企业遭遇黑客入侵且被勒索,报案后被处行政警告处罚,到底冤不冤?
今年4月,有两家企业遭遇境外黑客入侵,且被勒索用支付比特币来解密系统,宝安网警侦查发现,涉案公司存在大量的网络漏洞和安全问题,按照“净网2020专项行动”的要求启动“一案双查”,以不履行网络安全义务,违反《网络安全法》给予该两家公司行政警告处罚。
经检测,发现公司存在以下网络安全问题:
1、网络服务器存在系统防火墙未开启;
2、远程连接未限制访问IP;
3、域控未配置安全密码策略等多个问题;
4、存储服务器数据的机房安全责任人,只是一名仅懂得计算机基本操作知识的保安员;
5、企业本身的安全防护网络,被第三方技术检测出几十个漏洞
6、违反《网络安全法》……
以上信息来源:南方都市报
以上事件,SGS信息及网络安全解决中心专家认为,对于以上企业遇到的网络安全事件,其主要原因在于:
1、缺乏必要的信息安全专业人员,且缺乏必要的信息安全培训;
2、信息安全意识薄弱;
3、信息安全管理制度不完善;
4、信息安全防护措施不完善等。
为防止此类事件,SGS信息及网络安全解决中心专家建议:
建议1:配备足够的、专业的信息安全技术人员,并给该类人员提供足够的信息安全专业知识培训,确保其信息安全保护相关的能力;
建议2:加强其其信息系统及网络权限的管控,及时删除离职人员或者不再使用的账号,防止因未授权的访问造成信息从内部泄密或者被破坏;
建议3:建立或完善信息安全管理制度,并根据实际情况不断完善及更新其管理制度,做好管理制度的落实工作。例如补丁更新及漏洞修复,信息备份等;
建议4:在企业内外网部署相关网络安全防护产品、入侵检测设备;
建议5:建立或完善信息安全事件管理制度,以确保快速、有效地响应信息安全事件,并在事件响应过程中,保存和保护相应的证据;
建议6:建立或完善信息安全连续性管理计划,并定期测试连续性计划的有效性,以降低突发信息安全事件对企业的影响;
建议7:定期通过技术手段,验证企业信息系统及网络的安全性,例如渗透性测试、漏洞扫描及修复等;
建议8:识别相关的信息安全法律、法规要求和合同要求,并满足其要求,以确保合规性;
建议9:定期开展企业内部信息安全意识培训,提高企业内部人员的信息安全意识。
如果企业有实施ISO/IEC 27001信息安全管理体系,或按照其中的要求进行信息安全管理,可以全部满足以上专家给出的几点建议,不仅能有效降低企业信息安全事件,还能在满足企业信息安全合规要求的同时减小企业损失。
以下列出SGS专家建议在ISO/IEC 27001:2013信息安全管理体系中的对应要求:
以上列出的仅仅是ISO/IEC 27001:2013要求中很小一部分,而其中完整包括了从A.5到A.18共14个安全域,114项安全控制措施的完整安全控制要求,企业如果能按照其中的要求管理自身的信息安全,则企业的信息安全管理将会提高到国际先进水平。不仅能提高企业商业竞争力,还能为企业的股东、合作伙伴、客户树立信息安全的信心。
作为国际公认的检验、鉴定、测试和认证机构,SGS致力于为各行各业提供企业优化服务,在信息安全和个人信息及隐私管理服务范围内,包括:
ISO/IEC 27001 信息安全管理体系
ISO/IEC 27701隐私信息管理体系
ISO/IEC 20000 IT服务管理体系
ISO/IEC 27017 云服务信息安全规范
ISO/IEC 27018 公共云个人信息( PII)处理者的信息安全控制规范
ISO 22301 业务连续性管理体系
CSA STAR 云安全联盟云安全评估认证
GDPR相关的培训和认证服务。
