发布日期:
“内网”非法外之地,数据安全防线岂能洞开?
你是否也认为将重要数据存放在“内网”就万无一失?
日前,国家网信办发布了近期网络安全、数据安全、个人信息保护相关执法典型案例。其中,湖南某科技股份有限公司数据存在泄露安全风险案发人深省。经查,该企业内网数据库存在未授权访问漏洞和弱口令漏洞,某软件研发工程师为工作便利,将合作项目中掌握的大量用户数据拷贝至企业内网数据库,并打开企业内网的公共互联网访问端口,导致内网数据库相关数据暴露在互联网上。
针对该起典型案例,本报邀请了贵州省律师协会大数据和信息化专业委员会委员、贵州鼎尊律师事务所律师何蕾就该起案例涉及到的法律问题进行剖析,为筑牢企业数据安全提出意见建议。
案例回顾:一次图方便操作引发的危机
网信部门在工作排查中发现,湖南某科技股份有限公司的内网数据库存在严重的数据泄露风险。具体问题如下:
1.漏洞长存。调查发现,该企业内网数据库长期存在未授权访问漏洞和弱口令漏洞。这好比家门的密码锁使用“123456”这样的简单密钥,任何人可以轻易推门而入。
2. 违规拷贝。该公司一名软件研发工程师为个人工作便利,擅自将在合作项目中掌握的大量用户数据拷贝至企业内网数据库中,该行为为后续安全事件埋下隐患。
3.内网破防。该工程师在拷贝数据后,擅自打开企业内网的公共互联网访问端口,直接导致本应被隔离保护的内网数据库及其中的敏感数据完全暴露在公共互联网。
经查,出现上述问题的根源在于:该公司未依法建立网络安全和数据安全管理制度,涉事系统未采取任何必要的技术措施以保障数据安全,最终导致数据泄露风险。据此,属地网信办认定其违反了《网络安全法》《数据安全法》《网络数据安全管理条例》等相关规定,依法对其作出责令改正、给予警告并处以罚款的行政处罚。
法律焦点解析:企业数据安全保护义务的“三重失守”
本案的典型性在于,暴露企业从管理到技术再到人员的全面失守,击中了当前许多企业在数据合规领域的软肋。
1.管理制度缺失。《网络安全法》第二十一条及《数据安全法》第二十七条明确要求,数据处理者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。该案反映出该公司处于一种无制度、无管理、无责任的状态。没有制度,员工无法确定行为边界;没有管理,安全漏洞无法被及时发现和补救;没有责任落实,员工难以建立风险意识。这种管理上的真空状态,是导致企业违法的首要原因。
2.技术措施缺位。《网络安全法》第十条及《网络数据安全管理条例》第九条要求网络数据处理者采取技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用。
该公司的技术缺陷体现为以下三方面:
(1)未授权访问漏洞:表明系统未实施严格的访问控制策略,身份认证机制缺失。
(2)弱口令漏洞:是最低级却最常见的安全隐患,体现了对基础安全规范的漠视。
(3)端口管理混乱:内网端口可被随意开启并映射至公网,说明网络边界安全防护措施失效。
3.人员管控失灵。
(1)权限管控缺失:一名研发工程师为何能轻易接触到大量用户数据且能拥有开启互联网端口的高权限?这反映了企业在数据分级分类和权限最小化原则上的重大缺失。员工不应拥有超越其职责范围的访问和操作权限。
(2)安全培训缺位:员工为工作便利而实施高风险操作,说明其严重缺乏数据安全风险意识,反映出企业未对员工进行有效的安全教育和培训。
风险警示:监管焦点前移
本次网信部门的处罚决定释放了明确信号,即使数据没有发生实际泄露,只要存在巨大的安全风险,企业同样需要承担法律责任,监管的焦点从事后补救前移到事前防护和事中监管,体现了数据安全的强监管态势。
对于涉事企业而言,此次行政处罚固然是直接损失,但更应看到背后的隐患,数据不安全的名声一旦传出,将严重打击客户和合作伙伴的信任,商业机会大幅减少,有违法记录的企业在后续融资、上市、参与政府项目时都可能遇到阻碍。若因本次漏洞导致用户数据泄露,企业还可能面临海量的用户民事索赔。
律师建议:筑牢企业数据安全的“三道防线”
要筑牢企业数据安全的管理防线。进行网络数据处理的企业应做到制度先行,制定企业内部有关网络安全管理办法、网络数据操作规范等核心制度;设立数据安全负责人和专门机构,明确各部门、各岗位的安全职责,做到责任明晰;对自身持有或进行处理的数据进行分类分级,并据此实施不同的管理标准。
要筑牢企业数据安全的技术防线。采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用。
要筑牢企业数据安全的人力防线。要定期对本单位有权限参与网络数据处理活动的员工进行数据安全法律培训,确保安全意识入脑入心;对研发、运维、数据分析等关键岗位人员进行背景审查和重点监控;建立奖惩机制,对违规操作进行严厉惩处,对安全模范进行奖励。
物理上的“内网”并非法外之地,因存在未授权访问漏洞、弱口令以及员工违规操作,导致大量用户数据暴露于互联网,该公司被网信部门依法处罚。此案暴露出大量企业对数据安全的忽视,也揭示了“内忧”往往比“外患”更可怕。
数字化时代,数据安全已成为企业生存与发展的生命线。法律已将数据安全保护义务明确规定为企业的法定责任,唯有将安全理念融入企业发展之本,企业才能在数据浪潮中行稳致远,真正赢得未来的竞争。
