小剧场
名词释义
“删库”即行为人针对某个或全部数据库进行删除操作。删库的常见情境是:互联网公司程序员出于某种目的登录公司内部的系统数据库并将其中重要的数据删除后再“跑路”的行为。严重情况下,“删库跑路”可能涉嫌构成破坏计算机信息系统罪。
01
典型案例 ?
贺某2破坏计算机信息系统案
(2020)沪0113刑初***号
案情简介 ?
2020年2月23日18时56分许,贺某2酒后因生活不如意、无力偿还网贷等个人原因,在其于上海市宝山区内的暂住地,通过电脑连接公司VPN、登录公司服务器后执行删除任务,将微盟公司服务器内数据全部删除,导致公司运营自2020年2月23日19时起瘫痪,300余万用户(其中付费用户7万余户)无法正常使用该公司信息产品,经抢修于同年3月3日9时恢复运营。截至2020年4月30日,造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。
法院观点 ?
贺某2违反国家规定,删除计算机信息系统中存储的数据,造成特别严重的后果,其行为已构成破坏计算机信息系统罪,应当依法追究刑事责任。公诉机关指控的犯罪事实清楚,证据确实充分,罪名成立。贺某2如实供述自己的罪行,认罪认罚,可依法从轻处罚,判处有期徒刑六年。
“删库”给企业带来的不利后果
删库给SaaS平台运营商带来的后果是非常严重的。相关企业首先需要承受巨大的经济损失,还可能因为数据库长时间无法正常运行而引发业务停摆,且若无法尽快恢复数据库系统的运行,一方面平台运营商会面临市值下降、股价暴跌的风险,另一方面还极可能触发平台上的企业商户和终端用户对该平台运营商的信任危机。商业信誉一旦受损,客户流失、对家抢单等现象就无法避免。以上述微盟公司遭遇为例,平台上数万商户的数据遭删除,微盟业务被迫停滞十余天,市值于删库曝出当日就蒸发了9.63亿港元,且后续微盟需准备高达1.5亿元的赔付拨备金用以赔偿商户损失。
(以下为微盟微信公众号于2020年3月1日发布的题为“微盟数据已经全面找回 并公布商家赔付计划”的文章截图)
“删库”背后的数据与内部信息安全启示
经历删库事件后,微盟管理层坦言,此次事件虽然使微盟蒙受巨大损失,但也暴露了微盟在数据安全上的明显漏洞,其数据安全管理机制亟待加强。微盟将在今后通过使用腾讯云CAM 权限系统来严格执行分级授权和最小集权限制度,对高危操作执行二次授权制度。此外,微盟为全面加固数据安全管理机制,将建立多云灾备体系,在北京、上海、南京等地建立数据全备份系统架构,并对云上的所有主机开启每日快照,于每月、每季度定期进行应急演练。
微盟删库看似源起内部程序员的一次泄愤操作,但背后却影射出SaaS平台运营商对数据安全缺乏重视态度和系统保护的普遍现象。其实不止于SaaS平台运营商,在高度信息化的今天,其他涉及数据处理的企业也亟需反思如何能有效建立起网络安全、数据安全保护制度,防范删库行为等引发的连锁风险。
我们结合以上法律规定和微盟采取的整改措施,总结出有关企业在网络安全和数据安全方面的合规建议:
1. 建立数据分级分类保护机制,对重要、敏感、涉密数据采取权限分离、多人复核的机制,严格控制不同人员对数据的访问和操作权限。
2. 建立实时多机房备份系统,除本地备份外,建议再设立异地远程备份,构建远程容灾站点 1,提前设立风险隔离带,有效抵御事故危害后果的蔓延。
3. 建立实时监控和预警机制,对关键业务涉及的数据采取防删库措施。如当某员工在短时间内频繁对重要或敏感数据进行操作时,可利用可视化系统对该员工进行警告,或直接暂停其高危操作,或强制将其操作报送审批程序进行核查。
4. 建立网络安全、数据安全应急演练机制,制定数据删除或损坏时的应急预案,定期进行应急演练,反复验证上述三个制度建立和执行的有效性。
5. 企业需设置网络安全管理部门,并明确该机构中的人员岗位职责,加强对重要岗位人员的安全培训,提升有关人员的网络安全、数据安全意识和安全保障专业技能,将审批复核、数据备份、监控预警、应急处置等各工作环节中的职责细致落实到具体人员上,明确权责划分,并配合相应的奖惩机制有效激励有关人员投入数据和内部信息安全的保护工作中。
6. 遵循《网络安全法》《信息安全等级保护管理办法》《信息安全技术 网络安全等级保护大数据基本要求》等法律规定和标准的要求,构建网络安全等级保护制度,定期对等级保护对象的安全状况以及制度落实情况进行自查,同时积极寻求符合国家规定的测评机构 2 ,开展网络安全等级测评工作。
如何评价企业是否建立起有效的网络安全、数据安全保护制度呢?一个直观的评判方式就是看该企业是否开展了网络系统安全等级保护认证;或者是否进行了ISO27001(信息安全领域认证)、ISO27040(数据储存安全认证)、DSMM认证3以及C-STAR 云安全评估4等资质获取活动;再或者该企业内部的网络与数据安全岗位人员是否持有CISSP(国际注册信息安全专家)、CISP(注册信息安全专业人员)、CISA(信息系统审计师)等具有权威性的信息安全人员从业证书。但需要注意的是,有了这类资质或认证也无法保证网络和数据的绝对安全,黑客永远存在。然而至少,企业一方尽到了合规管理义务,能够避免因为相关安全保护措施缺失、遗漏而引发的行政处罚风险甚至是拒不履行信息安全管理义务罪的刑事风险,也能够最大程度的保护自身网络、数据的安全。
1 参见百度百科:容灾系统是指在相隔较远的异地,建立两套或多套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。
2 具体可参见《全国网络安全等级测评与检测评估机构目录》(2022.04.02),http://www.djbh.net/webdev/web/HomeWebAction.do?p=getZxdt&id=8a8182567cf2de62017e47b4b4600066&xx=b119edd7e8fd93b6599def8b273b2701。
3 DSMM认证适用于所有有数据安全需求的组织,是国家认证认可监督管理委员会依据《中华人民共和国认证认可条例》批准的,按照《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)开展的认证。参见:https://baijiahao.baidu.com/s?id=1717936723068093911&wfr=spider&for=pc。
4 C-STAR云安全评估适用于提供云服务的组织,国际云安全联盟(CSA)在2012“安全云”大会上正式发布了其开放认证框架(Open Certification Framework,OCF)。C-STAR云安全评估依据CSA最新发布的云安全控制矩阵CCM V3.0,结合国内相关法律法规和标准要求,形成C-STAR云安全控制矩阵,从应用和接口安全、审核保证、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理等16个云安全控制领域,对云服务的安全控制状况进行系统评估。参见:https://baijiahao.baidu.com/s?id=1717936723068093911&wfr=spider&for=pc。
本文作者:星来律所王珺律师、陈卓菱实习律师