國際在線消息(記者 姚毅婧)近期,因各種原因導致的網絡安全事故呈現頻發趨勢。繼支付寶因“光纖被挖斷”大規模服務中斷之后,攜程網也因故障“癱瘓”。坐擁數億用戶的大型互聯網公司、移動支付企業為何接連發生故障?又如何提升應對“突發事件”能力,保障用戶使用安全?業內專家對國際在線記者表示,正在興起的“互聯網+”背后亦存危機,互聯網發展背離基礎設施建設,一根光纜“絆倒”了互聯網巨頭;“法律約束力有限,監管急需加強,目前數據安全維權很難勝訴。”法律界人士也發乎相關呼吁。
5月28日11時許,攜程網癱瘓,網頁版和手機APP均不能正常使用,攜程網回復稱是服務器遭到不明攻擊所致,正在緊急恢復。當日下午,攜程官網在首頁頂部掛出“攜程網站暫時無法提供服務,正在緊急修復中,您可以訪問:藝龍旅行網”的通知。5月28日17點開始,藝龍旅行首頁網也無法正常訪問,半小時后才恢復正常。
對于事故原因,在攜程癱瘓事件發生不久之后,網上出現了內部員工離職報復、數據庫被物理刪除等傳言。但攜程官方表示,經技術排查,確認此次事件是由于員工錯誤操作導致,由于涉及的業務、應用及服務繁多,驗證應用與服務之間的功能是否正常運營,花了較長事件,攜程官網及APP已與28日23時29分全面恢復正常。
此外,5月27日下午,支付寶也出現大規模故障。據多個地區的網友用戶反映,支付寶賬號無法登錄,更無法進行轉付賬。與此同時,打開余額寶后,不能顯示余額,只能顯示網絡無法鏈接。隨后,支付寶在新浪微博回應稱:由于杭州市蕭山區某地光纖被挖斷,造成目前少部分用戶無法使用支付寶。
“互聯網+”背后藏危機
互聯網發展背離基礎設施建設
如今,互聯網已經深深地扎根進我們的生活,很多人出行都依靠攜程預訂行程。事實上,像攜程這樣的互聯網龍頭企業在不斷擴大自身市場份額的同時,它的社會責任也在擴大。“企業在忙于業務、忙于競爭,忙于“互聯網+”的時候,千萬不能忘記對安全問題的維護,因為一旦發生狀況,企業自身的安全問題就將會成為全社會的問題。”中國電子商務研究中心助理分析師沈云云呼吁。
中國電子商務研究中心特約研究員王吉偉直言,此次攜程以及支付寶安全事件,一方面暴露了中國互聯網安全的短板,另一方面,反映了互聯網企業對于企業內部運營這個工作重視度的不夠。
“互聯網安全不只是服務器軟環境上的防黑、防毒、防DDOS攻擊等手段,硬件安全同樣重要。這應該引起廣大互聯網企業以及通訊服務商企業的重視,應該有備用的應急處理措施,否則,一旦機房、通訊電纜等基礎通訊設備遭到破壞,就會讓整個企業受到影響,所造成的損失是不可估量的。事實上,這是互聯網行業蓬勃發展與基礎設施建設滯后的矛盾表現,體現在中小型企業上不會如此受關注,但是發生在大型企業身上就會成為矛盾焦點。”王吉偉說。
王吉偉稱,無論是因為運營人員的誤操作還是傳信那樣內部的人為攻擊,背后所表現出來的是運營上的不濟、運維人員的技術不夠、對安全的不夠重視和分工不明確,出事故找不到責任人等等情況,也是當前各互聯網企業的運營常態,這與廣大企業對于運營工作的理解不當以及企業內部組織管理架構的適配不當也有一定的關系。
沈云云認為,在互聯網企業不斷發展的同時,也頻繁地暴露出各種網絡安全事件,歸根結底,原因還是在于多數互聯網企業對網絡安全問題的漠視。攜程此次事件的發生,無論是企業內部的原因還是外部的惡意破壞,都折射出了攜程對數據安全管理上的“失職”。“企業數據管理一旦出現問題,尤其是像攜程這樣的領域前端企業,將會造成難以彌補的損失。”
法律約束力有限
數據安全維權難勝訴
攜程數據因被刪而癱瘓,支付寶因為施工挖斷電纜而停運,大數據、云時代遇到簡單的問題,最終卻網絡和信息都極其脆弱地失聯了。這顯示了網絡安全在互聯網時代至關重要,無論是技術上的安全還是法律規范上的保障,都缺一不可。
“此次攜程數據庫,記錄了大量的客戶信息,而支付寶更為嚴重,直接涉及到貨幣金融,好在是物理性斷網而非數據入侵。因此,國家有必要進一步加強立法打擊黑客等物理性破壞網絡的行為,保障網絡安全及用戶權益。”北京盈科律師事務所高級合伙人吳旭華律師呼吁。