(来源:贵州省律师协会)
日前,国家网信办发布了近期网络安全、数据安全、个人信息保护相关执法典型案例。其中,湖南某科技股份有限公司数据存在泄露安全风险案发人深省。经查,该企业内网数据库存在未授权访问漏洞和弱口令漏洞,某软件研发工程师为工作便利,将合作项目中掌握的大量用户数据拷贝至企业内网数据库,并打开企业内网的公共互联网访问端口,导致内网数据库相关数据暴露在互联网上。
针对该起典型案例,本报邀请了贵州省律师协会大数据和信息化专业委员会委员、贵州鼎尊律师事务所律师何蕾就该起案例涉及到的法律问题进行剖析,为筑牢企业数据安全提出意见建议。
案例回顾:一次图方便操作引发的危机
网信部门在工作排查中发现,湖南某科技股份有限公司的内网数据库存在严重的数据泄露风险。具体问题如下:
1.漏洞长存。调查发现,该企业内网数据库长期存在未授权访问漏洞和弱口令漏洞。这好比家门的密码锁使用“123456”这样的简单密钥,任何人可以轻易推门而入。
2. 违规拷贝。该公司一名软件研发工程师为个人工作便利,擅自将在合作项目中掌握的大量用户数据拷贝至企业内网数据库中,该行为为后续安全事件埋下隐患。
3.内网破防。该工程师在拷贝数据后,擅自打开企业内网的公共互联网访问端口,直接导致本应被隔离保护的内网数据库及其中的敏感数据完全暴露在公共互联网。
经查,出现上述问题的根源在于:该公司未依法建立网络安全和数据安全管理制度,涉事系统未采取任何必要的技术措施以保障数据安全,最终导致数据泄露风险。据此,属地网信办认定其违反了《网络安全法》《数据安全法》《网络数据安全管理条例》等相关规定,依法对其作出责令改正、给予警告并处以罚款的行政处罚。
法律焦点解析:企业数据安全保护义务的“三重失守”
本案的典型性在于,暴露企业从管理到技术再到人员的全面失守,击中了当前许多企业在数据合规领域的软肋。
1.管理制度缺失。《网络安全法》第二十一条及《数据安全法》第二十七条明确要求,数据处理者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。该案反映出该公司处于一种无制度、无管理、无责任的状态。没有制度,员工无法确定行为边界;没有管理,安全漏洞无法被及时发现和补救;没有责任落实,员工难以建立风险意识。这种管理上的真空状态,是导致企业违法的首要原因。
2.技术措施缺位。《网络安全法》第十条及《网络数据安全管理条例》第九条要求网络数据处理者采取技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用。
该公司的技术缺陷体现为以下三方面:
(1)未授权访问漏洞:表明系统未实施严格的访问控制策略,身份认证机制缺失。
(2)弱口令漏洞:是最低级却最常见的安全隐患,体现了对基础安全规范的漠视。
(3)端口管理混乱:内网端口可被随意开启并映射至公网,说明网络边界安全防护措施失效。
3.人员管控失灵。
(1)权限管控缺失:一名研发工程师为何能轻易接触到大量用户数据且能拥有开启互联网端口的高权限?这反映了企业在数据分级分类和权限最小化原则上的重大缺失。员工不应拥有超越其职责范围的访问和操作权限。
(2)安全培训缺位:员工为工作便利而实施高风险操作,说明其严重缺乏数据安全风险意识,反映出企业未对员工进行有效的安全教育和培训。
风险警示:监管焦点前移
本次网信部门的处罚决定释放了明确信号,即使数据没有发生实际泄露,只要存在巨大的安全风险,企业同样需要承担法律责任,监管的焦点从事后补救前移到事前防护和事中监管,体现了数据安全的强监管态势。
对于涉事企业而言,此次行政处罚固然是直接损失,但更应看到背后的隐患,数据不安全的名声一旦传出,将严重打击客户和合作伙伴的信任,商业机会大幅减少,有违法记录的企业在后续融资、上市、参与政府项目时都可能遇到阻碍。若因本次漏洞导致用户数据泄露,企业还可能面临海量的用户民事索赔。
律师建议:筑牢企业数据安全的“三道防线”
要筑牢企业数据安全的管理防线。进行网络数据处理的企业应做到制度先行,制定企业内部有关网络安全管理办法、网络数据操作规范等核心制度;设立数据安全负责人和专门机构,明确各部门、各岗位的安全职责,做到责任明晰;对自身持有或进行处理的数据进行分类分级,并据此实施不同的管理标准。
要筑牢企业数据安全的技术防线。采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用。
要筑牢企业数据安全的人力防线。要定期对本单位有权限参与网络数据处理活动的员工进行数据安全法律培训,确保安全意识入脑入心;对研发、运维、数据分析等关键岗位人员进行背景审查和重点监控;建立奖惩机制,对违规操作进行严厉惩处,对安全模范进行奖励。
物理上的“内网”并非法外之地,因存在未授权访问漏洞、弱口令以及员工违规操作,导致大量用户数据暴露于互联网,该公司被网信部门依法处罚。此案暴露出大量企业对数据安全的忽视,也揭示了“内忧”往往比“外患”更可怕。
数字化时代,数据安全已成为企业生存与发展的生命线。法律已将数据安全保护义务明确规定为企业的法定责任,唯有将安全理念融入企业发展之本,企业才能在数据浪潮中行稳致远,真正赢得未来的竞争。
(来源:贵州省律师协会)
