年终盘点|2022年网络安全行政执法处罚案例集

    每一起重大的网络安全事故的发生，都与政企机构的网络安全建设运维管理疏失密切相关，有的是安全责任意识淡薄导致，有的是等保落实不到位，有的是机构内鬼，导致的信息泄露、网页被篡改、传播违法信息等。

    作为网络安全执法部门，公安机关每年会查处和通报大量网络安全信息事故。通过整理、分析和研究网络安全行政执法案例可以帮助各行业政企机构更好的对照查找自身问题，找到自己在安全建设运维管理中的疏失，进而促进自身实战化安全运营能力的提升。

    奇安信行业安全研究中心联合《安全内参》，针对2020年6月至2022年6月，媒体公开披露的与政企机构相关的各行业超百余起网络安全行政执法案例进行整理和分析，筛选出不同行业典型网络安全行政执法案件三十余起进行重点分析形成此份报告。

    教育行业：

    从公安机关披露的涉及教育培训行业的网络安全行政执法典型案例信息来看，教育培训行业违反网络安全相关法律法规主要表现在以下几个方面：

    首先是机构或内部员工非法购买或贩卖个人信息，包括普通公民信息，也包括学生信息，造成巨大社会危害甚至构成犯罪。

    第二是没有应急预案，网站被通报存在安全漏洞后，长期不修复，导致网站信息被犯罪分子窃取、篡改和恶意利用。

    第三是没有按照等保要求进行信息系统的备案和测评，或是没有按照网络安全法保存网络安全日志，导致违规被要求整改。

    此外，还有个别机构，滥用教育相关资源，构成“帮信罪”。

    医疗卫生行业：

    近年来，由于系统老旧和缺乏足够的网络安全规程，医疗行业已经成为了网络罪犯的首要目标。

    首先，医疗卫生行业个人信息保护问题仍较为严重。根据法律法规，违反国家有关规定，非法获取、出售或提供公民个人信息，情节严重的，个人将被处三年以下有期徒刑或拘役；单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照规定处罚。

    其次，部分单位在信息化建设和应用中，对网络安全工作不够重视、安全防护意识淡薄。由于建设运维管理疏失导致系统被篡改、破坏甚至是瘫痪的情况较为多发。公安机关通过开展“一案双查”，对于相关单位未履行安全管理义务情况开展调查并给予行政处罚，倒逼单位主动整改，切实履行网络安全保护义务。

    第三，由供应商、前员工、内部人员引发的网络安全事件值得高度警惕。这种情况在以往并不多见，而在最近两年则频繁发生。

    互联网行业：

    2020年6月~2022年7月，安全内参共收录互联网行业行政执法案例超35起，其中仅国内便有24起，占68.6%。

    从公安机关披露的互联网行业网络安全行政执法案例信息来看，近年来互联网行业违反网络安全相关法律法规主要表现在以下两个方面：

    第一是由于黑产团伙非法买卖/通过入侵获得个人信息而违法。包括姓名、身份证号、联系方式、家庭住址、银行流水、快递面单、身份证照片等。

    第二是部分政企机构由于管理不当导致被入侵，网站被篡改。

    报告涉及政府及事业单位、金融、医疗卫生、教育培训、互联网等几大行业，事件涉及数据的非法采集与盗卖、破坏系统运行、网页篡改、传播违法信息、非法使用企业资源等多种不同情况，对公众利益和政企机构利益都产生了极大的影响。

    更多案例内容可到奇安信官网——安全能力——研究报告专区下载，或查看【阅读原文】下载。