欧美成人精品手机在线观看_69视频国产_动漫精品第一页_日韩中文字幕网 - 日本欧美一区二区

南方財經(jīng)全媒體 記者吳立洋 實習生吳峰 北京報道

近日，多個社交媒體以及安全技術(shù)社區(qū)均有用戶稱遭遇“.locked”后綴勒索病毒攻擊，計算機文件被病毒加密，用戶“中招”后，需支付0.2比特幣“贖金”（約2.7萬人民幣）解鎖。

據(jù)悉，本次遭遇勒索病毒攻擊的對象主要為CRM（Customer Relationship Management客戶關(guān)系管理系統(tǒng)）廠商，包含“用友”及旗下“暢捷通”等管理軟件。

事件發(fā)生后，暢捷通分別于8月29日和8月30日緊急發(fā)布安全補丁修復該漏洞。其在公告中表示，受到勒索病毒攻擊客戶的軟件服務器“為客戶自有部署方式，且未做必要的網(wǎng)絡安全防護。”

多位網(wǎng)絡安全業(yè)內(nèi)人士和律師在接受21世紀經(jīng)濟報道記者采訪時表示，對于采買軟件產(chǎn)品存在安全問題而導致經(jīng)濟損失的歸責和賠償問題，供應商和客戶通常會在采購合同中加以約定。按照目前的行業(yè)慣例，通常遭到第三方惡意攻擊時，供應商需按照故障處理盡快提供解決方案，但通常不會對相關(guān)損失承擔賠償責任。

安全損失誰之責

8月30日，國家信息安全漏洞共享平臺（CNVD）發(fā)布了關(guān)于暢捷通T+軟件存在任意文件上傳漏洞的安全公告。未經(jīng)身份認證的攻擊者可利用漏洞遠程上傳任意文件，獲取服務器控制權(quán)限。

公告還建議受影響的單位和用戶立即將所使用的暢捷通升級至最新版本，聯(lián)系暢捷通技術(shù)支持，采取刪除文件等臨時防范措施或確認是否具備從備份文件恢復數(shù)據(jù)的條件及操作方法。

一位遭到該勒索攻擊并被鎖定文件的暢捷通用戶向記者表示，目前除了以一個自稱暢捷通工作人員的賬號在自己的微博下方進行了回復，表示可以反饋至相應工作人員進行安全加固，此外未有任何官方人員與其進行聯(lián)系。

“相關(guān)文件找專門的第三方公司修復需要三四萬。”該網(wǎng)友表示。

上海申倫律師事務所律師夏海龍在接受南方財經(jīng)全媒體記者采訪時表示，如果用戶是因第三方惡意侵入系統(tǒng)而遭受損失，則一般應由入侵者承擔相關(guān)法律責任，判斷軟件服務商是否需要承擔責任取決于其是否存在過錯。

西安交通大學法學院助理教授王新雷也表示，根據(jù)《民法典》第一千一百六十五條規(guī)定，行為人因過錯侵害他人民事權(quán)益造成損害的，應當承擔侵權(quán)責任。

但他也指出，勒索軟件等網(wǎng)絡攻擊的法律責任類型很多，涉及民事責任、行政責任和刑事責任。如果網(wǎng)絡產(chǎn)品服務提供商提供的網(wǎng)絡產(chǎn)品服務不符合有關(guān)安全技術(shù)標準規(guī)范的，可以認為其對被侵權(quán)人的損害存在一定過錯，將可能相應的賠償責任。這個過程主要取決于網(wǎng)絡產(chǎn)品服務提供商、用戶是否嚴格遵守了網(wǎng)絡產(chǎn)品服務的安全義務。

根據(jù)我國《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》的規(guī)定，當軟件服務商發(fā)現(xiàn)旗下產(chǎn)品存在漏洞、存在安全風險時，應當立即采取補救措施，同時應當及時告知用戶并向有關(guān)主管部門報告。

夏海龍指出，如果軟件本身存在漏洞或入侵發(fā)生后服務商未及時采取補救措施，則軟件服務商應當承擔一定責任；如果系統(tǒng)遭受入侵是由于用戶未能妥善保管賬號、密碼而發(fā)生，則用戶就不能僅因此要求服務商承擔責任，而只能向侵入者追究責任。

