本文来自微信公众号“安全学习那些事儿”。
2023年9月17日,近日,在公安部指导下,四川成都、乐山、凉山等地网安对某型网络设备WEB管理页面被攻击篡改案件开展“一案双查”,该网络设备产品服务商因未履行网络安全保护义务被依法调查。
案件情况:四川网安工作发现,成都、乐山、凉山等地某型网络设备WEB管理页面被攻击篡改,发布违法有害信息。属地网安迅速行动,组织精干力量连夜调查取证,火速取得关键线索,最终锁定了深藏幕后的犯罪嫌疑人。经审讯,犯罪嫌疑人利用该型网络设备固件存在的已知公开漏洞,在互联网实施远程扫描和漏洞利用,将未修补漏洞的设备WEB管理页面篡改为有害信息网页。目前,该案件正在进一步侦办中。
“一案双查”情况
为彻底消除网络安全隐患,成都、乐山、凉山网安启动“一案双查”程序,对该型网络设备产品服务商涉嫌未履行网络安全保护义务展开调查。经查,成都某科技有限公司作为该型网络设备的四川区域代理商,未履行网络安全保护义务,在已知所代理网络设备存在漏洞情况下,未采取必要的安全保护管理和技术措施,未及时将设备漏洞和补救措施告知用户,导致网络安全风险防范传导链条断裂,用户设备被漏洞利用攻击,并造成现实危害。目前,该公司已被依法予以行政处罚。
普法:《中华人民共和国网络安全法》第二十二条规定:网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网警提示:网络产品、服务的提供者包括生产商、各级代理商和经销商等,均具有为其产品、服务持续提供网络安全“售后服务”的法律义务:当发现网络安全漏洞等风险时,应第一时间采取发布升级补丁、升级指南、替代产品等补救措施,并及时告知用户。未履行以上网络安全保护义务属于违法行为。同时提醒网络产品、服务的使用者、消费者,应及时关注所使用产品、服务的官方安全公告,密切关注生产商、代理商、经销商的安全提醒,及时升级网络设备固件、更新软件系统补丁,提高网络安全水平,不给不法分子可乘之机。