网络安全法修订施行,应对网络钓鱼攻击,明确运营者义务
网络钓鱼攻击在这两年究竟有多嚣张猖獗呢?有数据表明,金融、电商以及政府服务平台已然成为遭受攻击的重灾区,从事攻击行为的人甚至已然开始运用 AI 去生成真假非常难以分辨简直可以乱真的钓鱼邮件以及网站,就连 HTTPS 加密证书都被其拿来用以增强欺骗他人的性质。就在这个关键的时间节点上,《网络安全法》迎来了自 2017 年开始实施以来的首次进行系统全面修订的情况,直接就为打击这类黑色产业提供了法律方面的“武器库”。
运营者不再是旁观者
新修订的第四十二条,以及第六十九条,将责任压实到了每一个网络运营者的肩上。以往发现钓鱼内容,或许仅是把帖子删除了事,如今却必须马上停止传输,进行消除处置,保存记录,并且上报给主管部门。这表示从客服接到用户举报开始,直至技术阻断,每个环节都得有清晰明确的时间表,以及责任人。
对电商平台以及金融机构而言,用户账号找回这一日常功能成了新的风险点,密码重置这一日常功能同样成了新的风险点。要是这些环节被钓鱼者加以利用,运营者或许就要承担管理责任。记录保存起码六个月的要求,也使得事后追溯有了依据,不再是查无对证。
技术对抗有了法律撑腰
亮点是新增的第二十条,国家明确支持运用人工智能等新技术去提升网络安全水平,这能让安全团队安心不少,以前用AI实时分析用户访问链接是否存在风险时,或许还会有关于数据隐私方面的担忧,而如今在法律层面给出了支持的态度。
部署行为分析系统成为了可行的选项,比如说发现有这么一个域名,刚刚注册的时间仅仅只有三天,并且开启了隐私保护,然而其SSL证书竟然冒用了某银行官网,像这样的异常指标组合能够自动触发告警,同时多因素认证也从可以选择的项目逐渐变成了必须选择的项目,短信验证码以及生物识别这些第二道关卡能够大幅度降低账号被接管的风险。
堵住系统里的隐蔽后门
第六十三条以及第六十五条瞄准的是,攻击链路当中的关键部分。许许多多的钓鱼攻击实际上利用了,企业内部管理疏于情况之下的“僵尸资产”,像是早就应该下线的测试页面,无人进行维护的旧版登录入口,攻击者挂上去一个专门的可实施欺骗的钓鱼网页时,都根本没有人能够发现。
如今,法律已然明确禁止售卖或者提供专门针对于侵入网络的工具,并且也对漏洞信息的发布予以了规范。这便意味着,内部员工私自运用未被授权的抓包工具、渗透脚本皆成为了违规行径。当发觉密码重置逻辑存有缺陷之时,不再能够像以往那般公开进行讨论,而是需要依照规范加以修复,并且通知受到影响的用户。
罚单金额上了新台阶
第六十一条所设定的分级处罚标准,使得违规成本变得真切可感,造成大量数据出现泄露情况的,最高会处以二百万元的罚款,致使关键信息基础设施主要功能丧失的,对于单位最高罚款一千万,对于直接责任人最高罚款一百万。这样一种力度,完全可以让董事会对网络安全预算予以重视。
对于运营者而言,构建事件分级标准已然成为亟待解决的关键事项。举例来说,在单日之内,倘若出现百个以上用户凭证遭泄漏的情况,或者出现核心业务系统被仿冒的状况,諸如此类情形必然要被划归到重大事件的范围之内。从钓鱼页面的源码一直到访问日志,证据链能够完整地予以保存,这也直接关联到后续是否能够免除责任或者减轻处罚。
跨境追查有了法律长臂
第七十七条将目光投射到了境外,众多钓鱼服务器设置于国外,以往觉得力量难以触及,如今国务院公安部门能够决定采取冻结其财产等制裁举措,这为那些依存境外服务器针对我国关键信息基础设施的攻击者划定了界限。
在企业安全团队眼中,当察觉到钓鱼服务器处于境外且目标清晰明确之际,向属地的网信部门或者公安部门进行报送,已绝非只是一个无关紧要、可有可无的选择,而是开启法律程序的首要的第一步。如此一来,跨境协作打击网络犯罪,便从此有了更为具体的国内法方面的依据。
每个网民都是防线
公众日常防范仍是最后一道关口,核实域名真实性,不点不明链接,不在非官方页面输密码,这些老得掉牙的要点在新形势下反倒更为重要,因为AI生成的钓鱼页面或许和官网毫无二致,唯一的破绽可能是域名里某个字母的差别。
公共互联网反网络钓鱼工作组织会不间断发布风险线索以及科普常识,要是你碰到疑似钓鱼网站,不妨多留意一下并进行举报,你此次的点击有可能协助更多人防止财产遭受损失。
你近来有没有碰到过疑似属于钓鱼网站或者遭遇过诈骗短信呀?欢迎于评论区去分享自身经历,以此来提醒更多的人躲开陷阱,点赞并且转发以使这条反诈信息传播得更为广泛哦。