如何避免被罚5000万？

序言

《网安法》终于迎来了“重磅修订”，新版法律可对企业最高罚款5000万元或者上一年度营业额的5%。

而且，可能会限制安全责任人继续从事网络安全工作。

于是，在巨额罚款和丢饭碗的双重压力下，圈内人事纷纷表示压力巨大。

小九第一反应也是，本身跟黑灰产、黑客斗智斗勇已经掉了不少头发，现在可能还要面对法律的制裁。

但在细细思索之后，小九认为此法修订无论是对安全行业发展、还是对国家安全、还是对企业业务发展都大有裨益。

特别的，只要工作到位，不仅不会被罚，而且安全的价值也越来越好衡量。

所以，甲方安全人员有望从“位卑权轻责任重”发展成“位高权重责任重”，权责至少对等。

五年前，即2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，自2017年6月1日起施行。 

2022年9月14日，国家互联网信息办公室发布了关于修改《中华人民共和国网络安全法》的决定（征求意见稿），旨在完善法律责任制度，进一步保障网络安全。

本次修改主要有以下几点。

第一，顶格罚款激增，对企业的罚款从最高100万提高到5000万或上一年度营业额的5%，对直接负责的主管人员从最高10万元提高到100万元，直接与《个人信息保护法》接轨。

第二，新增禁业规定，对直接负责的主管人员和其他直接责任人员，可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。

第三，新增通报批评，违法者除了被有关主管部门责令改正，给予警告之外，新增了通报批评的行政处罚形式。

中科大左晓栋教授在今年6月份发表过“进一步发挥网安法重要作用 推动立法完善”的主旨演讲，其中就提到应修改法律责任的相关规定。之前一刀切的罚则对于大型的企业或者网络运营主体其实是不适用的，失去了威慑力。

而往往就是大型企业最容易被黑灰产、黑客盯上，最容易出问题，而且一出问题就是大问题。

比如，今年2月份，葡萄牙电信公司沃达丰遭网络攻击导致全面性断网，该公司的4G、5G被迅速摧毁，固定语音、电视、短信、语音等服务全面瘫痪。

再比如，今年3月份，Lapsus$数据勒索团伙成功入侵了微软、Okta、英伟达、苹果、Meta等巨头内网窃取数据，包括用户的基本信息，如家庭住址、电话号码、IP地址等都被泄露。

国内也是安全事件不断，今年6月，国内众多高校使用“某星学习通”软件的数据库被出售，这份数据库包含1亿7273万条数据，同时还包含1076万条密码，数据涉及学校名称、学生姓名、注册手机号码、学号、工号、性别以及邮箱等等。

企业越大，越有可能影响国家安全、公众利益，所以此法修订就显得尤其必要。

安全从业者的价值将越来越大

安全的本质是对抗，正所谓道高一尺魔高一丈，这就导致安全的投入其实是个无底洞。所以在老板眼里，安全部就是一个成本部门。

同时，安全事件的发生在老板眼里其实是个“概率”，黑灰产、黑客也不一定会攻击我司，那安全投入的收益是什么呢？

退一万步讲，就算公司遭遇网络攻击出现问题，按照之前的网安法最高也就罚100万。

于是在老板面前的决策就很简单了，既然安全的投入是个无底洞，投入后的收益又不明显，而且就算不做安全最多被罚100万，那我让运维部兼职着干就行了。

所以，一直以来，安全从业者大部分是靠信仰发电。

而且是想尽一切办法诠释安全的价值以获得老板的支持。

比如科普友商的安全事件导致的舆论压力、监管问责。

比如在国企里面通过HVV行动来获得政绩。

比如通过抓一些内鬼来显性化的保护公司资产。

甚至通过对外做渗透测试服务来换取收入以养活自己。

但在新网安法下，老板的决策逻辑可能要改一改了。

不做安全可能会面临顶格罚款，即5000万元或者5%的营业额，这个风险已经高到足以引起董事会重视，所以，新的决策逻辑应该是怎么样配置一定比例的安全团队和预算，把这个风险发生的概率降到足够低。

