使用单位“一托了之”，服务商“交付即走”！机构门户网站被入侵篡改

近日，山东烟台公安网安部门在工作中发现，某机构门户网站遭网络攻击，网站被篡改并植入违法内容，严重扰乱网络空间秩序，造成不良社会影响。

01案情回顾

公安网安部门接报后立即开展调查，发现：

该机构将门户网站委托给某第三方开发运维公司建设与维护。

该公司在系统开发调试阶段未落实基本网络安全防护措施，未修复已知漏洞，亦未履行风险告知义务，将存在安全隐患的系统交付上线。

与此同时

该机构作为网络运营者，未依法履行网络安全主体责任。既未建立网络安全管理制度，也未按网络安全等级保护制度要求部署必要防护措施，对托管系统的安全状况失察失管，导致平台被入侵、篡改。

小贴士

此案暴露出，当前信息系统供应链安全管理缺位的典型缩影：

使用单位“一托了之”，服务商“交付即走”，双方均忽视法定安全义务，形成责任真空，最终酿成安全事件。

02依法处理

依据《中华人民共和国网络安全法》相关规定，网安部门依法作出处理：

涉事机构

涉事机构未履行网络安全保护义务、未建立网络安全管理制度等行为，依据第二十一条、第五十九条第一款，责令限期改正。

涉事开发运维公司

涉事开发运维公司未采取安全措施、未按规定告知和报告系统风险等行为，依据第二十二条第一款、第六十条，责令限期改正。

03法律依据

《中华人民共和国网络安全法》第二十一条规定

网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

《中华人民共和国网络安全法》第二十二条之第一款规定

网络产品、服务应当符合国家标准的强制要求，网络产品、服务的提供者不得设置恶意程序，发现其网络产品、服务存在安全缺陷、漏洞风险时，应当立即采取补救措施，并按照规定及时告知用户并向有关主管部门报告。

系统可以外包，责任不能外卸。

使用单位须切实履行主体责任，将安全要求写入合同、纳入验收；

开发运维单位须依法保障所提供产品和服务的安全性，做到“交付即安全、运维即负责”。

双方共担责任，才能筑牢供应链安全防线。