网站遭到攻击,发布大量涉黄招嫖类违法有害信息,入侵网站的不法分子固然可恨,但网站运营者没有履行网络安全保护义务也难辞其咎。昨天,记者从海门市公安局获悉,这起非法控制计算机信息系统案件中,海门警方在抓获黑客的同时,对企业和网站管理方分别作出责令限期整改,并处警告的行政处罚。
5月17日,海门市公安局网安大队民警在巡查中发现,当地企业网站上出现大量涉黄招嫖类违法信息,于是立即开展调查。在前期大量工作的基础上,6月22日,民警在江西新建将涉嫌非法控制计算机信息系统的犯罪嫌疑人刘某抓获。经查,刘某为非法牟利,通过网站漏洞恶意攻击并植入后门程序,非法控制网站服务器900余台。目前,刘某已被海门警方依法刑事拘留。
案件办理过程中,海门警方启动了“一案双查”机制,发现涉事企业作为网站所有者,由于没有网站技术管理能力,将网站外包给一家商务公司进行网站运维。运维商虽然对网站采取了一些技术防护,并进行了备案,却没有建立网络安全应急预案,也没有落实相应的巡查、处置义务,不仅没能发现网站漏洞,甚至被植入后门程序和受到网络攻击、网站发布大量违法有害信息,也没有及时发现、上报。根据《中华人民共和国网络安全法》第二十五条、五十九条规定,海门市公安局依法对两家单位分别作出责令限期整改,并处警告的行政处罚。
“为了图省心,没想到还要被处罚。”网站所属企业负责人说,自以为把网站托管到第三方就没有了责任。
“这不是个例,很多企业和单位存在这种情况,其实系统托管后安全第一责任主体还是自己。”海门市公安局网安大队大队长成永辉说,网站及各类系统不随着部署位置的变化而发生安全责任主体的变化,网络的所有者、管理者和网络服务提供者,都必须提高网络安全防范意识,依法严格落实网络安全防护,确保网络与信息系统安全运行。
法律规定,网络运营者应加强自身网络安全防护,防止不法分子入侵网站并上传违法犯罪信息的链接,及时发现、阻止违法犯罪信息的传播,认真组织开展清理,同时积极配合公安机关开展调查取证等工作。“净网2019”专项行动开展以来,海门警方通过“一案双查”,已查处未履行网络安全义务案件57起。