2024年网络安全执法案例集

2024年9月发布机构：安全内参、奇安信行业安全研究中心 报告简介 •本报告由《安全内参》和奇安信行业安全研究中心联合编写，旨在结合具体执法案例，帮助网络安全工作者、政企机构管理者加强网络安全合规建设水平。 •报告收录的全部案例，均来自《安全内参》收集整理的2023年~2024年6月底互联网公开信息，每页案例备注部分均提供了相关新闻链接。您可以在《安全内参》官方网站上检索相关新闻原文：https://www.secrss.com/ •本次报告共收录：政府与事业单位（2起）、能源（2起）、交通运输（3起）、教育培训（4起）、医疗卫生（8起）、IT信息技术（8起）、生活服务（4起）这七大行业的典型网络安全执法案例31起（包括行政处罚与刑事案件）。 •其中，涉及数据安全的事件27起、涉及个人信息安全事件14起、一案双查事件18起，涉及个人及黑产团伙犯罪事件10起，涉及内鬼作案或内部人员违规事件5起。 主要观点 •从公开的执法案例信息总结来看，数据已泄露或存在重大数据泄露风险，是政企机构遭到网络安全行政处罚的首要原因。涉事企业普遍存在未建立健全全流程数据安全管理制度、未组织开展数据安全教育培训、未采取相应的技术措施和其他必要措施、未对其数据处理活动开展风险监测等问题。 •未履行必要的法律义务、安全建设与运维存在重大疏失，是造成涉事机构被处罚的主要原因。通常情况下，受处罚的不仅仅是涉事机构本身，其信息化主管人员或网络安全主要责任人个人，也会同样会遭到不同程度的处罚。就本次报告收录的案例而言，经济处罚（即罚款）仍然是当前最为主要的行政处罚形式。 主要观点 •黑产团伙的犯罪活动不容小觑。在本次报告收录的10起与网络犯罪活动相关的案例中，犯罪分子不仅会窃取相关机构的数据，还会进行篡改数据、操控系统、恶意抢号、盗刷医保卡等多种违法犯罪活动。而被攻击的政企机构，在事后还很有可能会遭到“一案双查”——被攻击的政企机构如果存在显著的未履行网络安全相关法律义务的行为，同样会遭到公安机关的行政处罚。 •此外，内鬼作案也不容忽视。本次报告共收录4起内鬼作案案例和1起内部人员显著违规操作案例。内鬼的身份多种多样，有的内鬼是技术人员、有的内鬼是供应商或合作伙伴、还有的内鬼仅仅是医院的护工。 相关法律依据 •本次报告收录的网络安全执法案例，处罚依据主要涉及以下几部法律法规•《中华人民共和国刑法》，简称：《刑法》•《中华人民共和国刑法修正案(七)》，简称：《刑法修正案(七)》•《中华人民共和国网络安全法》，简称：《网络安全法》•《中华人民共和国数据安全法》，简称：《数据安全法》•《中华人民共和国个人信息保护法》，简称：《个人信息保护法》•《信息安全等级保护管理办法》，简称：《等保条例》 医疗卫生05IT信息技术06生活服务07 行业：政府与事业单位 政府与事业单位行业综述 •本次报告共收录政府与事业单位网络安全执法典型案例2起。 •2起案例均为数据安全事件，一起为数据篡改事件、一起为数据泄露事件。其中，数据泄露事件将1.5万余条中国公民个人信息泄露至境外。 •特别值得注意的是，导致某地政府数据泄露事件，是由于承包商违规将政务数据置于互联网进行测试而导致的。这再次提醒我们供应链安全的重要行，同时，即便是开发过程中，或者是短时间的线上测试过程中，也必须严格遵守安全规则，都则就有可能成为攻击者的目标。 •与其他行业相比，政府及事业单位的数据安全事件，往往具有更大的社会影响面。但很多地方政府的网站平台，又恰恰缺乏有效的网络安全建设与运营，存在巨大安全风险。 •本章节的信息来源为《安全内参》：https://www.secrss.com/ 某单位重要信息系统数据遭严重篡改 案例回顾 2023年9月，天津公安南开分局网络安全保卫支队接到线索：辖区内某单位的重要信息系统数据遭到恶意篡改，严重危害网络安全！南开分局网络安全保卫支队分析发现，该单位运营使用的信息系统存在多重问题：一是防范网络侵入技术措施不完善，物理网络环境内部存在监测漏洞；二是监测、记录网络运行状态的网络日志不足6个月；三是对于安全缺陷、漏洞等风险，该单位未立即采取补救措施亦未向有关部门报告，信息系统持续“带病”运营，给了不法分子可乘之机。依据《网络安全法》相关规定，南开分局对该单位及相关主管人员分别予以罚款5万元的行政处罚。 据《网络安全法》相关要求：网络运营者应当防止网络数据泄露或者被窃取、篡改。采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 某政务系统测试期间泄露公民数据 案例回顾 2023年9月，上海网信部门发布一则案例。某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间，相关存储端存在高危漏洞，导致大量公民数据泄露，以致成为境外不法分子窃取政务数据的“供应链”入口。经 查，该公司租用1台私有云服务器，存储了大量公民信息和政务信息，涉及公民个人信息数据1.5万余条。2022年7月，相关公民个人信息在境外黑客论坛被披露兜售。有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查，并对该公司作出行政处罚。 据《网络安全法》相关要求：网络运营者应当防止网络数据泄露或者被窃取、篡改。发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施。据《数据安全法》相关要求：网络运营者不得泄露、篡改、毁损 其收集的个人信息。据《个人信息保护法》相关要求：发生或者可能发生个人信息泄 露、篡改、丢失的，个人信息处理者应当立即采取补救措施。 行业：能源 能源央企行业综述 •本次报告共收录2023年能源央企行业网络安全行政执法典型案例2起。 •其中1起案例是由于涉事企业存在建设运维管理疏失而遭到行政处罚，而另外一起案例则是黑产团伙的有组织犯罪，是通过制造作弊加油机，篡改系统数据，从而实现非法敛财的目的。 •本章节的信息来源为《安全内参》：https://www.secrss.com/ 某燃气公司缴费系统有数据泄露风险 案例回顾 2023年3月，湖南省怀化市沅陵县公安局网安部门在工作中发现辖区某燃气公司缴费系统存有大量客户姓名、电话、身份证号、家庭住址等敏感数据。经查，该公司办公电脑未设置开机密码，缴费系统账号密码均为弱口令，并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。 怀化沅陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该企业警告，并责令限期改正。 法律链接 据《数据安全法》相关要求：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。据《网络安全法》相关要求：网络运营者应当防止网络数据泄露 或者被窃取、篡改。 某公司破坏加油机信息系统案 案例回顾 2023年3月，黑龙江大庆公安机关在联合执法检查中发现，辖区内某加油站移动加油车存在偷油功能。经查，涉案作弊移动加油机系浙江某公司生产，该公司在生产移动车载加油机过程中，勾连技术人员实现遥控加油机达到“缺斤少两”功能。4月9日至25日，黑龙江大庆公安机关组织在共3省4市开展抓捕行 动，先后抓获关键环节犯罪嫌疑人26人，成功打掉一作弊移动加油机生产厂商，扣押作弊移动加油机主板2000余个。 法律链接 据《刑法》相关要求：违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 据《网络安全法》相关要求：网络运营者应当防止网络数据泄露或者被窃取、篡改。 行业：交通运输 交通运输行业综述 •本次报告共收录交通运输行业网络安全执法典型案例3起。 •这三个案例都是典型的“非法入侵”事件，即黑客或内部人员使用非法手段篡改数据或获取数据。•具体问题包括：黑客非法入侵计算机，篡改数据，获取信息；内部人员利用工作便利非法获取数据，非法售卖个人信息。•本章节的信息来源为《安全内参》：https://www.secrss.com/ 某汽车服务公司侵犯公民个人信息案 案例回顾 2023年3月，佛山公安机关破获一起非法盗卖公民个人信息案，抓获犯罪嫌疑人47名，涉案金额300余万元。经查，当地一家汽车服务公司为拓展汽车维修中介业务，勾结保 险公司、拖车公司以及路政部门工作人员，非法获取交通事故车主信息，并根据车辆品牌、事发地等联系特定汽车4S店、汽修厂，通过各种好处诱导事故车主前往指定地点维修，赚取信息“中介”费用。相关汽车修理机构通过故意夸大损失、以换代修等方式侵害相关保险公司及车主利益。 法律链接 据《刑法》相关要求：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。据《刑法修正案（七）》相关规定：国家机关或者金融、电信、 交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人...... 某市新能源车“克隆”电池案 案例回顾 2023年5月，上海公安机关发现辖区某新能源车企动力电池数据存在异常。通过企业信息系统排查，有多个ID的动力电池在北京、江苏、上海、福建等多地同时出现并使用的情况。经深入分析发现，这些ID号的车辆在之前都因交通事故而被后台锁住了电池组，无法充电和行驶，相关电池组内的数据极有可能被人为盗刷篡改，破解锁定功能。此类被锁定的故障电池重新上路行驶，极有可能引发电池短路甚至起火等高危情况，严重危害驾乘人员生命安全，造成极大交通安全隐患。 法律链接 据《刑法》相关要求：对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作影响计算机系统的正常运行，后果严重的行为根据刑法给予处罚。据《网络安全法》相关要求：网络运营者应当防止网络数据泄露 或者被窃取、篡改。据《数据安全法》相关要求：发生数据安全事件时，应当立即采 取处置措施，按照规定及时告知用户并向有关主管部门报告。 交管系统遭“黄牛党”入侵 案例回顾 2023年10月消息，无锡江阴市检察院办理了一起破坏计算机信息系统案。10名犯罪嫌疑人均为二手车“黄牛”，他们通过非法手段，侵入某全国性交管平台系统，为不能正常过户的二手车，非法办理改绑手机号、补办行驶证、补办车牌等业务。主犯杨某婷，在河北户籍地被警方抓获，其他9名二手车“黄牛” 也相继在山东、北京等省市落网。 据《刑法》相关要求：违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，都应得到相应处罚。据《数据安全法》相关要求：任何组织、个人收集数据，应当采 取合法、正当的方式，不得窃取或者以其他非法方式获取数据。据《网络安全法》相关要求：任何个人和组织不得从事非法侵入 他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。 行业：教育培训 教育培训行业综述 •本次报告共收录2023年至2024年上半年，教育培训机构网络安全执法典型案例4起。 •这4起案例均与安全漏洞有关，其中3起案例为数据泄露事件，数据泄露原因均为系统存在高危安全漏洞，且泄露数据均为个人信息。这些被泄露的信息，有的被黑产团伙在境外黑产平台上售卖，有的则直接被诈骗团伙用于网络诈骗。 •根据《网络安全法》相关要求：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞……”。网络运营者缺乏对安全漏洞的有效运营