一周安全漫谈丨工信部:拟定超1亿条一般数据泄露属后果严重情节

首页 / 业界 / 资讯 /  正文
作者:安全419
发布于:2023-11-27
工信部:拟定超1亿条一般数据泄露属后果严重情节
 
11月23日,工信部官网公布《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》。
 
《裁量指引》征求意见稿明确了行政处罚由违法行为发生地管辖、一事不再罚等要求。明确了行政裁量权基准制定和管理过程需坚持依法行政、责罚相当、处罚与教育相结合等工作原则。
 
哪些情况会触发行政处罚?《裁量指引》给出了两类情况:一是数据安全行政处罚情形方面,以《数据安全法》为基准,《裁量指引》提出不履行数据安全保护义务、向境外非法提供数据、不配合监管等三类违法行为触发条件。其中不履行数据安全保护义务方面,包含未定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位具体目录;未建立数据全生命周期安全管理制度等情形。
 
二是综合涉及数据级别和数量、公共利益损害时间、直接经济损失、影响范围等因素,对数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。其中,数据级别和数量划定上,参考1000万条以下、1000万条-1亿条、超1亿条的一般数据标准;参考2个以上数据处理者的重要数据、核心数据标准。直接经济损失的基准线为1000万元以内、1000万元-5000万元、超5000万元。
 
1000万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用;对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短,或直接经济损失在1000万元以内,属后果较轻情节。
 
超过1000万条一般数据被篡改、破坏、泄露或者非法获取、非法利用;或者涉及重要数据、核心数据的;对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长,或直接经济损失超过1000万元且在5000万元以内的,属后果较重情节。
 
超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用;或者涉及2个以上数据处理者的重要数据、核心数据的;对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长,或直接经济损失超过5000万元的,属后果严重情节。
 
行政执法机关可结合相关适用条件、根据《数据安全法》等具体条款,对相关主体作出不予处罚、从轻处罚、减轻处罚、从重处罚的决定,具体的处罚手段则包括责令改正、给予警告、罚款、暂停相关业务等。
 
这一《裁量基准》将为数据安全的监管提供更清晰的指引,有了《裁量基准》后,行政执法机关在数据安全管理方面也就有了一个更好的抓手,更加明确“谁来罚、怎么罚”的问题。
 
美国INL核安全国家实验室遭遇重大数据泄露事件
 
据多家媒体报道,美国能源部下属的一家核能国家实验室——爱达荷国家实验室(Idaho National Laboratory)在周一证实,确认遭到了黑客组织的SiegedSec的攻击,其Oracle HCM 系统的服务器被攻击者入侵,进而导致人力资源系统被攻击者非法访问,导致了严重的数据泄露。 
 
作为美国能源部关键的核研究中心,爱达荷国家实验室主要研究下一代核电厂、轻水反应堆、控制系统网络安全、先进车辆测试、生物能源、机器人技术、核废料处理等前沿方向,此前该实验室还曾自称为“保障关键基础设施系统安全的世界领导者”。
 
据称,该实验室共有5700余名专门从事原子能、综合能源和国家安全的专家。而据SiegedSec在社交媒体上发布的信息显示,其已经获得了 INL 的数据访问权限,包括“数十万”员工、系统用户和公民的详细信息。包括姓名、出生日期、电子邮件地址、电话号码、社会保障号码(SSN)、家庭住址和就业信息等等。
 
据了解,SiegedSec是一个较为年轻的黑客团伙,自2022年初成立至今,全球范围内已有超过30家医疗保健、信息技术、保险等行业企业遭到攻击。涉及国家有印度、美国、巴基斯坦和菲律宾等。该组织会将盗取的数据和文件公开到黑客论坛中,似乎并不希望与受害者谈判或要求赎金。
 
在此次针对爱达荷国家实验室的攻击中,SiegedSec甚至还在 INL 的系统上创建了一个自定义公告,通知系统内的每个人这次的数据泄露事件。这一行为或许是以“炫技”为目的。
 
爱达荷国家实验室称,目前包括联邦调查局和国土安全部的网络安全和基础设施安全局,以调查此次事件中受影响的数据范围。虽然SiegedSec 既未访问也未披露任何有关核研究的数据,但显然相关执法机构会展开一次严格的审查。
 
有专家称,类似的安全事件大多源于网络钓鱼攻击,传统的多因素身份验证(MFA)往往是罪魁祸首。组织和企业都应该对身份安全威胁提高警惕。
 
获取更多行业资讯,请关注安全419网站、公众号和视频号。