議:
一、出臺鼓勵網路攻擊事件上報的相關政策。建議在現有《網路安全法》基礎上進行細化補充,出臺鼓勵政企單位上報網路攻擊資訊的政策法規。既然世界上不存在無法攻破的網路,就接受現實,把快速發現網路攻擊、快速處置減少損失當作應對策略。同時對網路攻擊事件應進行分級分類監管。比如,對沒有採取相應安全措施的,嚴肅追責。對遭受國家級網路攻擊的,可以視情減免責任。此外,對主動及時上報事件和積極應急處置的單位,給予酌情減免責任和處罰的機會,並幫助其安全整改。
二、規範網路攻擊事件上報流程。對政企單位上報網路攻擊事件的具體流程和方法進行規範,形成可操作的實施細則,明確受報主體、上報時限,採取書面報告、當面彙報、技術介面等方式,主要上報攻擊事件發生時間、造成的危害、處置應對情況和後續風險評估等內容。
三、加大對知情不報企業查處懲戒力度。政企單位負有向主管部門主動及時上報網路攻擊事件的義務,並承擔相應法律責任。建議有關部門不斷完善網路安全監管技術手段,加大網路執法力度,對知情不報、銷毀證據、有意隱瞞、歪曲事實的相關單位予以嚴肅查處。
四、鼓勵政企單位選用網路安全企業專業服務。當前許多政企單位缺乏應對網路威脅的能力,一旦遭受網路攻擊,難以研判攻擊狀況。應鼓勵政企單位積極選用網路安全企業的監測預警、應急處置、攻擊取證服務。在發生網路攻擊時,及時向監管部門提供相關證據和解釋説明,防止被錯判、誤判。
(責任編輯:李春暉)