据“公安部网安局”微信公众号消息,今年以来,北京市公安局网安部门大力加强网络秩序清理(lǐ)整顿,积极开展网络安全检查,对多(duō)家单位因不履行网络安全保护义務(wù)而被依法处罚。
数据泄漏
今年以来,北京市公安局网安部门加大力度整顿网络秩序,积极检查网络安全情况。因為(wèi)19.1GB的公民(mín)信息和技术等数据泄漏问题,昌平某生物(wù)技术有(yǒu)限公司遭受到了处罚。据昌平區(qū)网安部门报告,该公司委托的一家软件公司开发的“基因外显子数据分(fēn)析系统”内含有(yǒu)大量敏感信息,但未能(néng)妥善保护,导致数据泄露。
经过初步检查,发现该软件公司在系统开发和互联网测试阶段存在严重的数据安全问题。数据没有(yǒu)经过加密,缺乏必要的安全保护措施,未履行数据安全保护义務(wù)。
基于《中华人民(mín)共和國(guó)数据安全法》第四十五条**款的规定,北京市公安局昌平分(fēn)局决定对该公司给予警告并处以五万元的罚款。
弱密码账户
2023年7月13日,朝阳區(qū)网安部门进行检查发现,朝阳某教育公司的数据已经泄漏到境外非法网站。该公司一个客户关系管理(lǐ)系统中存储的员工账户及其对应的客户姓名、手机号码、下单时间、成交金额等超过12万条信息被泄漏。
现场检查发现,该公司的技术人员在系统测试过程中,将拥有(yǒu)权限的测试账户设為(wèi)了弱密码。而且在系统正式使用(yòng)后,这些测试账户并未被清空或删除处理(lǐ)。
由于该公司未建立健全的数据安全管理(lǐ)制度和操作规程,系统未进行网络安全评估,而且这些弱密码账户被黑客攻破,导致大量公民(mín)个人信息被盗取泄漏。该公司涉嫌违反《中华人民(mín)共和國(guó)数据安全法》第二十七条之规定。北京市公安局朝阳分(fēn)局决定对该公司罚款五万元的行政处罚。
密码破解
2023年8月1日,一境外论坛发布题為(wèi)“某教育站点教70多(duō)万订单信息”的帖文(wén),疑似北京某教育公司发生数据泄露,针对此情况,海淀网安部门立即展开核查处置工作。
经调查,该公司教務(wù)排课系统在账户密码传输前未进行加密传输,存在账户密码被破解的可(kě)能(néng)性。黑客可(kě)以通过暴力破解手段获取账户密码,进而访问并导出大量后台数据,导致数据泄露。
该公司未建立全流程数据安全管理(lǐ)制度,未落实网络安全等级保护制度,未履行数据安全保护义務(wù),违反了《中华人民(mín)共和國(guó)数据安全法》第二十七条和第四十五条的规定。北京市公安局海淀分(fēn)局对该公司处以罚款五万元的行政处罚,并对直接负责的主管人员处以罚款一万元的行政处罚。
网站篡改
2023年9月14日,房山(shān)网安部门在对某科(kē)技公司进行检查时发现,该公司的网站网页源代码已被篡改,导致网站链接跳转到境外赌博网站,可(kě)能(néng)引发网络赌博或网络诈骗案件。
经过调查,发现该科(kē)技公司没有(yǒu)建立管理(lǐ)制度,也没有(yǒu)定期进行漏洞扫描,未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施,使得网站的前端源代码泄漏,导致网站内容被篡改,这违反了《中华人民(mín)共和國(guó)网络安全法》第二十一条的规定,属于不履行网络安全保护义務(wù)的行為(wèi)。北京市公安局房山(shān)分(fēn)局对该网站的运营者责令改正,并给予警告处罚。
延伸:
中华人民(mín)共和國(guó)网络安全法
第二十一条
國(guó)家实行网络安全等级保护制度。网络运营者必须按照网络安全等级保护制度的规定,执行以下安全保护职责,以确保网络免受干扰、破坏或未经授权访问,并防止网络数据泄露、窃取和篡改等问题。
中國(guó)数据安全法
第27条
进行数据处理(lǐ)活动时,应依据法律及法规规定,建立完整的数据安全管理(lǐ)制度,实施数据安全教育培训,采取必要的技术及其他(tā)措施,确保数据的安全。进行互联网和其他(tā)信息网络数据处理(lǐ)活动时,应在网络安全等级保护制度的基础上,履行上述数据安全保护职责。对重要数据的处理(lǐ)者应指定明确的数据安全负责人及管理(lǐ)机构,落实数据安全责任。
【网警提示】
网络运营者需要切实履行网络安全保护职责,维护网络和数据安全。没有(yǒu)网络安全就没有(yǒu)國(guó)家安全。
