一、背景
在2021年的《政府工作报告》中,李克强总理提出要加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型。在数字化发展的过程中,伴随着效率的提升,网络安全风险的敞口也不断增大。而在各种网络安全风险中,勒索软件已经成为最为严重的威胁之一,甚至会直接危害人身安全。2020年9月德国杜塞尔多夫大学医院遭受勒索软件攻击,一名患者被转移至附近的其他医院后不幸身亡。勒索所造成的危害已经无法忽视。
勒索软件(“ransomware”)也被称为勒索病毒,通常的运作模式是进入系统后对系统内数据进行加密,直接导致系统中数据无法正常使用,并要求在指定期限内支付赎金。赎金通常会要求以比特币等加密货币的形式支付。勒索软件不仅针对企业,也会针对政府部门与事业单位展开无差别攻击。
2017年WannaCry在全球范围内的肆虐让勒索软件治理成为不可回避的问题。在裁判文书网中稍作检索,就能发现WannaCry所带来的巨大破坏,WannaCry直接导致数家公安机关以电子形式存储的证据无法恢复,以至于公安机关在诉讼中需要向法院专门说明证据的收集、存储情况。直到今日,勒索软件的阴霾也没有烟消云散,反而形成了完整的产业链。而且不同勒索软件都存在内部竞争,也开始“内卷”。近年来新兴“Ransomware as a Service”(“RaaS”)的产业模式,更是大大降低了发动勒索软件攻击的门槛。
二、勒索软件的预防、处置无法与法律绝缘
面对肆虐的勒索软件,传统上是由IT或信息安全部门负责处置,但网络安全的特点是与所有人息息相关。大量的勒索软件所引发事件显示,法务与合规部门不仅需要加入到处置勒索软件的决策圈中,更需要在预防环节就积极介入。
勒索软件作为网络安全事件的主要诱因之一,也要求机构在网络安全事件处置机制的大框架下,针对勒索软件的特点进行预先部署。根据网络安全的定义(《网络安全法》第76条),保障网络数据的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)的能力是网络安全的重要组成部分。勒索软件主要破坏数据的可用性与机密性,即使数据无法继续,或是让本应保密的数据公之于众。
法律部门之所以需要积极介入勒索软件的应对工作,不仅是因为勒索软件的预防、处置不仅涉及网络安全法律义务的履行,也因为网络系统一旦被勒索软件感染,可能也会面临对外服务无法继续正常提供的问题,直接需要面对违约或侵权责任。
三、预防与处置
应对勒索软件,预防最为重要。在中国法下,完成网络安全等级保护已经成为最好的免责事由之一。等级保护制度从技术与管理两个角度对网络系统的安全能力提出了具体的要求,本身就可以提升机构的网络安全能力。在完成等级保护情况下,机构的网络系统即使遭受勒索软件的攻击,可以在没有“后顾之忧”的情况下进行报案。
除了完成等级保护,应对勒索软件最有效的措施就是对数据定期进行异地备份,以确保网络系统一旦被勒索软件感染,数据可以得到有效恢复。这不仅需要机构建立数据备份机制(《网络安全法》第21(4)条),也需要定期进行演练,确保备份的数据能够真实被恢复。另一方面,对机构员工进行教育培训也是预防勒索软件、提升全员安全意识的有效途径(《数据安全法(草案)》第25条)。
在国家计算机病毒应急处理中心针对勒索软件的建议中,包括:
加强安全防范意识,做好日常备份(最好是异地备份)
不要访问包含未知风险的网站或打开不明来历的电子邮件附件
保持开启杀毒软件实时监控功能
并持续关注国家计算机病毒应急处理中心网站上关于勒索软件的有关资讯。
除了从机构内部着手准备应对措施,还应当在对外涉及IT系统的协议中关注勒索软件的攻击能否作为免责事由或不可抗力。2020年1月,浙江维尔科技有限公司的驾校服务平台因为遭受勒索病毒的攻击,导致浙江南浔多家驾校的教练车持续数天不能正常上路教学,直接导致经济损失十万余元。因此引来这些驾校共同对该公司提起违约之诉。在这些诉讼中,法院认为受到勒索软件攻击不属于免责事由,因此要求维尔科技承担违约责任。
计算机系统一旦为勒索病毒所感染,那么当务之急是判断是否能够恢复。目前,国家计算机病毒应急处理中心持续跟踪、发布勒索软件的解密方法。2016年7月,卡巴斯基实验室与荷兰警方、欧洲刑警组织、Intel Security公司等联合设立了“No More Ransom”项目,也提供部分勒索软件的解密方式。
四、交赎金还是报案
如果无法自行恢复数据,那么机构将面临两难,是支付赎金还是选择报警,抑或是既支付赎金又同时报警。但无论如何选择,都会在合规层面面临两难困境。在我们处置过的另外一些案件中,黑客甚至会专门选择“双11”等重要促销活动前夕发动勒索软件攻击,以索取更高额的赎金。
