一、案例简介
年5月12日,WannaCry勒索病*通过MS17-漏洞在全球范围爆发,受到该病*感染的磁盘文件资料都无法正常打开,只有支付价值相当于美元(约合人民币元)的比特币才可解锁。
英国、美国、中国、俄罗斯、西班牙和意大利等上百个国家的数十万台电脑被感染,医院、教育、能源、通信、制造业以及*府等多个领域的计算机终端设备。有数据统计,该事件造成了80亿美元的损失,对金融、能源、医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
相关链接:勒索软件简介
勒索软件(Ransomware),又称勒索病*,维基百科将其定义为一种特殊的恶意软件,被归类为阻断访问式攻击,与其他病*最大的不同在于手法。一种勒索软件单纯地将用户的电脑锁起来;另一种则系统性加密用户硬盘上的文件。所有的勒索软件都会使用户数据资产或计算资源无法正常使用,要求用户支付赎金以取回对电脑的控制权,或是取回用户无从自行获取的加密密钥。勒索软件编写者还在继续开发,导致勒索软件在持续变种,年来针对Android系统移动设备的勒索软件陆续出现。迈克菲实验室(McAfeeLabs)预测,鉴于配电和医疗保健市场已经出现了物联网设备被劫持的案例,勒索软件随时可能移植到物联网领域。
在法律层面,年9月美国加州通过的参议院第号法案(SenateBillNo.-Chapter),将勒索软件定义为“未经授权的一种病*,其将计算机病*或锁死程序放置或感染到计算机、计算机系统或计算机网络中,限制已获授权的用户访问计算机、系统、网络及其所存储的数据,从而要求用户为其支付金钱或其他代价,以移除或通过其他方式修复该计算机病*或锁死程序,”基本着眼于授权角度,再次重申了技术上对勒索软件的定义。
作为病*的一种,勒索软件的概念自20世纪90年代开始出现,但其加剧威胁源自年开始运用更加复杂的RSA加密手段和年开始利用比特币等虚拟货币作为新的支付形式。暗网中已有越来越多的人提供勒索软件作为服务,勒索软件即服务(Ransomware-as-a-Service,RaaS)呈爆炸式发展趋势。我国日渐成为勒索软件泛滥的重灾区,年开始蔓延,年开始强势袭击各大互联网企业和个人用户,成为企业和个人数据安全的重大威胁之一。
新近意义上的勒索软件具有的主要特征在于:一是采用了加密技术(例如RSA)实现对用户系统、网络的加密和解密,以及支付形式的密码化(例如,比特币);二是直接损害信息或数据的可用性的同时,也不完全排除侵入,或在无法实现获取赎金(财物)的“营利目的”时的窃取、破坏等危害保密性、完整性的行为,即其基于勒索行为实施的“成功”与否,决策如何进一步实施危害行为。如获取赎金的,可能解密、解锁,也可能窃取数据;如未获取赎金的,则损毁、窃取数据或者披露用户敏感信息;部分勒索实施行为甚至无论是否获取赎金,均会窃取、损毁数据。
二、案例评析
WannaCry勒索病*使网络黑产势力浮出水面,借助暗网等一系列复杂技术的掩护,肆无忌惮地实施绑架勒索等网络犯罪行为,对全球网络空间安全的危害极大。虽然此次事件中,各种网络安全专业力量响应很快,从不同角度不断发布动态信息、处置指南和专用工具,有效减轻了事件的危害和潜在风险。但与此同时,该事件也暴露出我国在大规模网络安全事件的应急响应和处置机制运转中存在的不足:
第一,尽管我国已经建立了网络安全应急管理机制和管理体系,但仍旧缺乏有效的应急技术手段。即便是大型机构也存在明显死角,应急措施无法有效执行。在发生“永恒之蓝”勒索蠕虫之类的大型攻击事件时,国家应急机构由于不具备统一的网络终端安全管理能力,无法汇集一线情况,基本上处于“闭着眼睛指挥作战”的状况,因而无力进行集中式应急管理和响应处置。
第二,本次事件再次表明,终端是网络攻击的发起点和落脚点。终端安全在网络安全体系中处于核心地位,终端安全软件的国产化应上升为国家战略。此次中国中招的用户,大多是企业和机构用户,企业和机构之所以被迅速传染,则是因为不具备有效的终端防护措施。
第三,网络安全建设投入严重不足。一直以来,我国在网络建设上存在着重业务应用、轻安全防护的现象。我国网络安全投资占整体信息化建设经费的比例不足1%,和美国(15%)、欧洲(10%)等成熟市场存在巨大差距。
第四,云平台的安全隐患需要高度重视。近年来,云计算已经在*务、企业、金融、电信、能源等各大领域和行业广泛应用,云计算除了具有传统的安全风险,也面临新的安全威胁。国外的部分云平台提供商不愿意对中国的网络安全公司开放底层接口。
第五,行业采购机制存在缺陷,导致网络安全建设陷入低价、低质的怪圈,造成安全体系在遭遇网络攻击时不堪一击。
第六,内网隔离不能一隔了之,隔离网不是安全自留地。多年来,我们强调内外网隔离的建设思路,认为网络隔离是解决安全问题最有效的方式。但在现实中,网络边界越来越模糊,业务应用场景越来越复杂,隔离网边界随时可能被打破,内网如果没有安全措施,一旦被突破,会瞬间全部沦陷。
第七,网络安全防护观念落后。本次事件反映出,部分行业单位网络安全防护缺乏体系化的规划和建设,导致安全产品堆砌、安全防护失衡。传统安全防护观无法解决新技术带来的安全风险,有必要转变观念,与专业化网络安全公司合作,建立新型安全体系。
第八,日常建设和运营存在安全能力不足、意识淡薄、管理要求无法落实等多方面问题。对家单位的调查表明,过半单位在近一年内未对系统进行全面风险评估及定期补丁更新,部分行业单位的业务部门与安全部门沟通不够顺畅,网络安全管理措施落实不到位,安全工作有盲区,为大规模网络安全事件的爆发提供了可乘之机。
三、相关法律问题思考
在网络安全发实施前夕,WannaCry勒索病*事件给我国网络安全法律治理敲响了警钟。在现行法律机制下,对于WannaCry之类的勒索软件应如何规制、有何监管难点以及未来的应对之策均值得