1月8日记者从公安部网安局获悉,北京市公安局网安部门加强网络秩序清理整顿,开展网络安全检查,对多家不履行网络安全保护义务的单位依法予以处罚。
密码爆破。一境外论坛于去年8月1日发布题为“某教育站点教70多万订单信息”的帖文,疑似北京某教育公司发生数据泄露,海淀网安部门立即开展核查处置工作。
经查,该公司教务排课系统在账号密码传输前未进行加密传输,存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码,通过访问导出大批量后台数据,造成数据泄露。
该公司未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务,违反了《中华人民共和国数据安全法》第27条、第四十五条规定。海淀公安分局对该公司给予罚款5万元的行政处罚,给予直接负责的主管人员罚款1万元的行政处罚。
数据泄漏。昌平网安部门于去年6月检查发现,昌平某生物技术-·www.9159.com24小时客服有限公司存在数据泄露的情况,其委托的另一软件公司研发的“基因外显子数据分析系统”,包含公民信息、技术等信息,涉及泄露数据总量达19.1GB。
经检查,该软件公司在开发系统互联网测试阶段,未对相关数据进行加密,未落实安全保护措施,属于未履行数据安全保护义务。昌平公安分局依据《数据安全法》第45条第1款规定,给予警告并处罚款5万元的行政处罚。
弱口令账号。朝阳网安部门于去年7月13日检查发现,朝阳某教育公司数据被泄露到境外非法网站上,该公司的一个客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄露。
经现场检查发现,因该公司技术人员对系统测试过程中,将有权限的测试账号设为弱口令,且系统正式使用后未将测试账号进行清空删除处理。该公司未建立数据安全管理制度和操作规程,系统未进行网络安全评估,同时此账号因弱口令被黑客破解造成大量公民个人信息被盗取泄露,涉嫌违反《数据安全法》第二十七条规定。朝阳公安分局给予该公司罚款5万元的行政处罚。
网站篡改。房山网安部门于去年9月14日检查时发现,某科技公司网站网页源代码被篡改,网站链接跳转到境外赌博网站,易引发网络赌博或网络诈骗案件。
经查,该科技公司未建立管理制度,未定期开展漏洞扫码,未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施,导致网站前端源代码泄露,造成网站内容被篡改,违反《网络安全法》第二十一条规定,属于不履行网络安全保护义务行为,房山公安分局对运营者责令改正,给予警告处罚。
《中华人民共和国数据安全法》
第二十七条
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
转载自北京日报客户端