近日,根据国家网信办移交的问题线索,在宁波市网信办的全流程指导下,鄞州区网信办依法对宁波某科技有限公司未履行数据安全保护义务的问题进行立案调查。
经查明,当事人承包了某化工企业的业务信息系统(包括网络视频监控系统),2024年11月17日至11月19日(在建中交付前),由于当事人存在未落实网络安全等级保护制度、未建立健全全流程数据安全管理制度、未采取有效的技术措施和其他必要措施保障数据安全、未在开展数据处理活动时加强数据安全缺陷、漏洞等风险监测等未履行数据安全保护义务的违法行为,导致其所属的用于存储化工厂区安全智能管控平台重大危险源监控视频数据网络资产(网络摄像机),多次被美国、韩国、新加坡等境外势力利用弱口令漏洞获取监控视频数据,违反了《数据安全法》第二十七条的规定。
鄞州区网信办依据《数据安全法》《行政处罚法》等法律法规,对宁波某科技有限公司作出责令改正,给予警告,并处五万元罚款的行政处罚,对直接主管人员处以一万元罚款的行政处罚。此案为全市网信系统首次采用说理性执法文书的行政处罚案件。
下一步,宁波市网信系统将持续加大执法力度,严肃查处数据安全、个人信息保护、网络安全等领域违法违规行为。同时在此提醒,相关企业应严格遵守互联网法律法规,牢固树立合规意识,规范数据处理行为,完善数据安全防护技术措施,严格履行主体责任,切实维护网络(数据)安全。
短评:谨防在建业务平台系统成为网络安全“大堤”中的“蚁穴”
随着网络空间与实体社会深度交融,数字化智能化程度不断加深,越来越多的企事业单位委托第三方科技公司建设业务平台系统,建成交付后的网络(数据)安全较受重视,但在建交付前的网络安全易被忽视。本案中的化工厂区业务平台系统,正是一个十分典型的案例。
“网络无边,安全有界。联网之日,责任在肩。”当前境外势力对我国的网络攻击不断加剧,网络(数据)安全面临着较大的压力。化工是事关国计民生的重点行业,其网络(数据)安全直接影响到国家安全、经济安全、技术安全。第三方科技公司在建中的业务信息系统虽然尚未正式交付给企事业单位,但在联网之日起,网络(数据)安全的责任便已自然产生,建设主体要切实有效履行网络(数据)安全保护义务,切勿疏忽大意,怀有侥幸心理,全力筑牢网络安全“大堤”,消除“大堤”中的“蚁穴”。
来源:鄞州区网信办
画外音:其实,通过这个案例,我们可以探讨一下有关信息化实施过程中的安全问题,这里涉及到未验收的项目,谁来负网络安全责问题。其实,这个问题我在几年前,与一位监管部门的领导聊过,不过当时还没有公开的案例供我参考,去开展有关探讨的素材不足。也可以说是一语成谶,真实情况是这类案例很多,只是因以往监测手段和能力等各方面原因,一方面是缺少发现的能力;二方面是责任单位就算是有能力发现,不敢向监管部门上报。后面我将结合本案例,依据网络安全法律法规,将我几年前的思路做一点粗浅的探讨,有兴趣的朋友可以关注后续公众号内容。
—欢迎关注—
