热点追踪|企业遭黑客入侵后，报案反被行政警告处罚

今年4月，有两家企业遭遇境外黑客入侵，且被勒索用支付比特币来解密系统，宝安网警侦查发现，涉案公司存在大量的网络漏洞和安全问题，按照“净网2020专项行动”的要求启动“一案双查”，以不履行网络安全义务，违反《网络安全法》给予该两家公司行政警告处罚。 

经检测，发现公司存在以下网络安全问题：
1、网络服务器存在系统防火墙未开启；
2、远程连接未限制访问IP；
3、域控未配置安全密码策略等多个问题；
4、存储服务器数据的机房安全责任人，只是一名仅懂得计算机基本操作知识的保安员；
5、企业本身的安全防护网络，被第三方技术检测出几十个漏洞
6、违反《网络安全法》……
以上信息来源：南方都市报

 

以上事件，SGS信息及网络安全解决中心专家认为，对于以上企业遇到的网络安全事件，其主要原因在于：
1、缺乏必要的信息安全专业人员，且缺乏必要的信息安全培训；
2、信息安全意识薄弱；
3、信息安全管理制度不完善；
4、信息安全防护措施不完善等。

为防止此类事件，SGS信息及网络安全解决中心专家建议：
建议1：配备足够的、专业的信息安全技术人员，并给该类人员提供足够的信息安全专业知识培训，确保其信息安全保护相关的能力；
建议2：加强其其信息系统及网络权限的管控，及时删除离职人员或者不再使用的账号，防止因未授权的访问造成信息从内部泄密或者被破坏；
建议3：建立或完善信息安全管理制度，并根据实际情况不断完善及更新其管理制度，做好管理制度的落实工作。例如补丁更新及漏洞修复，信息备份等；
建议4：在企业内外网部署相关网络安全防护产品、入侵检测设备；
建议5：建立或完善信息安全事件管理制度，以确保快速、有效地响应信息安全事件，并在事件响应过程中，保存和保护相应的证据；
建议6：建立或完善信息安全连续性管理计划，并定期测试连续性计划的有效性，以降低突发信息安全事件对企业的影响；
建议7：定期通过技术手段，验证企业信息系统及网络的安全性，例如渗透性测试、漏洞扫描及修复等；
建议8：识别相关的信息安全法律、法规要求和合同要求，并满足其要求，以确保合规性；
建议9：定期开展企业内部信息安全意识培训，提高企业内部人员的信息安全意识。

如果企业有实施ISO/IEC 27001信息安全管理体系，或按照其中的要求进行信息安全管理，可以全部满足以上专家给出的几点建议，不仅能有效降低企业信息安全事件，还能在满足企业信息安全合规要求的同时减小企业损失。

以下列出SGS专家建议在ISO/IEC 27001:2013信息安全管理体系中的对应要求：

以上列出的仅仅是ISO/IEC 27001:2013要求中很小一部分，而其中完整包括了从A.5到A.18共14个安全域，114项安全控制措施的完整安全控制要求，企业如果能按照其中的要求管理自身的信息安全，则企业的信息安全管理将会提高到国际先进水平。不仅能提高企业商业竞争力，还能为企业的股东、合作伙伴、客户树立信息安全的信心。

作为国际公认的检验、鉴定、测试和认证机构，SGS致力于为各行各业提供企业优化服务，在信息安全和个人信息及隐私管理服务范围内，包括：
ISO/IEC 27001 信息安全管理体系
ISO/IEC 27701隐私信息管理体系
ISO/IEC 20000 IT服务管理体系
ISO/IEC 27017 云服务信息安全规范
ISO/IEC 27018 公共云个人信息（ PII）处理者的信息安全控制规范
ISO 22301 业务连续性管理体系
CSA STAR 云安全联盟云安全评估认证
GDPR相关的培训和认证服务。