安全的本质是对抗，安全技术的发展是日新月异的。

今天安全团队对第N种攻击方法部署了防御技术X，那明天黑客就会有第N+1种攻击手法来绕过防御系统X，安全团队就需要研究第X+1套防御技术了。

所以，合规层面不会规定具体要做哪些具体事项，只能从框架的视角规定要做哪些大块，比如，法律会规定企业要针对网络攻击采取措施，而不是去规定企业怎么反病毒、怎么反木马、怎么防御DoS攻击。

所以，合规只是安全的起点。同时合规也是一个很好的体系来指导安全工作。这也意味着合规工作跟手撕黑灰产比起来，其实是容易的。

我们来梳理一下安全要做哪些事就能够降低被重罚的概率。

第一大块工作，持续做好风险治理。

暴露在公网服务器的漏洞就是巨大的风险，很容易被黑客利用入侵系统；数据库的弱口令问题就是巨大的安全缺陷，很容易被脱库。网安法第二十二条就规定“网络产品、服务的提供者不得设置恶意程序；网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护”。

重要的数据资产明文存储也是风险，很容易被内鬼窃取导致明文泄露。网安法第二十一条规定“采取数据分类、重要数据备份和加密等措施，防止网络数据泄露或者被窃取、篡改”。网安法第三十四条规定“关键信息基础设施的运营者应当对重要系统和数据库进行容灾备份”。

国家关基（关键信息基础设施）的数据如果存放在境外，一旦遭到破坏就会发生国家安全问题，需要引起足够的重视。网安法第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”。

账户恶意注册、账户被盗、账户伪造等都是账户安全关心的风险。网安法第二十四条第一款规定“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务”。

针对风险治理工作目前流行的行业实践包括：安全左移SDL体系、基于零信任方法论的安全体系建设、智能化数据分类分级体系等等。

第二大块工作，持续做好威胁对抗。

威胁的表现形式很多，如病毒、木马、企业内鬼、系统入侵、国家间谍等等，只要是破坏系统可用性、保密性、完整性的都属于威胁的范畴。 

这也是攻防最激烈的地方。风险是不可能消除完的，有系统终究会有漏洞，有人终究会有安全意识问题，威胁对抗就是在一个充满风险的世界里面，即时把威胁对抗住。

网安法第二十一条规定“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”。

网安法第二十五条规定“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告”。

网安法第二十八条规定“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”。

针对威胁对抗工作目前流行的行业实践包括：各类花式的XDR产品、安全切面类技术体系、SIEM&SOAR体系等等。

第三大块工作，要经常跟认证打交道。

认证的本质是获得权威机构的认可，是一种很好的信任机制。前文提到安全领域发展日新月异，很难评价安全做的好还是不好，所以如果有一个权威的第三方维护一个动态的测评集，对衡量安全水位就显得至关重要。

网安法第二十一条规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃”。

网安法第二十三条规定“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测”。

网安法第三十五条规定“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。

第四大块工作，做好内容安全。

网安法的初衷是保护网络空间的安全，但是从最近几年的处罚案件量中，内容安全相关的案件占了大头。涉政、涉恐、涉爆、涉黄、涉赌、涉黄等内容都属于内容安全要去治理的范畴。

网安法第四十七条规定：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告”。

网安法第四十八条规定：“任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告”。

网安法第四十九条规定：“网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合”。

第五大块工作，持续做好组织建设、制度建设、安全意识等工作。

通过组织建设、制度建设等来确定安全负责人、确定安全团队的权利和职责非常的重要。上面提到的四大块工作非常的繁重，是需要经常跟企业各个部门打交道的，安全部门没有权利会导致很多安全工作无法推进，没有制度和规范会导致安全工作落实不到位。

网安法第二十一条规定“网络运营者制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任”。

网安法第三十四条规定“关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务”。

加个好友进技术交流群

请备注：进群

推荐阅读

欢迎 在看丨留言丨分享至朋友圈 三连