“當發(fā)生網(wǎng)絡攻擊事件時，公安網(wǎng)絡安全部門不僅會去追查攻擊者，同時會依據(jù)《網(wǎng)絡安全法》第21條，對被攻擊者或者產(chǎn)品服務商履行網(wǎng)絡安全義務的情況進行檢查。”王新雷表示，檢查范圍主要為評估企業(yè)等相關(guān)方是否履行等級保護義務，如果存在違反網(wǎng)絡安全等級保護義務的，相關(guān)企業(yè)及其負責人均可能需要承擔行政責任甚至刑事責任。

不過多位網(wǎng)絡安全行業(yè)從業(yè)者告訴記者，當前在監(jiān)管要求不斷完善，企業(yè)合規(guī)意識提高的大背景下，在發(fā)生網(wǎng)絡安全問題時，正常履行相關(guān)安全義務的企業(yè)，除了向有關(guān)部門及時報告，只需要盡快進行漏洞修復，而不需要承擔民事賠償責任。

這也是當前行業(yè)內(nèi)的普遍做法。某南京網(wǎng)絡安全工程師告訴記者，目前服務商與客戶通常會在采購合同中寫明發(fā)生安全問題時雙方所需承擔的責任與義務，按照行業(yè)慣例，大部分情況下因網(wǎng)絡安全攻擊而造成的損失會被視作故障，服務商需要及時進行漏洞修復和處理，但無需對攻擊造成的損失進行賠償。

“作為軟件服務商，確實很難保證自己的產(chǎn)品完全沒有安全問題，就我所知，行業(yè)里也沒有進行賠償?shù)南壤！绷硪晃蛔鴺顺啥嫉木W(wǎng)安從業(yè)者向記者表示。

探索治理新框架

隨著數(shù)字經(jīng)濟的快速發(fā)展，網(wǎng)絡安全問題對社會生產(chǎn)生活的威脅愈發(fā)頻繁和嚴重，網(wǎng)絡安全的治理框架也在不斷完善中，一方面，以《網(wǎng)絡安全法》等“三法一條例”為代表的技術(shù)、監(jiān)管、標準制定等方面的法規(guī)和措施正不斷落地，另一方面，對于網(wǎng)絡安全問題前期防范、中期應對和后期處理的責任要求也在進一步細化。

去年7月，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部印發(fā)《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡產(chǎn)品提供者和網(wǎng)絡運營者是自身產(chǎn)品和系統(tǒng)漏洞的責任主體，要建立暢通的漏洞信息接收渠道，及時對漏洞進行驗證并完成漏洞修補。同時，《規(guī)定》還對網(wǎng)絡產(chǎn)品提供者提出了漏洞報送的具體時限要求，以及對產(chǎn)品用戶提供技術(shù)支持的義務。

王新雷指出，軟件服務商發(fā)現(xiàn)產(chǎn)品存在安全漏洞后，應當履行驗證和評估漏洞的危害程度和影響范圍、向工信部網(wǎng)絡安全威脅和漏洞信息共享平臺報送相關(guān)信息、及時組織對網(wǎng)絡產(chǎn)品安全漏洞進行修補三方面的義務。

同年11月，國家網(wǎng)信辦發(fā)布關(guān)于《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》公開征求意見的通知。該征求意見稿第四十四條規(guī)定，互聯(lián)網(wǎng)平臺運營者應當對接入其平臺的第三方產(chǎn)品和服務承擔數(shù)據(jù)安全管理責任，通過合同等形式明確第三方的數(shù)據(jù)安全責任義務，并督促第三方加強數(shù)據(jù)安全管理，采取必要的數(shù)據(jù)安全保護措施。第三方產(chǎn)品和服務對用戶造成損害的，用戶可以要求互聯(lián)網(wǎng)平臺運營者先行賠償。

王新雷表示，“三法一條例”等網(wǎng)絡安全法規(guī)注重行政監(jiān)管和公共利益，未來我國需要在“三法一條例”的基礎(chǔ)上，繼續(xù)建立健全配套法規(guī)，提高網(wǎng)絡安全法規(guī)的可操作性，更好地明確網(wǎng)絡空間利益相關(guān)方的責任邊界。

例如，在勒索軟件攻擊等場景中，通過專門法規(guī)、司法解釋等形式，明確攻擊者、網(wǎng)絡產(chǎn)品服務提供者和用戶的相應安全義務，依據(jù)不同過錯情形進行責任分配。

“我們還需要健全跨境網(wǎng)絡犯罪的合法偵查手段體系，并倡導和推進打擊跨境網(wǎng)絡犯罪的國際合作機制。”王新雷說。