近日,山东烟台公安网安部门查处一起网络安全案件:某机构门户网站遭不法分子网络攻击,网站内容被篡改并植入违法信息,严重扰乱网络空间秩序,造成不良社会影响。经查,此案暴露出信息系统供应链安全管理的典型漏洞,使用单位与第三方运维公司的双重失职是事件发生的核心原因。
一、案情还原:外包运维留隐患,主体责任未落实
公安网安部门接报后迅速开展调查,查明案件关键事实:
该机构将门户网站的建设与日常维护工作,全权委托给某第三方开发运维公司。但该运维公司在系统开发调试阶段,未落实基本网络安全防护措施,未及时修复已知系统漏洞,也未向委托方履行风险告知义务,直接将存在重大安全隐患的系统交付上线,为网络攻击埋下“定时炸弹”。
与此同时,该机构作为网络运营者,未依法履行网络安全主体责任:既未建立完善的网络安全管理制度,也未按网络安全等级保护制度要求部署必要的防护设施,对托管系统的安全状况长期失察失管,未能及时发现并堵塞安全漏洞,最终导致网站被非法入侵、内容被篡改。
关键提醒:供应链安全不能“一托了之”
此案是当前信息系统供应链安全管理缺位的典型缩影:使用单位将系统外包后“甩手掌柜”式管理,服务商只重交付、忽视后续安全保障的“交付即走”模式,导致双方均未履行法定安全义务,形成责任真空,最终酿成安全事件。
二、依法处置:双方均被责令限期改正
依据《中华人民共和国网络安全法》相关规定,烟台公安网安部门对涉事双方作出明确处理:
1.涉事机构:因未履行网络安全保护义务、未建立网络安全管理制度等行为,违反《中华人民共和国网络安全法》第二十一条、第五十九条第一款规定,被依法责令限期改正;
2.涉事第三方开发运维公司:因未采取必要安全措施、未按规定告知和报告系统风险等行为,违反《中华人民共和国网络安全法》第二十二条第一款、第六十条规定,被依法责令限期改正。
三、法律依据:网络安全责任有法可依
《中华人民共和国网络安全法》第二十一条规定:网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《中华人民共和国网络安全法》第二十二条第一款规定:网络产品、服务应当符合国家标准的强制要求,网络产品、服务的提供者不得设置恶意程序,发现其网络产品、服务存在安全缺陷、漏洞风险时,应当立即采取补救措施,并按照规定及时告知用户并向有关主管部门报告。
四、重要警示:系统可外包,责任不能外卸
烟台公安网安部门提醒:企业、机构在委托第三方进行网站建设、系统运维时,**系统可以外包,责任不能外卸**:
使用单位须切实履行网络安全主体责任,在合作合同中明确安全要求,将安全验收纳入项目交付核心环节,定期核查托管系统安全状况;
开发运维单位须依法保障所提供产品和服务的安全性,坚守“交付即安全、运维即负责”原则,及时修复安全漏洞,主动履行风险告知义务;
双方需共同承担安全责任,形成全流程安全管理闭环,才能筑牢信息系统供应链安全防线,避免类似网络安全事件发生。
35058302350743号