勒索软件相较于其他类型的计算机病毒,最大的特点是要求支付赎金。但问题在于支付赎金并不能够确保文件一定可以恢复,也不能够保证黑客一定会删除违法窃取的数据。相反,支付赎金可能会触发美国政府的制裁,并且会助长犯罪分子再次犯罪,因此几乎所有的勒索软件应对指引都不建议支付赎金。
2020年10月,美国财政部外国资产控制办公室2020年10月发布Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments,提醒支付赎金可能会因为向受制裁对象提供资助受到处罚,因为诸多勒索软件背后的组织在美国政府的制裁名单上榜上有名。该文件显示美国财政部外国资产控制办公室将对每个案例进行单独审查,主动、及时、完整地将勒索软件攻击报告给执法部门或与执法部门合作将有助于避免民事处罚。
在国内,网络系统一旦被勒索软件攻击,同样面临如何报案的问题。除了拨打110、在本地派出所报案,还可以在公安部网安局主办的“网络违法犯罪举报网站”进行举报,其中专门设有“入侵敲诈”的举报类型。
近年来,随着“一案双查”制度的落实,在网络安全事件发生后,公安部门不仅会去追查发动攻击的黑客,同时会对企业履行网络安全义务的情况进行检测。而在公安机关检查企业的过程中,会依据《网络安全法》第21条关注企业是否完成等级保护,若未完成则可能被追责,相关负责人甚至可能需要承担个人责任:
时间 | 被处罚主体 | 执法机构 | 违法事实 | 处罚结果 |
2021年 2月 | 广州某公司 | 广东省通信管理局 | 当事人互联网接入IP地址120.236.190.93感染勒索病毒和特洛伊木马 |
|
2020年 6月 | 某医院 | 黑龙江牡丹江网安 | 不履行网络安全保护义务,网络安全意识淡薄,网络安全管理制度落实不到位,防范计算机病毒、网络攻击、网络入侵等技术措施不完善,致使黑客利用服务器弱口令的漏洞对服务器进行攻击,遭到勒索病毒入侵,导致医院系统服务器瘫痪,文件全部加密无法使用,造成院内诊疗流程无法正常运转。 |
|
2020年 5月 | 某医院 | 四川遂宁警方 | 因未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,致使医院机房监控服务器被感染勒索病毒,并以此为跳板进行进一步攻击破坏,造成全省关联资产受到影响。 |
|
2020年 4月 | 重庆某科技有限公司 | 重庆渝中区公安分局网安支队 | 网络安全意识淡薄,未按照网络安全等级保护制度的要求开展等级备案、等级测评、安全建设等工作,增强网络安全防护能力,导致服务器被勒索病毒加密而宕机,收费系统被迫暂停服务。 |
|
2019年 1月 | 永川区某医院 | 重庆永川区公安局网安支队 | 接到报警,称辖区某医院服务器被黑客攻击植入勒索病毒,医院业务全面“停摆”。永川区公安机关立即开展刑事侦查,同时启动“一案双查”工作机制对医院存在的网络安全管理问题开展行政调查。经民警调查,发现该医院未按照网络安全等级保护制度的要求履行安全保护义务,医院后台系统、医院网站等放置在同一服务器中,未采取防范网络攻击的技术措施及重要数据备份措施。 |
|
因为报案会触发“一案双查”,因此很多企业会考虑隐瞒事件,但报告网络安全事件本身就是一项法律义务,《网络安全法》第25条:“……在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”所以企业如果没有做好等级保护工作,做好应对勒索软件的应急预案,那么可能会陷入是否应该报案的两难处境。
五、合规建议
根据我们协助企业处理勒索软件的经验,机构可以从以下角度做好勒索软件应对的合规工作:
- 做好备份!做好备份!做好备份!通过数据备份尽可能降低勒索软件对业务连续性的影响。并将数据备份作为数据管理制度中重要章节,或独立作为一项制度存在。
- 在中国境内的系统应当完成网络安全等级保护,制定应急预案。履行网络安全义务可以帮助机构消除被勒索软件攻击后报案的“后顾之忧”。
- 在对外签署的协议中,关注勒索软件所造成的业务中断是否属于免责事由。
- 提前购买网络安全保险,通过保险分担勒索软件可能造成的风险。
- 聘请网络安全领域的律师。即使不签署保密协议(NDA),根据实体法(《律师法》)律师也有义务对提供服务过程中知悉的信息保密。鉴于机构有时并不希望自己遭受攻击的情况被公开,与律师沟通可以最大限度对事件进行保密。且网络安全事件发生后,会触发多项法律义务,可以通过律师对后续处理方式提供法律方面的意见。
- 如果机构决定支付赎金,需要判断该行为是否可能触发美国政府关于制裁的长臂管辖。
史宇航,法学博士,执业律师,汇业律师事务所顾问。史博士也具有注册信息安全专业人员(CISP)以及注册信息隐私管理人员(CIPM)资格认证,主要提供网络安全与数据保护领域的法律服务。