滴滴出行遭国家网络安全审查,对“关基”运营者有何启示?
时间:2021-07-09 作者:安帝科技
互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。
——2016年4月19日习近平在网络安全和信息化工作座谈会上的讲话
2021年7月2日,网络安全审查办公室发布关于对“滴滴出行”启动网络安全审查的公告。依据公告,审查期间“滴滴出行”停止新用户注册。7月4日,“滴滴出行”因App存在严重违法违规收集使用个人信息问题,被国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定下架。7月5日,网络安全审查办公室再次发文,对”运满满”、“货车帮”、“BOSS直聘”启动网络安全审查。近期国家网信办密集对互联网企业进行公开网络安全审查,引起业界极大关注。
自2020年4月正式颁布以来,《网络安全审查办法》一直是悬在关键信息基础设施运营者头上的达摩克里斯之剑,此次对滴滴出行的网络安全审查,也是《网络安全审查办法》在2020年6月1日生效后的首次公开适用。根据《网络安全法》,关键信息基础设施的运营者未按照要求进行网络安全审查,将面临停止使用、最高采购金额10倍、责任人员最高10万元的罚款,此次“滴滴事件”也再次为关键信息基础设施运营者敲响了警钟。在此,安帝科技带领大家简单回顾一下《网络安全审查办法》(以下简称《办法》)相关要点:
回顾一《办法》适用主体
《网络安全审查办法》。根据《办法》第二条,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。从文义上讲,将适用范围聚焦于关键信息基础设施运营者,“关键信息基础设施运营者”即指运营“关键信息基础设施”的企业。按照《网络安全法》以及《关键信息基础设施安全保护条例(征求意见稿)》,“关键信息基础设施”是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。并且在2016年6月,中央网络安全和信息化领导小组办公室发布的《国家网络安全检查操作指南》第3.2条有明确指出关键信息基础设施判定的三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能对造成国家安全、国计民生、公共利益造成损害的程度。同时,根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当考虑申报网络安全审查。
回顾二网络安全审查工作的启动方式
根据《网络安全审查办法》,网络安全审查程序的启动需要满足若干条件:
《办法》中规定两类可启动网络安全审查的方式:第一类:由关键信息基础设施运营者自我预判。关键信息基础设施运营者在采购网络产品和服务时,通过自我预判认为所采购的产品和服务在投入使用后影响或者可能影响国家安全的,在制作安全风险报告后,向网络安全审查办公室进行申报,进入政府审查程序。第二类:由网络安全审查工作机制成员单位依法启动。当网络安全审查工作机制成员单位认为关键信息基础设施运营者在采购对网络产品和服务投入使用时影响或可能影响国家安全的,网络安全审查办公室按照程序报中央网络安全和信息化委员会批准,启动审查程序。”对于关键信息基础设施运营者或者网络安全审查工作机制成员单位判断产品和服务可能影响或可能影响到国家安全的的维度与因素,《办法》中提出了如下角度:
1)网络产品和服务的使用是否会对关键信息基础设施产生不良影响,包括该网络产品的使用是否可能导致关键信息基础设施被非法控制、干扰、破坏,以及导致重要数据被窃取、泄露、毁损等;2)网络产品和服务的供应中断是否会影响关键信息基础设施业务的连续性;3)产品和服务本身是否具有安全性、开放性、透明性和来源的多样性和可靠性,是否可能导致供应中断;4)产品和服务提供者是否遵守中国法律、行政法规及部门规章;5)其他可能危害关键信息基础设施安全和国家安全的因素。
回顾三《办法》审查主体
根据《办法》第四条,“网络安全审查工作机制成员单位”应当包括所有发文机构,除国家互联网信息办公室外,另有国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局等11个国务院组成部门或直属机构共同建立网络安全审查工作机制。
从机构职能的角度,此次“滴滴事件”发布通告的网络安全审查办公室设在国家互联网信息办公室下,负责制定网络安全审查相关制度规范,组织网络安全审查,具体工作委托中国网络安全审查技术与认证中心承担。
工业企业应该从滴滴被审查事件中吸取几点经验:
关键信息基础设施运营者应积极落实网络安全的主体责任
没有网络安全就没有国家安全,就没有经济社会稳定运行。工业企业要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。工业企业作为国家关键基础设施运营者,应积极履行《网络安全法》、网络安全等级保护、关键基础设施等安全保护义务,严格按照《网络安全法》《网络安全审查办法》的要求,立即开展自身的合规审查工作,全面排查准备采购和已经使用的网络产品和服务,及时做出安排与调整,积极面对网络安全审查。在当前工控信息安全事件高发,国际政治、经济形势复杂多变的情况下,加强工业控制领域关键技术和产品的信息安全认证和审查,对于提高安全性和可控性具有重要意义。
关键信息基础设施运营者应提高对数据安全重要性的认识
工业互联网、大数据、云计算、物联网等技术和应用高速发展,新技术在为人们生活带来便利的同时,跨域数据流动、用户数据泄露等问题,也受到广泛关注。随着工业互联网的迅速兴起、发展,业务生态方面不断丰富,海量工业数据生成、汇聚、融合,在释放工业数据价值的同时也带来了巨大的数据安全风险。工业企业在生产运营过程中产生的大量数据通过大数据分析能够反映出我国整体经济运行情况等涉及国家秘密的信息,对总体国家安全构成重大安全威胁。工业企业的所有经营行为,都必须受到国家安全法、网络安全法、数据安全法这三部法律为纲的立体法律框架体系的规范。因此,工业企业应具有前瞻性,调整自己的经营和管理理念,甚至重塑自身业务模式。这不但能够预防很多行政甚至刑事处罚风险,而且某种程度上来说,合规能够成为企业的最大竞争力。
关键信息基础设施运营者需要积极防控工业网络安全风险。
随着工业互联网以及工业4.0等概念的提出,我国制造业紧紧抓住新的机遇,加快数字化转型发展,作为制造业至关重要的一部分,工业自动化控制同样迎来了广阔的市场发展机遇。纵观我国工业控制系统产品的应用情况可以发现,目前国外主流厂商占据了SCADA、DCS等关键系统设备的大部分市场份额,在高端应用领域更是处于垄断地位,国产可替代产品在数量和产品功能、质量上均与进口产品存在着较大的差距,工业控制系统的信息安全管控总体受制于人。面对日益严峻的网络安全形势,开展严格的安全审查防堵安全漏洞和隐患,是现阶段防范安全风险的适时之举,工业企业用户应正确理解《办法》对我国关键信息基础设施的重要性。关键基础设施运营者在依据国家、行业标准规范进行信息安全建设的同时,也应重点关注所采购的产品和服务在投入使用后,是否会对关键基础设施的网络造成破坏、攻击或产生数据泄漏的隐患;是否可能造成国家支柱企业、关键产业经济业务不连续或者供应链中断,以及产品服务本身是否可靠,是否因其存在脆弱性、可攻击性、有限供应进而对整个关键信息基础设施的安全和稳定造成影响。
对于关键信息基础设施运营者来说,一、可以制定本企业的预判指南,以更好地帮助管理者把握风险预测的尺度,不贻误申报审查的适当时机。二、应构建多部门协同配合的组织体系,为关键系统设备上线运行及服务采购设立严格的安全门槛。三、建立网络安全产品和服务安全风险预判机制,从识别威胁、化解风险的角度,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。
总结
没有网络安全就没有国家安全,就没有经济社会稳定运行。工业企业要树立正确的网络安全观,提高网络安全、数据安全防护意识,加强关键信息基础设施的网络安全防护,建立网络安全审查制度,提高网络安全事件应急指挥能力。