吳旭華分析,雖然網絡的特性是去中心化,但是信息存儲必須通過一定的物理方式進行,因此去中心化的網絡形態反而成了黑客們自由馳騁、肆意破壞的擋箭牌。這在過程中,法律不能缺位,而且更加應當加強,尤其是目前網絡監管側重于內容,對技術性破壞囿于技術水平等因素尚無法進行全面懲處。
按照美國的法律,企業發生一次信息泄露事件就可能被罰得傾家蕩產。“根據我國法律對用戶隱私的侵權行為約束力有限,用戶維權、尋求民事賠償勝訴率不大,對損失評估難以確定金額,所以想要對隱私泄露的責任人追究還是非常困難的。雖然大規模信息泄露、數據安全事件頻出,卻從未見到企業負責人被問責。”遼寧亞太律師事務所董毅智律師稱。
究竟該誰為用戶數據安全負責?董毅智認為,按照現行法律,如果用戶信息泄露,企業是需要承擔一定的賠償責任的。因為公司與用戶之間具備合同關系,有保障用戶信息安全的義務。如果本次事故是內部人員所為,說明攜程網內部存在管理問題,沒有盡到安全管理責任,應承擔相應的民事責任,賠償用戶損失。如果本次事故是外部攻擊造成,需要具體分析攜程方面是否有采取基本的技術措施保障信息的安全來判定攜程是否存在過錯。
網路安全事件發生后,一個重要的問題就是,當企業發現數據泄露后該做什么,是否第一時間發出警報并采取措施直接體現了當事公司是否盡到了相關責任。在類似事件中,一些企業往往擔心自身名譽受損,對數據泄露抱著遮遮掩掩的態度,這種心態正是網絡攻擊者所期望的局面,也是攻擊者有恃無恐的原因之一。
網絡安全犯罪如何定罪量刑?北京志霖律師事務所趙占領律師表示,無論是內部人員所為還是外部攻擊,造成攜程本次網絡癱瘓的人員都涉嫌刑事犯罪。“違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,后果嚴重的,依照前款的規定處罰。故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,后果嚴重的,依照第一款的規定處罰。”
相關事件
攜程“漏洞門”
2014年3月22日,烏云安全漏洞平臺公布了關于“攜程安全支付日歷導致用戶銀行卡信息泄露”的相關信息。漏洞發現者指出,攜程由于服務器未做到嚴格的安全配置,包括持卡人姓名、身份證號、持卡類別、卡號、CVV碼等信息存在泄露可能,所有支付過程中的 調試信息面臨安全風險。該漏洞被曝出后,引發公眾擔憂。漏洞事件曝光后首個交易日,攜程股價也一度下跌近10%。
支付寶“宕機”90分鐘
2015年5月27日下午17時左右,支付寶出現在大規模故障。據多個地區的網友用戶反映,支付寶賬號無法登錄,更無法進行轉付賬。與此同時,打開余額寶后,不能顯示余額,只能顯示網絡無法鏈接。隨后,支付寶在新浪微博回應稱:由于杭州市蕭山區某地光纖被挖斷,造成目前少部分用戶無法使用支付寶,運營商以及工程師正在修復。
相關法律/法規
——《中華人民共和國刑法》第二百八十六條:
破壞計算機信息系統罪。違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,后果嚴重的,處五年以下有期徒刑或者拘役;后果特別嚴重的,處五年以上有期徒刑。違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,后果嚴重的,依照前款的規定處罰。故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,后果嚴重的,依照第一款的規定處罰。
——《網絡交易管理辦法》第十八條規定:
網絡商品經營者、有關服務經營者及其工作人員對收集的消費者個人信息或者經營者商業秘密的數據信息必須嚴格保密,不得泄露、出售或者非法向他人提供。網絡商品經營者、有關服務經營者應當采取技術措施和其他必要措施,確保信息安全,防止信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時,應當立即采取補救措施。
——《關于加強網絡信息保護的決定》:
網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。
[ 責任編輯:郭碧娟 ]
原稿件標題URL:
原稿件作者:
轉載編輯:郭碧娟
原稿件來源:國際在線
